terça-feira, abril 9, 2024
Últimos:

Prof. Marcos Assi

ArtigosNotícias

PCI – Padrão de Segurança da Dados e o Processo Corporativo de Segurança da Informação

marcos

A imagem pode conter: 2 pessoas, pessoas sorrindo, pessoas sentadas e ternoTomei a liberdade de reproduzir o artigo de meu guru e amigo Edison Fontes para deleite de todos:

O Padrão de Segurança de Dados da Industria de Cartões de Pagamento (PCI DSS) define controles específicos para a segurança da informação relacionada ao negócio de cartões de pagamento. Surge uma dúvida: este padrão substitui os controles da Norma ISO/IEC 27002? Não! Muito pelo contrário: eles se complementam. Esta dupla faz um harmonioso conjunto de diretrizes, macrocontroles, controles e regras detalhadas que permitem que a organização proteja adequadamente as informações do seu negócio.

O Processo Corporativo de Segurança da Informação, baseado na Norma ISO/IEC 27002 deve ser implementado independente da organização ser obrigada a atender os requisitos do PCI DSS. Porém, para aquelas organizações que precisam seguir o PCI DSS, a estrutura do Processo Corporativo de Segurança da Informação disponibilizará uma arquitetura que facilitará a harmonia e a coordenação das ações necessárias para a segurança dos dados de cartão de pagamentos. Todos os requisitos do PCI DSS estão relacionados à Dimensões de Segurança da Informação, sendo considerados nos controles ou macrocontroles.

Sendo assim, consideramos que uma organização que possui o seu Processo Corporativo de Segurança da Informação terá maior facilidade na execução e na gestão para: planejar, definir, gerar políticas e normas, implementar requisitos, comunicar e treinar os profissionais, alinhar com o Corpo Diretivo (Governança), gerenciar os riscos e manter os controles requeridos pelo PCI DSS. Quando indico que uma organização possui o seu processo Corporativo de Segurança da Informação não quer dizer que esta organização atende de maneira satisfatória todos os controles de segurança. Significa que a organização segue uma arquitetura e todas as suas ações serão consideradas de uma maneira estruturada, integrada e com abordagem holística corporativa.

Considerando a Norma NBR ISO/IEC 27002:2013 temos as seguintes Dimensões para o Processo Corporativo de Segurança da Informação.

Em relação aos Requisitos PCI DSS, existe um relacionamento com as Dimensões do Processo Corporativo de Segurança da Informação (Norma ISO/IEC 27002). Descrevemos abaixo este relacionamento.

Requisito 1: Instalar, manter uma configuração de firewall para proteger dados do cartão.

  • Dimensão Proteção Técnica
  • Dimensão Políticas e Normas

Requisito 2: Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança

  • Dimensão Políticas e Normas
  • Dimensão Acesso Informação
  • Dimensão Proteção Técnica
  • Dimensão Classificação da Informação

Requisito 3: Proteger os dados armazenados do titular do cartão

  • Dimensão Políticas e Normas.
  • Dimensão Acesso Informação
  • Dimensão Flexibilidade Operacional (Incidentes, Problemas, Mudança)
  • Dimensão Continuidade – Copias de Segurança.
  • Dimensão Proteção Técnica.
  • Dimensão Classificação da Informação.

Requisito 4: Criptografar a transmissão de dados do titular do cartão em redes abertas e públicas

  • Dimensão Proteção Técnica.
  • Dimensão Políticas e Normas.
  • Dimensão Classificação Informação

Requisito 5: Proteja todos os sistemas contra softwares prejudiciais e atualize regularmente programas ou software de antivírus.

  • Dimensão Políticas e Normas.
  • Dimensão Proteção Técnica

Requisito 6: Desenvolver e manter sistemas e aplicativos seguros

  • Dimensão Políticas e Normas.
  • Dimensão Desenvolvimento de Aplicativos
  • Dimensão Acesso Informação
  • Dimensão Flexibilidade Operacional (Incidentes, Problemas, Mudanças)
  • Dimensão Classificação da Informação
  • Dimensão Proteção Técnica.

Requisito 7: restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio.

  • Dimensão Políticas e Normas.
  • Dimensão Acesso Informação.

Requisito 8: Identifique e autentique o acesso aos componentes do sistema.

  • Dimensão Políticas e Normas
  • Dimensão Acesso Informação
  • Dimensão Treinamento e conscientização usuários
  • Dimensão Classificação Informação

Requisito 9: Restringir o acesso físico aos dados do titular do cartão

  • Dimensão Ambiente Físico.
  • Dimensão Políticas e Normas.
  • Dimensão Classificação da Informação.
  • Dimensão Continuidade – Cópias de Segurança
  • Dimensão Treinamento e conscientização de usuários.

Requisito 10: Acompanhar e monitorar todos os acessos com relação aos recursos de rede aos dados do titular do cartão.

  • Dimensão Políticas e Normas.
  • Dimensão Acesso Informação
  • Dimensão Flexibilidade Operacional (Incidentes, Problemas, Mudanças)
  • Dimensão Proteção Técnica
  • Dimensão Continuidade – Cópias de Segurança

Requisito 11: Testar regularmente os sistemas e processos de segurança.

  • Dimensão Políticas e Normas.
  • Dimensão Gestão de Riscos.
  • Dimensão Flexibilidade Operacional (Incidentes, Problemas, Mudanças)
  • Dimensão Proteção Técnica.

Requisito 12: Mantenha uma política que aborde a segurança da informação para todas as equipes.

  • Dimensão Políticas e Normas.
  • Dimensão Gestão de Riscos
  • Dimensão Acesso Informação
  • Dimensão Modelo Operativo – Responsabilidades Segurança Informação
  • Dimensão Flexibilidade Operacional (incidentes, Problemas, Mudanças).
  • Dimensão Treinamento e conscientização de usuários.

Conclusão

Utilizar o Processo Corporativo de Segurança da Informação garante que a organização possui uma arquitetura de controles que possibilita a implementação estruturada dos Requisitos PCI DSS. Esta arquitetura possibilita identificar o grau de maturidade no atendimento aos controles exigidos e também facilita apresentar para o Corpo Diretivo uma visão de gestão dos controles de segurança que a organização precisa estar em conformidade.

Garantir que a organização atende aos requisitos de segurança da informação exigidos para o alcance dos objetivos corporativos é uma responsabilidade do Gestor de Segurança. Entendemos que quanto mais estruturada for esta abordagem mais chances de sucesso a organização terá para proteger os seus recursos.

Grande abraço.

Edison Fontes, CISM, CISA, CRISC – Coordenador do Comitê de Segurança da Informação da ABSEG.

Estrategista, Consultor e Gestor: Segurança da Informação, Riscos, Continuidade e Combate à Fraude, Compliance. – edison@pobox.com – www.nucleoconsult.com.br

marcos

Professor, Embaixador e Comendador MSc. Marcos Assi, CCO, CRISC, ISFS – Sócio-Diretor da MASSI Consultoria e Treinamento Ltda – especializada em Governança Corporativa, Compliance, Gestão de Riscos, Controles Internos, Mapeamento de processos, Segurança da Informação e Auditoria Interna. Empresa especializada no atendimento de Cooperativas de Crédito e habilitado pelo SESCOOP no Brasil todo para consultoria e Treinamento. Mestre em Ciências Contábeis e Atuariais pela PUC-SP, Bacharel em Ciências Contábeis pela FMU, com Pós-Graduação em Auditoria Interna e Perícia pela FECAP, Certified Compliance Officer – CCO pelo GAFM, Certified in Risk and Information Systems Control – CRISC pelo ISACA e Information Security Foundation – ISFS pelo EXIN.

Você pode gostar também

Custo de captação dos bancos antecipa alta da Selic e sobe

marcos

CVM prorroga prazo para reapresentação de balanços

marcos

Escândalo da Enron: Caso aumentou rigor na fiscalização

marcos