O que você precisa saber sobre o PCI DDS 3.2

Aqueles que usam o padrão de segurança SSL têm até junho de 2018 para se adequar à versão 3.1 do padrão PCI.
1 minuto de leitura
Ultima atualização 1 de Dezembro de 2023

Quando foi lançada a versão 3.1 do Padrão de Segurança PCI, o padrão SSL foi descartado. Mas na versão do PCI DSS 3.2, divulgada em abril de 2016, o pessoal do PCI voltou um pouco atrás. Em vez disso, implementações existentes têm prazo até junho de 2018 para remover o SSL e antigos TLS (1.0).

Com isso, os retardatários que ainda utilizam o padrão SSL têm mais tempo para entrar em conformidade. Até que se torne regra, em dois anos, essas empresas devem desenvolver planos de mitigação de riscos e de migração.

Quais são as outras novidades?

Há um novo requisito muito importante na documentação do DDS 3.2.

Autenticação multifator para acesso administrativo

Anteriormente, havia o requisito de duplo fator de autenticação, mas apenas para acessos remotos. A versão 3.2 do PCI DSS agora obriga as empresas a levar a autenticação de contas privilegiadas mais a sério.

Nas seções 8.3.1 e 8.3.2, existe o requisito de autenticação de múltiplos fatores – dois ou mais – para todos os acessos administrativos non-console e todos os acessos remotos, independentemente quem o faça, administrador ou não.

O requisito 8.3.1 sobre o acesso administrativo non-console é um grande acordo.

Entendemos que o Conselho do PCI está lendo as manchetes e sabe que os hackers cercam os perímetros por meio de ataques de phishing, estabelecem um escudo remoto e buscam as credenciais com privilégios. Em outras palavras, é fácil para os criminosos cibernéticos se passarem por administradores internos usando um escudo.

Com outro fator de autenticação, os administradores terão que provar, por exemplo, que têm a parte privada de um par de chaves ou o acesso a um gerador de identidade em seus smartphones. Os fatores usados atualmente não são explicitamente mencionados.

Obviamente, isso é algo que os atacantes não podem simular. Pelo menos não com muita facilidade.

As empresas têm até janeiro de 2018 para implementarem o requisito 8.3.1. Nesse meio tempo, funciona como “melhor prática”.

Para saber mais, leia o nosso white paper

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

varonis-anuncia-parceria-estratégica-com-a-microsoft-para-ajudar-a-proteger-o-futuro-da-ia
Varonis anuncia parceria estratégica com a Microsoft para ajudar a proteger o futuro da IA
As empresas formaram uma parceria estratégica de produtos para fornecer segurança de dados, governança e conformidade escaláveis para a era da IA
riscos-ocultos-da-shadow-ai
Riscos Ocultos da Shadow AI
A Shadow AI está aumentando à medida que os funcionários adotam ferramentas de IA não autorizadas. Saiba os riscos que ela representa para a segurança e a conformidade, e como gerenciar de forma responsável.
apresentando-varonis-para-chatgpt-enterprise
Apresentando Varonis para ChatGPT Enterprise
A plataforma líder do setor de segurança de dados da Varonis oferece suporte ao ChatGPT Enterprise da OpenAI, mantendo os dados seguros contra riscos de uso indevido e exposure da IA.
3-etapas-para-proteger-seus-dados-do-snowflake
3 etapas para proteger seus dados do Snowflake
Descubra os riscos de segurança de dados no Snowflake e aprenda táticas específicas para garantir práticas seguras.