Os 12 requisitos do PCI DSS: lista de verificação de conformidade 4.0

O PCI DSS é uma estrutura projetada para proteger toda a cadeia de valor do cartão de pagamento
David Harrington
9 minuto de leitura
Ultima atualização 5 de Outubro de 2023
PCI DSS

Os requisitos PCI DSS são mais críticos do que nunca, afinal, espera-se que os pagamentos digitais atinjam um recorde histórico este ano. Projeções mostram que as transações de pagamento aumentaram 24% em 2020 em relação ao ano anterior, uma tendência que não mostra sinais de desaceleração, exatamente por isso, comerciantes e processadores de pagamentos precisam garantir a privacidade e a segurança de cada transação. 

O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é uma estrutura projetada para proteger toda a cadeia de valor do cartão de pagamento, e os requisitos de conformidade do PCI DSS abrangem inúmeras áreas, desde como os dados do titular o cartão são armazenados até como os dados de pagamento privados podem ser acessados. 

Mas, à medida que as ameaças e a tecnologia evoluem, os padrões PCI DSS também evoluem. Comerciantes, facilitadores de pagamento e qualquer outra empresa que lida com dados de titulares de cartão devem estar cientes dos novos requisitos do PCI DSS 4.0. Nossa lista de verificação de conformidade está aqui para ajudá-lo a decifrar as alterações desde a criptografia de dados até a segurança e monitoramento da rede. 

Visão geral: Conformidade com PCI DSS 

Modificações do PCI DSS 4.0 

  • Autenticação e orientação de senha 
  • Requisitos avançados de monitoramento do sistema 
  • Orientação sobre autenticação multifator 

A conformidade com o PCI DSS é uma lei de privacidade e um requisito organizacional para qualquer empresa que armazene, processo ou transmita dados do titular do cartão. 

Aqui estão os objetivos de alto nível que o PCI Standards Security Council está estabelecendo para o PCI v4.0: 

  • Garantir que os padrões PCI continuem atendendo às necessidades de segurança do setor de pagamentos 
  • Adicionar a flexibilidade e o suporte de outras metodologias para aumentar a segurança dos pagamentos 
  • Promover a segurança do titular do cartão como um processo contínuo, mesclando a segurança com processos de negócios 
  • Aprimorar métodos e procedimentos de validação para simplificar o processo de conformidade 

Abaixo estão as áreas técnicas que estão sendo consideradas para modificação no PCI DSS 4.0: 

  • Autenticação e orientação de senha 
  • Requisitos avançados de monitoramento do sistema 
  • Orientação adicional sobre autenticação multifator 

Resumindo, o PCI DSS 4.0 foi projetado para proteger ainda mais os dados do titular do cartão, ajudando as organizações a ter uma visão mais holística das medidas de segurança e controles de acesso. E, além disso, para responder às novas ameaças impostas pelos avanços da tecnologia. 

12 requisitos do PCI DSS passo a passo 

  1. Instalar e manter um firewall 
  2. Eliminar a configuração padrão do fornecedor 
  3. Proteger os dados armazenados do titular do cartão 
  4. Criptografar a transmissão de dados de pagamento 
  5. Atualizar regularmente o software antivírus 
  6. Implantar sistemas e aplicativos seguros 
  7. Restringir acesso aos dados do titular do cartão conforme necessário 
  8. Atribuir identificação de acesso do usuário 
  9. Restringir o acesso físico aos dados 
  10. Rastrear e monitorar o acesso à rede 
  11. Testar processos e sistemas continuamente em busca de vulnerabilidades 
  12. Criar e manter uma política de infosec 

Etapa 1. Instalar e manter um firewall 

Atender aos requisitos de firewall PCI DSS é o primeiro passo para a conformidade organizacional. Os firewalls restringem o tráfego de rede de entrada e saída e geralmente são a primeira linha de defesa quando se trata de ataques cibernéticos. 

Você precisará configurar corretamente seu firewall e roteadores para proteger um ambiente de dados de cartão de pagamentos. Além disso, é necessário estabelecer regras e padrões de firewall e roteador que determinem quais tipos de tráfego são permitidos e quais não são. 

Etapa 2. Eliminar a configuração padrão do fornecedor 

Nunca confie nas configurações padrão de qualquer servidor, dispositivo de rede ou aplicativo de software. Isso vale para tudo, desde roteadores wifi até firewalls. A senha, nome de usuário e outras configurações de segurança padrão geralmente são insuficientes para os padrões PCI.. 

Este segundo requisito do padrão PCI DSS determina que não se deve usar padrões fornecidos pelo fornecedor para senhas e outros parâmetros de segurança. Certifique-se de atualizar as configurações para todos os novos dispositivos e hardware, bem como manter a documentação para os procedimentos de proteção de segurança de configuração. 

Etapa 3. Proteger os dados armazenados do titular do cartão 

Proteger os dados do titular do cartão é o mais crítico de todos os requisitos de conformidade do PCI DSS. Para isso, é preciso saber para onde os dados do titular do cartão estão indo, o local em que serão armazenados e por quanto tempo isso será feito exatamente. Além disso, todos os dados do titular do cartão devem ser criptografados usando algoritmos e chaves de segurança aceitos pelo setor. 

Um erro comum é quando as empresas não sabem que os números de conta principal (PAN) são armazenados de forma não criptografada, é por isso que usar uma ferramenta de descoberta de dados de cartão é útil. Esse requisito do PCI também inclui regras sobre como os números dos cartões devem ser exibidos, como ocultá-los, menos os seis primeiros ou os últimos quatro dígitos. 

Etapa 4. Criptografar a transmissão de dados de pagamento 

Esta etapa do requisito do PCI DSS é semelhante à anterior, mas se concentra no tráfego e na transmissão de dados, e não no armazenamento. Isso inclui dados em movimento por meio de redes abertas, fechadas, privadas ou públicas. Hackers geralmente visam dados que estão indo de um local para outro, porque eles assumem que são mais vulneráveis. 

Portanto, é essencial saber de onde os dados do titular do cartão estão indo e vindo, seja um comerciante, gateway de pagamento ou operadora de pagamentos. Além disso, certifique-se de criptografa os dados do titular do cartão antes da transmissão usando versões seguras de protocolos que reduzirão o risco de comprometimento da transferência de dados. Você deve estar ciente que o PCI DSS v4.0 fornecerá orientações mais específicas para a autenticação multifator (MFA). 

Etapa 5. Atualizar o software antivírus regularmente 

Não basta simplesmente instalar um software antivírus básico para ser compatível com PCI DSS, é necessário atualizar e corrigir a ferramenta regularmente. Este padrão de segurança PCI é projetado para proteção contra malware e vírus que possam comprometer seus sistemas e os dados do titular do cartão. 

O software antivírus deve estar atualizado em todo o ecossistema de TI do titular do cartão. Isso inclui servidores, estações de trabalho, laptops ou dispositivos móveis usados por funcionários e/ou gerentes. O software antivírus deve estar sempre em execução ativa, usando as assinaturas mais recentes e gerando logs que possam ser auditados. 

Etapa 6. Implantar sistemas e aplicativos seguros 

Em seguida, é necessário definir e implementar processos para identificar e classificar o risco em prol da implantação da tecnologia. Sem primeiro realizar uma avaliação de risco completa, é impossível gerenciar e utilizar a tecnologia em conformidade com os padrões PCI. 

Após  uma avaliação de risco, é possível começar a implantar equipamentos e softwares usados no processamento ou manuseio de informações confidenciais de cartões de pagamento. Não se esqueça de também aplicar patches em tempo hábil, também um requisito do padrão PCI DSS. Isso inclui patches para itens como bancos de dados, terminais de ponto de vendas e sistemas operacionais. 

Etapa 7. Restringir o acesso aos dados do titular do cartão conforme necessário 

Qualquer entidade que manipule dados de cartões de pagamento também deve permitir ou negar o acesso a essas informações com base em funções e permissões. Mais especificamente, os requisitos PCI DSS estabelecem que os indivíduos só devem ter acesso aos dados privados do titular do cartão em uma base essencial para os negócios 

Além do acesso digital, as organizações devem atender aos requisitos de segurança física do PCI DSS. Também é necessário contar com políticas e procedimentos de controle de acesso documentados com base em fatores como função de trabalho, nível de antiguidade e motivo para ter acesso aos dados do titular do cartão. Documente todos os usuários e seus níveis de acesso e mantenha-os sempre atualizados. 

Etapa 8. Atribuir identificação de acesso do usuário 

De acordo com o padrão número 8 do PCI DSS, cada usuário deve ter seu próprio nome de usuário individual e senha de acesso. Nunca – sob nenhuma circunstância – use nomes de usuários ou senhas de grupo ou compartilhados. Além disso, todos os nomes de usuário e senhas exclusivos devem ser complexos. 

Isso não é apenas para evitar que hackers adivinhem ou roubem senhas para entrar no sistema, mas, também, para garantir que, no caso de uma violação interna de dados, a atividade possa ser detectada e rastreada até usuários específicos com quase 100% de certeza. Para reforçar ainda mais o acesso exclusivo, os requisitos PCI DSS determinam que você empregue a autenticação de dois fatores. 

Etapa 9. Restringir o acesso físico aos dados 

Ser compatível com PCI não é apenas sobre segurança digital. As empresas também devem levar a segurança física do PCI DSS a sério por conta própria. Este requisito abrange o acesso físico a  servidores, arquivos de papel ou estações de trabalho que armazenam ou transmitem dados do titular do cartão. 

Esse requisito do PCI também exige o uso de câmeras de vídeo e monitoramento eletrônico geral das formas de entrada e saída de locais físicos, como data centers e locais para armazenagem de documentos físicos. As gravações e os registros de acesso devem ser mantidos por um período mínimo de 90 dias e é necessário implementar processos de acesso para distinguir entre funcionários e visitantes. Por fim, todas as mídias portáteis com dados do titular do cartão, como unidades flash, devem ser protegidas fisicamente e destruídas quando não forem mais necessárias para os negócios. 

Etapa 10. Rastrear e monitorar o acesso à rede 

Atores mal-intencionados visam consistentemente redes físicas e sem fio para acessar os dados do titular do cartão. É por isso que os padrões PCI exigem que todos os sistemas de rede sejam protegidos e monitorados o tempo todo, com um histórico claro de atividades de referência. Os logs de atividade da rede devem ser mantidos e enviados de volta a um servidor centralizado para serem revisados diariamente. 

Para isso, é possível usar uma ferramenta de monitoramento de eventos e informações de segurança (SIEM) para ajudar a registrar a atividade do sistema, enquanto monitora simultaneamente atividades suspeitas. De acordo com os requisitos de conformidade do PCI, os registros de trilha de auditoria da atividade de rede devem ser mantidos, sincronizados e armazenados por pelo menos um ano. 

Etapa 11. Testar processos e sistemas continuamente em busca de vulnerabilidades 

Cibercriminosos e atores mal-intencionados estão constantemente tentando acessar os sistemas na esperança de descobrir uma vulnerabilidade. É por isso que os padrões PCI DSS incluem requisitos sobre testes contínuos de sistemas e processos. Atividades como testes de penetração e vulnerabilidade podem ajudar a atender a esse requisito. 

Para isso, você será solicitado a realizar verificações periódicas da rede sem fio trimestralmente para identificar pontos de acesso não autorizados. IPs e domínios externos precisam ser verificados por um fornecedor aprovado pelo PSI (ASV). As verificações de vulnerabilidade interna também devem ser realizadas trimestralmente. E um teste completo de penetração de rede a aplicativo deve ocorrer anualmente. 

Etapa 12. Criar e manter uma política infosec 

A etapa final para ser compatível com o PCI concentra-se no foco organizacional e na cooperação. E isso diz respeito a criação, implementação e manutenção de uma política de segurança da informação em toda a empresa. Esta política de infosec deve abranger funcionários, lideranças e terceiros relevantes. 

A política deve ser revisada anualmente, divulgada internamente e externamente com todos os usuários lendo e reconhecendo a política. É necessário também realizar treinamentos de conscientização do usuários e verificação de antecedentes dos funcionários para evitar que pessoas erradas acessem os dados do titular do cartão. 

Lista de verificação de conformidade do PCI DSS 

Antes de contratar um avaliador de segurança qualificado (QSA) do PCI, certifique-se de ter o máximo de itens da seguinte lista de verificação de conformidade do PCI DSS 

Coloque o firewall em funcionamento 

  • Crie um plano para implementação de firewall e política para alterações ou atualizações 
  • Monitore e teste o firewall periodicamente para detectar possíveis vulnerabilidades 
  • Atualize o firewall com patches mais recentes e garanta a manutenção geral 

Atualize as configurações do padrão do fornecedor 

  • Realize uma auditoria das configurações e contas padrão em qualquer novo hardware ou software 
  • Ajuste as configurações para lidar com ameaças comuns e vulnerabilidades internas 
  • Mantenha um inventário de todos os componentes do sistema que estão sob o PCI DSS para documentação 

Proteja os dados do titular do cartão a todo custo 

  • Crie uma política compatível com o PCI sobre como coletar, manipular e descartar dados 
  • Implemente medidas de segurança fortes, como criptografia e mascaramento do número de conta pessoal (PAN) 
  • Documente seu processo de criação, armazenamento e gerenciamento de chaves criptográficas 

Criptografe os dados em movimento do titular do cartão 

  • Certifique-se de usar protocolos de criptografia fortes em redes públicas e privadas 
  • Nunca envie PANs com tecnologia de mensagens do usuário final, como e-mail, mensagens instantâneas ou SMS 
  • Realize treinamento regular de funcionários sobre as melhores práticas de transmissão de dados compatíveis com PCI 

Mantenha o software antivírus atualizado 

  • Implante software antivírus em todos os hardwares e softwares, especialmente em computadores pessoais e servidores 
  • Certifique-se de que todos os antivírus executem monitoramento contínuo e gerem logs automaticamente 
  • Configure o software antivírus para que os usuários finais não possam ajustar as configurações sem aprovação gerencial 

Implemente apenas hardware e software seguros 

  • Recrute um parceiro de conformidade PCI DSS para ajudar a examinar novos hardwares ou softwares para garantir sua segurança 
  • Instale todas as atualizações e patches de segurança especificados pelo fornecedor dentro de um mês após o lançamento 
  • Desenvolva qualquer aplicativo de software interno com medidas de conformidade PCI em mente 

Implemente restrições de acesso aos dados 

  • Limite o acesso aos dados do titular do cartão apenas aos usuários que precisarem para fins comerciais 
  • Implemente key-cards, senhas e biometria para fortalecer os controles de acesso físico 
  • Treine os funcionários regularmente sobre a política de acesso do titular do cartão para evitar violações internas acidentais 

Atribua IDs de usuários e senhas exclusivos 

  • Documente processos e medidas para criar, atribuir e revogar IDs de usuário 
  • Incorpore autenticação de dois fatores (2FA) para qualquer pessoa que faça login no sistema 
  • Elimine qualquer ID de usuários ou senha de grupo existentes. Estes são proibidos pelo PCI DSS 

Proteja as principais áreas de acesso 

  • Estabeleça um registro de acesso para todos os dispositivos de rede física para usuários específicos 
  • Automatize a geração de trilhas de auditoria para sua rede para documentação 
  • Revise regularmente logs de segurança para detectar quaisquer anomalias ou atividades suspeitas 

Realize testes de penetração regulares 

  • Crie um plano com um parceiro de teste de penetração PCI para testar vulnerabilidades trimestralmente, no mínimo 
  • Garanta que suas metodologias de teste de penetração funcionem nos níveis de rede e aplicativo 
  • Implante um mecanismo de detecção de alterações para realizar comparações semanais em arquivos críticos 

Formule uma política clara de infosec 

  • Identifique as principais partes interessadas em todas as unidades de negócios que devem estar envolvidas na política 
  • Crie e documente a política de infosec com um parceiro de conformidade PCI 
  • Realize treinamento anual da equipe, no mínimo, para garantir a implementação contínua da política de segurança 

Lembre-se de que a não conformidade com requisitos PCI DSS pode resultar em consequências graves. Se você sofrer uma violação de dados, e as investigações subsequentes descobrirem que a empresa não estava em conformidade, os danos financeiros e à sua reputação podem ter grande impacto nos negócios. 

Como manter a conformidade com o PCI 

O futuro da conformidade com PCI 

No geral, o PCI DSS v4.0 não altera significativamente os seis principais objetivos e os 12 requisitos do PCI DSS. Mas o que você pode esperar são ajustes nas metodologias e processos de avaliações de conformidade PCI para acompanhar as novas tecnologias no setor de tecnologia financeira e pagamentos. 

O objetivo é tornar a conformidade PCI DSS mais flexível, colocando maior ênfase na tecnologia e nos processos de negócios. Claro, deve-se ter firewalls e antivírus instalados, mas como eles se encaixam nos processos gerais de negócios? 

Monitore a seção de perguntas frequentes do site www.pcisecuritystandards.org para obter guias e informações adicionais sobre o PCI DSS v4.0. Mas se você está apenas começando sua jornada de conformidade com o PCI, a melhor coisa a fazer é revisar as metas e os requisitos com seu pessoal de segurança da informação para determinar o que está em conformidade e o que não está. 

Depois de identificar as lacunas, considere trabalhar com um parceiro de conformidade PCI experiente para ajudar a vencer essas lacunas. 

O que fazer agora? 

Agende uma sessão de demonstração conosco, onde iremos responder suas questões e ajudá-lo a entender como a Varonis pode ajudar sua empresa. Depois baixe nosso relatório gratuito sobre os riscos associados à exposição de dados SaaS. 

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

o-que-é-uma-floresta-do-active-directory?
O que é uma Floresta do Active Directory?
Uma floresta do Active Directory (AD) é o contêiner mais lógico superior em uma configuração do AD
varonis-threat-labs-descobre-vulnerabilidades-de-sqli-e-falhas-de-acesso-no-zendesk
Varonis Threat Labs descobre vulnerabilidades de SQLi e falhas de acesso no Zendesk
O Varonis Threat Labs encontrou uma vulnerabilidade de injeção de SQL e uma falha de acesso lógico no Zendesk Explore, o serviço de geração de relatórios e análises da popular solução de atendimento ao cliente Zendesk.
integração-do-portfólio-da-varonis-ao-iam-permite-melhor-governança-de-acesso
Integração do portfólio da Varonis ao IAM permite melhor governança de acesso
Conheça os benefícios da integração do portfólio da Varonis com o Gerenciamento de Identidade de Acesso para ajudar a governar o acesso a aplicativos e outros recursos corporativos.
cinco-funções-fsmo-no-active-directory
Cinco funções FSMO no Active Directory
Para resolver uma falha no Active Directory, a Microsoft dividiu as responsabilidades de um DC em cinco funções que, unidas formam um sistema AD completo