PCI Madrid
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
1
PCI Compliance - Agenda
09.00 Registo e café
09:30 Boas Vindas e Introdução à PCI DSS
Sérgio Bergano, Cisco Area Sales Manager Enterprise, Portugal
10:00 Deloitte
Dr. Miguel Barão da Cunha
10:45 Arquitectura Cisco PCI
Bonny Shapira, Cisco Business Development Manager
11:30 Coffee Break
11:45 Data Security e Protecção Jurídica
Dra. Magda Cocco, Lawyer - Vieira de Almeida & Associados
12:30 Auditing PCI-DSS
Antonio Ramos, Director de Consultoría, S21Sec
13:15 Encerramento
PCI Madrid
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
2
PCI Compliance
PCI DSS Compliancy Roadshow
Lisboa, 3 Abril 2008
Sergio Bergano.
Area Sales Manager
PCI Madrid
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
3
PCI Security Standard Council
ƒ Missão
“ Enhance Payment account security by foresting
broad adoption of the PCI Security Standard ”
Source : PCI Security Standard Council
PCI Madrid
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
4
PCI Data Security Standard
ƒ Publicado em Janeiro de
2005
ƒ Afecta TODOS os que
Processam
Transmitem
Armazenam
Dados de
cartões
financeiros
ƒ PCI Security Standards
Council mantém,
desenvolve e dá formação
sobre o standard
PCI Madrid
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
Payment Card Industry Data
Security Standard
January 2005
5
PCI Data Security Standard
Build and Maintain a Secure
Network
Protect Cardholder Data
Maintain a Vulnerability
Management Program
Implement Strong Access
Control Measures
1. Install and maintain a firewall configuration to
protect data
2. Do not use vendor-supplied defaults for system
passwords and other security parameters
3. Protect stored data
4. Encrypt transmission of cardholder data and
sensitive information across public networks
5. Use and regularly update anti-virus software
6. Develop and maintain secure systems and
applications
7. Restrict access to data by business need-to-know
8. Assign a unique ID to each person with computer
access
9. Restrict physical access to cardholder data
Regularly Monitor and Test
Networks
10. Track and monitor all access to network resources
and cardholder data
11. Regularly test security systems and processes
Maintain an Information
Security Policy
12. Maintain a policy that addresses information
security
PCI Madrid
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
6
O Ecossistema PCI DSS
Marcas de cartões
MasterCard, Visa
• Membro do grupo
de PCI SSC.
• Impõem o cumprimento
aos compradores
(multas/incentivos).
Discover, JCB
• Membro do grupo de PCI
SSC.
• Impõem o cumprimento de
PCI DSS aos compradores
(multas/incentivos).
PCI Security Standards
Council
American Express
• Miembro do grupo de PCI
SSC.
• Impõe o cumprimento de
PCI DSS aos
compradores
(multas/incentivos).
• Desenvolve e mantem o standard de PCI;
transmite-o às marcas dos cartões.
• Certifica os auditores de PCI, QSAs).
• Certifica os ASVs.
Compradores
• Responsáveis do cumprimento dos
comerciantes.
• Estão sujeitos a multas ou incentivos por
parte das marcas de cartões no caso
de incumprimento dos comerciantes.
• Passam as multas ou incentivos para os
comerciantes que não cumprem.
• Devem cumprir com o standard PCI
DSS.
Entidades Financeiras
• Possuem a informação dos cartões de
crédito.
• Devem proteger os dados dos cartões.
Assessores de
Segurança
Qualificados (QSAs)
ASVs
• Realizam revisões trimestrais em
busca de vulnerabilidades.
• Certificados pelo PCI SSC.
• Levam a cabo auditorías de PCI anuais.
• Certificados por PCI SSC.
• Envíam relatórioss sobre o cumprimento aos
Bancos adquirentes e as marcas de cartões.
PCI Madrid
Service Providers
• Devem cumprir com o standard PCI DSS.
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
Comerciantes
• Enfrentam as multas ou os incentivos impostos aos
compradores pelas marcas dos cartões.
• Devem cumprir com o standard PCI DSS.
7
Categorias definidas
Categoria
Nivel 1
Critério
+ de 6,000,000 transacções
Visa/MC/AMEX/DISC por ano.
Requisitos
Anualmente in situ:*
PCI Data Security
Assessment
Qualquer empresa que tenha
sofrido um ataque que tenha
Trimestralmente:
comprometido dados das contas
auditar a rede
Nivel 2
1 milhão – 6 milhões de
transacções por ano
Trimestralmente: Auditar a rede
Anualmente: self-assessment
Nivel 3
20.000 –1 Milhão transacções
por ano
Trimestralmente: Auditar a rede
Anualmente: self-assessment
Nivel 4
Restantes empresas
Trimestralmente: Auditar a rede
Anualmente: self-assessment
* A realizar por um QSA – Quality Security Assesssor
PCI Madrid
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
8
O porquê de PCI DSS?
PCI Madrid
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
9
O porquê de PCI DSS?
ƒ Polo Ralph Lauren: Dados de cartões de
crédito de 180.000 clientes roubados
ƒ Chipotle Mexican Grill: Provisão de $ 4 milhões para
fazer face a um incidente de segurança
ƒ Sam’s Club: Cerca de 600 clientes vítimas
de uma fraude nos seus cartões de
crédito depois de uma falha de segurança
PCI Madrid
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
10
O que fazer?
Analisar e verificar “tudo”
–
–
–
Análise da política (por exemplo, funções que requerem acesso, requisitos de
retenção).
Fluxo de dados (dependências de aplicacões, dados estruturados vs. não
estruturados).
Entrevistas com os intervenientes fundamentais (determinar necessidades, uso
actual).
Análise de vulnerabilidades no standard PCI DSS
–
–
Reveja os procedimentos de auditoría de PCI, junto com o questionário de auto
avaliação de PCI.
Identifique áreas de incumprimento.
Medidas correctivas para conseguir cumprir com o standard PCI DSS
–
–
PCI Madrid
Implemente as medidas correctivas de acordo com o risco.
Reduza o alcance tanto quanto seja possivel.
• Menos aplicacões com dados de titulares de cartões.
• Menos individuos/funcões com autorização de acesso.
• Segmentação de redes para isolar os sistemas de dados de titulares
de cartões.
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
11
Obrigação ou Vantagem competitiva
As empresas estão obrigados pela PCI a cumprir com a
norma PCI DSS.
No entanto, é este o verdadeiro motivo?
NÃO!
As empresas estão obrigadas a fazer o que estiver ao seu
alcance para proteger os dados pessoais e financeiros
dos seus clientes.
Todas as empresas querem incrementar o grau de lealdade
dos seus clientes e criar laços de fidelidade. É realmente
digno de confiança quem não segue estas 12 regras para
proteger os meus dados?
PCI Madrid
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
12
Algumas perguntas frequentes
ƒ Não aceito cartões de crédito, só de débito. Então não devo
preocupar-me com a PCI?
ƒ Acabo de conseguir a certificação EMV. Inclui esta certificação
a PCI DSS?
ƒ Utilizo terminais Pin Pad, admnistrados pelo service provider.
Ocupam-se eles do cumprimento do PCI DSS?
ƒ O meu site B2C está alojado no service provider. Ainda assim
devo preocupar-me por cumprir PCI DSS?
ƒ Todas estas coisas passam só nos Estados Unidos. Não
estamos mais seguros na Europa?
ƒ Actualizar os meus sistemas custa 100, no entanto a multa é
só de 50. Não é mais eficiente assumir o risco?
PCI Madrid
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
13
PCI Solução para empresas
ƒ Fase 1 enfocada em lojas pequenas, medias e grandes e na gestão.
ƒ Fase 2 adiciona:
–Desenhos Validados pela Cisco para o CPD e Acesso à Internet
–Actualizações nas lojas: ASA, AP1200, VPN, CSA 5.2, RSA encryption
–Sistemas de gestão exaustivos e auditados
–Novos guías de desenho Cisco com perguntas e respostas de especialistas:
• PCI Solution for Retail Stores 2.0
• PCI Solution for Data Center (Incluye CPD, Almacenamiento SAN e Internet)
ƒ PCI Bundle
ƒ PCI Oferta de serviços
PCI Audit Partners:
Validated Design
Small Retail Store
Partners:
PCI Madrid
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
14
Solução PCI– Guía de desenho
Exemplo extraído do Guía de Desenho
PCI Requisito 1.3.5
Cisco:
Recomendação
específica
Ilustrações para
melhor entender
Exemplo de
configuração
PCI Madrid
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
15
Sumário
• A certificação PCI DSS é somente o inicio de um processo.
É uma viagem, não um destino
• Afecta todas as empresas independemente do volume de
negócio
PCI Madrid
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
16
PCI Madrid
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
17
PCI Madrid
© 2008 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
18
Download
  1. No category

Introdução à PCI DSS

projecto

projecto

Payvision faz parceria com a ControlScan

Payvision faz parceria com a ControlScan

Belém, 26 de novembro de 2015. LISTA DOS CANDIDATOS PRÉ

Belém, 26 de novembro de 2015. LISTA DOS CANDIDATOS PRÉ

51181-VaultStreamerCDSMCDS portugues

51181-VaultStreamerCDSMCDS portugues

Adenda Estatutos – DR

Adenda Estatutos – DR

Curso CCNA Exploration Cisco Systems

Curso CCNA Exploration Cisco Systems

Placas de Vídeo

Placas de Vídeo

Presentation Title Size 30PT

Presentation Title Size 30PT