Garantindo a conformidade com PCI
Mediar interações entre pagador, beneficiário e/ou câmara de compensação
de back-end sem comprometer a conformidade com os regulamentos
Em 2006, a American Express, a Discover Financial Services, a JCB,
a MasterCard Worldwide e a Visa International formaram o conselho
de padrões de segurança PCI (Payment Card Industry - Setor de Cartões
de Pagamento). A principal finalidade do conselho é produzir e manter
o DSS (Data Security Standard - Padrão de Segurança de Dados), que
é um conjunto de regras e requisitos criado para ajudar a impedir
fraudes, ataques de hackers e outras ameaças a dados privados
do titular do cartão. Os comerciantes que não cumprirem com
o PCI-DSS poderão estar sujeitos a multas, onerosas auditorias forenses
ou, até mesmo, ser responsabilizados pelos custos de substituição de
cartões, além dos danos à reputação da marca que podem enfrentar
caso ocorra uma violação ao cartão de crédito.
As organizações que fornecem seus produtos e serviços por meio
de comércio eletrônico são especialmente desafiadas a fornecer acesso
24x7 e, ao mesmo tempo, proteger as informações pessoais dos
clientes contra uso não autorizado E cumprir com os regulamentos
governamentais e do setor em constante evolução.
Para ajudar a resolver essas questões, o CA API Gateway oferece
segurança de nível empresarial (incluindo a certificação Common Criteria,
o suporte a FIPS, PKI integrado e proteção contra ameaças abrangente)
e pode ser configurado como parte de um processo de PCI-DSS,
permitindo que as organizações criem um processo de pagamento
eletrônico completo sem comprometer a conformidade com os
regulamentos. Quando implantado em conjunto com um Módulo
de segurança de hardware, o CA API Gateway pode criptografar todas
as informações do cartão de crédito (incluindo as informações do titular
e os PANs) usando uma chave armazenada em um dispositivo à prova
de adulteração.
O SIG (Secure Implementation Guide) com certificação independente
da CA fornece às organizações todas as informações de que necessitam
para implementar controles de acesso em conformidade com o PCI,
gerenciamento de senhas, gerenciamento de chaves de criptografia,
gerenciamento de tráfego, auditoria (incluindo uma trilha de auditoria
segura para o tráfego no nível administrativo, de sistema e de
mensagens) e funções e atribuições de RBAC que protegem
o acesso aos dados do titular do cartão.
2 | Garantindo a conformidade com PCI
Principais requisitos do PCI-DSS
Criar e manter uma rede segura
Requisito 1: Instalar e manter uma configuração de firewall para proteger os dados dos titulares de cartões
• O CA API Gateway apresenta um firewall XML integrado que fornece proteção abrangente contra ameaças de XML.
• Para firewalls de aplicativos web, a CA tem parceria com a Imperva, a F5, a Citrix e a Cisco.
Requisito 2: Não usar padrões do fornecedor para senhas do sistema e outros parâmetros de segurança
• O CA API Gateway permite que os clientes redefinam as senhas padrão, armazena todas as senhas criptografadas e permite que os clientes redefinam/expirem
as senhas regularmente.
Proteger os dados de titulares de cartões
Requisito 3: Proteger dados armazenados de titulares de cartões
• Os recursos integrados de PKI do CA API Gateway permitem que os clientes criptografem dados e PANs do titular do cartão em descanso, bem como quando
são transmitidos entre sistemas.
Requisito 4: Criptografar a transmissão de dados de titulares de cartões em redes públicas e abertas
• O CA API Gateway pode automaticamente criptografar por SSL todo o tráfego de entrada/saída de mensagens.
Manter um sistema de gerenciamento de vulnerabilidades
Requisito 5: Usar e atualizar regularmente o software antivírus
• O CA API Gateway oferece suporte à verificação de vírus em anexos de mensagens usando softwares antivírus populares compatíveis com a interface de ICAP padrão
(incluindo Symantec e Sophos).
Requisito 6: Desenvolver e manter sistemas e aplicativos seguros
• Os equipamentos do CA API Gateway são fornecidos prontos para uso em uma configuração bloqueada e segura. Os administradores têm controle sobre a força da senha,
bem como sobre os tempos máximos de ociosidade para sessões administrativas.
• O CA API Gateway pode aumentar a segurança dos aplicativos por meio de um modelo centralizado em um dispositivo protegido dedicado.
Implementar fortes medidas de controle de acesso
Requisito 7: Restringir o acesso aos dados de titulares de cartões de acordo com a necessidade dos negócios
• O CA API Gateway fornece aos administradores um rígido RBAC (Role Based Access Control - Controle de Acesso com Base em Função) para todas as funcionalidades internas
do sistema, bem como para auditorias/logs criptografados.
Requisito 8: Atribuir uma ID exclusiva a cada pessoa com acesso ao computador
• O CA API Gateway tem um provedor de identidades interno que fornece mecanismos para inscrever, identificar de forma exclusiva, expirar e/ou desativar usuários.
Requisito 9: Restringir o acesso físico a dados de titulares de cartões
• Embora seja principalmente sua responsabilidade, o CA API Gateway tem um HSM (interno ou de rede) à prova de adulteração que garante a proteção contra o acesso físico
a chaves de criptografia e dados.
Monitorar e testar as redes regularmente
Requisito 10: Acompanhar e monitorar todo o acesso aos recursos da rede e aos dados de titulares de cartões
• O CA API Gateway fornece auditoria e registro em log abrangentes em relação a quem acessa quais dados/serviços/recursos armazenados em proxy pelo CA API Gateway.
Requisito 11: Testar sistemas e processos de segurança regularmente
• Uma lista atual de avaliadores de segurança qualificados pode ser encontrada em: https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf
Manter uma diretiva de segurança das informações
Requisito 12: Manter uma diretiva que aborde a segurança das informações
• O CA API Gateway é um ponto de aplicação de diretivas em tempo de execução fornecido com mais de 100 asserções atômicas para a criação/aplicação de diretivas em relação
à maneira como as informações são trocadas com segurança entre os sistemas.
Para obter mais informações, visite ca.com/br/api
A CA Technologies (NASDAQ: CA) cria software que acelera a transformação das empresas e permite que elas aproveitem
as oportunidades da era dos aplicativos. O software está no cerne de todas as empresas, em todos os setores. Do planejamento
ao desenvolvimento e do gerenciamento à segurança, a CA está trabalhando com empresas de todo o mundo para mudar a maneira
como vivemos, fazemos negócios e nos comunicamos – usando dispositivos móveis, as nuvens privada e pública e os ambientes
distribuídos e de mainframe. Obtenha mais informações em ca.com/br.
Copyright © 2014 CA. Todos os direitos reservados. Todas as marcas registradas, os nomes de marca, as marcas de serviço e os logotipos aqui mencionados pertencem às suas
respectivas empresas.
CS200-87734_0814