Entenda como padrões de segurança da indústria como o PCI DSS podem auxiliar as organizações a reduzir os riscos relacionados à cibersegurança

13 de fevereiro de 2017

O ano de 2016 foi um ano bastante complexo do ponto de vista da segurança da informação. A cada novo balanço divulgado surgem números que confirmam um aumento significativo no total de ameaças, fraudes e incidentes cibernéticos. Um exemplo, entre tantos existentes, é o relatório “Global Fraud & Risk Report” produzido anualmente pela empresa de cibersegurança Kroll. Dos executivos ouvidos na edição 2016, 82% afirmaram que suas companhias sofreram algum tipo de fraude. Em 2015 o percentual era de 75%. Em 2013, 70%.

A percepção de piora no cenário da cibersegurança atinge praticamente todos os setores. No comércio eletrônico, por exemplo, houve aumento de 31% nas tentativas de fraudes no período entre o feriado de Ação de Graças e o último dia de 2016, segundo relatório da empresa ACI Worldwide. Em 2015, segundo o documento, uma em cada 109 transações no e-commerce era uma tentativa de fraude. Em 2016, uma em cada 97.

Infelizmente, não há sinal de que 2017 será um ano melhor. Vijay Basani, CEO da EiQ Networks, produziu um artigo para o site HelpNet Security com algumas previsões nada positivas para o ano que começa. especialmente porque pessoas e empresas são muito sujeitos a falhas, seja por distração, seja por negligência: “as pessoas tem uma incrível habilidade de ignorar a coisa certa a fazer porque fazer o errado pode ser mais conveniente, rápido e mais compensador”.

O problema é que, no caso de dados e informação, a negligência pode causar vazamentos. E vazamentos significam prejuízo financeiro e prejuízo para a marca.

Diante desse quadro, o que Basani recomenda vai ao encontro das recomendações de muitos outros especialistas: revisão das políticas de segurança, foco em educação contínua dos colaboradores e inteligência: “pense em segurança como uma vantagem competitiva estratégica, não como um centro de custo ou uma dor de cabeça administrativa”.

Mas “pensar segurança como vantagem competitiva estratégica” requer planejamento, investimento em pessoas, criação de equipes, treinamento de pessoal, equipamentos, software… e requer a criação de políticas de segurança que regulem o funcionamento dessa estrutura. Ou seja, é um esforço nada desprezível que depende de investimentos, tempo e paciência.

A fim de facilitar esse processo algumas indústrias contam com padrões já bem definidos que, evitam a necessidade de começar um processo “do zero” e reduzem as chances de erro na implantação e manutenção dessas políticas e estruturas de segurança, bastando que as empresas aceitem e entrem em conformidade com esses padrões.

No caso da indústria de pagamentos, existe o padrão PCI DSS.

O que é PCI DSS?

O PCI DSS, acrônimo para Payment Card Industry Data Security Standards (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento), é um padrão que prevê a proteção da privacidade e da confidencialidade dos dados de cartões de pagamento.

A conformidade ao PCI DSS é requerida de qualquer organização que transmita, processe ou armazene tais dados. Organizações que sofram com vazamentos de tais dados podem ter que arcar com milhões de dólares em multas e custos de remediações, além de perder a confiança de seus clientes, e sofrer com danos duradouros em suas marcas.

Dois podcasts para saber mais sobre PCI DSS

Duas edições do SegInfocast – o podcast da Clavis Segurança da Informação – trataram extensamente do PCI DSS. Veja a seguir:

SegInfocast #38

Nesta edição, o apresentador Paulo Sant’Anna recebeu o diretor comercial da Clavis, Willian Caprino, para uma conversa sobre diversos aspectos da segurança da indústria de pagamentos e a importância de manter um sistema de gerenciamento contínuo de vulnerabilidades.

Ele lembra que não existia padrão de segurança para essa indústria, com cada bandeira criando suas próprias regras, até 2006. Naquele ano, Visa, Mastercard, American Express, JCB e Discover fundaram o PCI Council, destinado a criar um padrão único de segurança – o PCI DSS – voltado para qualquer empresa que tenha acesso às informações de cartões de pagamento, como lojas, gateways de pagamento na Internet, sites de comércio eletrônico e outros, que devem seguir os requisitos de segurança estabelecidos pelo PCI. Decidiu-se que anualmente será requerido dessas empresas a validação da conformidade com as normas.

Estar em conformidade com este padrão traz, como vantagens, a diminuição dos riscos de vazamento de dados de cartões e, consequentemente, redução no número de transações fraudulentas, perdas financeiras e exposição negativa.

SegInfocast #47

Nesta edição, Willian Caprino assume a cadeira de apresentador para entrevistar Carlos Caetano, Diretor regional do PCI Council no Brasil e América Latina. Na conversa foram apresentados os aspectos da segurança da indústria de pagamentos no mercado brasileiro.

Segundo Carlos, O PCI Council vem trabalhando com o objetivo de promover treinamento e certificações de segurança para que possa ajudar as empresas de cartões nacionais na luta constante contra o crime nos meios de pagamento. Ele reitera a importância do mercado de cartões brasileiros em padronizar as suas regras de segurança conforme os requisitos estabelecidos pelo PCI.

Além disso, ele lembra que os atacantes têm tido como alvo não só as grandes empresas mas também os pequenos e médios negócios e, por isso, o PCI se preocupa em assessorar essa grande fatia do mercado, trazendo uma linguagem simples que permita o fácil entendimento para o empreendedor, de modo a alertá-lo sobre os riscos de segurança que envolvem o seu negócio em relação aos meios de pagamento.

PCI Compliance na Clavis

A Clavis Segurança da Informação oferece uma série de soluções destinadas a auxiliar organizações de todos os tamanhos a atingir a conformidade com o PCI DSS.

É possível realizar a avaliação do status de segurança, permitindo entender o nível de maturidade em que a empresa se encontra nesse quesito e qual o gap a ser preenchido. Uma vez identificadas as lacunas em relação aos requisitos para conformidade, a Clavis ajuda a empresa a desenvolver um planejamento que identifica e prioriza as ações necessárias para se alcançar esse status.

Outros serviços da Clavis relacionados ao PCI DSS envolvem:

  • Treinamento e campanhas de conscientização a respeito dos conceitos e requisitos do PCI DSS.
  • Consultoria para a adequação de processos, validação de configurações e obtenção de certificado de conformidade.
  • PCI Scanning: monitoramento de sistemas, tratamento de vulnerabilidades, relatórios de conformidade ao PCI.
  • Pré-avaliação de conformidade ao PCI. Determine se sua organização está preparada para uma avaliação de conformidade ao PCI.
  • Apoio à elaboração do PCI SAQ. Tenha orientação quanto ao preenchimento do auto-questionário do PCI.
  • Gap Analysis. Descubra onde estão as lacunas de conformidade e as potenciais vulnerabilidades de sua organização.
  • Relatório de conformidade: Confirme que sua organização atende aos requisitos de conformidade.
  • Correção de não-conformidades: apoio à elaboração de planos de tratamento de não-conformidades.

Para saber mais e agendar uma avaliação, clique aqui.

Tags: