03/12/2008 - 10h59min
PCI: novos padrões, mais problemas
15 acesso(s) - comentario(s) » comente
O Payment Card Industry Standards Council, organização que define os requisitos técnicos para processamento de cartões de crédito e débito, acaba de emitir regras de segurança revisadas. O Conselho também sinalizou que em 2009 enfocará novas diretrizes para criptografia end-to-end, máquinas de pagamento e virtualização.
A aderência às regras PCI poderá ter um papel-chave na prevenção de grandes roubos de dados, como a violação da TJX em 2005, dizem os especialistas. A versão 1.2 do PCI Data Security Standard (padrão de segurança de dados) busca explicitar vários pontos do antigo padrão PCI 1.1 em 12 partes, o que confundiu muita gente. Entre outras coisas, a versão 1.2 esclarece que todos os sistemas operacionais associados ao processamento de cartões têm que rodar software antivírus. Muita gente achava que isso só dizia respeito ao Microsoft Windows.
?É um conselho inteligente?, opina Sushila Nair, gerente de produto da BT. Com freqüência, as organizações implementam um antivírus no Windows mas, erroneamente, acreditam que os Macs, o Unix e outros sistemas operacionais são mais resistentes a ataques. Nair observa, porém, que em muitos lugares sairá caro acomodar no antivírus as regras explicitadas do PCI.
Um dos pontos de discussão mais importantes levantados na reunião do PCI Council no mês passado foi como definir o que significa ?segmentação da rede?, já que o padrão tem o objetivo de conceber métodos técnicos para isolar o local onde os cartões de crédito são armazenados, de modo que a avaliação de conformidade com PCI possa ser focada em partes específicas da rede de um comerciante envolvido com dados do usuário do cartão.
?Houve muita conversa sobre segmentação da rede?, observa Sumedh Thakar, gerente de soluções PCI da Qualys, empresa de produtos de conformidade com políticas e gerenciamento de vulnerabilidades. ?Um grande número de comerciantes estava tentando obter respostas. As diretrizes agora são para limitar o acesso através do uso de firewalls.?
O padrão PCI 1.2 recomenda a utilização de ?firewalls internos, roteadores com forte controle de acesso? e outras tecnologias que restringem a rede de modo a assegurar a segmentação da rede interna para fins de processamento de cartão. Segundo alguns gerentes de TI, as revisões baseadas em PCI pelas quais suas organizações estão passando já tomam como base o PCI 1.2. Tais revisões normalmente são realizadas por avaliadores certificados pelo PCI Council quando os procedimentos de auto-avaliação não são viáveis.
?Estava na forma de esboço e decidimos usar porque não fazia mais sentido continuar com o 1.1?, revela um gerente de TI que solicitou anonimato. Mas sua organização está enfrentando muita dificuldade não só para isolar a rede a fim de proteger servidores e aplicações específicos associadas aos dados do usuário do cartão, mas também para monitorar e registrar de acordo com as diretrizes do PCI 1.2.
?Não temos como registrar tudo que eles querem?, diz o gerente de TI, acrescentando que a única opção da sua organização é continuar trabalhando com os avaliadores para ser bem-sucedido na auditoria do PCI.
Atraso
No Brasil, o padrão PCI terá que ser implementado pelas empresas que compõem o ecossistema de pagamentos com cartão de crédito até outubro do ano que vem. Seria de se esperar que os projetos estivessem em fase adiantada, mas muitas destas companhias ainda estão avaliando de que forma o padrão pode ser aplicado aos seus negócios. ?O ideal, neste momento, não é olhar para a certificação PCI, mas adaptar os requisitos à sua área de governança. A certificação é uma conseqüência disso?, afirma Julio Laurino, consultor de riscos corporativos da Deloitte.
O principal, segundo Laurino, é mapear os processos de segurança e verificar o que já está em conformidade. É o caso da Searasa. ?A segurança permeia todo o nosso negócio, por isso temos várias práticas previstas no PCI implementadas, só que ainda não estruturadas?, afirma Dorival Dourado, CIO da Serasa.
De todo modo, o executivo ressalta que o framework previsto pelo PCI não deve ser tratado pelas empresas como um projeto pontual. ?A questão é estar orientado a fechar todas as portas, o que inclui serviços específicos de avaliação de vulnerabilidades. O PCI cria um balizamento para isso, mas te de ser um esforço constante?, avalia Dourado.
Apesar do atraso em relação ao calendário, parece haver um consenso entre os executivos de empresas brasileiras de que o maior desafio não está nas implementações de tecnologia. Há dois obstáculos maiores: a integração de todo o ecossistema, o que inclui pequenas lojas que ofereçam a possibilidade de pagamentos com cartão; e a questão do aculturamento das equipes em relação aos novos processos de segurança.
?Todos têm que estar casados, mas como fazer uma grande rede de varejo aceitar apenas cartões com chips? Em quanto eles estarão em conformidade??, questiona José Waldir Carvalho, gerente da divisão de segurança de TI da Nossa Caixa, lembrando que o novo padrão privilegia o uso de cartões com chip.
Vem mais por aí
Enquanto os usuários procuram as melhores alternativas de implementação, os fornecedores preparam suas ofertas. No início de novembro, a Qualiz lançou um serviço de escaneamento de aplicações web com o objetivo de satisfazer o novo requisito da Parte 6.6 do PCI 1.2 de realizar testes de vulnerabilidade de aplicações web de contato com o público ?pelo menos uma vez por ano ou após qualquer mudança?. Uma tecnologia alternativa, autorizada na regra 6.6 do PCI 1.2, seria instalar um firewall para aplicações web.
Uma nova regra deverá ter impacto sobre os comerciantes que utilizam redes wireless: não permitir novas implementações do Wireless Encryption Protocol, considerado fraco demais, depois do dia 31 de março de 2009. Todo o WEP será descontinuado por volta de junho de 2010. O padrão WPA foi proposto para ocupar o seu lugar.
?WEP será o principal problema que os comerciantes enfrentarão nesta área?, prevê Bob Russo, gerente geral do PCI Council. Mesmo que os comerciantes e outras organizações que processam cartões de crédito se debrucem sobre o documento de 73 páginas do padrão PCI 1.2 para entender as mudanças, precisam saber que há outras programadas para 2009. O Conselho está elaborando diretrizes de segurança para terminais de pagamento não-atendidos, incluindo caixas automáticos e outros tipos de máquinas vendedoras automáticas que processam cartões de pagamento.
No ano que vem, diz Russo, será discutido de que maneira os meios de proteção, como a criptografia, devem ser usados em caixas automáticos para processar um número de identificação pessoal. A criptografia end-to-end provavelmente será o foco central na medida em que o conselho buscará input sobre o modo como ela poderá ter mais êxito no ambiente de cartão de pagamento através de tecnologias diferentes. Se esse objetivo for alcançado, deverá resultar em um futuro padrão PCI absolutamente novo para proteção dos dados dos cartões, acredita Russo.
?Hoje dizemos que você precisa ser criptografado para sair da rede, mas não há necessidade de ser criptografado internamente?, explica Russo. Se você acrescentar criptografia end-to-end, ela poderá rejeitar alguns requisitos que temos hoje, como proteger dados com monitoramento e registro. Talvez você não tenha que fazer isso. Abordaremos este aspecto no ano que vem.?
De acordo com Avivah Litan, analista do Gartner, grandes varejistas estão avaliando a criptografia end-to-end e gostariam de trilhar este caminho. ?O Conselho está atrasado alguns anos?, comenta Litan. O Conselho também é criticado por não conseguir abordar questões fundamentais como segmentação da rede e escopo da rede bem no início e estabelecer regras que tendem a tratar da mesma maneira tipos de organizações extremamente diferentes. ?As regras do PCI trataram ?um varejista de e-commerce da mesma maneira que uma cadeia internacional de lojas?, diz Litan.
Na área da virtualização, onde os servidores físicos são substituídos por diversos servidores virtuais, também podem emergir mais padrões. ?Como proteger estas máquinas virtuais?? pergunta Russo. ?Ainda não sabemos.? Mas o Conselho prevê que gastará o dobro do tempo tentando determinar as melhores abordagens para proteger dados de cartão no domínio do ambiente de máquina virtual.
Os fornecedores reconhecem que nem sempre as ferramentas de segurança atuais, como os scanners, são adequadas. Na Qualys, por exemplo, o scanner em uso hoje é capaz de verificar o endereço IP básico, mas não se aprofunda nas aplicações para máquina virtual. A companhia está desenvolvendo novas ferramentas com esta finalidade.
A IBM, que na semana passada lançou o programa SecureStore para dar aos varejistas proteção física e compliance com PCI, também diz que ainda há trabalho a fazer na área de segurança da virtualização.
A virtualização tem um jeito diferente de rodar aplicações que está gerando ?alguns pontos cegos?, reconhece Josh Corman, principal estrategista de segurança da divisão ISS da IBM. No mês passado a companhia lançou a iniciativa Phantom para criar uma vasta gama de ferramentas específicas para redes virtualizadas.
A aderência às regras PCI poderá ter um papel-chave na prevenção de grandes roubos de dados, como a violação da TJX em 2005, dizem os especialistas. A versão 1.2 do PCI Data Security Standard (padrão de segurança de dados) busca explicitar vários pontos do antigo padrão PCI 1.1 em 12 partes, o que confundiu muita gente. Entre outras coisas, a versão 1.2 esclarece que todos os sistemas operacionais associados ao processamento de cartões têm que rodar software antivírus. Muita gente achava que isso só dizia respeito ao Microsoft Windows.
?É um conselho inteligente?, opina Sushila Nair, gerente de produto da BT. Com freqüência, as organizações implementam um antivírus no Windows mas, erroneamente, acreditam que os Macs, o Unix e outros sistemas operacionais são mais resistentes a ataques. Nair observa, porém, que em muitos lugares sairá caro acomodar no antivírus as regras explicitadas do PCI.
Um dos pontos de discussão mais importantes levantados na reunião do PCI Council no mês passado foi como definir o que significa ?segmentação da rede?, já que o padrão tem o objetivo de conceber métodos técnicos para isolar o local onde os cartões de crédito são armazenados, de modo que a avaliação de conformidade com PCI possa ser focada em partes específicas da rede de um comerciante envolvido com dados do usuário do cartão.
?Houve muita conversa sobre segmentação da rede?, observa Sumedh Thakar, gerente de soluções PCI da Qualys, empresa de produtos de conformidade com políticas e gerenciamento de vulnerabilidades. ?Um grande número de comerciantes estava tentando obter respostas. As diretrizes agora são para limitar o acesso através do uso de firewalls.?
O padrão PCI 1.2 recomenda a utilização de ?firewalls internos, roteadores com forte controle de acesso? e outras tecnologias que restringem a rede de modo a assegurar a segmentação da rede interna para fins de processamento de cartão. Segundo alguns gerentes de TI, as revisões baseadas em PCI pelas quais suas organizações estão passando já tomam como base o PCI 1.2. Tais revisões normalmente são realizadas por avaliadores certificados pelo PCI Council quando os procedimentos de auto-avaliação não são viáveis.
?Estava na forma de esboço e decidimos usar porque não fazia mais sentido continuar com o 1.1?, revela um gerente de TI que solicitou anonimato. Mas sua organização está enfrentando muita dificuldade não só para isolar a rede a fim de proteger servidores e aplicações específicos associadas aos dados do usuário do cartão, mas também para monitorar e registrar de acordo com as diretrizes do PCI 1.2.
?Não temos como registrar tudo que eles querem?, diz o gerente de TI, acrescentando que a única opção da sua organização é continuar trabalhando com os avaliadores para ser bem-sucedido na auditoria do PCI.
Atraso
No Brasil, o padrão PCI terá que ser implementado pelas empresas que compõem o ecossistema de pagamentos com cartão de crédito até outubro do ano que vem. Seria de se esperar que os projetos estivessem em fase adiantada, mas muitas destas companhias ainda estão avaliando de que forma o padrão pode ser aplicado aos seus negócios. ?O ideal, neste momento, não é olhar para a certificação PCI, mas adaptar os requisitos à sua área de governança. A certificação é uma conseqüência disso?, afirma Julio Laurino, consultor de riscos corporativos da Deloitte.
O principal, segundo Laurino, é mapear os processos de segurança e verificar o que já está em conformidade. É o caso da Searasa. ?A segurança permeia todo o nosso negócio, por isso temos várias práticas previstas no PCI implementadas, só que ainda não estruturadas?, afirma Dorival Dourado, CIO da Serasa.
De todo modo, o executivo ressalta que o framework previsto pelo PCI não deve ser tratado pelas empresas como um projeto pontual. ?A questão é estar orientado a fechar todas as portas, o que inclui serviços específicos de avaliação de vulnerabilidades. O PCI cria um balizamento para isso, mas te de ser um esforço constante?, avalia Dourado.
Apesar do atraso em relação ao calendário, parece haver um consenso entre os executivos de empresas brasileiras de que o maior desafio não está nas implementações de tecnologia. Há dois obstáculos maiores: a integração de todo o ecossistema, o que inclui pequenas lojas que ofereçam a possibilidade de pagamentos com cartão; e a questão do aculturamento das equipes em relação aos novos processos de segurança.
?Todos têm que estar casados, mas como fazer uma grande rede de varejo aceitar apenas cartões com chips? Em quanto eles estarão em conformidade??, questiona José Waldir Carvalho, gerente da divisão de segurança de TI da Nossa Caixa, lembrando que o novo padrão privilegia o uso de cartões com chip.
Vem mais por aí
Enquanto os usuários procuram as melhores alternativas de implementação, os fornecedores preparam suas ofertas. No início de novembro, a Qualiz lançou um serviço de escaneamento de aplicações web com o objetivo de satisfazer o novo requisito da Parte 6.6 do PCI 1.2 de realizar testes de vulnerabilidade de aplicações web de contato com o público ?pelo menos uma vez por ano ou após qualquer mudança?. Uma tecnologia alternativa, autorizada na regra 6.6 do PCI 1.2, seria instalar um firewall para aplicações web.
Uma nova regra deverá ter impacto sobre os comerciantes que utilizam redes wireless: não permitir novas implementações do Wireless Encryption Protocol, considerado fraco demais, depois do dia 31 de março de 2009. Todo o WEP será descontinuado por volta de junho de 2010. O padrão WPA foi proposto para ocupar o seu lugar.
?WEP será o principal problema que os comerciantes enfrentarão nesta área?, prevê Bob Russo, gerente geral do PCI Council. Mesmo que os comerciantes e outras organizações que processam cartões de crédito se debrucem sobre o documento de 73 páginas do padrão PCI 1.2 para entender as mudanças, precisam saber que há outras programadas para 2009. O Conselho está elaborando diretrizes de segurança para terminais de pagamento não-atendidos, incluindo caixas automáticos e outros tipos de máquinas vendedoras automáticas que processam cartões de pagamento.
No ano que vem, diz Russo, será discutido de que maneira os meios de proteção, como a criptografia, devem ser usados em caixas automáticos para processar um número de identificação pessoal. A criptografia end-to-end provavelmente será o foco central na medida em que o conselho buscará input sobre o modo como ela poderá ter mais êxito no ambiente de cartão de pagamento através de tecnologias diferentes. Se esse objetivo for alcançado, deverá resultar em um futuro padrão PCI absolutamente novo para proteção dos dados dos cartões, acredita Russo.
?Hoje dizemos que você precisa ser criptografado para sair da rede, mas não há necessidade de ser criptografado internamente?, explica Russo. Se você acrescentar criptografia end-to-end, ela poderá rejeitar alguns requisitos que temos hoje, como proteger dados com monitoramento e registro. Talvez você não tenha que fazer isso. Abordaremos este aspecto no ano que vem.?
De acordo com Avivah Litan, analista do Gartner, grandes varejistas estão avaliando a criptografia end-to-end e gostariam de trilhar este caminho. ?O Conselho está atrasado alguns anos?, comenta Litan. O Conselho também é criticado por não conseguir abordar questões fundamentais como segmentação da rede e escopo da rede bem no início e estabelecer regras que tendem a tratar da mesma maneira tipos de organizações extremamente diferentes. ?As regras do PCI trataram ?um varejista de e-commerce da mesma maneira que uma cadeia internacional de lojas?, diz Litan.
Na área da virtualização, onde os servidores físicos são substituídos por diversos servidores virtuais, também podem emergir mais padrões. ?Como proteger estas máquinas virtuais?? pergunta Russo. ?Ainda não sabemos.? Mas o Conselho prevê que gastará o dobro do tempo tentando determinar as melhores abordagens para proteger dados de cartão no domínio do ambiente de máquina virtual.
Os fornecedores reconhecem que nem sempre as ferramentas de segurança atuais, como os scanners, são adequadas. Na Qualys, por exemplo, o scanner em uso hoje é capaz de verificar o endereço IP básico, mas não se aprofunda nas aplicações para máquina virtual. A companhia está desenvolvendo novas ferramentas com esta finalidade.
A IBM, que na semana passada lançou o programa SecureStore para dar aos varejistas proteção física e compliance com PCI, também diz que ainda há trabalho a fazer na área de segurança da virtualização.
A virtualização tem um jeito diferente de rodar aplicações que está gerando ?alguns pontos cegos?, reconhece Josh Corman, principal estrategista de segurança da divisão ISS da IBM. No mês passado a companhia lançou a iniciativa Phantom para criar uma vasta gama de ferramentas específicas para redes virtualizadas.
Assine este feed RSS
RSS