Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS)
A Entrust pode ajudar a simplificar a conformidade com a PCI DSS e os esforços de auditoria
Requisitos da PCI DSS
Toda organização que tem uma função no processamento de pagamentos com cartão de crédito e débito deve estar em conformidade com os rigorosos requisitos de conformidade da PCI DSS para o processamento, armazenamento e transmissão de dados da conta.
Os HSMs nShield™ da Entrust podem ajudar as organizações que trabalham com dados do titular do cartão a estar em conformidade com vários aspectos de conformidade e auditoria da PCI DSS, incluindo:
Requisito 3
Proteger os dados armazenados do titular do cartão.
Requisito 7
Restringir o acesso aos dados do titular do cartão pelas empresas em função das necessidades de informação.
Requisito 8
Identificar e autenticar o acesso aos componentes do sistema
Regulação
Mais de 200 testes com seis princípios básicos
A norma PCI DSS envolve avaliação com mais de 200 testes que se enquadram em 12 áreas de segurança geral representando seis princípios fundamentais. Estes testes do Padrão de Segurança de Dados da Indústria de Cartões abrangem várias práticas de segurança comuns e tecnologias como criptografia, gerenciamento de chaves e outras técnicas de proteção de dados.
Riscos associados à auditoria e conformidade PCI DSS
- A não conformidade com a PCI DSS pode resultar em multas, aumento de taxas ou até mesmo o fim da capacidade de processar transações com cartões de pagamento.
- A conformidade com a PCI DSS não pode ser considerada isoladamente; as organizações estão sujeitas a várias normas de segurança e leis ou regulamentos de divulgação de violação de dados. Por outro lado, os projetos de conformidade PCI podem ser facilmente desviados por iniciativas mais amplas de segurança empresarial.
- As orientações e recomendações ligadas às exigências do PCI DSS incluem práticas comuns que provavelmente já estarão em vigor. Entretanto, alguns aspectos, especificamente aqueles associados à criptografia, podem ser novos para a organização e as implementações podem ser disruptivas, impactando negativamente a eficiência operacional caso não sejam projetadas corretamente.
- Existem oportunidades para reduzir o escopo das obrigações de conformidade com a PCI DSS e, portanto, reduzir o custo e o impacto; entretanto, as organizações podem perder tempo e dinheiro se não tiverem o cuidado de garantir que novos sistemas e processos sejam de fato aceitos como compatíveis com a PCI DSS.
Conformidade
Atendendo aos principais requisitos da PCI DSS
Com base em décadas de experiência ajudando bancos e instituições financeiras a cumprir as normas do setor, a Entrust e seus parceiros oferecem produtos e serviços que permitem proteger os dados armazenados dos titulares de cartões, criptografá-los para transferência e restringir o acesso com base na necessidade de informação.
- Proteger os dados do titular do cartão. A Entrust trabalha com soluções líderes em aceitação de pagamento por dispositivos móveis (PDVm), bem como com soluções líderes em proteção de dados de pagamentos para proteger os dados do titular do cartão e ajudar a garantir a conformidade com a PCI DSS. As organizações comerciais também precisam implantar criptografia de rede e criptografia SSL/TLS para proteger os dados em trânsito.
- Implementar medidas de controle de acesso fortes. Todas as técnicas de proteção de dados caminham de forma paralela com os controles de acesso. Tecnologias criptográficas como PKI e certificados digitais são amplamente utilizadas para ir além das senhas na autenticação de usuários e sistemas. Além disso, o uso dos HSMs nShield da Entrust para controlar o acesso às chaves de decodificação de dados significa que os dados podem ser decodificados somente com base na “necessidade de informação”.
- Desenvolver e manter uma rede segura. Além da criptografia em nível de rede, um componente essencial da segurança de rede é a forte autenticação dos dispositivos de rede; credenciais digitais são cada vez mais usadas no dispositivo para controlar o acesso à rede e são um importante fator de segurança para PKIs corporativas.
- Manter um programa de gerenciamento de vulnerabilidades. O crescimento do número de ataques avançados e persistentes que tentam corromper aplicativos comerciais através da infiltração de malware aumentou a importância do uso de assinaturas digitais e assinatura de código como forma de provar a integridade e autenticidade de sistemas comerciais e softwares.
- Manter uma política de segurança da informação. A PCI DSS foca no estabelecimento de uma clara separação de funções entre os funcionários para reduzir o risco de ataque interno. O uso da criptografia fornece um poderoso mecanismo para impor esta separação e para criar um registro confiável de eventos e demonstrar conformidade.
Recursos
Brochuras: Brochura da família de HSM nShield da Entrust
Os HSMs nShield da Entrust fornecem um ambiente resistente e inviolável para processamento criptográfico seguro, geração e proteção de chaves, criptografia e muito mais. Disponível em três fatores de forma com certificação FIPS 140‑2, os HSMs nShield da Entrust podem ser usados em vários cenários de implantação.