Segmentação de rede e conformidade com PCI

O ponto de partida ao formular o escopo da jornada de conformidade com o padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) começa com a segmentação da rede. Isso envolve apenas a criação de controles focados em suas necessidades de segurança de dados.

Para atender aos padrões de segmentação de rede PCI, você deve primeiro entender os objetivos e a finalidade do padrão.

O que é o Ambiente de Dados do Portador de Cartão (CDE)?

O PCI DSS descreve os dados do titular do cartão (CHD) como quaisquer dados de identificação pessoal, que estão associados ao cartão de débito ou crédito de um indivíduo. Essa definição também inclui Números de Conta Primária (PAN's), bem como código de serviço, nome do titular do cartão, data de validade e quaisquer outros dados confidenciais de autenticação do cartão. Simplificando, o CDH compreende qualquer informação que possa ser usada para fazer cobranças fraudulentas no cartão de um indivíduo ou roubar uma identidade.

O ambiente de dados do titular do cartão compreende computadores ou sistemas de rede que estão envolvidos no processamento, armazenamento ou transmissão dessas informações. O CDH inclui componentes de sistema relacionados, como servidores, dispositivos de rede, dispositivos de computação e aplicativos. Podem ser componentes virtuais, serviços de segurança, componentes de rede, aplicativos, tipos de servidor e qualquer outra coisa que esteja conectada ao CDE. Se os sistemas ou funcionários podem acessar o CHD, isso deve ser separado dos outros aspectos da sua empresa.

PCI DSS e segmentação de rede

A segmentação de rede envolve observar a maneira como as informações são transmitidas por meio de seus sistemas. Você deve ver seu CDE como um rio e os dados do titular do cartão como uma canoa navegando pelas corredeiras. Os rios normalmente têm vários pontos de acesso para barcos. Da mesma forma, sua rede possui vários pontos de acesso a dados. Eles são como rios, que têm afluentes ligados a eles. Contanto que seu CHD possa flutuar em um caminho dentro de sua rede, há a necessidade de construir uma barragem ou proteger esse afluente.

Por exemplo, a conectividade é definida pelo PCI DSS como sem fio, virtualizada e física. Em qualquer ponto do rio, CHD pode entrar. A conectividade sem fio pode incluir conexões Bluetooth e LANs. A conectividade física pode ser unidades USB. A conectividade virtualizada normalmente incorporava recursos compartilhados, incluindo máquinas virtuais e firewalls virtuais. É recomendável que você proteja esses pontos de acesso de dados para que o CHD não seja comprometido.

Como as empresas avaliam os sistemas

O escopo do PCI DSS deve envolver a avaliação crítica de todos os pontos de acesso de dados e tributários encontrados em seu rio CDE. A avaliação do PCI DSS começa com a classificação de como e onde o CHD é recebido. Ao caminhar para cima e para baixo na margem do rio CDE, você deve identificar todos os canais de pagamento, bem como os métodos para aceitar os dados do titular do cartão. Depois disso, siga a jornada de informações começando com a coleta até a destruição, descarte e transferência.

Você também deve identificar e marcar nossos locais em seu CDE onde os dados são armazenados, processados ​​ou transmitidos. Essa identificação pode incluir a compreensão não apenas de quem lida com os dados, mas também de como as informações são processadas. Você também deve documentar os processos e tecnologias que implementou para proteger seu ambiente de dados.

Depois de rastrear o fluxo de informações em sua rede, certifique-se de incorporar todos os processos, pessoas e componentes do sistema que influenciam o CDE. Este é um passo crucial, que difere do anterior, pois exige que você olhe além daqueles que interagem com a DCC. Em vez disso, você deve se concentrar nas pessoas e nos componentes do sistema que orientam seu ambiente de dados.

Depois que seu rio de dados for revisado, você deve criar controles para proteger as informações. É exatamente assim que a maioria dos rios apresenta desembarques, que servem para impedir que os velejadores ganhem entrada em determinados pontos. Para colocar isso em perspectiva, os controles são essenciais. Da mesma forma, você deve encontrar uma maneira de limitar para onde as informações cruciais podem ir e quem pode ter acesso a elas.

Para você fazer isso, é necessário configurar a versão de segurança de dados das barragens. Isso pode incluir a configuração de métodos de criptografia e firewalls. Depois de estabelecer o controle, há a necessidade de aplicá-lo na segurança de seus processos, componentes do sistema e pessoal. Mais importante ainda, você deve monitorar os controles para garantir que quaisquer alterações feitas evoluam junto com o CDE.

Existem sistemas fora do escopo?

Os sistemas fora do escopo são definidos pelo Payment Card Industry Security Standard Council (PCI SSC) como aqueles sem acesso aos sistemas CDE. Notavelmente, os sistemas fora do escopo tornaram-se raros. O PCI SSC estipula que o componente do sistema não deve armazenar, processar ou mesmo transmitir CHD. Da mesma forma, ele não deve ser conectado a nenhum segmento de rede que toque no CHD.

Terceiros e provedores de serviços estão dentro do escopo de sua conformidade com os padrões de segurança PCI. Eles são semelhantes aos guardas florestais do seu rio. Por serem seus parceiros de negócios, eles fornecem serviços remotos para você. Como eles se envolvem continuamente com seu ambiente de dados, eles podem apresentar riscos que podem comprometer o CHD. Isso destaca a importância de participar do monitoramento de terceiros, bem como gerenciar seu ecossistema de fornecedores.

Nota do editor: Ken Lynch é um veterano de startups de software empresarial, que sempre foi fascinado sobre o que leva os trabalhadores a trabalhar e como tornar o trabalho mais envolvente. Ken fundou a Reciprocity para buscar exatamente isso. Ele impulsionou o sucesso da Reciprocity com esse objetivo baseado em missão de envolver os funcionários com as metas de governança, risco e conformidade de sua empresa para criar cidadãos corporativos mais socialmente conscientes. Ken obteve seu bacharelado em Ciência da Computação e Engenharia Elétrica pelo MIT. Saiba mais em ReciprocityLabs.com.

Tem alguma opinião sobre isso? Deixe-nos saber abaixo nos comentários ou leve a discussão para o nosso Twitter ou Facebook.

Recomendações dos editores:

• Gerenciamento de log PCI DSS
• Escopo de uma auditoria SOC2
• Requisitos de auditoria - empresas privadas dos EUA
• Plano de gerenciamento de riscos – Para que serve?
• Estratégia de análise de dados de eficácia de auditoria interna