Gerenciamento de log PCI DSS

Qualquer empresa cuja linha de serviço envolva a cobrança de pagamentos precisa ter sistemas para proteger as informações do cliente, seja na área de saúde, alimentação, varejo, hotelaria ou qualquer outro setor. Isso ocorre porque a transmissão de dados de pagamento é muito sensível.

Além de definir os padrões do setor para dados do titular do cartão (CD), o Padrão de Segurança de Dados do Setor de Cartões de Pagamento ou PCI-DSS também impõe esses padrões com penalidades contra violação.

O que exatamente o PCI-DSS implica?

No início dos anos 2000, os cinco líderes globais em transações com cartões de pagamento: American Express, MasterCard, Discover Financial Services, Visa Inc. e JCB International se reuniram para lançar o Payment Card Industry-Security Standards Council ou PCI-SSC. O conselho criou padrões de segurança da informação para processamento de pagamentos com dois objetivos em mente:

• proteger os clientes contra roubo de identidade não autorizado e
• ajudando a indústria de cartões a evitar o pagamento de violações de dados evitáveis.

A partir das deliberações do PCI-SSC, o que hoje conhecemos como as “melhores práticas” da indústria de cartões para proteger os dados e informações de pagamento do cliente logo foi padronizado no PCI-DSS.

Penalidades por não conformidade com PCI-DSS

Embora o PCI-DSS seja designado apenas como um “padrão da indústria” em vez de um regulamento, cumpri-lo está longe de ser opcional. A não conformidade pode ser uma ruína significativa para o seu negócio como comerciante. As empresas de cartão e os bancos adquirentes podem multar entre US$ 5.000 e US$ 100.000 mensais por não conformidade. Essas multas podem ser uma sentença de morte para as PME.

A conformidade com PCI-DSS é, então, obrigatória ?

Sim, ele é! Independentemente do tamanho da sua empresa ou do setor em que você atua, se você aceita, transmite ou armazena dados do titular do cartão, a conformidade com o PCI-DSS é obrigatória.

Requisito 10 do PCI-DSS: O que é?

Este requisito diz respeito à monitorização do acesso tanto a redes como a dados. Ele afirma: Rastreie e monitore todo o acesso a recursos de rede e dados do titular do cartão.

Além dos mecanismos de registro, a capacidade de rastrear e monitorar as ações do usuário é crucial na detecção, redução do impacto ou prevenção total de violações de dados. Com os logs de atividade do sistema, é mais fácil rastrear, analisar e determinar a origem de uma violação para alertar as autoridades envolvidas para ação.

Com 39 subpartes que especificam suas demandas, o Requisito 10 enfatiza que você monitore continuamente o acesso do usuário e as atividades em seu ambiente. Os controles de acesso do usuário permitem que você garanta um ambiente seguro de dados do titular do cartão (CDE). Além disso, como o PCI-DSS é um conjunto de padrões altamente prescritivo, ele estabelece uma lista elaborada das etapas, processos e documentos necessários para atender aos seus requisitos.

Requisito 10 Conformidade: Quais registros são necessários?

Para ajudá-lo a garantir o cumprimento total de seus requisitos, o PCI-DSS possui muitos mecanismos integrados. Além de listar seções, subseções e partes de subseções, o padrão também inclui uma seção de Orientação para ajudar seus usuários a apreciar a revisão de controle eficaz. Abaixo está uma compilação de etapas que podem ajudá-lo a registrar dados essenciais para verificar se você está em conformidade ou não:

• Projete um sistema/processo conectando o acesso do usuário às seções do sistema às quais obteve acesso e tenha certeza de que você pode rastrear qualquer atividade suspeita até sua origem.
• Crie trilhas de auditoria que demonstrem como o administrador do sistema pode ser notificado sobre qualquer atividade suspeita e responder adequadamente.
• Registre todas as entradas de acesso individual ao CDE para provar que nenhum usuário não autorizado obteve acesso aos sistemas, redes e dados.
• Certifique-se de registrar todas as atividades realizadas por contas “admin/root” que mostram claramente qualquer possível uso indevido de privilégios e rastreie a violação até sua origem específica.
• Defenda a integridade do arquivo de logs de auditoria implementando um método para identificar quaisquer alterações, adições ou exclusões a eles.
• Faça registros de tentativas de login inválidas/ilegais para rastrear suposições de senha e ataques de hackers de força bruta.
• Um documento que permite rastrear qualquer manipulação de atividades de autenticação que tentem ignorar os controles.
• Registre quaisquer pausas/reinicializações nos processos de registro de auditoria do seu sistema.
• Mantenha registros para demonstrar que objetos de nível de sistema, como bancos de dados ou procedimentos armazenados, não foram criados/excluídos por meio de contas de usuário não autorizadas.
• Crie um log de eventos para registrar IDs de usuários, tipos de eventos, carimbos de data/hora, indicadores de sucesso/falha, origem de eventos, dados afetados, componente do sistema afetado e identidade/nome do recurso.
• Sincronize os relógios entre os componentes do sistema para manter abas das sequências exatas de eventos para as equipes forenses.
• Faça uso do “princípio de privilégio mínimo” no acesso ao log de auditoria para garantir a integridade e a segurança das informações.
• Faça backup de logs para servidor/mídia centralizado que garante a integridade dos dados.
• Grave logs diretamente ou transfira/copie de fontes externas para um sistema interno seguro.
• Incorpore monitoramento de integridade de arquivos e mecanismos de detecção de alterações para detectar alterações de log de auditoria em caso de quebra de data.
• Revise regularmente os logs, manualmente ou por meio de ferramentas de coleta, análise e alerta de logs.
• Revise os controles de segurança diariamente para alertas sobre logs de componentes críticos do sistema, por exemplo, qualquer atividade suspeita.
• Agende revisões regulares para todos os componentes do sistema que revelem possíveis problemas ou tentativas de acesso não autorizado a sistemas confidenciais por meio de sistemas menos confidenciais.
• Mantenha o controle das investigações de exceções/anomalias.
• Manter todos os registros por um período mínimo de um ano.
• Certifique-se de que os funcionários estejam cientes das políticas de segurança e seu monitoramento.

Requisitos adicionais para provedores de serviços

• Implemente procedimentos formais para detectar/alertar falhas críticas de controle de segurança, por exemplo, regras de eliminação de firewall ou ficar offline.
• Manter evidências sobre a resposta a falhas de segurança, incluindo o procedimento envolvido e responsável.

Nota do editor: Ken Lynch é um veterano de startups de software empresarial, que sempre foi fascinado sobre o que leva os trabalhadores a trabalhar e como tornar o trabalho mais envolvente. Ken fundou a Reciprocity para buscar exatamente isso. Ele impulsionou o sucesso da Reciprocity com esse objetivo baseado em missão de envolver os funcionários com as metas de governança, risco e conformidade de sua empresa para criar cidadãos corporativos mais socialmente conscientes. Ken obteve seu bacharelado em Ciência da Computação e Engenharia Elétrica pelo MIT. Saiba mais em ReciprocityLabs.com.

Tem alguma opinião sobre isso? Deixe-nos saber abaixo nos comentários ou leve a discussão para o nosso Twitter ou Facebook.

Recomendações dos editores:

• Escopo de uma auditoria SOC2
• Requisitos de auditoria - empresas privadas dos EUA
• Plano de gerenciamento de riscos – Para que serve?
• Estratégia de análise de dados de eficácia de auditoria interna
• Priorizando o risco no gerenciamento de projetos