Desde o lançamento da primeira versão do PCI-DSS, redes, data centers e as ameaças aos dados de cartão de crédito e débito continuaram a evoluir, fazendo com que o padrão de segurança tivesse de se tornar cada vez mais sofisticado.

O padrão PCI-DSS 3.0, lançado em janeiro de 2014 trouxe um grande diferencial ao determinar que a segurança dos pagamentos fosse parte das atividades usuais do negócio, com mais flexibilidade e um foco maior em educação, consciência e responsabilidade compartilhada. O padrão passou a focar na segurança como parte dos processos de negócio e não como apenas compliance.

O padrão PCI-DSS 3.1, oficializado em abril deste ano, manteve essa ideia, mas trouxe alguns updates importantes para lidar com outras vulnerabilidades críticas. Uma das novidades foi a exclusão do SSL como um método aceitável de criptografia para dados de cartão de débito e crédito, obrigando os negócios a adotarem versões mais recentes do TLS para criptografia.

Veja como garantir compliance, segurança e agilidade seguindo o padrão PCI-DSS 3.1.

Educação em segurança

Em 2014, a versão 3.0 do PCI-DSS tentou lidar com a falta de consciência sobre a segurança dentro das empresas que lidam com pagamento e encontrar uma maneira melhor de educar as organizações sobre o objetivo das exigências, mostrando como manter controles apropriados da rede.

São os funcionários que geralmente deixam brechas para ataques, seja escolhendo senhas fracas, clicando em links suspeitos ou compartilhando informações sensíveis nas mídias sociais sem nem perceber.

Funcionários envolvidos em processos de pagamento devem ter conhecimento e consciência para garantir que os padrões de segurança sejam implementados e seguidos. Ou seja, softwares e camadas de segurança não são mais o bastante, é preciso que a equipe tenha a segurança como prioridade.

Flexibilidade

Cada rede corporativa e data center é único, por isso, o que pode servir para proteger um ambiente pode não ser efetivo em outro. Não existe uma solução que sirva para tudo, por isso, é preciso ter controles apropriados para proteger dados de cartões de pagamento, mas também flexibilidade para implementar controles de maneira que faça sentido para o negócio.

Responsabilidade compartilhada

Há anos a segurança deixou de ser responsabilidade apenas de uma equipe. Hoje diferentes pessoas e equipes dentro da empresa, bem como fornecedores externos, têm responsabilidade sobre a rede e desempenham papel importante no processamento e no armazenamento de dados de cartões de débito e crédito

Remediação rápida

O ano de 2014 foi marcado por uma série de vulnerabilidades relacionadas a todas as versões do SSL e versões antigas do TLS. Com o PSI-DSS 3.1, as empresas precisam identificar o uso desses protocolos e planejar uma estratégia rápida de remediação que inclui a mudança para protocolos mais seguros.

O padrão lançado este ano lembra as empresas da necessidade de poder responder e remediar problemas rapidamente. Cenários futuros podem exigir um tempo de remediação muito menor e soluções que vão além de mudanças em configurações, como grandes substituições criptográficas e certificados digitais.

Para isso, as empresas precisam de processos automatizados de segurança que incluam um inventário completo de chaves e certificados para PCI-DSS, monitoramento contínuo e definição de atividades normais e anômalas para detectar ações maliciosas em relação aos dados.

As soluções de segurança da Splunk, fornecidas pela PROOF, oferecem às empresas a capacidade de prevenir, detectar e responder rapidamente a ameaças. Com o mapeamento de eventos, as ferramentas Splunk conseguem identificar padrões dentro do ambiente para detectar eventuais brechas.

Com Security Week