Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
voltar ao glossário

PCI DSS

PCI DSS significa Padrão de segurança de dados do setor de cartões de pagamento, e é um conjunto de padrões de segurança da informação para qualquer organização que administra e aceita cartões de crédito de marca das principais redes de cartões de crédito — American Express, Discover Financial Services, JCB International, MasterCard e Visa. O PCI DSS existe desde 2006 e as organizações cobertas atualmente precisam estar em conformidade com o PCI DSS 3.2.1. Empresas e corporações que cumprem os padrões de segurança de dados do PCI têm mais confiança de seus clientes, garantindo que estão mantendo as informações confidenciais seguras. O não cumprimento desses padrões pode resultar em violações de segurança e, por sua vez, graves perdas na receita e na fidelidade do cliente.

Uma nova versão, o PCI DSS 4.0, está atualmente na fase RFC (solicitação de comentários) e deve ser concluída em meados de 2021. De acordo com o PCI Council, o PCI DSS 3.2.1 permanecerá ativo por 18 meses, uma vez PCI Os materiais do DSS 4 são lançados.

O padrão PCI é aplicado pelas redes de placas e empresas que usam interações com cartões, mas administrado pela Conselho de padrões de segurança do setor de cartões de pagamento. O Conselho de Padrões de Segurança garante que todas as informações e políticas de conformidade estejam atualizadas e forneçam as informações mais precisas e úteis para as empresas.

Quem precisa estar em conformidade com o PCI DSS?

O objetivo do Padrão de Segurança de Dados PCI (PCI DSS) é proteger os dados do titular do cartão (CHD) e os dados confidenciais de autenticação (SAD) onde quer que sejam processados, armazenados ou transmitidos. Manter a segurança do pagamento é necessário para todas as organizações que armazenam, processam ou transmitem dados do titular do cartão.

Os padrões de segurança do PCI incluem requisitos técnicos e operacionais para:

  • Organizações que aceitam ou processam transações de pagamento
  • Desenvolvedores de software e fabricantes de aplicativos e dispositivos usados nessas transações

O PCI 3.2.1, lançado em maio de 2018, é a versão atual que as organizações cobertas devem seguir.

A validação da conformidade é realizada anualmente ou trimestralmente, por meio de um método adequado à designação de nível de comerciante da organização, que é uma função do volume anual de transações realizadas com cartão de crédito.

Resumo dos níveis do PCI Merchant e dos requisitos de auditoria e emissão de relatórios

A tabela abaixo oferece uma visão geral dos níveis de comerciante do PCI, das arquiteturas de pagamento comuns normalmente usadas em cada nível e dos requisitos correspondentes de auditoria e geração de relatórios do PCI. Observação: existem algumas diferenças sutis nos benchmarks de nível comercial entre as empresas de cartão de crédito, portanto, é recomendável que os leitores consultem seus parceiros consultivos do PCI e da QSA para obter uma avaliação precisa dos requisitos que se aplicam à sua organização.

.w-embed {overflow-x: scroll;}.w-embed table tbody {display: table;width: 100%;}.w-embed table tr td {border: 1px solid; padding:5px;}@media screen and (max-width: 767px) {.w-embed table {table-layout: fixed; width: 100%; white-space: nowrap;}}
Merchant Level Volume of Credit Card Transactions Per Year Common Payment Architecture PCI Audit and Reporting Requirements
LEVEL 1 More than 6 million total transactions across all global regions
  • Ecommerce
  • Card not present
  • Card-present
  • Annual Report on Compliance (ROC) through a Qualified Security Assessor (QSA)
  • Quarterly network scans by an Approved Scanning Vendor (ASV)
  • Attestation of Compliance Form
LEVEL 2

1 million to 6 million across all global regions

  • Ecommerce
  • Card not present
  • Card-present
  • Annual Self-Assessment Questionnaire (SAQ) (internal audit)
  • Quarterly network scan by an ASV
  • Attestation of Compliance Form
LEVEL 3 20,000 to 1 million across global regions
  • Ecommerce only
  • Annual SAQ
  • Quarterly network scan by an ASV
  • Attestation of Compliance Form
LEVEL 4

Less than 20,000

OR

1 million through all channels BUT

Less than 20,000 card transactions

  • Ecommerce only

  • Card present
  • Ecommerce
  • Annual SAQ
  • Quarterly network scan by an ASV
  • Attestation of Compliance Form

12 Requisitos para PCI DSS

O PCI DSS 3.2.1 inclui 6 objetivos, 12 requisitos, 78 requisitos básicos e mais de 400 procedimentos de teste. A tabela abaixo resume os objetivos do PCI DSS e os requisitos relacionados. Para obter detalhes sobre os sub-requisitos e os testes, os leitores devem revisar o Guia de referência do PCI DSS.

PCI DSS OBJECTIVES Requirements
BUILD AND MAINTAIN A SECURE NETWORK AND SYSTEMS

1. Install and maintain a firewall configuration to protect cardholder data

2. Do not use vendor-supplied defaults for system passwords and other security parameters

PROTECT CARDHOLDER DATA

3. Protect stored cardholder data

4. Encryption transmission of cardholder data across open, public networks

MAINTAIN A VULNERABILITY MANAGEMENT PROGRAM

5. Protect all systems against malware and regularly update anti-virus software or programs

6. Develop and maintain secure systems and applications

IMPLEMENT STRONG ACCESS CONTROL MEASURES

7. Restrict access to cardholder data by business need to know

8. Identify and authenticate access to system components

9. Restrict physical access to cardholder data

REGULARLY MONITOR AND TEST NETWORKS

10. Track and monitor all access to network resources and cardholder data

11. Regularly test security systems and processes

MAINTAIN AN INFORMATION SECURITY POLICY 12. Maintain a policy that addresses information security for all personnel

Riscos potenciais devido à não conformidade com o PCI

O PCI DSS existe há mais de 12 anos, mas muitas organizações continuam enfrentando descobertas adversas críticas durante as auditorias. Algumas organizações também continuam relatando que sofreram uma violação de dados mesmo depois de passarem recentemente por uma auditoria do PCI. A principal conclusão aqui é que a conformidade não significa necessariamente que os dados e os aplicativos estejam seguros. A conformidade deve ser vista como a linha de base; e as organizações também devem se concentrar em identificar e mitigar vetores de ameaças que não são necessariamente cobertos por sua mandatos de conformidade.

Estes são os mais comuns Conformidade com PCI desafios:

  1. Precisa gerenciar o escopo e controlar o custo das auditorias do PCI. O Conselho de Segurança do PCI publicou um guia para definição de escopo e segmentação de rede. O documento oferece uma estrutura para ajudar as organizações cobertas a identificar os componentes do CDE (ambiente de dados do titular do cartão), os sistemas conectados ao PCI e que afetam a segurança do PCI e os componentes fora do escopo. Infelizmente, executar a estrutura de escopo e segmentação é um desafio para muitas organizações devido à natureza cada vez mais dinâmica e complexa dos ambientes de data center e das arquiteturas de pagamento. Confiar em dados estáticos e pontuais e mapas de fluxo de rede para preencher e manter o inventário de componentes do PCI, combinado com práticas inconsistentes de gerenciamento de mudanças de TI e de firewall, leva a erros de escopo e segmentação que, por sua vez, resultam em falhas na avaliação do PCI e em maiores custos de auditoria.
  2. Incapacidade de manter continuamente sua postura de conformidade e segmentação de segurança PCI. Os padrões de segurança PCI exigem que as organizações mantenham continuamente sua postura de segmentação de PCI e garantam que ela esteja continuamente em conformidade com os requisitos e requisitos básicos do PCI. Arquiteturas dinâmicas e complexas de data center e pagamento combinadas com desalinhamentos entre processos de segurança e operações de TI levam a lacunas de segurança e controle. Como resultado das práticas de TI, os componentes PCI geralmente acabam se misturando com componentes não PCI na mesma zona, VLAN ou sub-rede e sem controles adicionais para restringir o tráfego ao CDE. Em alguns casos, a desconexão entre os processos de gerenciamento de mudanças de TI, provisionamento de recursos e gerenciamento de alterações de firewall resulta no inventário incorreto de sistemas conectados ao PCI dentro do escopo e em regras de firewall mal configuradas. Processos deficientes de gerenciamento de vulnerabilidades e gerenciamento de patches também impedem que uma organização mantenha continuamente sua postura de segurança PCI. O Relatório de segurança de pagamentos da Verizon fornece uma análise detalhada das tendências de segurança de pagamentos e dos desafios críticos de segurança que as organizações continuam enfrentando. A Verizon publica esse relatório anualmente desde 2010. No relatório de 2020, os autores concluem que os seguintes requisitos do PCI têm as piores lacunas de controle:
  3. Requação 11. Teste sistemas e processos de segurança
  4. Requação 5. Proteja-se contra software malicioso
  5. Requisição 10. Rastreie e monitore o acesso
  6. Requação 12. Gerenciamento de segurança
  7. Requisição 8. Autenticar o acesso
  8. Requisição 1. Instalar e manter uma configuração de firewall
  9. Ter redes planas. Surpreendentemente, muitas organizações hoje em dia continuam a ter redes planas porque elas são simples de arquitetar e fáceis de operar e manter. No entanto, uma rede plana significa que tudo no ambiente (incluindo componentes não conectados ao PCI e não CDE) está dentro do escopo do PCI, resultando em maiores custos de auditoria do PCI. Uma rede plana também significa que, se um malfeitor conseguir comprometer com êxito um único host, ele poderá facilmente atravessar a rede e acessar os aplicativos de pagamento e o banco de dados do titular do cartão.
  10. Necessidade de garantir a transição para o modelo operacional de trabalho remoto. À medida que as organizações fazem a transição para um modelo operacional de trabalho totalmente remoto, elas precisam avaliar como essas mudanças afetam o escopo de seu ambiente PCI e quais controles adicionais precisam implementar para controlar o tráfego legítimo para o CDE. Os exemplos incluem proteger o acesso remoto legítimo de administradores autorizados a aplicativos de pagamento a partir de laptops de funcionários, garantir o atendimento remoto ao cliente e o faturamento e proteger as conexões autorizadas no local, sem contato, entre quiosques sem contato voltados para a Internet e os aplicativos do data center.

Quais são os desafios comuns de implementação do Padrão de Segurança de Dados PCI?

A visibilidade em tempo real das cargas de trabalho, usuários, dispositivos e suas conexões e fluxos é importante para:

  • Garantir que o escopo do ambiente PCI esteja atualizado e preciso, o que, por sua vez, significa que as regras de segmentação e firewall sejam aplicadas corretamente.
  • Fornecendo informações valiosas para as verificações internas obrigatórias de vulnerabilidades trimestrais e usando essas informações para mapear as possíveis vias de ataque lateral associadas às vulnerabilidades.
  • Monitorar continuamente o ambiente PCI em busca de mudanças nas cargas de trabalho, dispositivos, usuários, conexões e tentativas fracassadas de conexão, que podem ser indicadores de um possível ataque.
  • Identificar mudanças na superfície de ataque e nos vetores de ameaças que não são necessariamente cobertos pelos requisitos de conformidade com o PCI.

A importância da visibilidade em tempo real na conformidade efetiva com o PCI DSS

  • A visibilidade em tempo real ajuda a garantir a precisão do escopo do PCI, monitorando continuamente todas as conexões dos sistemas CDE, conectados ao PCI e que afetam a segurança do PCI, todos eles no escopo do PCI. Uma organização pode então aplicar a microssegmentação baseada em host para aplicar as regras de firewall aplicáveis para restringir o tráfego de entrada e saída do ambiente PCI somente àqueles que são “permitidos” ou “legítimos”. (Requisito 1)
  • A manutenção contínua da segmentação eficaz e precisa do ambiente PCI ajuda a controlar os custos de auditoria do PCI.
  • A eliminação de regras de firewall desconfiguradas e desatualizadas reduz a exposição de uma organização coberta a uma possível violação de dados.
  • Aproveite a integração com ferramentas de automação de TI (como Chef, Puppet e Ansible, Terraform) para garantir que as políticas de segmentação sejam provisionadas ao mesmo tempo que o provisionamento de recursos de carga de trabalho e a liberação para o ambiente de produção.
  • A visibilidade em tempo real ajuda a organização a avaliar as mudanças no escopo do PCI à medida que a organização faz a transição para o trabalho remoto. Isso ajuda a organização a identificar lacunas críticas de controle e possíveis vetores de ataque. As organizações podem então aplicar a microssegmentação baseada em host para restringir as conexões ponto a ponto dos dispositivos domésticos aos laptops do usuário remoto e controlar as conexões do usuário com os aplicativos do data center.
  • Controle as conexões entre cargas de trabalho PCI autorizadas, usuários e dispositivos que estão espalhados por várias VLANs, zonas e sub-redes e acompanhe as mudanças nas operações de TI, sem rearquitetar o ambiente de rede.
  • Em ambientes inovadores e nativos da nuvem, as organizações podem aproveitar a integração com plataformas de orquestração de contêineres para provisionar “políticas de segmentação” no nascimento de uma carga de trabalho.
  • Além de atender diretamente aos requisitos de conformidade com o PCI, uma organização pode aplicar a microssegmentação para reduzir sua superfície de ataque, obstruir o movimento lateral e conter a rápida propagação de ransomware.

Usando a microssegmentação baseada em host para enfrentar seus desafios de conformidade com PCI e cibersegurança

  • A visibilidade em tempo real ajuda a garantir a precisão do escopo do PCI, monitorando continuamente todas as conexões dos sistemas CDE, conectados ao PCI e que afetam a segurança do PCI, todos eles no escopo do PCI. Uma organização pode então se inscrever com base em host microssegmentação aplicar as regras de firewall aplicáveis para restringir o tráfego de entrada e saída no ambiente PCI somente para aqueles que são “permitidos” ou “legítimos”. (Requisito 1)
  • A manutenção contínua da segmentação eficaz e precisa do ambiente PCI ajuda a controlar os custos de auditoria do PCI.
  • A eliminação de regras de firewall desconfiguradas e desatualizadas reduz a exposição de uma organização coberta a uma possível violação de dados.
  • Aproveite a integração com ferramentas de automação de TI (como Chef, Puppet e Ansible, Terraform) para garantir que as políticas de segmentação sejam provisionadas ao mesmo tempo que o provisionamento de recursos de carga de trabalho e a liberação para o ambiente de produção.
  • A visibilidade em tempo real ajuda a organização a avaliar as mudanças no escopo do PCI à medida que a organização faz a transição para o trabalho remoto. Isso ajuda a organização a identificar lacunas críticas de controle e possíveis vetores de ataque. As organizações podem então aplicar a microssegmentação baseada em host para restringir as conexões ponto a ponto dos dispositivos domésticos aos laptops do usuário remoto e controlar as conexões do usuário com os aplicativos do data center.
  • Controle as conexões entre cargas de trabalho PCI autorizadas, usuários e dispositivos que estão espalhados por várias VLANs, zonas e sub-redes e acompanhe as mudanças nas operações de TI, sem rearquitetar o ambiente de rede.
  • Em ambientes inovadores e nativos da nuvem, as organizações podem aproveitar a integração com plataformas de orquestração de contêineres para provisionar “políticas de segmentação” no nascimento de uma carga de trabalho.
  • Além de atender diretamente aos requisitos de conformidade com o PCI, uma organização pode aplicar a microssegmentação para reduzir sua superfície de ataque, obstruir o movimento lateral e conter a rápida propagação de ransomware.

Saiba mais

Comece agora a implementar etapas para se tornar compatível com o PCI e proteger seus clientes e sua empresa.

Saiba mais sobre como a microssegmentação pode ajudar a reduzir o escopo do PCI DSS e alcançar a conformidade com nosso white paper, “Três etapas para segmentar com eficiência sua conformidade com o PCI”.

voltar ao glossário

PCI DSS

blog posts

Resiliência cibernética

Duas violações, um banco: lições da crise cibernética do ICBC

Descubra as principais lições da crise cibernética do ICBC, em que duas grandes violações — ransomware nos EUA e roubo de dados em Londres — revelaram vulnerabilidades sistêmicas no setor bancário global.
read now
Resiliência cibernética

Como a certificação ISO 27001 da Illumio fortalece a segurança da sua cadeia de suprimentos

Saiba o que as certificações ISO 27001 e ISO 27701 da Illumio significam para a resiliência cibernética e a segurança da cadeia de suprimentos de nossos clientes.
read now
Resiliência cibernética

BT e Illumio: simplificando a conformidade com DORA

Obtenha informações do especialista sênior em consultoria da BT, Justin Craigon, sobre como se preparar para a conformidade com a DORA até o prazo final de 17 de janeiro de 2025.
read now

PCI DSS

briefs

Breve

Illumio + Netskope para conformidade com DORA

Atenda aos principais requisitos do DORA com o plug-in Illumio para Threat Exchange, parte do Netskope Cloud Exchange.

read now
Breve

Conformidade com as leis de proteção de dados dos Estados do Golfo

A segmentação Zero Trust da Illumio ajuda as organizações a proteger dados confidenciais e a cumprir as novas regras de proteção de dados nos estados do Golfo.

read now

PCI DSS

demos

No items found.

PCI DSS

guides

Guia

Estratégias para conformidade com DORA: o papel fundamental da microssegmentação

O prazo final do setor financeiro da UE é janeiro de 2025. Sua organização está preparada?

read now
Guia

Mapeando o Illumio para a arquitetura Zero Trust do NIST SP 800-207

Veja como os componentes do Illumio Core e do Illumio Edge são mapeados para os principais componentes lógicos da Arquitetura Zero Trust do NIST.

read now
Guia

TCO da segmentação PCI: firewalls de hardware versus Illumio Core

Obtenha uma comparação do custo total de propriedade entre os firewalls de hardware e o Illumio Core para oferecer suporte à segmentação PCI.

read now

PCI DSS

infographics

No items found.

PCI DSS

reports

No items found.

PCI DSS

webinars

No items found.

PCI DSS

videos

Vídeo

Conformidade PCI com Illumio

Com o Illumio Core, você pode definir o escopo do seu PCI ambiente e implemente a segmentação rapidamente, reduzindo a carga de auditoria e deixando os QSAs felizes.

read now

PCI DSS

postagens no blog

Nenhum item encontrado.

PCI DSS

resumos

Nenhum item encontrado.

PCI DSS

guias

Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais