O PCI 3.0 e as novas exigências para prevenção de ameaças

Por Colaborador externo | 30 de Outubro de 2014 às 15h07

por Gabriel Sanders*

O período de carência para as empresas cumprirem as exigências do novo padrão PCI 3.0 está prestes a chegar ao fim. A partir de 01 de janeiro de 2015, todas as empresas que armazenam, processam ou transmitem informações de cartão de pagamento terão de estar em conformidade com os novos padrões.

O novo padrão significa trabalho intensivo para as empresas. Inclusive algumas que nunca antes tiveram de cumprir a norma,– podem agora precisar gastar mais tempo, recursos e dinheiro para se certificar de que estão em conformidade.

Algumas das novas normas incluem os seguintes desafios:

Muitos comerciantes de e-commerce que redirecionam os pagamentos a terceiros (mesmo que não toquem em nenhum dos dados do titular do cartão) estarão no escopo da exigência de conformidade com o PCI 3.0. Esta é uma grande mudança para os comerciantes de e-commerce.

Isso significa que estas empresas terão de preencher questionários de auto-avaliação, atender à exigência de testes de penetração e varredura de vulnerabilidades, além de outros aspectos do processo de conformidade - mesmo que tais empresas não transmitam diretamente dados de titulares de cartão.

Além disso, será necessária uma revisão nos pontos de venda: dispositivos POS precisarão agora ser inspecionados periodicamente para se certificar de que não foram fisicamente adulterados.

Haverá também mais transparência entre prestadores de serviços terceirizados e comerciantes. Prestadores terceirizados terão agora que declarar explicitamente quais os aspectos do processo de conformidade eles estão obrigados a cumprir.

As exigências para os testes de penetração serão também mais rigorosos. Ao contrário do que ocorria no passado, quem quer que vá realizar – seja a própria empresa de comércio ou um terceiro – terá agora que seguir um modelo formal, estabelecido pelo Conselho de Padrões de Segurança PCI.

A norma também determina a independência do testador, o que significa que a pessoa que testa o sistema não pode ser a mesma que gerencia ou administra o sistema. Finalmente, se um comerciante usar a segmentação para reduzir o escopo de seu ambiente de dados sobre titulares de cartão, ele deverá agora realizar testes de penetração contemplando também os limites desta segmentação.

*Gabriel Sanders é vice-presidente de Vendas da Trustwave para a América Latina.

Instagram do Canaltech

Acompanhe nossos bastidores e fique por dentro das novidades que estão por vir no CT.