
Dúvidas sobre o PCI-DSS? Saiba como construir e manter a segurança de redes e sistemas – Requerimento 1
Vez ou outra nos deparamos com algum pop-up em nossa tela e uma mensagem nos diz que está na hora de atualizar determinado software. O tal do “deixar para depois” é uma prática comum entre usuários, afinal, fazer um update requer parar as nossas atividades, lidar com possíveis bugs, entre outros imprevistos. Mas não são apenas os programas que passam por atualizações; as regulamentações também são modernizadas constantemente a fim de garantir mais eficiência na proteção de dados, como é o caso do PCI.
Desde o seu surgimento, em 2006, o PCI já passou por diversas atualizações. Esses updates ocorrem sempre que novas tecnologias são lançadas no mercado e as instituições passam a adotá-las em massa. A mais recente é a de maio de 2018 (v3.2.1).
O primeiro requisito do PCI diz respeito a construir e manter a segurança de rede e sistemas por meio da instalação e configuração adequada do Firewall. É esse recurso que faz toda a segregação de redes, tanto interna (restringindo o acesso ao escopo de PCI) como externa (prevenindo o acesso externo à instituição), por isso a sua importância. E para garantir que funcione esse controle, há necessidade de se realizar Testes de Invasão, internos e externos, anualmente.
Da versão 2.0 para a 3.0, as principais mudanças referentes ao Firewall foram que as configurações devem ser documentadas, o diagrama de rede deve mostrar o fluxo de dados de cartão, o uso de protocolos inseguros é estritamente proibido e métodos anti-spoofing devem ser utilizados para detectar e bloquear IPs forjados na rede. A versão 3.0 entrou em vigor em 2013 e, de lá para cá, não houveram grandes mudanças.
Dentre as orientações do requisito 1, o procedimento mais desafiador para as organizações é mapear corretamente todo o fluxo por onde os dados de cartão de crédito passam em sua infraestrutura. Quando esse mapeamento é realizado corretamente, incluindo servidores e portas utilizadas, repassar as informações para o Firewall é a parte mais simples.
Por incrível que pareça, o ajuste incorreto do recurso é o maior erro cometido quanto se fala em Firewall. Para “facilitar o gerenciamento”, são feitas configurações muito abrangentes, permitindo tráfego maior de informações do que o necessário, abrindo brechas para ataques e vazamento de informações. Sem falar no uso de configuração padrão e de credenciais frágeis (como usuário e senha padrões ou fracas), que também aparecem como algumas das falhas mais comuns praticadas pelos usuários.
Embora existam diversos tipos de Firewall, o PCI não indica nenhum tipo específico a ser utilizado. Mesmo as soluções que têm recursos similares ao Firewall são permitidas, desde que o produto seja capaz de realizar o filtro certo de pacotes e segregar a rede corretamente.
Em suma, sempre que os dados saem da empresa de alguma forma que não seja fisicamente (pen-drives, HD externo, notebook, etc.) é porque há uma falha de segurança, seja na política de acessos ou de configuração. É nesse ponto que a AuditSafe pode ajudar, realizando trabalhos de análise e revisão de regras de Firewall, definindo melhor as políticas de acesso e mapeamento devido do fluxo de informações de cartão de crédito.
Ainda tem dúvidas? Entre em contato conosco.