A norma estabelece que as companhias que transmitem, armazenam e manipulam dados de cartão de crédito devem ser regularmente auditadas em suas políticas de segurança, com o objetivo de garantir privacidade e sigilo aos clientes que efetuam transações com cartões. Ou seja, a PCI aplica-se à confidencialidade de informações de cartão de crédito armazenadas e utilizadas por comerciantes.
A conformidade com o padrão PCI pode ser aplicada a comerciantes e fornecedores de serviços em todos os canais de pagamento, inclusive lojas de varejo com presença física, pedidos por correio e telefone e comércio eletrônico. Companhias de capital aberto com filiais no Brasil são obrigadas a seguir por aqui também a regulamentação. Quanto mais transações uma organização processar, mais crucial será o atendimento aos padrões de PCI para gerenciar o risco maior. E não nos esqueçamos de que estar em conformidade com as regras é uma coisa, permanecer em conformidade, por sua vez, é algo bem mais complexo e que exige atenção permanente.
Atualmente, são 12 as exigências definidas pela regulamentação PCI e elas se relacionam basicamente à proteção de dados do titular do cartão, implementação de medidas de controle e monitoramento e testes das redes regularmente. Confidencialidade e autenticação é a meta central do PCI. Registro e auditoria é o segundo aspecto mais crucial da conformidade com PCI, o que pressupõe a capacidade de determinar proativamente as instâncias de fraudes com cartão de crédito.
O escopo amplo e abrangente do PCI DSS pode parecer assustador se não houver o uso de ferramentas corretas que garantam a conformidade com a norma. Além disso, conforme dito anteriormente, é necessário um trabalho constante para atender aos requisitos de verificações de vulnerabilidade de rede. Soluções voltadas à adequação do PCI devem ser capazes de mapear os problemas e fazer uma análise completa do parque de TI da companhia para checar se ela está ou não em conformidade.
É preciso contar com uma solução que agregue conhecimento sobre segurança, auxiliando na identificação de exposições e vulnerabilidades e gerenciando os riscos de TI. Mudanças nas configurações precisam ser identificadas e controladas, a fim de apontar quando há qualquer desvio. Dessa forma, pode-se obter o conhecimento necessário para documentar e demonstrar a conformidade com os auditores, programando e executando avaliações com base nas políticas e gerando relatórios detalhados que mostrem o desempenho do sistema e os motivos que levaram a determinados resultados.
Essas medidas levarão sua empresa a reduzir tempo e custos para detectar e corrigir problemas, identificando prontamente exposição à worms, vírus e ameaças e otimizando a correção de falhas com tarefas automatizadas e informações sobre segurança.
Outro ponto é que operações de TI confiáveis dependem de sistemas com as devidas configurações adequadas. Como os servidores mudam muito, essas alterações precisam ser gerenciadas para não interferirem nas propriedades do sistema nem nas políticas de segurança. Ou seja, é preciso avaliar e registrar as configurações dos servidores, facilitando o gerenciamento e a operação das aplicações críticas e fornecendo relatórios sobre detalhes importantes das configurações, como contas de usuários, permissão para serviços e softwares instalados, etc.
Por fim, o ponto central no que se refere à adequação ao PCI ou qualquer outra regulamentação é destacar que as equipes de TI não conseguem responder a todas as vulnerabilidades e ameaças com urgência, até porque muitas vezes tempo e recursos são limitados. Por isso, a utilização de métricas de risco permite a alocação eficiente de recursos escassos. Vale à pena investir em segurança em benefício de sua empresa e de seus clientes.
Roberto Rebouças é gerente técnico da Attachmate.
