17
Trust. PCI DDS 3 de Abril de 2008

Trust - CiscoPCI/DSS, por meio de relatório auditoria anual (realizado pelo Qualified Security Assessor – QSA), dos relatórios de testes de vulnerabilidade periódicos (conduzidos

  • Upload
    others

  • View
    2

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Trust - CiscoPCI/DSS, por meio de relatório auditoria anual (realizado pelo Qualified Security Assessor – QSA), dos relatórios de testes de vulnerabilidade periódicos (conduzidos

Trust.PCI DDS

3 de Abril de 2008

Page 2: Trust - CiscoPCI/DSS, por meio de relatório auditoria anual (realizado pelo Qualified Security Assessor – QSA), dos relatórios de testes de vulnerabilidade periódicos (conduzidos

Security & Privacy Services2 ©2008 Deloitte & Associados – SROC, SA

Meios de pagamento electrónicos têm vindo a ganhar aceitação

Page 3: Trust - CiscoPCI/DSS, por meio de relatório auditoria anual (realizado pelo Qualified Security Assessor – QSA), dos relatórios de testes de vulnerabilidade periódicos (conduzidos

Security & Privacy Services3 ©2008 Deloitte & Associados – SROC, SA

O mercado dos cartões de crédito tem vindo a crescer

• Mercado de cartões de crédito em Portugal voltou a crescer em 2007 cerca de 6%, para um volume de 15,5 mil milhões €

• Actualmente, a UNICRE (maior operador em Portugal) apresentou umcrescimento superior da facturação a crédito (cerca de 8%), relativamente àfacturação do débito (4,6%)

• Segundo a UNICRE a fraude no negócio dos cartões em Portugal cresceu ligeiramente (0,09%), fixando-se nos 2,9 milhões € (e.g. Irlanda 11,95 milhões €, Espanha 76,27 milhões €)

Page 4: Trust - CiscoPCI/DSS, por meio de relatório auditoria anual (realizado pelo Qualified Security Assessor – QSA), dos relatórios de testes de vulnerabilidade periódicos (conduzidos

Security & Privacy Services4 ©2008 Deloitte & Associados – SROC, SA

Qual o peso global da fraude com cartões de crédito?

• Resultados do Global Airline Fraud Survey, promovido pela Deloitte:• Desde 2000 a 2006 a fraude relacionada com cartões de crédito aumentou significativamente, de

USD 96k em 2000 para USD 854k média por companhia em 2006 (na Europa e EUA a média em 2006 por companhia foi de USD 1,5M)

• A fraude relacionada com cartões de crédito é o método de fraude mais comum e dispendioso no sector da aviação

Page 5: Trust - CiscoPCI/DSS, por meio de relatório auditoria anual (realizado pelo Qualified Security Assessor – QSA), dos relatórios de testes de vulnerabilidade periódicos (conduzidos

Security & Privacy Services5 ©2008 Deloitte & Associados – SROC, SA

Os impactos por fraude podem ser muito relevantes

• TJX (TJ Maxx): mais de 45 milhões de números de cartões de crédito e dados pessoais de clientes foram sendo roubados por hackers durante um período de 18 meses

• Clonagem organizada: 13 indivíduos acusados de elaborar operações organizadas de clonagem de cartões de crédito em 40 restaurantes nos EUA, estando o impacto calculado em cerca de USD 3 milhões

• CardSystems: mais de 40 milhões de números de cartões de crédito comprometidos. A empresa abriu falência em virtude do processo com a Mastercard e do cancelamento dos contratos com a Amex e VISA

• DSW: mais de 1,4 milhões de números de cartões de crédito comprometidos.

Page 6: Trust - CiscoPCI/DSS, por meio de relatório auditoria anual (realizado pelo Qualified Security Assessor – QSA), dos relatórios de testes de vulnerabilidade periódicos (conduzidos

Security & Privacy Services6 ©2008 Deloitte & Associados – SROC, SA

Existe a percepção de que, uma parte significa das ocorrências ao nível da segurança decorrer do erro Humano e da tecnologia

• No “Deloitte 2007 Global Security Survey”4 das 5 áreas controlo da segurança, com uma percentagem mais elevada de oportunidade de melhoria/correcção, são relativas à atribuição/manutenção de acessos

• A 5º área de controlo é relativa auditabilidade

• Perante um cenário de fraude poderá ser difícil identificar a causa

Page 7: Trust - CiscoPCI/DSS, por meio de relatório auditoria anual (realizado pelo Qualified Security Assessor – QSA), dos relatórios de testes de vulnerabilidade periódicos (conduzidos

Security & Privacy Services7 ©2008 Deloitte & Associados – SROC, SA

Como identificar uma pessoa fraudulenta?

60%Depende da

situação

20%Desonestos

20%Honestos

Honestidade / Integridade

60%Depende da

situação

20%Desonestos

20%Honestos

Honestidade / Integridade

?

Existe uma necessidade de controlo

Page 8: Trust - CiscoPCI/DSS, por meio de relatório auditoria anual (realizado pelo Qualified Security Assessor – QSA), dos relatórios de testes de vulnerabilidade periódicos (conduzidos

Security & Privacy Services8 ©2008 Deloitte & Associados – SROC, SA

As ameaças estão em constante transformação, aparecem novos desafios todos os dias

• Phishing e ataques cada vez mais localizados e sofisticados

• Crescimento das ameaças internas

• Existência de gaps nos mecanismos de armazenamento, retenção e encriptação de dados

• Riscos de segurança associados às tecnologiaswireless

• Aumento dos worms nas redes empresariais

Page 9: Trust - CiscoPCI/DSS, por meio de relatório auditoria anual (realizado pelo Qualified Security Assessor – QSA), dos relatórios de testes de vulnerabilidade periódicos (conduzidos

Security & Privacy Services9 ©2008 Deloitte & Associados – SROC, SA

Necessidade de criar um standard comum que estabeleça as boas práticas de segurança (PCI - Data Security Standar)

VISAAccount Information Security

(AIS)

MasterCardSite Data Protection

(SDP)

AmexData Security Operating Policy

(DSOP)

Payment Card Industry Council (PCI)

VISAAccount Information Security

(AIS)

MasterCardSite Data Protection

(SDP)

AmexData Security Operating Policy

(DSOP)

PCI-DSSData Security Standard

Page 10: Trust - CiscoPCI/DSS, por meio de relatório auditoria anual (realizado pelo Qualified Security Assessor – QSA), dos relatórios de testes de vulnerabilidade periódicos (conduzidos

Security & Privacy Services10 ©2008 Deloitte & Associados – SROC, SA

O principal objectivo do Payment Card Industry/Data SecurityStandard (PCI/DSS) é reduzir drasticamente fraudes

• É necessário assegurar que todos os Membros (Emissores e Adquirentes), Agentes, Comércio e Prestadores de Serviços que armazenam, processam e/ou transmitem dados e transacções dos portadores de cartão estejam alinhados com o PCI/DSS.

• O cumprimento do PCI/DSS é uma obrigação de todas as entidades que processam, transmitem ou armazenam informações/transacções dos Portadores de Cartão.

• As operadoras de cartão de crédito e os bancos emissores são responsáveis por contactar o comércio, os gateways de pagamento e os prestadores de serviço para informar sobre seus requisitos e prazos

• Nos casos em que a organização demonstre a sua conformidade com o PCI/DSS, por meio de relatório auditoria anual (realizado pelo QualifiedSecurity Assessor – QSA), dos relatórios de testes de vulnerabilidadeperiódicos (conduzidos pelo Approved Scanning Vendor – ASV) e por fim, não tenha recebido chamadas de atenção na análise forense (realizada pelas marcas), quando ocorra um incidente, não estará sujeita às penalidades e não será considerada responsável.

Page 11: Trust - CiscoPCI/DSS, por meio de relatório auditoria anual (realizado pelo Qualified Security Assessor – QSA), dos relatórios de testes de vulnerabilidade periódicos (conduzidos

Security & Privacy Services11 ©2008 Deloitte & Associados – SROC, SA

Nem todas as áreas e requisitos do PCI DSS apresentam o mesmo grau de maturidade

Page 12: Trust - CiscoPCI/DSS, por meio de relatório auditoria anual (realizado pelo Qualified Security Assessor – QSA), dos relatórios de testes de vulnerabilidade periódicos (conduzidos

Security & Privacy Services12 ©2008 Deloitte & Associados – SROC, SA

• Estabelecer framework comum de Segurança da Informação.

• Demonstrar transparência, confiança (TRUST), seriedade e coesão nas ações de segurança de informação.

SEM PCI: Desperdiçam recursos

COM PCI: Crescimento

rentável

TempoPresente Futuro

Fiel

Esporádico

Curioso

Tipo

de

c lie

nte

Construir confiança

Atrair clientes

Aumentar TRUST

Monitoriz

ar relação com Clie

nte

Gerir o

s risc

os

A Proposição de Valor do PCI/DSS

• Antecipar e gerir riscos e impactos (financeiros, operacionais e de imagem).

• Promover a integridade do Brand e aumentar a confiança de seus consumidores nos meios de pagamento de cartão de crédito.

Page 13: Trust - CiscoPCI/DSS, por meio de relatório auditoria anual (realizado pelo Qualified Security Assessor – QSA), dos relatórios de testes de vulnerabilidade periódicos (conduzidos

Security & Privacy Services13 ©2008 Deloitte & Associados – SROC, SA

A Visão da Deloitte sobre os requisitos do PCI/DSS

Processos Tecnologia

Pessoas

Objetivos daSegurança da Informação

Controlos de Segurança da Informação

Page 14: Trust - CiscoPCI/DSS, por meio de relatório auditoria anual (realizado pelo Qualified Security Assessor – QSA), dos relatórios de testes de vulnerabilidade periódicos (conduzidos

Security & Privacy Services14 ©2008 Deloitte & Associados – SROC, SA

• Os objetivos e guidelines do PCI/DSS potencias as diversas camadas de segurança da informação, desde a segurança física até a segurança dos dados, passando pela segurança de rede, dos servidores e das aplicações

• Cada uma destas camadas épor sua vez subdividida em diversos controlos de segurança que potenciam as pessoas, os processos e as tecnologia de suporte às operações com cartão de crédito

Objetivos de Segurança da Informação & PCI/DSS

Tecn

olog

ia

Segurança dos Aplicativos

Segurança de Dados

Pesso

as

Proce

ssos

Segurança de Rede

Segurança de Servidores

Segurança Física

Neg

óci

oC

art

ão

de C

réd

ito

Page 15: Trust - CiscoPCI/DSS, por meio de relatório auditoria anual (realizado pelo Qualified Security Assessor – QSA), dos relatórios de testes de vulnerabilidade periódicos (conduzidos

Security & Privacy Services15 ©2008 Deloitte & Associados – SROC, SA

A nossa abordagem adopta as guidelines da PCI DSS e tem em consideração as lessons learn apreendidas

Definição de âmbito Gap AnalysisPrograma de remediação Auditoria

Gestão de Projecto e Qualidade

Validar os requisitos

Analisar os fluxos de dados

Avaliar os controlos existentes

Elaborar os gapsanalysis

Definir um roadmap do programa a seguir

Programa de mobilização

Implementar as melhorias de segurança

Validar as melhorias

Realizar scans à rede

Completar a auditoria de pré-certificação

Suportar a execução de auditoriasSeleccionar QSA e ASV

• Qualified Security Assessors (QSAs)

• Approved Scanning Vendors (ASVs)

Page 16: Trust - CiscoPCI/DSS, por meio de relatório auditoria anual (realizado pelo Qualified Security Assessor – QSA), dos relatórios de testes de vulnerabilidade periódicos (conduzidos

Security & Privacy Services16 ©2008 Deloitte & Associados – SROC, SA

Contacto

Miguel Barão da Cunha

[email protected]

Page 17: Trust - CiscoPCI/DSS, por meio de relatório auditoria anual (realizado pelo Qualified Security Assessor – QSA), dos relatórios de testes de vulnerabilidade periódicos (conduzidos

Security & Privacy Services17 ©2008 Deloitte & Associados – SROC, SA2008 Deloitte & Associados – SROC, SA

Lisboa

Edifício Atrium SaldanhaPraça Duque de Saldanha, 1 - 6º1050-094 LisboaPortugalTel: +(351) 210 422 500Fax: +(351) 210 422 950 ©2008 Deloitte & Associados – SROC, SA

Porto

Bom Sucesso Trade CenterPraça do Bom Sucesso, 61 - 13º4150-146 PortoPortugalTel: +(351) 225 439 200Fax: +(351) 225 439 650

Luanda

Rua Engº Costa Serrão, nº 13LuandaRepública de AngolaTel: +(244) 222 391 808 / 391 673Fax: +(244) 222 391 972

A expressão Deloitte refere-se a uma ou várias sociedades que operam ao abrigo de um acordo com a Deloitte Touche Tohmatsu, uma Swiss Verein, bem como às suas respectivas representadas e afiliadas. Deloitte Touche Tohmatsu é uma organização mundial de sociedades dedicadas à prestação de serviços profissionais de excelência, concentradas no serviço ao cliente sob uma estratégia global, aplicada localmente em cerca de 140 países. Com acesso a um capital intelectual de aproximadamente 150.000 pessoas no mundo, a Deloitte presta serviços em quatro áreas profissionais – auditoria, impostos, consultoria e assessoria financeira – e a mais de 80 por cento das maiores empresas mundiais, assim como às maiores empresas nacionais, instituições públicas, clientes locais importantes e companhias de sucesso com dimensão global e crescimentos acelerados. Os serviços não são prestados pela Deloitte Touche Tohmatsu Verein e, por razões regulamentares entre outras, algumas das sociedades não prestam serviços em todas as áreas.

Como Swiss Verein (associação), nem a Deloitte Touche Tohmatsu nem qualquer das suas sociedades membro assumem qualquer responsabilidade isolada ou solidária pelos actos ou omissões de qualquer das outras sociedades membro. Cada uma das sociedades membro é uma entidade legal e separada que opera sob a marca “Deloitte”, “Deloitte & Touche”, “Deloitte Touche Tohmatsu” ou outros nomes relacionados.

Member ofDeloitte Touche Tohmatsu