O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) O PCI DSS é um conjunto de padrões de segurança da informação que protege os dados de cartões de pagamento das principais bandeiras (Visa, MasterCard, Discover Financial Services, JCB e American Express). Com a constante evolução da tecnologia e o aumento da sofisticação das ameaças cibernéticas, as organizações precisam se manter atualizadas com a versão mais recente do PCI DSS. O PCI DSS 4.0 é a versão mais recente do padrão, desenvolvida pela Microsoft. Conselho de Normas de Segurança da Indústria de Cartões de Pagamento (PCI SSC)Ele se baseia em versões anteriores e incorpora feedback e insights de partes interessadas do setor, especialistas em segurança e agências reguladoras.
Quem precisa estar em conformidade com o PCI DSS 4.0?
À medida que os ambientes de nuvem se expandem com o crescimento do comércio eletrônico, também aumenta a quantidade de dados sensíveis — especialmente dados confidenciais de titulares de cartões, contas ou autenticação. Se sua organização aceita pagamentos com cartões de crédito, débito ou digitais, é essencial se preparar para o PCI DSS 4.0 imediatamente.
Vamos explorar a nova reformulação e aprender tudo o que você precisa saber sobre o PCI v4.0, a versão mais recente do... PCI DSS.
Datas importantes para conformidade
A principal atualização do Padrão de Segurança de Dados PCI é a primeira desde 2018 (versão 3.2.1O novo padrão de segurança promove um ambiente mais seguro para pagamentos com cartão, ao mesmo tempo que aborda ameaças emergentes e possibilita abordagens exclusivas para combater novas ameaças.
O prazo para conformidade com a primeira fase do PCI DSS 4.0 é 31 de março de 2024Esta fase inclui 13 novos requisitos relacionados a planejamento, avaliações e designação de responsabilidades. A segunda fase, composta por 51 requisitos altamente técnicos, deve ser implementada até [data a ser inserida]. Março de 2025.
Mudanças de implementação imediata
O PCI DSS 4.0 introduz mudanças e atualizações fundamentais para fortalecer as medidas de segurança e lidar com ameaças emergentes. Os 13 requisitos da Fase 1 concentram-se na criação de uma estrutura de responsabilização em torno das políticas operacionais.
Definindo Responsabilidades
Atualmente, 10 dos 13 requisitos (2.1.2, 3.1.2, 4.1.2, 5.1.2, 6.1.2, 7.1.2, 8.1.2, 9.1.2, 10.1.2 e 11.1.2) dizem respeito à identificação e atribuição de funções e responsabilidades nas equipes de segurança e TI responsáveis pela conformidade com o PCI DSS. remediação de incidentes de segurançaEsses requisitos entram em vigor imediatamente para todas as avaliações da versão 4.0 e devem ser atendidos até o prazo de 31 de março de 2024.
Ao formalizar essas políticas, as organizações terão documentação sobre os responsáveis por lidar com aspectos específicos da conformidade com o PCI. Isso ajudará a criar uma cultura de melhores práticas de segurança para a implementação completa em março de 2025.
Requisito 12.3.2: Abordagens Personalizadas
A versão 4.0 introduz a opção muito solicitada de uma "abordagem personalizada", que permite às organizações aproveitar métodos alternativos para cumprir os requisitos do PCI DSS e alcançar os resultados desejados.
Isso é particularmente importante para organizações que precisam cumprir outras estruturas regulatórias, como... RGPD ou HIPAA, cujos requisitos tendem a se sobrepor. No entanto, o requisito 12.3.2 garante que cada abordagem personalizada seja analisada e bem documentada para determinar a eficácia da implementação de controles específicos.
Requisito 12.5.2: Escopo do PCI DSS
O requisito 12.5.2 exige que as organizações definam seus Ambientes de Dados do Cliente (CDEs) e o escopo do PCI DSS, que devem ser documentados e confirmados pelo menos uma vez a cada 12 meses. Isso inclui os CDEs, os processos, as partes interessadas e a tecnologia que armazenam, processam ou transmitem dados de titulares de cartões ou dados de autenticação confidenciais.
Requisito 12.9.2: Aviso para Prestadores de Serviços
Outro requisito, 12.9.2, aplica-se apenas a prestadores de serviços terceirizados (TPSPs). Este requisito diferencia as funções e responsabilidades relativas à forma como o TPSP gerencia o CDE do cliente. O TPSP também deve fornecer o status de sua conformidade com o PCI DSS e detalhes sobre os requisitos do PCI DSS mediante solicitação do cliente.
Melhores práticas para PCI DSS 4.0
Existem mais de 50 novos requisitos no PCI DSS v4.0 – é importante entender quais requisitos se aplicam ao seu negócio e o que é necessário para estar em conformidade. Para obter a lista completa de requisitos, incluindo os que estão em vigor atualmente e os que entrarão em vigor em 31 de março de 2025, é altamente recomendável consultar o [link para o documento/documento relevante]. Resumo das alterações.
O Conselho PCI enfatizou vários novos padrões, que incluem a documentação dos requisitos de responsabilidade, a segurança dos firewalls de comércio eletrônico, a proteção das páginas de pagamento, a rotação de senhas, o direcionamento aos requisitos de risco do PCI, a varredura de vulnerabilidades, o uso de autenticação multifator, a automatização de alertas de sistemas de gerenciamento de informações e eventos de segurança (SIEM), a governança de dados e a resposta a incidentes.
Como a BigID aborda o PCI DSS 4.0 para proteger os dados de pagamento com cartão
O PCI DSS 4.0 representa um marco significativo no esforço contínuo para proteger os dados de cartões de pagamento e combater as ameaças cibernéticas. Ao compreender as mudanças e atualizações fundamentais introduzidas no PCI DSS 4.0, as organizações podem fortalecer suas defesas de segurança e garantir a conformidade com os mais recentes padrões do setor.
BigID Pode ajudar você a alcançar a conformidade com os requisitos do PCI DSS 4.0. A conformidade com o PCI DSS começa com o estabelecimento de uma base sólida de descoberta e classificação de dados de contas, incluindo dados do titular do cartão e dados de autenticação confidenciais. Além disso, o BigID é compatível com a maioria dos tipos de fontes de dados listados na estrutura do PCI DSS.
Com o BigID, as organizações podem:
- Descubra e classifique todos os tipos de dados sensíveis e de contas com precisão e em grande escala.
- Identificação automática e obter um contexto detalhado sobre dados sensíveis.
- Personalizar classificadores Para identificar com precisão os dados relacionados a pagamentos exclusivos da sua organização.
- Conecte-se a mais de 300 tipos de fontes de dados. na nuvem e em infraestruturas locais – estruturadas, não estruturadas ou semiestruturadas.
- Definir políticas em torno de tipos específicos de dados de conta que exigem criptografia, mascaramento, retenção, minimização e muito mais.
- Obtenha informações sobre problemas de acesso a dados. em torno de dados de alto risco, sensíveis ou críticos relacionados a pagamentos em todos os seus ambientes.
- Identificar, sinalizar, avaliar, e priorizar o risco de acesso a arquivos com dados sensíveis relacionados a pagamentos.
- Mapear as identidades dos titulares dos cartões aos seus dados pessoais e sensíveis. e manter uma visão centralizada da exposição a violações e da resposta a incidentes.
- Mitigue riscos com fluxos de trabalho de remediação., delegando totalmente aos proprietários dos dados para reduzir a superfície de ataque e proteger os dados do titular do cartão.
Comece hoje mesmo a atender aos requisitos de conformidade com o PCI DSS e a mitigar os riscos de dados. Solicite uma demonstração personalizada Venha conhecer o BigID em ação com nossos especialistas em segurança.
Autor
