Post on 07-Mar-2021
transcript
Trust.PCI DDS
3 de Abril de 2008
Security & Privacy Services2 ©2008 Deloitte & Associados – SROC, SA
Meios de pagamento electrónicos têm vindo a ganhar aceitação
Security & Privacy Services3 ©2008 Deloitte & Associados – SROC, SA
O mercado dos cartões de crédito tem vindo a crescer
• Mercado de cartões de crédito em Portugal voltou a crescer em 2007 cerca de 6%, para um volume de 15,5 mil milhões €
• Actualmente, a UNICRE (maior operador em Portugal) apresentou umcrescimento superior da facturação a crédito (cerca de 8%), relativamente àfacturação do débito (4,6%)
• Segundo a UNICRE a fraude no negócio dos cartões em Portugal cresceu ligeiramente (0,09%), fixando-se nos 2,9 milhões € (e.g. Irlanda 11,95 milhões €, Espanha 76,27 milhões €)
Security & Privacy Services4 ©2008 Deloitte & Associados – SROC, SA
Qual o peso global da fraude com cartões de crédito?
• Resultados do Global Airline Fraud Survey, promovido pela Deloitte:• Desde 2000 a 2006 a fraude relacionada com cartões de crédito aumentou significativamente, de
USD 96k em 2000 para USD 854k média por companhia em 2006 (na Europa e EUA a média em 2006 por companhia foi de USD 1,5M)
• A fraude relacionada com cartões de crédito é o método de fraude mais comum e dispendioso no sector da aviação
Security & Privacy Services5 ©2008 Deloitte & Associados – SROC, SA
Os impactos por fraude podem ser muito relevantes
• TJX (TJ Maxx): mais de 45 milhões de números de cartões de crédito e dados pessoais de clientes foram sendo roubados por hackers durante um período de 18 meses
• Clonagem organizada: 13 indivíduos acusados de elaborar operações organizadas de clonagem de cartões de crédito em 40 restaurantes nos EUA, estando o impacto calculado em cerca de USD 3 milhões
• CardSystems: mais de 40 milhões de números de cartões de crédito comprometidos. A empresa abriu falência em virtude do processo com a Mastercard e do cancelamento dos contratos com a Amex e VISA
• DSW: mais de 1,4 milhões de números de cartões de crédito comprometidos.
Security & Privacy Services6 ©2008 Deloitte & Associados – SROC, SA
Existe a percepção de que, uma parte significa das ocorrências ao nível da segurança decorrer do erro Humano e da tecnologia
• No “Deloitte 2007 Global Security Survey”4 das 5 áreas controlo da segurança, com uma percentagem mais elevada de oportunidade de melhoria/correcção, são relativas à atribuição/manutenção de acessos
• A 5º área de controlo é relativa auditabilidade
• Perante um cenário de fraude poderá ser difícil identificar a causa
Security & Privacy Services7 ©2008 Deloitte & Associados – SROC, SA
Como identificar uma pessoa fraudulenta?
60%Depende da
situação
20%Desonestos
20%Honestos
Honestidade / Integridade
60%Depende da
situação
20%Desonestos
20%Honestos
Honestidade / Integridade
?
Existe uma necessidade de controlo
Security & Privacy Services8 ©2008 Deloitte & Associados – SROC, SA
As ameaças estão em constante transformação, aparecem novos desafios todos os dias
• Phishing e ataques cada vez mais localizados e sofisticados
• Crescimento das ameaças internas
• Existência de gaps nos mecanismos de armazenamento, retenção e encriptação de dados
• Riscos de segurança associados às tecnologiaswireless
• Aumento dos worms nas redes empresariais
Security & Privacy Services9 ©2008 Deloitte & Associados – SROC, SA
Necessidade de criar um standard comum que estabeleça as boas práticas de segurança (PCI - Data Security Standar)
VISAAccount Information Security
(AIS)
MasterCardSite Data Protection
(SDP)
AmexData Security Operating Policy
(DSOP)
Payment Card Industry Council (PCI)
VISAAccount Information Security
(AIS)
MasterCardSite Data Protection
(SDP)
AmexData Security Operating Policy
(DSOP)
PCI-DSSData Security Standard
Security & Privacy Services10 ©2008 Deloitte & Associados – SROC, SA
O principal objectivo do Payment Card Industry/Data SecurityStandard (PCI/DSS) é reduzir drasticamente fraudes
• É necessário assegurar que todos os Membros (Emissores e Adquirentes), Agentes, Comércio e Prestadores de Serviços que armazenam, processam e/ou transmitem dados e transacções dos portadores de cartão estejam alinhados com o PCI/DSS.
• O cumprimento do PCI/DSS é uma obrigação de todas as entidades que processam, transmitem ou armazenam informações/transacções dos Portadores de Cartão.
• As operadoras de cartão de crédito e os bancos emissores são responsáveis por contactar o comércio, os gateways de pagamento e os prestadores de serviço para informar sobre seus requisitos e prazos
• Nos casos em que a organização demonstre a sua conformidade com o PCI/DSS, por meio de relatório auditoria anual (realizado pelo QualifiedSecurity Assessor – QSA), dos relatórios de testes de vulnerabilidadeperiódicos (conduzidos pelo Approved Scanning Vendor – ASV) e por fim, não tenha recebido chamadas de atenção na análise forense (realizada pelas marcas), quando ocorra um incidente, não estará sujeita às penalidades e não será considerada responsável.
Security & Privacy Services11 ©2008 Deloitte & Associados – SROC, SA
Nem todas as áreas e requisitos do PCI DSS apresentam o mesmo grau de maturidade
Security & Privacy Services12 ©2008 Deloitte & Associados – SROC, SA
• Estabelecer framework comum de Segurança da Informação.
• Demonstrar transparência, confiança (TRUST), seriedade e coesão nas ações de segurança de informação.
SEM PCI: Desperdiçam recursos
COM PCI: Crescimento
rentável
TempoPresente Futuro
Fiel
Esporádico
Curioso
Tipo
de
c lie
nte
Construir confiança
Atrair clientes
Aumentar TRUST
Monitoriz
ar relação com Clie
nte
Gerir o
s risc
os
A Proposição de Valor do PCI/DSS
• Antecipar e gerir riscos e impactos (financeiros, operacionais e de imagem).
• Promover a integridade do Brand e aumentar a confiança de seus consumidores nos meios de pagamento de cartão de crédito.
Security & Privacy Services13 ©2008 Deloitte & Associados – SROC, SA
A Visão da Deloitte sobre os requisitos do PCI/DSS
Processos Tecnologia
Pessoas
Objetivos daSegurança da Informação
Controlos de Segurança da Informação
Security & Privacy Services14 ©2008 Deloitte & Associados – SROC, SA
• Os objetivos e guidelines do PCI/DSS potencias as diversas camadas de segurança da informação, desde a segurança física até a segurança dos dados, passando pela segurança de rede, dos servidores e das aplicações
• Cada uma destas camadas épor sua vez subdividida em diversos controlos de segurança que potenciam as pessoas, os processos e as tecnologia de suporte às operações com cartão de crédito
Objetivos de Segurança da Informação & PCI/DSS
Tecn
olog
ia
Segurança dos Aplicativos
Segurança de Dados
Pesso
as
Proce
ssos
Segurança de Rede
Segurança de Servidores
Segurança Física
Neg
óci
oC
art
ão
de C
réd
ito
Security & Privacy Services15 ©2008 Deloitte & Associados – SROC, SA
A nossa abordagem adopta as guidelines da PCI DSS e tem em consideração as lessons learn apreendidas
Definição de âmbito Gap AnalysisPrograma de remediação Auditoria
Gestão de Projecto e Qualidade
Validar os requisitos
Analisar os fluxos de dados
Avaliar os controlos existentes
Elaborar os gapsanalysis
Definir um roadmap do programa a seguir
Programa de mobilização
Implementar as melhorias de segurança
Validar as melhorias
Realizar scans à rede
Completar a auditoria de pré-certificação
Suportar a execução de auditoriasSeleccionar QSA e ASV
• Qualified Security Assessors (QSAs)
• Approved Scanning Vendors (ASVs)
Security & Privacy Services16 ©2008 Deloitte & Associados – SROC, SA
Contacto
Miguel Barão da Cunha
micunha@deloitte.pt
Security & Privacy Services17 ©2008 Deloitte & Associados – SROC, SA2008 Deloitte & Associados – SROC, SA
Lisboa
Edifício Atrium SaldanhaPraça Duque de Saldanha, 1 - 6º1050-094 LisboaPortugalTel: +(351) 210 422 500Fax: +(351) 210 422 950 ©2008 Deloitte & Associados – SROC, SA
Porto
Bom Sucesso Trade CenterPraça do Bom Sucesso, 61 - 13º4150-146 PortoPortugalTel: +(351) 225 439 200Fax: +(351) 225 439 650
Luanda
Rua Engº Costa Serrão, nº 13LuandaRepública de AngolaTel: +(244) 222 391 808 / 391 673Fax: +(244) 222 391 972
A expressão Deloitte refere-se a uma ou várias sociedades que operam ao abrigo de um acordo com a Deloitte Touche Tohmatsu, uma Swiss Verein, bem como às suas respectivas representadas e afiliadas. Deloitte Touche Tohmatsu é uma organização mundial de sociedades dedicadas à prestação de serviços profissionais de excelência, concentradas no serviço ao cliente sob uma estratégia global, aplicada localmente em cerca de 140 países. Com acesso a um capital intelectual de aproximadamente 150.000 pessoas no mundo, a Deloitte presta serviços em quatro áreas profissionais – auditoria, impostos, consultoria e assessoria financeira – e a mais de 80 por cento das maiores empresas mundiais, assim como às maiores empresas nacionais, instituições públicas, clientes locais importantes e companhias de sucesso com dimensão global e crescimentos acelerados. Os serviços não são prestados pela Deloitte Touche Tohmatsu Verein e, por razões regulamentares entre outras, algumas das sociedades não prestam serviços em todas as áreas.
Como Swiss Verein (associação), nem a Deloitte Touche Tohmatsu nem qualquer das suas sociedades membro assumem qualquer responsabilidade isolada ou solidária pelos actos ou omissões de qualquer das outras sociedades membro. Cada uma das sociedades membro é uma entidade legal e separada que opera sob a marca “Deloitte”, “Deloitte & Touche”, “Deloitte Touche Tohmatsu” ou outros nomes relacionados.
Member ofDeloitte Touche Tohmatsu