SlideShare una empresa de Scribd logo

Grupo 7 si_28191_28045_20130609_1800

Descargar como DOCX, PDF
Natalia Fernandes
Natalia Fernandes

O documento discute as medidas de segurança que devem ser implementadas para proteger dados de cartões de crédito de acordo com o Padrão de Segurança de Informação da Indústria de Cartões de Pagamento (PCI-DSS). Entre as medidas estão criptografar dados durante transmissão, restringir acesso físico e lógico aos dados, monitorar acessos à rede, manter sistemas atualizados e implementar controles de gerenciamento de chaves. O documento também fornece recomendações sobre como identificar onde os dados estão armazenados e flux

1 de 15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 1 09-06-2013 NATÁLIA FERNANDES, Nº 28191 CURSO: CONTABILIDADE NUNO CORREIA, Nº 28045 CURSO: GESTÃO Índice Instituto de Estudos Superiores de Fafe Escola Superior de Tecnologias de Fafe Erros do Gabinete de Crédito Problemas com pessoas importantes Unidade Curricular de Sistemas de Informação
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 2 09-06-2013 Introdução......................................................................................................3 Segurança de dados.......................................................................................4 Deteção e classificação de dados dos cartões de crédito ..............................5 Proteger os dados armazenados sobre titulares de cartão .............................6 Criptografar a transmissão de dados sobre os titulares de cartão em redes abertas e públicas ..........................................................................................8 Manter sistemas e aplicativos seguros ..........................................................8 Restringir o acesso aos dados de titulares de cartão .....................................9 Atribuir uma ID exclusiva cada pessoa com acesso ao computador ............9 Restringir acesso físico aos dados do titular do cartão ...............................11 Controlar e monitorizar todo o acesso aos recursos de rede e aos dados de titulares de cartão ........................................................................................12 Conclusão....................................................................................................14 Bibliografia..................................................................................................15 2/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 3 09-06-2013 Introdução O pagamento por cartão de crédito é cada vez mais popular. No entanto, também requer medidas de segurança rigorosas no que respeita aos dados de cartões de crédito e de transações, de modo a consolidar a confiança dos clientes neste método de pagamento. Por este motivo, os especialistas em segurança das empresas de cartões de crédito reuniram-se e desenvolveram uma solução comum. Qualquer empresa que processe, transmita ou armazene dados de cartões de crédito tem de cumprir um conjunto de diretrizes para garantir a segurança dos dados. O objetivo é que todos os comerciantes que aceitam cartões de crédito cumpram rigorosamente a PCI-DSS (Padrão de Segurança de Informação da Indústria de Cartões de Pagamento), anteriormente designada por CISP (Cardholder Information Security Program). A versão atual da norma foi desenvolvida durante um período de apenas alguns anos. A VISA lançou o CISP (Cardholder Information Security Program) em 2001. Este foi o primeiro programa deste tipo e exigia que os comerciantes e fornecedores de serviços cumprissem um conjunto de normas específicas para garantir a segurança dos dados. Alguns anos mais tarde, a VISA, a MasterCard, a American Express, a Discover, a DinersClub e a JCB conjugaram as respectivas políticas individuais e apresentaram a PCI-DSS (Payment Card Industry Data Security Standard), uma versão atualizada e mais abrangente da norma, que se tornou obrigatória para todos os comerciantes e fornecedores de serviços em Junho de 2005. Novamente atualizada em Setembro de 2006, a norma inclui agora cerca de 160 requisitos, que se tornaram obrigatórios em Junho de 2007. O acordo não é um mero "tigre de papel": Só em 2006, a VISA apresentou reclamações num valor total de 4,6 milhões de dólares contra comerciantes que não cumpriram as normas. Este número corresponde a um aumento de 35% em comparação com o ano anterior. A norma PCI atual inclui requisitos rígidos no que respeita ao processamento e armazenamento de dados de cartões de crédito. Os comerciantes estão obrigados a cumprir estas normas para manter o estatuto de parceiros da empresa de cartões de crédito e evitar multas pesadas. É possível que o seu banco o tenha contactado nos últimos meses com informações relativas à PCI e respetiva importância na prevenção de fraudes com cartões de crédito. 3/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 4 09-06-2013 Segurança de dados O padrão PCI identifica várias tecnologias fundamentais de segurança de TI e vários processos e procedimentos, que são necessários para proteger os dados de titulares de cartão. Para atender a esses requisitos, a RSA, Divisãode Segurança da EMC, oferece a solução RSA PCI, que abrange uma gama de tecnologias e serviços de segurança de TI. A abordagem da RSA, centrada em informações, permite que os clientes ultrapassem a proteção do perímetro e garantam que os dados estejam seguros não atingindo onde esses dados estejam. Além disso, as soluções RSA para conformidade com o padrão PCI permitirão que você responda às seguintes perguntas: 1. Onde estão todos os dados de cartão de crédito da empresa? 2. Como posso garantir que todos os dados de cartão de crédito estejam seguros? 3. Como posso utilizar os controlos adequados a fim de garantir uma resposta rápida aos riscos de segurança potenciais e comprovar que os investimentos de PCI e DSS podem ajudar nos negócios além das auditorias? À medida que as empresas começam a abordar a conformidade com o PCI DSS, elas devem primeiro compreender Objetivos Requisitos Desenvolver e manter uma rede segura 1. Instalar e manter uma configuração de firewall para proteger os dados de titulares de cartão 2. Não usar os padrões dos fornecedores para as do sistema e outros parâmetros de segurança Proteger dados de titulares de cartão 3. Proteger os dados armazenados sobre titulares de cartão 4. Criptografar a transmissão de dados sobre os titulares de cartão em redes abertas e públicas Manter um programa de gerenciamento de vulnerabilidades 5. Usar e atualizar regularmente um software antivírus 6. Desenvolver e manter sistemas e aplicativos seeguros Implementar medidas sólidas de controle de acesso 7. Restringir o acesso aos dados do titular do cartão apenas aos que realmente precisam dos dados 8. Atribuir uma ID exclusiva para cada pessoa com acesso ao computador 9. Restringir acesso físico aos dados do titular do cartão Monitorar e testar regularmente as redes 10. Controlar e monitorar todo o acesso aos recursos de rede e aos dados do titular do cartão 11. Testar regularmente os sistemas e processos de segurança Manter uma política de segurança das informações 12. Manter uma política que cuide da segurança dasinformações 4/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 5 09-06-2013 todas as falhas existentes para que possam identificar as necessidades de correção. Por meio da Pré- avaliação e análise de falhas do PCI DSS, os serviços profissionais RSA ajudam os clientes a compreender a sua atual postura em relação ao padrão PCI e desenvolver um roteiro de correções antes de passar por uma auditoria formal do padrão PCI. Esse serviço não substitui nem serve como auditoria do padrão PCI, mas ajuda os comerciantes a identificar e corrigir os pontos fracos antes de passar por uma auditoria do PCI. Como um dos principais resultados práticos, os serviços profissionais RSA fornecem uma arquitetura de referência recomendada para manipulação adequada dos dados de titulares de cartão. Os consultores da RSA fornecem essa arquitetura propostaapós: 1. Avaliar os níveis atuais de conformidade com o padrão PCI DSS por meio da revisão das arquiteturas atuais para obter elementos de infraestrutura (redes, aplicativos, servidores e armazenamento) e do uso de tecnologias avançadas de classificação e deteção que manipulam e processam dados de titulares de cartão. 2. Revisar as políticas e processos atuais de manipulação dos dados de titulares de cartão e compará-los com o padrão PCI DSS e com as práticas recomendadas, obtidas segundo a experiência da consultoria da RSA. 3. Produzir um relatório para documentar as brechas entre o estado atual da infraestrutura, das políticas e dos procedimentos e o estado desejado para alcançar aconformidade com o PCI DSS. 4. Desenvolver um roteiro de correções que forneça um cronograma passo a passo das alterações recomendadas de infraestrutura e processos para garantir a conformidade com o PCI DSS e, ao mesmo tempo, reconhecer as limitações da gestão de orçamento, da equipa e das informações. Além disso, o serviço EMC de avaliação de segurança do armazenamento oferece uma análise detalhada daspráticas e procedimentos de segurança relacionados às infraestruturas de armazenamento em rede da EMC. Deteção e classificação de dados dos cartões de crédito Os serviços profissionais RSA permitem que os clientes compreendam onde os dados de titulares de cartão residem na empresa para que esses dados possam ser geridos de modo 5/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 6 09-06-2013 consistente durante o ciclo de vida. Para conseguir isso, os serviços profissionais RSA usam uma variedade de aplicativos, tecnologias de deteção e classificação de redes e dados, juntamente com entrevistas com os responsáveis pelos principais aplicativos para analisar a localização e o fluxo de transações dos dados de titulares de cartão. A oferta de serviço profissional e a classificação para segurança das informações garante que os dadosdos titulares de cartão sejam usados adequadamente, que a manipulação de dados de titulares de cartão seja documentada e que apenas as informações necessárias e apropriadas sejam armazenadas. Os fluxos de transação de dados de cartões na empresa são analisados, garantindo que as informações de cartões de crédito em aplicativos dependentes e nas linhas de negócios associadas sejam armazenadas e catalogadas. Proteger os dados armazenados sobre titulares de cartão A RSA fornece uma ampla gama de tecnologias de dados corporativos seguros que permite que os clientes atendam ao Requisito 3 do padrão PCI, protegendo os dados armazenados de titulares de cartão onde quer que esses dados estejam na empresa. As soluções de dados corporativos seguros permitem que os clientes protejam os dados de titulares de cartão em todos os pontos de criptografia, independente de onde os dados residam, seja num aplicativo, num banco de dados, em arquivos e pastas ou em armazenamento de disco. Além disso, a gestão de chaves em toda a empresa fornecido pelo RSA Key Manager garante que as soluções de proteção de dados possam ser dimensionadas e adaptadas às mudanças nos negócios e que os seus dados estarão disponíveis e protegidos, independente de onde sejam necessários no ciclo de vida das informações. Alguns dos sub- requisitos específicos que podem ser atendidos com a tecnologia RSA são: Requisito 3.4- Manter o número principal do cartão no mínimo ilegível, onde quer que esteja armazenado o RSA Key Manager oferece bibliotecas de desenvolvimento de aplicativos que suportam uma grande variedade de linguagens de desenvolvimento, permitindo que os desenvolvimentos integrem, com facilidade, a criptografia em aplicativos de ponto de vendas, pagamento, CRM, ERP e outros aplicativos que criam ou processam informações confidenciais. O RSA Database Security Manager permite que os clientes criptografem as informações no nível do banco de dados e aceita diversos DBMS (Database 6/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 7 09-06-2013 Management Systems, sistemas de gestão de banco de dados), inclusive Oracle, SQL Server, IBM DB/2, Sybase e Teradata. O RSA Database Security Manager é especialmente eficiente para empresas com ambientes heterogéneos de DBMS, pois a sua tecnologia permite que as empresas apliquem políticas de segurança consistentes em diferentes sistemas de DBMS. O RSA File Security Manager oferece aos clientes a habilidade de proteger os dados de cartão de crédito mantidos em arquivos de computadores, laptops e servidores contra ataques internos e externos. Além disso, a sua tecnologia permite que os clientes giram e apliquem de modo centralizado a separação de funções, juntamente com outras políticas de segurança, em arquivos confidenciais, independente de onde estiverem localizados na rede. Requisito 3.6: Documentar e implementar completamente todos os processos e procedimentos de gestão de chaves para estas serem usadas na criptografia dos dados de titulares de cartão. O RSA Key Manager oferece suporte sólido para a gestão de chaves de criptografia em todo o ciclo de vida da chave, desde a geração de chaves fortes, a ativação do armazenamento e da distribuição de seguros das chaves até tornar as chaves de criptografia praticamente inacessíveis. Por meio de parcerias com a Decru e a NeoScale Systems, a RSA oferece recursos de criptografia para sistemas de armazenamento em disco. O dispositivo de segurança de armazenamento Decru DataFort permite que os clientes automatizem e simplifiquem a gestão de dados protegidos em ambientes corporativos heterogéneos, especialmente entre ambientes complexos de armazenamento em disco de SAN/NAS. Os dispositivos NeoScale,CryptoStor automatizam a criptografia de dados localizados tanto na rede de armazenamento quando inativos no disco, fita ou virtual. Requisito 3.5 - proteger as chaves de criptografia usadas para criptografar os dados de titulares de cartão contra exposição e uso impróprio.O RSA KeyManager é uma tecnologia de gestão centralizada de chaves de criptografia que permite aplicar as políticas de modo centralizado em toda a empresa. Além disso, a tecnologia permite que os clientes restrinjam o acesso às chaves e armazenem de modo seguro as chaves de criptografia. Por meio da integração com tecnologias de criptografia da RSA, além de tecnologias de outros fabricantes como Decru e NeoScale, a RSA oferece uma plataforma comum para aplicar 7/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 8 09-06-2013 segurança aos dados de titulares de cartão. Além disso, a RSA fez parceria com a Epicor|CRS para integrar o RSA KeyManager à solução de ponto de vendas CRS RetailStore, para ajudar na proteção de informaçõesconfidenciais — como dados de cartão de crédito — no ponto da entrada. Além disso, o RSA Key Manager oferece ainda mais suporte à conformidade com o Requisito 3.5, permitindo que os clientes limitem o acesso às chaves de criptografia, assegurando que os utilizadores sejam autenticados e autorizados adequadamente, controlos estes que os auditores do PCI DSS procuram constatar. Além disso, o RSA Key Manager armazena as chaves de criptografia em um banco de dados protegido (o armazenamento de chaves) onde as próprias chaves são criptografadas usando uma KEK (Key Encryption Key, chave de criptografia de chaves). Os clientes podem armazenar essa KEK num HSM (Hardware Security Module, módulo de segurança de hardware), um dispositivo de hardware especializado e protegido que reforça a proteção. Criptografar a transmissão de dados sobre os titulares de cartão em redes abertas e públicas Por meio de uma parceria com a CipherOptics, a RSA oferece segurança transparente para dados em circulação nas redes IP internas, o que ajuda a proteger os links entre os sistemas e, assim, garantir que os dados confidenciais não sejam adulterados enquanto são transferidos entre os sistemas. O serviço RSA de projeto e implementação de criptografia do armazenamento integra os dispositivos CipherOptics aos ambientes dos clientes usando as práticas recomendadas de implantação. Além disso, o RSA Key Manager oferece um suporte sólido para a gestão de chaves de criptografia em todo o ciclo de vida das chaves, desde a geração de chaves fortes, a ativação do armazenamento e da distribuição seguros das chavesaté tornar as chaves de criptografia praticamente inacessíveis. Manter sistemas e aplicativos seguros O serviço RSA Application Security Design Assessment é uma oferta em pacotes que oferece um diagnóstico rápido e preciso do estado atual da segurança dos aplicativos. Os consultores do RSA Professional 8/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 9 09-06-2013 Servicesanalisam o projeto e o modelo operacional dos aplicativos alvo e dos ambientes que os cerca, conferem completamente os projetos de aplicativos atuais e a documentação técnica associada,examinam a arquitetura de aplicativos e o fluxo de informações e produzem um relatório destacando os pontos fortes e fracos dos sistemas atuais e das operações relativas às práticas recomendadas da RSA. Restringir o acesso aos dados de titulares de cartão As soluções RSA para acesso corporativo seguro permitem que os clientes cumpram o requisito 7 do padrão PCI, assegurando que apenas usuários autorizados possam acessar os dados de titulares de cartão em sistemas de PCI com base na Web. Especificamente, o software RSA Access Manager oferece suporte aos seguintes sub-requisitos: Requisito 7.1 - limitar o acesso aos recursos de computadores e às informações sobre titulares de cartões apenas às pessoas cuja função exige tal acesso. O software RSA Access Manager ajuda os clientes a assegurar que apenas as pessoas autorizadas poderão aceder aos dados de titulares de cartão em aplicativos com base na Web. Além disso, esses privilégios podem ser atribuídos com base nas responsabilidades do cargo de uma pessoa ou de um grupo. Os direitos do RSA Access Manager podem ser definidos por atributos exclusivos, como um cargo (por exemplo, departamento de contabilidade), o que ajuda a assegurar que o acesso seja automaticamente cancelado se, por exemplo, um membro da empresa for transferido para outro departamento. Além disso, o RSA “Access Manager” permite que os clientes centralizem o acesso dos dados de titulares de cartão com base na Web, ajudando a aumentar a segurança e assim garantir que sejam implementados controlos consistentes de ponto de acesso com base na Web. Requisito 7.2- estabelecer um mecanismo para os sistemas com diferentes utilizadores que limite o acesso com base na necessidade para o cargo do utilizador e que seja definido para ―negar todos‖ a menos que especificamente permitido. Atribuir uma ID exclusiva cada pessoa com acesso ao computador As soluções RSA para segurança de acesso aos dados corporativos e aos dados em si, ajudam os clientes a garantir que os utilizadores que acessão os 9/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 10 09-06-2013 sistemas de dados de titulares de cartão realmente sejam quem afirmam ser. Os recursos específicos incluem: Requisito 8.2- Além de atribuir uma ID exclusiva, aplicar pelo menos um dos métodos a seguir para autenticar todos os usuários: a) Senha b) Dispositivos de token (por exemplo, SecurID, certificados ou chaves públicas). c) Biométrica. O RSA SecurID permite o cumprimento desses requisitos, oferecendo uma série de tokens de autenticação / autenticadores de dois fatores com base em hardware e software. Além disso, as RSA Digital Certificate Solutions oferecem aos clientes flexibilidade para escolher o mecanismo de autenticação que melhor atende às suas necessidades.Em seguida surge o: Requisito 8.3 - implementar autenticação de dois fatores para acesso remoto à rede pelos funcionários, administradores e terceiros. O RSA SecurID permite que as empresas implementem autenticação de dois fatores por meio de uma série de opções de token para autenticação de dois fatores com base em hardware e software. Além disso, os parceiros RSA Secured oferecem soluções para acesso remoto com integração imediata com o RSA SecurID, tornando mais simples para as empresas adotar processos de autenticação sólida dos utilizadores que acessão os recursos por conexões VPN. – Requisito 8.4: criptografar todas as senhas durante a transmissão e o armazenamento em todos os componentes do sistema. O RSA SecurID (mais especificamente, o RSA SID200 PINpad Authenticator and Software Authenticator) permite que o PIN (Personal Identification Number), número de identificação pessoal) do utilizador final seja criptografado antes de ser transmitido pela rede. Todas as comunicações entre os agentes do RSA SecurID e o servidor são criptografados e todas as informações de PIN dos utilizadores finais são criptografadas por inteiro durante o armazenamento no lado do servidor. Além disso, o RSA File SecurityManager permite a criptografia de arquivos simples usados para armazenar senhas. Requisito 8.5 - Assegurar a gestão apropriada de autenticação e de senha dos utilizadores não consumidores e de administradores em todas as componentes do sistema. A tecnologia RSA SecurID ajuda os seus clientes a exceder esse requisito, oferecendo meios para que realizem autenticação 10/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 11 09-06-2013 sólida dos utilizadores antes do acesso. Restringir acesso físico aos dados do titular do cartão A RSA e a EMC oferecem soluções para monitorar, analisare gerenciar a segurança física de sistemas e instalações onde os dados de titulares de cartão são armazenados e processados. Os recursos específicos que atendem aos principais sub-requisitos incluem: Requisito 9.1 - Usar controlos apropriados de entrada em instalações para limitar e monitorizar o acesso físico aos sistemas que armazenam, processam ou transmitem dados de titulares de cartão. A EMC Physical Security Solution permite que os clientes giram, analisem, arquivem e dimensionem a segurança física e as informações de vigilância em vídeo ao longo de todo o ciclo de vida. O software EMC Surveillance Manager fornece análises muito eficientes e gestão automática, com base em políticas. Além disso, os sistemas de armazenamento EMC de nível empresarial garantem uma solução dimensionável para atender aos crescentes requisitos de armazenamento de segurança física. As plataformas de armazenamento endereçado ao conteúdo do EMC Centera e o software Documentum de gestão de conteúdo, fornecem o arquivamento de evidências para as análises e armazenamento de arquivos delongo prazo e à prova de violação para as informações de vigilância em vídeo e outras informações desegurança física. Os EMC Global Services projetam e integram a EMC Physical Security Solution aos ambientes dos clientes. Requisito 9.7 -Manter controlo rigoroso sobre a distribuição interna e externa de qualquer tipo de mídias que contenha dados de titulares de cartão (abrangendo a classificação da mídias para que possa ser identificada como confidencial). A oferta de serviço profissional RSA classificação para segurança das informações sustenta os esforços dos clientes para efetivamente classificar as mídias que contêm dados de cartões de crédito. Requisito 9.10- Destruir mídias que contêm dados de titulares de cartão quando não forem mais necessárias para os negócios ou por razões legais. Os EMC Certified Data Erasure Services usam técnicas exclusivas e ferramentas do setor para sobregravar as mídias de armazenamento em níveis especificados de eliminação — 3x, 5x, 7x ou 11/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 12 09-06-2013 um número personalizado — a fim de substituir os seus dados por uma sequência de padrões variáveis de bits que tornam os dados irrecuperáveis. Os especialistas da EMC podem realizar esse serviço nas instalações dos clientes ou em locais remotos em storage arrays completos ou mídias específicas após substituição proactiva. Os serviços estão disponíveis para storage arrays tanto da EMC quanto da Hitachi, IBM, Sun, Network Appliance e HP. Ao limite do processo, a EMC fornece um relatório abrangente e um certificado de conclusão específico para os drives que foram apagados, indicando o nível de eliminação obtido. Controlar e monitorizar todo o acesso aos recursos de rede e aos dados de titulares de cartão Requisito 10.1 - Estabelecer um processo para vincular todo o acesso aos componentes do sistema (especialmente acesso realizado com privilégios de administrador, como root) a cada utilizador individual. O RSA enVision permite que os clientes controlem as atividades administrativas de utilizadores e fornece supervisão a fim de ajudar a verificar se um utilizador está a agir de acordo com a política estabelecida. Além disso, o sistema pode enviar um alerta ao supervisor de um utilizador, caso o seu comportamento viole a política. Requisito 10.2 - Implementar ―pisadas‖ de auditoria automatizadas para todos os componentes do sistema para reconstruir os principais eventos. O utilizador RSA enVision ajuda as empresas a implementar ―pisadas‖ de auditoria automatizadas, que detalham o acesso de utilizadores aos dados de titulares de cartão, as ações realizadas pelos utilizadores com privilégios de administrador/root, os acesso às ―pisadas‖ de auditoria, as tentativas inválidas de acesso lógico, o uso de mecanismos de autenticação, a inicialização do registo de auditoria e a criação/exclusão de objetos de nível do sistema. Requisito 10.3 -Registar entradas de ―pisadas‖ de auditoria. O RSA enVision registará os eventos conforme forem reportados pelos dispositivos associados. Além disso, o RSA enVision salva os dados de evento, que podem ser analisados e revistos para determinar o tipo de evento. Requisito 10.5 - Proteger as ―pisadas‖ de auditoria de modo que não possam ser alteradas. O RSA enVision fornece dados 12/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 13 09-06-2013 não-filtrados e espelhados para o banco de dados de Protocolo da Internet, permitindo a retenção dos dados no seu formato original. Além disso, os recursos de ―uma gravação, muitas leituras‖ ajudam a garantir que as cópias espelhadas permaneçam intactas, mesmo que os dados originais estejam comprometidos. Os registos de evento capturados pelo RSA enVision são armazenados num sistema operacional protegido, em formato compactado e protegido por meio de criptografia ―lightweight‖. Requisito 10.7 - Manter um histórico da ―pisada‖ de auditoria por pelo menos um ano, com um mínimo de três meses de disponibilidade on- line. O RSA enVision NAS3500 oferece o EMC Celerra préconfigurado, pré-testado e em rack, permitindo que os clientes tenham entre 3.5 TB e 7 TB de armazenamento, número especialmente relevante para a retenção de dados de registo on-line. Além disso, como o RSA enVision foi projetado para oferecer integração imediata com plataformas de armazenamento em rede, como o EMC Centera e o EMC Celerra, os clientes terão a capacidade de armazenar as suas informações essenciais para cumprir os requisitos de conformidade. Os sistemas do EMC Celerra NAS (Network Attached Storage, armazenamento conectado à rede) fornecem o preço/desempenho líder do setor com disponibilidade sem comprometimento. A disponibilidade sem compromisso significa que os aplicativos continuam a executar as operações nos mesmos níveis de desempenho e serviço, mesmo em caso de falha. O Celerra consegue oferecer isso por meio de uma arquitetura de cluster N+1 ativa/passiva e eliminando qualquer ponto de falha da rede até o drive de disco. Além disso, os sistemas do EMC Celerra NAS implementam um recurso chamado ―File Level Retention‖ (retenção num nível de arquivo) que fornece proteção ORM com base em discos para arquivos. Esse recurso do Celerra protege arquivos e diretórios de serem excluídos, alterados, renomeados ou sobescritos durante o período de retenção especificado. O Celerra File Level Retention pode oferecer às empresas a capacidade de proteger a integridade de registos de auditoria on-line por um período de retenção específico (por exemplo, três meses). 13/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 14 09-06-2013 Conclusão Num sistema bancário cada vez mais exigente as entidades bancárias apostam cada vez mais nestes serviços de vanguarda tecnológica apoiada em bases de dados extremamente cuidadas que ajudam os clientes a criar políticas e processos para desenvolver e aprimorar seus programas de segurança das informações. Mais especificamente, os consultores dos serviços profissionais que revisam as políticas de segurança existentes e desenvolvem políticas novas ou aperfeiçoadas para assegurar que os dados de titulares de cartão sejam manipulados apropriadamente. Estes serviços também revisam os processos quanto ao uso, compartilhamento, armazenamento e rotulação da mídia que contém dados de titulares de cartão para assegurar que sejam consistentes com as práticas recomendadas pelo padrão PCI DSS. Tais políticas devem incluir especificações de usos apropriados e necessários de dados de titulares de cartão e procedimentos adequados para manipular esses dados. Desta forma garante-se que erros e problemas com os clientes não aconteçam. 14/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 15 09-06-2013 Bibliografia Security Standards Council (2006). Indústria de Cartões de Pagamentos (PCI), Padrão de Segurança de Dados - Procedimentos de Auditoria de Segurança. Versão 1.1; Visa (2005). Indústria de Cartões de Pagamento (PCI), Padrão de Segurança de Dados. Versão 1.0; RSA (2007). Protegendo os Dados de Cartão de Crédito, atendendo ao padrão de segurança de dados do PCI. Versão 1.1. 15/15

Recomendados

LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVOLGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVOWellington Monaco
 
Manual twitter 2011
Manual twitter 2011Manual twitter 2011
Manual twitter 2011fernandomns
 
Presentaciones slideshare
Presentaciones slidesharePresentaciones slideshare
Presentaciones slideshareJeannAlvarez12
 
Rm tarea - 5º
Rm tarea - 5ºRm tarea - 5º
Rm tarea - 5ºbrisagaela29
 
desarrollo organizacional tema 1
desarrollo organizacional tema 1desarrollo organizacional tema 1
desarrollo organizacional tema 1larrealwg
 
Livro lendas
Livro lendasLivro lendas
Livro lendasescolajoaogoncalves
 
Cine actual Principal
Cine actual PrincipalCine actual Principal
Cine actual Principaldenissesalvi
 
La carne y el cáncer
La carne y el cáncerLa carne y el cáncer
La carne y el cáncerhector leon cervantes cuellar
 

Recomendados

LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVOLGPD | IMPACTOS NO DIA-A-DIA CORPORATIVO
LGPD | IMPACTOS NO DIA-A-DIA CORPORATIVOWellington Monaco
 
Manual twitter 2011
Manual twitter 2011Manual twitter 2011
Manual twitter 2011fernandomns
 
Presentaciones slideshare
Presentaciones slidesharePresentaciones slideshare
Presentaciones slideshareJeannAlvarez12
 
Rm tarea - 5º
Rm tarea - 5ºRm tarea - 5º
Rm tarea - 5ºbrisagaela29
 
desarrollo organizacional tema 1
desarrollo organizacional tema 1desarrollo organizacional tema 1
desarrollo organizacional tema 1larrealwg
 
Livro lendas
Livro lendasLivro lendas
Livro lendasescolajoaogoncalves
 
Cine actual Principal
Cine actual PrincipalCine actual Principal
Cine actual Principaldenissesalvi
 
La carne y el cáncer
La carne y el cáncerLa carne y el cáncer
La carne y el cáncerhector leon cervantes cuellar
 
Día del planeta tierra
Día del planeta tierraDía del planeta tierra
Día del planeta tierra980507273
 
Proyecto curricularcentro ma
Proyecto curricularcentro maProyecto curricularcentro ma
Proyecto curricularcentro maAntonio Leston
 
Tarea seminario 3
Tarea seminario 3Tarea seminario 3
Tarea seminario 3marleomor
 
Pais maus
Pais mausPais maus
Pais mausRogério Prevedel
 
Qué me espero de ética
Qué me espero de éticaQué me espero de ética
Qué me espero de éticaangelapsoler
 
Tecnologias de informacion kayori
Tecnologias de informacion kayoriTecnologias de informacion kayori
Tecnologias de informacion kayoriLic_Kayori_Salas
 
Parcial 2 abigail
Parcial 2 abigailParcial 2 abigail
Parcial 2 abigailAbyyuh
 
Atividade2,1
Atividade2,1Atividade2,1
Atividade2,1Fatima Freitas
 
Responsabilidad Tecnologica y Ambiental
Responsabilidad Tecnologica y AmbientalResponsabilidad Tecnologica y Ambiental
Responsabilidad Tecnologica y AmbientalMairaLucena14
 
Un dia en el parque
Un dia en el parqueUn dia en el parque
Un dia en el parqueValeria Orozco Rojas
 
El computador
El computadorEl computador
El computadorjulianymafe365
 
Trabajo final Tabu
Trabajo final TabuTrabajo final Tabu
Trabajo final Tabudresaavefu
 
O relogio
O relogioO relogio
O relogioLuiz Paulo Johansson
 
Ecuaciones de segundo grado 2º
Ecuaciones de segundo grado 2ºEcuaciones de segundo grado 2º
Ecuaciones de segundo grado 2ºbrisagaela29
 
Álbum de fotografias
Álbum de fotografiasÁlbum de fotografias
Álbum de fotografiasMerlot Fotografias
 
Guía práctica para China
Guía práctica para ChinaGuía práctica para China
Guía práctica para ChinaDeysi Quiroz
 
Whats app
Whats appWhats app
Whats appLuis Angel Herrera Ornelas
 
Mate tarea - 3º
Mate tarea - 3ºMate tarea - 3º
Mate tarea - 3ºbrisagaela29
 
Trabajo flex byson
Trabajo flex bysonTrabajo flex byson
Trabajo flex bysonJhon Alexito
 
PCI and PCI DSS Overview
PCI and PCI DSS OverviewPCI and PCI DSS Overview
PCI and PCI DSS OverviewUlisses Castro
 
Um Toolkit para atender os requisitos técnicos do PCI DSS
Um Toolkit para atender os requisitos técnicos do PCI DSSUm Toolkit para atender os requisitos técnicos do PCI DSS
Um Toolkit para atender os requisitos técnicos do PCI DSSJuliano Dapper
 
Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Leonardo Couto
 

Más contenido relacionado

Destacado

Día del planeta tierra
Día del planeta tierraDía del planeta tierra
Día del planeta tierra980507273
 
Proyecto curricularcentro ma
Proyecto curricularcentro maProyecto curricularcentro ma
Proyecto curricularcentro maAntonio Leston
 
Tarea seminario 3
Tarea seminario 3Tarea seminario 3
Tarea seminario 3marleomor
 
Qué me espero de ética
Qué me espero de éticaQué me espero de ética
Qué me espero de éticaangelapsoler
 
Tecnologias de informacion kayori
Tecnologias de informacion kayoriTecnologias de informacion kayori
Tecnologias de informacion kayoriLic_Kayori_Salas
 
Parcial 2 abigail
Parcial 2 abigailParcial 2 abigail
Parcial 2 abigailAbyyuh
 
Responsabilidad Tecnologica y Ambiental
Responsabilidad Tecnologica y AmbientalResponsabilidad Tecnologica y Ambiental
Responsabilidad Tecnologica y AmbientalMairaLucena14
 
Trabajo final Tabu
Trabajo final TabuTrabajo final Tabu
Trabajo final Tabudresaavefu
 
Ecuaciones de segundo grado 2º
Ecuaciones de segundo grado 2ºEcuaciones de segundo grado 2º
Ecuaciones de segundo grado 2ºbrisagaela29
 
Guía práctica para China
Guía práctica para ChinaGuía práctica para China
Guía práctica para ChinaDeysi Quiroz
 
Trabajo flex byson
Trabajo flex bysonTrabajo flex byson
Trabajo flex bysonJhon Alexito
 

Destacado (19)

Día del planeta tierra
Día del planeta tierraDía del planeta tierra
Día del planeta tierra
 
Proyecto curricularcentro ma
Proyecto curricularcentro maProyecto curricularcentro ma
Proyecto curricularcentro ma
 
Tarea seminario 3
Tarea seminario 3Tarea seminario 3
Tarea seminario 3
 
Pais maus
Pais mausPais maus
Pais maus
 
Qué me espero de ética
Qué me espero de éticaQué me espero de ética
Qué me espero de ética
 
Tecnologias de informacion kayori
Tecnologias de informacion kayoriTecnologias de informacion kayori
Tecnologias de informacion kayori
 
Parcial 2 abigail
Parcial 2 abigailParcial 2 abigail
Parcial 2 abigail
 
Atividade2,1
Atividade2,1Atividade2,1
Atividade2,1
 
Responsabilidad Tecnologica y Ambiental
Responsabilidad Tecnologica y AmbientalResponsabilidad Tecnologica y Ambiental
Responsabilidad Tecnologica y Ambiental
 
Un dia en el parque
Un dia en el parqueUn dia en el parque
Un dia en el parque
 
El computador
El computadorEl computador
El computador
 
Trabajo final Tabu
Trabajo final TabuTrabajo final Tabu
Trabajo final Tabu
 
O relogio
O relogioO relogio
O relogio
 
Ecuaciones de segundo grado 2º
Ecuaciones de segundo grado 2ºEcuaciones de segundo grado 2º
Ecuaciones de segundo grado 2º
 
Álbum de fotografias
Álbum de fotografiasÁlbum de fotografias
Álbum de fotografias
 
Guía práctica para China
Guía práctica para ChinaGuía práctica para China
Guía práctica para China
 
Whats app
Whats appWhats app
Whats app
 
Mate tarea - 3º
Mate tarea - 3ºMate tarea - 3º
Mate tarea - 3º
 
Trabajo flex byson
Trabajo flex bysonTrabajo flex byson
Trabajo flex byson
 

Similar a Grupo 7 si_28191_28045_20130609_1800

PCI and PCI DSS Overview
PCI and PCI DSS OverviewPCI and PCI DSS Overview
PCI and PCI DSS OverviewUlisses Castro
 
Um Toolkit para atender os requisitos técnicos do PCI DSS
Um Toolkit para atender os requisitos técnicos do PCI DSSUm Toolkit para atender os requisitos técnicos do PCI DSS
Um Toolkit para atender os requisitos técnicos do PCI DSSJuliano Dapper
 
Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Leonardo Couto
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoSidney Modenesi, MBCI
 
White Paper Frost & Sullivan Portugues
White Paper Frost & Sullivan PortuguesWhite Paper Frost & Sullivan Portugues
White Paper Frost & Sullivan PortuguesFelipe Lamus
 
Por que tudo que você achava que sabia sobre implementar novas tecnologias mu...
Por que tudo que você achava que sabia sobre implementar novas tecnologias mu...Por que tudo que você achava que sabia sobre implementar novas tecnologias mu...
Por que tudo que você achava que sabia sobre implementar novas tecnologias mu...Cisco do Brasil
 
Wiseminer data intelligence 2015 01
Wiseminer data intelligence 2015 01Wiseminer data intelligence 2015 01
Wiseminer data intelligence 2015 01Leonardo Couto
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Edson Aguilera-Fernandes
 
Agir f nery 01mar2019
Agir f nery 01mar2019Agir f nery 01mar2019
Agir f nery 01mar2019Fernando Nery
 
Tecnologia analítica para a indústria de crédito e cobrança
Tecnologia analítica para a indústria de crédito e cobrançaTecnologia analítica para a indústria de crédito e cobrança
Tecnologia analítica para a indústria de crédito e cobrançaLeonardo Couto
 
Transforme Dados em Vantagem Competitiva
Transforme Dados em Vantagem CompetitivaTransforme Dados em Vantagem Competitiva
Transforme Dados em Vantagem CompetitivaLeonardo Couto
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Wiseminer - Caso de Sucesso na Detecção e Prevenção à Fraude em Telefonia
Wiseminer - Caso de Sucesso na Detecção e Prevenção à Fraude em TelefoniaWiseminer - Caso de Sucesso na Detecção e Prevenção à Fraude em Telefonia
Wiseminer - Caso de Sucesso na Detecção e Prevenção à Fraude em TelefoniaLeonardo Couto
 
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...Sidney Modenesi, MBCI
 
8ª Conseguro - Cristina Mano
8ª Conseguro - Cristina Mano8ª Conseguro - Cristina Mano
8ª Conseguro - Cristina ManoCNseg
 
Wiseminer Data Intelligence - Transformando Dados em Vantagem Competitiva
Wiseminer Data Intelligence - Transformando Dados em Vantagem CompetitivaWiseminer Data Intelligence - Transformando Dados em Vantagem Competitiva
Wiseminer Data Intelligence - Transformando Dados em Vantagem CompetitivaLeonardo Couto
 

Similar a Grupo 7 si_28191_28045_20130609_1800 (20)

PCI and PCI DSS Overview
PCI and PCI DSS OverviewPCI and PCI DSS Overview
PCI and PCI DSS Overview
 
Um Toolkit para atender os requisitos técnicos do PCI DSS
Um Toolkit para atender os requisitos técnicos do PCI DSSUm Toolkit para atender os requisitos técnicos do PCI DSS
Um Toolkit para atender os requisitos técnicos do PCI DSS
 
Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...Sistema de inteligência de dados para automação de processos de auditoria e c...
Sistema de inteligência de dados para automação de processos de auditoria e c...
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
 
White Paper Frost & Sullivan Portugues
White Paper Frost & Sullivan PortuguesWhite Paper Frost & Sullivan Portugues
White Paper Frost & Sullivan Portugues
 
Por que tudo que você achava que sabia sobre implementar novas tecnologias mu...
Por que tudo que você achava que sabia sobre implementar novas tecnologias mu...Por que tudo que você achava que sabia sobre implementar novas tecnologias mu...
Por que tudo que você achava que sabia sobre implementar novas tecnologias mu...
 
Estudo de Caso: O Hotel do Bosque
Estudo de Caso: O Hotel do BosqueEstudo de Caso: O Hotel do Bosque
Estudo de Caso: O Hotel do Bosque
 
Wiseminer data intelligence 2015 01
Wiseminer data intelligence 2015 01Wiseminer data intelligence 2015 01
Wiseminer data intelligence 2015 01
 
Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012
 
4h Consulting
4h Consulting4h Consulting
4h Consulting
 
Agir f nery 01mar2019
Agir f nery 01mar2019Agir f nery 01mar2019
Agir f nery 01mar2019
 
Tecnologia analítica para a indústria de crédito e cobrança
Tecnologia analítica para a indústria de crédito e cobrançaTecnologia analítica para a indústria de crédito e cobrança
Tecnologia analítica para a indústria de crédito e cobrança
 
Transforme Dados em Vantagem Competitiva
Transforme Dados em Vantagem CompetitivaTransforme Dados em Vantagem Competitiva
Transforme Dados em Vantagem Competitiva
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Wiseminer - Caso de Sucesso na Detecção e Prevenção à Fraude em Telefonia
Wiseminer - Caso de Sucesso na Detecção e Prevenção à Fraude em TelefoniaWiseminer - Caso de Sucesso na Detecção e Prevenção à Fraude em Telefonia
Wiseminer - Caso de Sucesso na Detecção e Prevenção à Fraude em Telefonia
 
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
 
8ª Conseguro - Cristina Mano
8ª Conseguro - Cristina Mano8ª Conseguro - Cristina Mano
8ª Conseguro - Cristina Mano
 
jjjjjjjjjjjjjjj
jjjjjjjjjjjjjjjjjjjjjjjjjjjjjj
jjjjjjjjjjjjjjj
 
Wiseminer Data Intelligence - Transformando Dados em Vantagem Competitiva
Wiseminer Data Intelligence - Transformando Dados em Vantagem CompetitivaWiseminer Data Intelligence - Transformando Dados em Vantagem Competitiva
Wiseminer Data Intelligence - Transformando Dados em Vantagem Competitiva
 

Grupo 7 si_28191_28045_20130609_1800

  • 1. Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 1 09-06-2013 NATÁLIA FERNANDES, Nº 28191 CURSO: CONTABILIDADE NUNO CORREIA, Nº 28045 CURSO: GESTÃO Índice Instituto de Estudos Superiores de Fafe Escola Superior de Tecnologias de Fafe Erros do Gabinete de Crédito Problemas com pessoas importantes Unidade Curricular de Sistemas de Informação
  • 2. Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 2 09-06-2013 Introdução......................................................................................................3 Segurança de dados.......................................................................................4 Deteção e classificação de dados dos cartões de crédito ..............................5 Proteger os dados armazenados sobre titulares de cartão .............................6 Criptografar a transmissão de dados sobre os titulares de cartão em redes abertas e públicas ..........................................................................................8 Manter sistemas e aplicativos seguros ..........................................................8 Restringir o acesso aos dados de titulares de cartão .....................................9 Atribuir uma ID exclusiva cada pessoa com acesso ao computador ............9 Restringir acesso físico aos dados do titular do cartão ...............................11 Controlar e monitorizar todo o acesso aos recursos de rede e aos dados de titulares de cartão ........................................................................................12 Conclusão....................................................................................................14 Bibliografia..................................................................................................15 2/15
  • 3. Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 3 09-06-2013 Introdução O pagamento por cartão de crédito é cada vez mais popular. No entanto, também requer medidas de segurança rigorosas no que respeita aos dados de cartões de crédito e de transações, de modo a consolidar a confiança dos clientes neste método de pagamento. Por este motivo, os especialistas em segurança das empresas de cartões de crédito reuniram-se e desenvolveram uma solução comum. Qualquer empresa que processe, transmita ou armazene dados de cartões de crédito tem de cumprir um conjunto de diretrizes para garantir a segurança dos dados. O objetivo é que todos os comerciantes que aceitam cartões de crédito cumpram rigorosamente a PCI-DSS (Padrão de Segurança de Informação da Indústria de Cartões de Pagamento), anteriormente designada por CISP (Cardholder Information Security Program). A versão atual da norma foi desenvolvida durante um período de apenas alguns anos. A VISA lançou o CISP (Cardholder Information Security Program) em 2001. Este foi o primeiro programa deste tipo e exigia que os comerciantes e fornecedores de serviços cumprissem um conjunto de normas específicas para garantir a segurança dos dados. Alguns anos mais tarde, a VISA, a MasterCard, a American Express, a Discover, a DinersClub e a JCB conjugaram as respectivas políticas individuais e apresentaram a PCI-DSS (Payment Card Industry Data Security Standard), uma versão atualizada e mais abrangente da norma, que se tornou obrigatória para todos os comerciantes e fornecedores de serviços em Junho de 2005. Novamente atualizada em Setembro de 2006, a norma inclui agora cerca de 160 requisitos, que se tornaram obrigatórios em Junho de 2007. O acordo não é um mero "tigre de papel": Só em 2006, a VISA apresentou reclamações num valor total de 4,6 milhões de dólares contra comerciantes que não cumpriram as normas. Este número corresponde a um aumento de 35% em comparação com o ano anterior. A norma PCI atual inclui requisitos rígidos no que respeita ao processamento e armazenamento de dados de cartões de crédito. Os comerciantes estão obrigados a cumprir estas normas para manter o estatuto de parceiros da empresa de cartões de crédito e evitar multas pesadas. É possível que o seu banco o tenha contactado nos últimos meses com informações relativas à PCI e respetiva importância na prevenção de fraudes com cartões de crédito. 3/15
  • 4. Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 4 09-06-2013 Segurança de dados O padrão PCI identifica várias tecnologias fundamentais de segurança de TI e vários processos e procedimentos, que são necessários para proteger os dados de titulares de cartão. Para atender a esses requisitos, a RSA, Divisãode Segurança da EMC, oferece a solução RSA PCI, que abrange uma gama de tecnologias e serviços de segurança de TI. A abordagem da RSA, centrada em informações, permite que os clientes ultrapassem a proteção do perímetro e garantam que os dados estejam seguros não atingindo onde esses dados estejam. Além disso, as soluções RSA para conformidade com o padrão PCI permitirão que você responda às seguintes perguntas: 1. Onde estão todos os dados de cartão de crédito da empresa? 2. Como posso garantir que todos os dados de cartão de crédito estejam seguros? 3. Como posso utilizar os controlos adequados a fim de garantir uma resposta rápida aos riscos de segurança potenciais e comprovar que os investimentos de PCI e DSS podem ajudar nos negócios além das auditorias? À medida que as empresas começam a abordar a conformidade com o PCI DSS, elas devem primeiro compreender Objetivos Requisitos Desenvolver e manter uma rede segura 1. Instalar e manter uma configuração de firewall para proteger os dados de titulares de cartão 2. Não usar os padrões dos fornecedores para as do sistema e outros parâmetros de segurança Proteger dados de titulares de cartão 3. Proteger os dados armazenados sobre titulares de cartão 4. Criptografar a transmissão de dados sobre os titulares de cartão em redes abertas e públicas Manter um programa de gerenciamento de vulnerabilidades 5. Usar e atualizar regularmente um software antivírus 6. Desenvolver e manter sistemas e aplicativos seeguros Implementar medidas sólidas de controle de acesso 7. Restringir o acesso aos dados do titular do cartão apenas aos que realmente precisam dos dados 8. Atribuir uma ID exclusiva para cada pessoa com acesso ao computador 9. Restringir acesso físico aos dados do titular do cartão Monitorar e testar regularmente as redes 10. Controlar e monitorar todo o acesso aos recursos de rede e aos dados do titular do cartão 11. Testar regularmente os sistemas e processos de segurança Manter uma política de segurança das informações 12. Manter uma política que cuide da segurança dasinformações 4/15
  • 5. Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 5 09-06-2013 todas as falhas existentes para que possam identificar as necessidades de correção. Por meio da Pré- avaliação e análise de falhas do PCI DSS, os serviços profissionais RSA ajudam os clientes a compreender a sua atual postura em relação ao padrão PCI e desenvolver um roteiro de correções antes de passar por uma auditoria formal do padrão PCI. Esse serviço não substitui nem serve como auditoria do padrão PCI, mas ajuda os comerciantes a identificar e corrigir os pontos fracos antes de passar por uma auditoria do PCI. Como um dos principais resultados práticos, os serviços profissionais RSA fornecem uma arquitetura de referência recomendada para manipulação adequada dos dados de titulares de cartão. Os consultores da RSA fornecem essa arquitetura propostaapós: 1. Avaliar os níveis atuais de conformidade com o padrão PCI DSS por meio da revisão das arquiteturas atuais para obter elementos de infraestrutura (redes, aplicativos, servidores e armazenamento) e do uso de tecnologias avançadas de classificação e deteção que manipulam e processam dados de titulares de cartão. 2. Revisar as políticas e processos atuais de manipulação dos dados de titulares de cartão e compará-los com o padrão PCI DSS e com as práticas recomendadas, obtidas segundo a experiência da consultoria da RSA. 3. Produzir um relatório para documentar as brechas entre o estado atual da infraestrutura, das políticas e dos procedimentos e o estado desejado para alcançar aconformidade com o PCI DSS. 4. Desenvolver um roteiro de correções que forneça um cronograma passo a passo das alterações recomendadas de infraestrutura e processos para garantir a conformidade com o PCI DSS e, ao mesmo tempo, reconhecer as limitações da gestão de orçamento, da equipa e das informações. Além disso, o serviço EMC de avaliação de segurança do armazenamento oferece uma análise detalhada daspráticas e procedimentos de segurança relacionados às infraestruturas de armazenamento em rede da EMC. Deteção e classificação de dados dos cartões de crédito Os serviços profissionais RSA permitem que os clientes compreendam onde os dados de titulares de cartão residem na empresa para que esses dados possam ser geridos de modo 5/15
  • 6. Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 6 09-06-2013 consistente durante o ciclo de vida. Para conseguir isso, os serviços profissionais RSA usam uma variedade de aplicativos, tecnologias de deteção e classificação de redes e dados, juntamente com entrevistas com os responsáveis pelos principais aplicativos para analisar a localização e o fluxo de transações dos dados de titulares de cartão. A oferta de serviço profissional e a classificação para segurança das informações garante que os dadosdos titulares de cartão sejam usados adequadamente, que a manipulação de dados de titulares de cartão seja documentada e que apenas as informações necessárias e apropriadas sejam armazenadas. Os fluxos de transação de dados de cartões na empresa são analisados, garantindo que as informações de cartões de crédito em aplicativos dependentes e nas linhas de negócios associadas sejam armazenadas e catalogadas. Proteger os dados armazenados sobre titulares de cartão A RSA fornece uma ampla gama de tecnologias de dados corporativos seguros que permite que os clientes atendam ao Requisito 3 do padrão PCI, protegendo os dados armazenados de titulares de cartão onde quer que esses dados estejam na empresa. As soluções de dados corporativos seguros permitem que os clientes protejam os dados de titulares de cartão em todos os pontos de criptografia, independente de onde os dados residam, seja num aplicativo, num banco de dados, em arquivos e pastas ou em armazenamento de disco. Além disso, a gestão de chaves em toda a empresa fornecido pelo RSA Key Manager garante que as soluções de proteção de dados possam ser dimensionadas e adaptadas às mudanças nos negócios e que os seus dados estarão disponíveis e protegidos, independente de onde sejam necessários no ciclo de vida das informações. Alguns dos sub- requisitos específicos que podem ser atendidos com a tecnologia RSA são: Requisito 3.4- Manter o número principal do cartão no mínimo ilegível, onde quer que esteja armazenado o RSA Key Manager oferece bibliotecas de desenvolvimento de aplicativos que suportam uma grande variedade de linguagens de desenvolvimento, permitindo que os desenvolvimentos integrem, com facilidade, a criptografia em aplicativos de ponto de vendas, pagamento, CRM, ERP e outros aplicativos que criam ou processam informações confidenciais. O RSA Database Security Manager permite que os clientes criptografem as informações no nível do banco de dados e aceita diversos DBMS (Database 6/15
  • 7. Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 7 09-06-2013 Management Systems, sistemas de gestão de banco de dados), inclusive Oracle, SQL Server, IBM DB/2, Sybase e Teradata. O RSA Database Security Manager é especialmente eficiente para empresas com ambientes heterogéneos de DBMS, pois a sua tecnologia permite que as empresas apliquem políticas de segurança consistentes em diferentes sistemas de DBMS. O RSA File Security Manager oferece aos clientes a habilidade de proteger os dados de cartão de crédito mantidos em arquivos de computadores, laptops e servidores contra ataques internos e externos. Além disso, a sua tecnologia permite que os clientes giram e apliquem de modo centralizado a separação de funções, juntamente com outras políticas de segurança, em arquivos confidenciais, independente de onde estiverem localizados na rede. Requisito 3.6: Documentar e implementar completamente todos os processos e procedimentos de gestão de chaves para estas serem usadas na criptografia dos dados de titulares de cartão. O RSA Key Manager oferece suporte sólido para a gestão de chaves de criptografia em todo o ciclo de vida da chave, desde a geração de chaves fortes, a ativação do armazenamento e da distribuição de seguros das chaves até tornar as chaves de criptografia praticamente inacessíveis. Por meio de parcerias com a Decru e a NeoScale Systems, a RSA oferece recursos de criptografia para sistemas de armazenamento em disco. O dispositivo de segurança de armazenamento Decru DataFort permite que os clientes automatizem e simplifiquem a gestão de dados protegidos em ambientes corporativos heterogéneos, especialmente entre ambientes complexos de armazenamento em disco de SAN/NAS. Os dispositivos NeoScale,CryptoStor automatizam a criptografia de dados localizados tanto na rede de armazenamento quando inativos no disco, fita ou virtual. Requisito 3.5 - proteger as chaves de criptografia usadas para criptografar os dados de titulares de cartão contra exposição e uso impróprio.O RSA KeyManager é uma tecnologia de gestão centralizada de chaves de criptografia que permite aplicar as políticas de modo centralizado em toda a empresa. Além disso, a tecnologia permite que os clientes restrinjam o acesso às chaves e armazenem de modo seguro as chaves de criptografia. Por meio da integração com tecnologias de criptografia da RSA, além de tecnologias de outros fabricantes como Decru e NeoScale, a RSA oferece uma plataforma comum para aplicar 7/15
  • 8. Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 8 09-06-2013 segurança aos dados de titulares de cartão. Além disso, a RSA fez parceria com a Epicor|CRS para integrar o RSA KeyManager à solução de ponto de vendas CRS RetailStore, para ajudar na proteção de informaçõesconfidenciais — como dados de cartão de crédito — no ponto da entrada. Além disso, o RSA Key Manager oferece ainda mais suporte à conformidade com o Requisito 3.5, permitindo que os clientes limitem o acesso às chaves de criptografia, assegurando que os utilizadores sejam autenticados e autorizados adequadamente, controlos estes que os auditores do PCI DSS procuram constatar. Além disso, o RSA Key Manager armazena as chaves de criptografia em um banco de dados protegido (o armazenamento de chaves) onde as próprias chaves são criptografadas usando uma KEK (Key Encryption Key, chave de criptografia de chaves). Os clientes podem armazenar essa KEK num HSM (Hardware Security Module, módulo de segurança de hardware), um dispositivo de hardware especializado e protegido que reforça a proteção. Criptografar a transmissão de dados sobre os titulares de cartão em redes abertas e públicas Por meio de uma parceria com a CipherOptics, a RSA oferece segurança transparente para dados em circulação nas redes IP internas, o que ajuda a proteger os links entre os sistemas e, assim, garantir que os dados confidenciais não sejam adulterados enquanto são transferidos entre os sistemas. O serviço RSA de projeto e implementação de criptografia do armazenamento integra os dispositivos CipherOptics aos ambientes dos clientes usando as práticas recomendadas de implantação. Além disso, o RSA Key Manager oferece um suporte sólido para a gestão de chaves de criptografia em todo o ciclo de vida das chaves, desde a geração de chaves fortes, a ativação do armazenamento e da distribuição seguros das chavesaté tornar as chaves de criptografia praticamente inacessíveis. Manter sistemas e aplicativos seguros O serviço RSA Application Security Design Assessment é uma oferta em pacotes que oferece um diagnóstico rápido e preciso do estado atual da segurança dos aplicativos. Os consultores do RSA Professional 8/15
  • 9. Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 9 09-06-2013 Servicesanalisam o projeto e o modelo operacional dos aplicativos alvo e dos ambientes que os cerca, conferem completamente os projetos de aplicativos atuais e a documentação técnica associada,examinam a arquitetura de aplicativos e o fluxo de informações e produzem um relatório destacando os pontos fortes e fracos dos sistemas atuais e das operações relativas às práticas recomendadas da RSA. Restringir o acesso aos dados de titulares de cartão As soluções RSA para acesso corporativo seguro permitem que os clientes cumpram o requisito 7 do padrão PCI, assegurando que apenas usuários autorizados possam acessar os dados de titulares de cartão em sistemas de PCI com base na Web. Especificamente, o software RSA Access Manager oferece suporte aos seguintes sub-requisitos: Requisito 7.1 - limitar o acesso aos recursos de computadores e às informações sobre titulares de cartões apenas às pessoas cuja função exige tal acesso. O software RSA Access Manager ajuda os clientes a assegurar que apenas as pessoas autorizadas poderão aceder aos dados de titulares de cartão em aplicativos com base na Web. Além disso, esses privilégios podem ser atribuídos com base nas responsabilidades do cargo de uma pessoa ou de um grupo. Os direitos do RSA Access Manager podem ser definidos por atributos exclusivos, como um cargo (por exemplo, departamento de contabilidade), o que ajuda a assegurar que o acesso seja automaticamente cancelado se, por exemplo, um membro da empresa for transferido para outro departamento. Além disso, o RSA “Access Manager” permite que os clientes centralizem o acesso dos dados de titulares de cartão com base na Web, ajudando a aumentar a segurança e assim garantir que sejam implementados controlos consistentes de ponto de acesso com base na Web. Requisito 7.2- estabelecer um mecanismo para os sistemas com diferentes utilizadores que limite o acesso com base na necessidade para o cargo do utilizador e que seja definido para ―negar todos‖ a menos que especificamente permitido. Atribuir uma ID exclusiva cada pessoa com acesso ao computador As soluções RSA para segurança de acesso aos dados corporativos e aos dados em si, ajudam os clientes a garantir que os utilizadores que acessão os 9/15
  • 10. Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 10 09-06-2013 sistemas de dados de titulares de cartão realmente sejam quem afirmam ser. Os recursos específicos incluem: Requisito 8.2- Além de atribuir uma ID exclusiva, aplicar pelo menos um dos métodos a seguir para autenticar todos os usuários: a) Senha b) Dispositivos de token (por exemplo, SecurID, certificados ou chaves públicas). c) Biométrica. O RSA SecurID permite o cumprimento desses requisitos, oferecendo uma série de tokens de autenticação / autenticadores de dois fatores com base em hardware e software. Além disso, as RSA Digital Certificate Solutions oferecem aos clientes flexibilidade para escolher o mecanismo de autenticação que melhor atende às suas necessidades.Em seguida surge o: Requisito 8.3 - implementar autenticação de dois fatores para acesso remoto à rede pelos funcionários, administradores e terceiros. O RSA SecurID permite que as empresas implementem autenticação de dois fatores por meio de uma série de opções de token para autenticação de dois fatores com base em hardware e software. Além disso, os parceiros RSA Secured oferecem soluções para acesso remoto com integração imediata com o RSA SecurID, tornando mais simples para as empresas adotar processos de autenticação sólida dos utilizadores que acessão os recursos por conexões VPN. – Requisito 8.4: criptografar todas as senhas durante a transmissão e o armazenamento em todos os componentes do sistema. O RSA SecurID (mais especificamente, o RSA SID200 PINpad Authenticator and Software Authenticator) permite que o PIN (Personal Identification Number), número de identificação pessoal) do utilizador final seja criptografado antes de ser transmitido pela rede. Todas as comunicações entre os agentes do RSA SecurID e o servidor são criptografados e todas as informações de PIN dos utilizadores finais são criptografadas por inteiro durante o armazenamento no lado do servidor. Além disso, o RSA File SecurityManager permite a criptografia de arquivos simples usados para armazenar senhas. Requisito 8.5 - Assegurar a gestão apropriada de autenticação e de senha dos utilizadores não consumidores e de administradores em todas as componentes do sistema. A tecnologia RSA SecurID ajuda os seus clientes a exceder esse requisito, oferecendo meios para que realizem autenticação 10/15
  • 11. Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 11 09-06-2013 sólida dos utilizadores antes do acesso. Restringir acesso físico aos dados do titular do cartão A RSA e a EMC oferecem soluções para monitorar, analisare gerenciar a segurança física de sistemas e instalações onde os dados de titulares de cartão são armazenados e processados. Os recursos específicos que atendem aos principais sub-requisitos incluem: Requisito 9.1 - Usar controlos apropriados de entrada em instalações para limitar e monitorizar o acesso físico aos sistemas que armazenam, processam ou transmitem dados de titulares de cartão. A EMC Physical Security Solution permite que os clientes giram, analisem, arquivem e dimensionem a segurança física e as informações de vigilância em vídeo ao longo de todo o ciclo de vida. O software EMC Surveillance Manager fornece análises muito eficientes e gestão automática, com base em políticas. Além disso, os sistemas de armazenamento EMC de nível empresarial garantem uma solução dimensionável para atender aos crescentes requisitos de armazenamento de segurança física. As plataformas de armazenamento endereçado ao conteúdo do EMC Centera e o software Documentum de gestão de conteúdo, fornecem o arquivamento de evidências para as análises e armazenamento de arquivos delongo prazo e à prova de violação para as informações de vigilância em vídeo e outras informações desegurança física. Os EMC Global Services projetam e integram a EMC Physical Security Solution aos ambientes dos clientes. Requisito 9.7 -Manter controlo rigoroso sobre a distribuição interna e externa de qualquer tipo de mídias que contenha dados de titulares de cartão (abrangendo a classificação da mídias para que possa ser identificada como confidencial). A oferta de serviço profissional RSA classificação para segurança das informações sustenta os esforços dos clientes para efetivamente classificar as mídias que contêm dados de cartões de crédito. Requisito 9.10- Destruir mídias que contêm dados de titulares de cartão quando não forem mais necessárias para os negócios ou por razões legais. Os EMC Certified Data Erasure Services usam técnicas exclusivas e ferramentas do setor para sobregravar as mídias de armazenamento em níveis especificados de eliminação — 3x, 5x, 7x ou 11/15
  • 12. Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 12 09-06-2013 um número personalizado — a fim de substituir os seus dados por uma sequência de padrões variáveis de bits que tornam os dados irrecuperáveis. Os especialistas da EMC podem realizar esse serviço nas instalações dos clientes ou em locais remotos em storage arrays completos ou mídias específicas após substituição proactiva. Os serviços estão disponíveis para storage arrays tanto da EMC quanto da Hitachi, IBM, Sun, Network Appliance e HP. Ao limite do processo, a EMC fornece um relatório abrangente e um certificado de conclusão específico para os drives que foram apagados, indicando o nível de eliminação obtido. Controlar e monitorizar todo o acesso aos recursos de rede e aos dados de titulares de cartão Requisito 10.1 - Estabelecer um processo para vincular todo o acesso aos componentes do sistema (especialmente acesso realizado com privilégios de administrador, como root) a cada utilizador individual. O RSA enVision permite que os clientes controlem as atividades administrativas de utilizadores e fornece supervisão a fim de ajudar a verificar se um utilizador está a agir de acordo com a política estabelecida. Além disso, o sistema pode enviar um alerta ao supervisor de um utilizador, caso o seu comportamento viole a política. Requisito 10.2 - Implementar ―pisadas‖ de auditoria automatizadas para todos os componentes do sistema para reconstruir os principais eventos. O utilizador RSA enVision ajuda as empresas a implementar ―pisadas‖ de auditoria automatizadas, que detalham o acesso de utilizadores aos dados de titulares de cartão, as ações realizadas pelos utilizadores com privilégios de administrador/root, os acesso às ―pisadas‖ de auditoria, as tentativas inválidas de acesso lógico, o uso de mecanismos de autenticação, a inicialização do registo de auditoria e a criação/exclusão de objetos de nível do sistema. Requisito 10.3 -Registar entradas de ―pisadas‖ de auditoria. O RSA enVision registará os eventos conforme forem reportados pelos dispositivos associados. Além disso, o RSA enVision salva os dados de evento, que podem ser analisados e revistos para determinar o tipo de evento. Requisito 10.5 - Proteger as ―pisadas‖ de auditoria de modo que não possam ser alteradas. O RSA enVision fornece dados 12/15
  • 13. Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 13 09-06-2013 não-filtrados e espelhados para o banco de dados de Protocolo da Internet, permitindo a retenção dos dados no seu formato original. Além disso, os recursos de ―uma gravação, muitas leituras‖ ajudam a garantir que as cópias espelhadas permaneçam intactas, mesmo que os dados originais estejam comprometidos. Os registos de evento capturados pelo RSA enVision são armazenados num sistema operacional protegido, em formato compactado e protegido por meio de criptografia ―lightweight‖. Requisito 10.7 - Manter um histórico da ―pisada‖ de auditoria por pelo menos um ano, com um mínimo de três meses de disponibilidade on- line. O RSA enVision NAS3500 oferece o EMC Celerra préconfigurado, pré-testado e em rack, permitindo que os clientes tenham entre 3.5 TB e 7 TB de armazenamento, número especialmente relevante para a retenção de dados de registo on-line. Além disso, como o RSA enVision foi projetado para oferecer integração imediata com plataformas de armazenamento em rede, como o EMC Centera e o EMC Celerra, os clientes terão a capacidade de armazenar as suas informações essenciais para cumprir os requisitos de conformidade. Os sistemas do EMC Celerra NAS (Network Attached Storage, armazenamento conectado à rede) fornecem o preço/desempenho líder do setor com disponibilidade sem comprometimento. A disponibilidade sem compromisso significa que os aplicativos continuam a executar as operações nos mesmos níveis de desempenho e serviço, mesmo em caso de falha. O Celerra consegue oferecer isso por meio de uma arquitetura de cluster N+1 ativa/passiva e eliminando qualquer ponto de falha da rede até o drive de disco. Além disso, os sistemas do EMC Celerra NAS implementam um recurso chamado ―File Level Retention‖ (retenção num nível de arquivo) que fornece proteção ORM com base em discos para arquivos. Esse recurso do Celerra protege arquivos e diretórios de serem excluídos, alterados, renomeados ou sobescritos durante o período de retenção especificado. O Celerra File Level Retention pode oferecer às empresas a capacidade de proteger a integridade de registos de auditoria on-line por um período de retenção específico (por exemplo, três meses). 13/15
  • 14. Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 14 09-06-2013 Conclusão Num sistema bancário cada vez mais exigente as entidades bancárias apostam cada vez mais nestes serviços de vanguarda tecnológica apoiada em bases de dados extremamente cuidadas que ajudam os clientes a criar políticas e processos para desenvolver e aprimorar seus programas de segurança das informações. Mais especificamente, os consultores dos serviços profissionais que revisam as políticas de segurança existentes e desenvolvem políticas novas ou aperfeiçoadas para assegurar que os dados de titulares de cartão sejam manipulados apropriadamente. Estes serviços também revisam os processos quanto ao uso, compartilhamento, armazenamento e rotulação da mídia que contém dados de titulares de cartão para assegurar que sejam consistentes com as práticas recomendadas pelo padrão PCI DSS. Tais políticas devem incluir especificações de usos apropriados e necessários de dados de titulares de cartão e procedimentos adequados para manipular esses dados. Desta forma garante-se que erros e problemas com os clientes não aconteçam. 14/15
  • 15. Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045 15 09-06-2013 Bibliografia Security Standards Council (2006). Indústria de Cartões de Pagamentos (PCI), Padrão de Segurança de Dados - Procedimentos de Auditoria de Segurança. Versão 1.1; Visa (2005). Indústria de Cartões de Pagamento (PCI), Padrão de Segurança de Dados. Versão 1.0; RSA (2007). Protegendo os Dados de Cartão de Crédito, atendendo ao padrão de segurança de dados do PCI. Versão 1.1. 15/15