Assegurar a segurança de dados em transações online é a prioridade para muitas empresas que processam, armazenam e transmitem dados de cartões pela internet. Para elas é essencial a certificação de conformidade PCI, Payment Card Industry Data Security Standard, o principal padrão de segurança para transações online via cartão.
O que é PCI?
O PCI é um conjunto de regras internacionais que visa garantir a segurança durante o manuseio dos dados de cartões de crédito em transações eletrônicas.
Este conjunto de regras tem como objetivo proteger os dados dos titulares do cartão e reduzir o risco de fraude e roubo de informações.
O PCI teve origem em 2004, por uma iniciativa coletiva das bandeiras de cartão de crédito American Express, Discover, JCB e Visa. Atualmente, o PCI é uma das mais importantes certificações de segurança do mercado.
Conformidade na prática
O PCI também inclui estratégias de controle para as transações eletrônicas no contexto de computação em nuvem.
Separamos abaixo algumas recomendações de conformidade com PCI para colocar em prática na nuvem AWS, sendo que esta lista de corresponde à versão 3.2.1, a mais recente do PCI DSS, e é baseada em 6 áreas:
- Construir e manter uma rede e sistemas seguros: envolve o uso de firewall para proteger os dados do titular do cartão, sem o uso de padrões fornecidos pelo fornecedor para parâmetros de segurança.
Algumas das melhores práticas são:
- limitar o tráfego de entrada para as instâncias EC2 com regras de entradas restritas em grupos de segurança; e
- limitar o tráfego de entrada e de saída no nível da sub-rede com Network ACLs.
- Proteger os dados do titular do cartão: a proteção de dados do titular do cartão é ativada por meio da criptografia em redes públicas.
Algumas das melhores práticas são:
- utilizar o protocolo HTTPS nas distribuições do CloudFront; e
- criptografar os dados com chaves KMS (AWS Key Management Service).
- Manter um programa de gerenciamento de vulnerabilidade: a vulnerabilidade da rede de dados é reduzida com a instalação de software ou programas antivírus para proteger todos os sistemas contra malware.
Algumas das melhores práticas para essa área são:
- utilizar serviços AWS gerenciados como RDS, ECS e EKS; e
- utilizar o AWS WAF como firewall de aplicativos web.
- Implementar medidas fortes de controle de acesso: o controle de acesso é implementado para restringir acesso aos dados do titular do cartão e incorporar autenticação a autenticação de identidade antes do acesso aos componentes do sistema.
Algumas das melhores práticas são:
- utilizar políticas de senha fortes;
- habilitar MFA (Multi-Factor Authentication) para todos os usuários; e
- permitir o acesso somente necessário de acordo com o princípio do privilégio mínimo.
- Monitorar e testar regularmente as redes: o acesso deve ser rastreado e monitorado em todos os recursos da rede, além de realizar verificações regulares do sistema.
Algumas das melhores práticas são:
- monitorar logs com o CloudTrail;
- monitorar métricas com os alarmes do CloudWatch; e
- monitorar registros de configurações com o AWS Config.
- Manter uma Política de Segurança da Informação: a política de referência deve documentar as etapas e procedimentos que precisam ser seguidos por todos aqueles que lidam com dados seguros.
Algumas das melhores práticas são:
- preservar logs, snapshots e backups para uma segurança centralizada.
Conte com o CleanCloud Score
Com o aumento do comércio online, e tentativas de fraudes e ataques, é essencial que operadores de cartão de crédito sigam as melhores práticas de segurança e fiquem em conformidade com o PCI.
Para isso conte com o CleanCloud Score, produto de compliance em nuvem AWS com mais de 150 verificações de conformidade com o PCI.