PCI DSS Versão 3.0
O PCI DSS Versão 3 estará conosco em breve. Tal é a expectativa de que o PCI Security Standards Council lançou uma prévia do documento 'Change Highlights'.
Os destaques atualizados do Padrão de Segurança de Dados incluem uma declaração de dedo abanando que pode ser direcionada a você se você for um Comerciante ou Banco Adquirente.
“Os dados do titular do cartão continuam a ser um alvo para os criminosos. A falta de educação e conscientização sobre a segurança de pagamentos e a implementação e manutenção deficientes dos Padrões PCI levam a muitas das violações de segurança que acontecem hoje”
Em outras palavras, uma grande parte do impulso para a nova versão do padrão é dar um novo impulso. Só porque o PCI DSS não é novo, isso não o torna menos relevante hoje.
Mas qual é o benefício do PCI DSS para nós?
Para entender o quão relevante é a proteção de dados do titular do cartão, os fatos concretos são descritos no recente relatório de Nilson. Suas descobertas são que as perdas globais com fraudes de cartões já ultrapassaram $ bilhões. Nem tudo são más notícias se você é uma marca de cartão ou banco emissor – as perdas são um pouco mais suportáveis pelo fato de que o total de transações agora excede $TRILION.
http://www.nilsonreport.com/publication_the_current_issue.php?1=1
“As perdas do emissor de cartões ocorrem principalmente no ponto de venda de cartões falsificados. Os emissores arcam com a perda por fraude se derem aos comerciantes autorização para aceitar o pagamento. As perdas do comerciante e do adquirente ocorrem principalmente em transações com cartão não presente (CNP) na Web, em uma central de atendimento ou por correspondência”
É por isso que o PCI DSS existe e precisa ser levado a sério com todos os requisitos totalmente implementados e praticados diariamente. A fraude de cartão é um problema muito real e, como acontece com a maioria dos crimes, se você acha que isso não vai acontecer com você, pense novamente. Ignorância, complacência e atalhos ainda são os principais contribuintes para o roubo de dados de cartões.
As mudanças estão muito alinhadas com a metodologia da NNT de validação de segurança contínua e em tempo real para todos os sistemas do escopo – o PCI SSC afirma que as mudanças na versão 3 do padrão incluem “As recomendações se concentram em ajudar as organizações a adotar uma abordagem proativa para proteger dados do titular do cartão que se concentram na segurança, não na conformidade, e tornam o PCI DSS uma prática usual”
Então, em vez de ser um exercício 'Uma vez por ano, faça algumas varreduras, corrija tudo, faça um relatório de um QSA e relaxe para mais meses, o PCI SSC estão tentando educar e incentivar os comerciantes e bancos a incorporar ou consolidar as melhores práticas de segurança em suas operações diárias e ser compatível com PCI como uma consequência natural disso.
FIM Contínuo – The Foundation of PCI Compliance
De fato, adotar uma abordagem FIM contínua como ponto de partida para segurança e conformidade com PCI faz muito sentido. Não leva muito tempo para configurar, apenas informará se você precisa agir quando necessário, ajudará a definir um padrão de construção reforçado para seus sistemas e o levará a adotar a disciplina necessária para a mudança controle, além de lhe dar total tranquilidade de que os sistemas estão sendo protegidos ativamente o tempo todo, % de acordo com os requisitos do PCI DSS.
