Download - Apresentação Sbseg 2009
![Page 1: Apresentação Sbseg 2009](https://reader035.vdocuments.mx/reader035/viewer/2022081516/55758f38d8b42ae7708b4ce7/html5/thumbnails/1.jpg)
OpenPCI: Um toolkit para atender os requisitos técnicos do PCI DSS
Fábio Juliano Dapper, Leonardo Lemes Fagundes
Universidade do Vale do Rio dos Sinos (UNISINOS) 93.022-000 – São Leopoldo – RS – [email protected], [email protected]
![Page 2: Apresentação Sbseg 2009](https://reader035.vdocuments.mx/reader035/viewer/2022081516/55758f38d8b42ae7708b4ce7/html5/thumbnails/2.jpg)
2
Agenda
Contextualização Visão geral Motivação Objetivos
PCI DSS Toolkit Projetos relacionados Conclusão
![Page 3: Apresentação Sbseg 2009](https://reader035.vdocuments.mx/reader035/viewer/2022081516/55758f38d8b42ae7708b4ce7/html5/thumbnails/3.jpg)
3
Visão geral
Utilização de cartão de crédito como meio de pagamento teve início na década de 50 (Diners Club).
Alternativa aos meios tradicionais de pagamento (dinheiro e cheque). Indicadores comprovam seu crescimento e popularização.
Fonte: Livro Manual das Fraudes.
ABECS.
ABECS 2009 Janeiro Fevereiro Março Abril Maio Junho Julho
Cartões - Milhões 519 522 526 531 535 540 542Variação % ano anterior 14% 13% 13% 13% 12% 12% 12%
Transações - Milhões 459 438 471 472 498 482 515Variação % ano anterior 17% 14% 14% 17% 14% 14% 15%
Faturamento - Bilhões 32,7 30,3 33,2 33,6 36,1 35,3 36,8Variação % ano anterior 19% 17% 17% 20% 17% 19% 17%
![Page 4: Apresentação Sbseg 2009](https://reader035.vdocuments.mx/reader035/viewer/2022081516/55758f38d8b42ae7708b4ce7/html5/thumbnails/4.jpg)
4
Motivação – Comprometimento de sistemas
Costuma envolver um grande volume de dados de cartões.
Fonte: Bankinfo Security. U.S. Department of Justice Computer Crime and Intellectual Property Section.
![Page 5: Apresentação Sbseg 2009](https://reader035.vdocuments.mx/reader035/viewer/2022081516/55758f38d8b42ae7708b4ce7/html5/thumbnails/5.jpg)
5
Motivação – Fraudes, o que proteger ? Dados do portador do cartão
PAN Nome do portador do cartão Data de vencimento Código de serviço
Dados de autenticação Código de segurança PIN/PIN Block
Fonte: Adaptado de PCI Council.
![Page 6: Apresentação Sbseg 2009](https://reader035.vdocuments.mx/reader035/viewer/2022081516/55758f38d8b42ae7708b4ce7/html5/thumbnails/6.jpg)
6
Objetivos
Projetar e disponibilizar um toolkit que forneça ferramentas isentas de custo de aquisição para atender os requisitos técnicos exigidos pelo PCI DSS.
Auxiliar no processo de conformidade através de um instrumento para análise de aderência (SAQ - Self-Assessment Questionnaire) com o PCI DSS.
![Page 7: Apresentação Sbseg 2009](https://reader035.vdocuments.mx/reader035/viewer/2022081516/55758f38d8b42ae7708b4ce7/html5/thumbnails/7.jpg)
7
PCI DSS Padrão da indústria de cartões de pagamento que define requisitos de
segurança para proteção dos dados do portador do cartão. Mantido pelo PCI Security Standards Council.
Obrigatório para empresas que: Processam Transmitem Armazenam
Fonte: PCI Council.
![Page 8: Apresentação Sbseg 2009](https://reader035.vdocuments.mx/reader035/viewer/2022081516/55758f38d8b42ae7708b4ce7/html5/thumbnails/8.jpg)
8
PCI DSS – Requisitos
Fonte: PCI Council.
![Page 9: Apresentação Sbseg 2009](https://reader035.vdocuments.mx/reader035/viewer/2022081516/55758f38d8b42ae7708b4ce7/html5/thumbnails/9.jpg)
9
PCI DSS – Custo do compliance e penalidades Requisito 8: Atribuir um ID exclusivo para cada pessoa que tenha acesso a um
computador. Oracle Identity Management = US$270.000 OpenPCI Toolkit (OpenIAM/OpenLDAP/Samba)
Requisito 6.6: Proteger aplicações web contra ameaças e vulnerabilidades. Barracuda Web Application Firewall = US$20.000 OpenPCI Toolkit (ModSecurity)
Multas são definidas pelas bandeiras de cartão: US$500.000 por incidente US$25 por cartão comprometido
Fonte: Oracle Technology Global Price List.
Website Barracuda.
![Page 10: Apresentação Sbseg 2009](https://reader035.vdocuments.mx/reader035/viewer/2022081516/55758f38d8b42ae7708b4ce7/html5/thumbnails/10.jpg)
10
Toolkit
![Page 11: Apresentação Sbseg 2009](https://reader035.vdocuments.mx/reader035/viewer/2022081516/55758f38d8b42ae7708b4ce7/html5/thumbnails/11.jpg)
11
Toolkit – Informações gerais Auxiliar no processo de conformidade com o PCI DSS:
Economia com aquisição de softwares Automatizar o processo de conformidade (Análise de aderência)
Baseado na distribuição GNU/Linux Ubuntu Server. Ferramentas modo texto serão apresentadas via interface gráfica (zenity).
![Page 12: Apresentação Sbseg 2009](https://reader035.vdocuments.mx/reader035/viewer/2022081516/55758f38d8b42ae7708b4ce7/html5/thumbnails/12.jpg)
12
Toolkit – Seleção e organização das ferramentas Deverá atender dois critérios:
Ser isentas de custo de aquisição (GPL, BSD, etc) Atender a intenção de cada requisito
Ferramentas organizadas conforme cada exigência do PCI DSS (menus).
![Page 13: Apresentação Sbseg 2009](https://reader035.vdocuments.mx/reader035/viewer/2022081516/55758f38d8b42ae7708b4ce7/html5/thumbnails/13.jpg)
13
Toolkit – Como utilizar ?
![Page 14: Apresentação Sbseg 2009](https://reader035.vdocuments.mx/reader035/viewer/2022081516/55758f38d8b42ae7708b4ce7/html5/thumbnails/14.jpg)
14
Projetos relacionados
PCI Toolkit (CSRSI) - http://www.pcitoolkit.com Interface web para gerenciar SAQ, glossário, programa de treinamento.
PCI DSS v1.2 Documentation Compliance Toolkit (IT Governance UK) - http://www.itgovernance.co.uk Kit com documentações, livros e mapeamento com a ISO 27001.
PCI Toolkit (GoToBilling) - http://www.gotobilling.com Interface web para gerenciar SAQ e documentações relacionadas ao PCI DSS.
realPCI (Realiso Corp) - http://www.realiso.com/realpci Sistema de gestão para controlar o atendimento dos controles, relatórios, gerenciamento de risco.
![Page 15: Apresentação Sbseg 2009](https://reader035.vdocuments.mx/reader035/viewer/2022081516/55758f38d8b42ae7708b4ce7/html5/thumbnails/15.jpg)
15
Conclusão e trabalhos futuros
Não há registro de soluções sem custo de aquisição que organize as ferramentas conforme a intenção de cada requisito do PCI DSS.
O instrumento para análise de aderência (SAQ) facilita a procura por tais ferramentas.
Atender as exigências do PCI DSS pode custar caro, não atendê-las pode custar mais caro ainda.
Incluir novas ferramentas (em andamento). Disponibilizar imagem ISO (início de outubro). Desenvolver novos módulos para o SAQ (gráfico de conformidade). Desenvolver uma interface web para o SAQ.
![Page 16: Apresentação Sbseg 2009](https://reader035.vdocuments.mx/reader035/viewer/2022081516/55758f38d8b42ae7708b4ce7/html5/thumbnails/16.jpg)
16
Perguntas?
http://openpci.blogspot.com