Fale conosco!

Despedida do PCI DSS 3.2.1 e boas-vindas ao PCI DSS 4.0

Despedida do PCI DSS 3.2.1 e boas-vindas ao PCI DSS 4.0

No dia 31 de março de 2024, o PCI DSS 3.2.1 foi descontinuado. Empresas que lidam com transações de cartão de crédito têm até o dia 31 de março de 2025 para se adequarem à nova versão 4.0 do PCI DSS.

Essa atualização traz cerca de 60 novos requisitos, com foco em fortalecer a proteção dos dados dos seus clientes. Para te ajudar a se preparar, reunimos neste artigo as principais mudanças e novos requisitos que você precisa conhecer do PCI DSS v4.0.

Por que o PCI DSS mudou?

Em 2004, um grupo de gigantes do setor de pagamentos, como Visa, Mastercard, Discover, JCB e American Express, uniram forças para criar o Conselho de Normas de Segurança da Indústria de Cartões de Pagamento ou Payment Card Industry Security Standards Council (PCI SSC). O objetivo era claro: estabelecer um conjunto de diretrizes de segurança que as empresas precisariam seguir para processar pagamentos com cartão de crédito.

Na época, o cenário de ameaças cibernéticas era bem diferente. Em 2018, quando o PCI atualizou seus padrões pela última vez, o mundo já presenciava um aumento alarmante nos ataques digitais. Entre 2018 e 2023, os Estados Unidos registraram mais de 22 mil violações de dados, afetando quase 14 bilhões de registros, segundo a The Privacy Rights Clearinghouse. E o pior: 8 das 10 maiores violações foram sofridas por instituições financeiras, incluindo 57 ataques à Capital One e 49 à Discover Financial Services.

Diante dessa realidade, os agentes de ameaças se tornaram mais sofisticados, expandindo seus alvos para pequenas empresas e sites de comércio eletrônico. Para acompanhar essa evolução e garantir a segurança dos dados dos consumidores, o PCI decidiu ir além.

PCI DSS 4.0: Segurança como um processo contínuo

Com base no feedback da indústria, o PCI definiu dois objetivos principais para o desenvolvimento da versão 4.0 do padrão:

  • Atender às necessidades de segurança atuais da indústria: O novo padrão visa proteger os dados dos consumidores em um ambiente digital cada vez mais complexo e desafiador.
  • Promover a segurança como um processo contínuo: A conformidade com o PCI DSS 4.0 não é um evento único, mas sim um compromisso contínuo com a segurança. As empresas precisam estar em constante evolução para se manterem protegidas contra as últimas ameaças.

Para alcançar esses objetivos, o PCI DSS 4.0 implementa 12 mudanças importantes, incluindo:

  • Maior foco na gestão de riscos:
    As empresas precisam ter uma visão abrangente dos seus riscos cibernéticos e implementar medidas para mitigá-los de forma proativa.
  • Novos requisitos para autenticação e acesso:
    O controle de acesso aos dados do cartão foi reforçado, com medidas como autenticação multifator e gerenciamento de privilégios mais rigorosos.
  • Segurança aprimorada para dados em nuvem:
    O uso de serviços em nuvem para armazenar dados de cartão exige medidas adicionais de segurança, como criptografia e segmentação de rede.
  • Monitoramento e testes mais frequentes:
    A frequência de testes de vulnerabilidade e penetração, além do monitoramento de logs e atividades, foi aumentada para garantir a detecção precoce de ameaças.

A cibersegurança hoje requer o reconhecimento de que, embora a tecnologia tenha avançado grandemente, os seres humanos continuam sendo o vetor mais comum de ataque e portanto a maior ameaça para violações de segurança. Um único clique em um e-mail de phishing por um funcionário pode desencadear um ataque cibernético em toda a rede (afetando até mesmo terceiros).

Atendendo às Exigências de Segurança do Setor de Pagamentos

Respondendo às necessidades de segurança no setor de pagamentos, o PCI DSS 4.0 coloca uma ênfase significativa na autenticação multifator (MFA). Estudos apontam que a implementação adequada de MFA pode prevenir até 99,9% dos ataques de comprometimento de contas, conforme observado pela Microsoft. Abaixo estão algumas atualizações:

  1. MFA para todos os acessos ao CDE: O PCI DSS 4.0 esclarece o requisito de MFA para todos os acessos ao ambiente de dados do titular do cartão (CDE). Isso complementa o requisito existente de MFA para acesso remoto externo à rede da sua entidade. Além disso, novos requisitos foram adicionados para garantir a implementação correta dos sistemas de autenticação multifator.
  2. Senhas mais longas: Reconhecendo o avanço do poder computacional dos agentes de ameaças, o PCI DSS 4.0 aumentou o comprimento mínimo das senhas de 7 para 12 caracteres.

  3. Troca de senhas a cada 90 dias: Este requisito se aplica às partes interessadas da organização que não estão sujeitas ao requisito de MFA. No entanto, se a MFA for implementada, o requisito de troca de senha a cada 90 dias não se aplicará.

  4. Correção de vulnerabilidades de risco médio, baixo e informativo: O PCI DSS 4.0 destaca a importância de abordar todas as exposições a ameaças, independentemente de quão insignificantes possam parecer, devido à natureza multifacetada dos principais ataques cibernéticos.

  5. Verificação automática de dispositivos inseridos/montados: A prevenção de malware é o foco central na versão 4.0, exigindo processos automáticos de verificação de dispositivos BYOD, como pendrives, assim que forem conectados localmente ao sistema.

  6. Proteções anti-skimmer: Novos requisitos foram adicionados para gerenciar scripts de páginas de pagamento em sistemas de comércio eletrônico, visando evitar a instalação de skimmers de dados por criminosos. A Evernow e a Jscrambler possuem um histórico comprovado de apoiar empresas com a proteção de seus dados de pagamento, antendendo aos requisitos do PCI DSS.

  7. Treinamento anual em segurança cibernética: O PCI DSS 4.0 requer que a equipe receba treinamentos em conscientização sobre segurança cibernética, com diretrizes detalhadas sobre os tópicos a serem abordados, incluindo phishing e engenharia social.

 

Além disso, como parte dos esforços para manter as diretrizes atualizadas em relação às ameaças contemporâneas, observa-se uma mudança na linguagem utilizada, por exemplo, de “antivírus” para “antimalware”.

Elevando a Segurança: Um Processo Contínuo

O PCI DSS 4.0 vai além da conformidade pontual, transformando a segurança em um processo contínuo e adaptável. As novas diretrizes garantem que as organizações estejam sempre um passo à frente das ameaças cibernéticas em constante evolução.

8. Papéis e responsabilidades mais claras: A versão 4.0 define com mais precisão as funções e responsabilidades para cada requisito principal, garantindo que todos os envolvidos estejam cientes de suas obrigações e possam trabalhar em conjunto para a segurança.

9. Orientação prática para implementação: O PCI DSS 4.0 oferece instruções detalhadas sobre como implementar e manter sistemas seguros, facilitando a vida das organizações. Por exemplo, as diretrizes para avaliações de malware incluem:

  • Atualizações automáticas de soluções de malware.
  • Verificações periódicas e varreduras ativas ou em tempo real (com a opção de análise comportamental contínua).
  • Geração de logs de auditoria pela solução de malware.

10. Monitoramento contínuo dos controles: O PCI DSS 4.0 foi projetado para oferecer suporte à segurança de longo prazo como um processo contínuo, maximizando a proteção dos dados de transações com cartão de crédito. 

11. Melhoria na comunicação e resposta a incidentes: A versão 4.0 introduz um novo processo de relatórios para validar e alinhar o Relatório de Conformidade ou Questionários de Autoavaliação com as informações resumidas em um Atestado de Conformidade. Isso inclui a implementação de mecanismos para comunicar e solucionar incidentes e vulnerabilidades de segurança suspeitos ou confirmados.

12. Gestão de riscos de terceiros:

A versão 4.0 fornece orientações abrangentes sobre relacionamentos entre entidades e seus prestadores de serviços terceirizados, reforçando a necessidade de segurança contínua mesmo em ambientes terceirizados. A Evernow e a Security Scorecard podem ajudar você a atender esses requisitos e proteger seus dados contra violações.

A Security Scorecard oferece uma solução de avaliação de segurança baseada em nuvem que permite:

  • Avaliar a postura de segurança cibernética de seus fornecedores de serviços.
  • Identificar e priorizar os riscos de segurança.
  • Rastrear o progresso de seus fornecedores de serviços para melhorar sua segurança.
  • Obter relatórios detalhados sobre a postura de segurança de seus fornecedores de serviços

A Corrida Contra o Relógio para Conformidade

Aqui estão apenas algumas das principais mudanças que já estão em vigor com o PCI DSS v4.0. No total, são cerca de 60 mudanças, abrangendo centenas de subrequisitos, todos os quais exigirão total conformidade até 31 de março de 2025.

Se ainda não começou seu processo de conformidade, este é o momento ideal para dar o primeiro passo. A Evernow em parceria com a Jscrambler oferecem suporte ao PCI DSS 4.0, e você pode contar com nossos profissionais para uma análise da página de pagamento clicando no link abaixo:

Agende aqui sua análise

Estamos prontos para enfrentar os desafios mais complexos de segurança cibernética.

Últimas publicações

evernow-logo-bgescuro@3x

Cibersegurança é prioridade para nossos clientes

Protegendo a identidade digital de pessoas e empresas.

Linkedin Instagram Facebook-f
Links Importantes
Fale com um de nossos especialistas:

Se preferir, ligue para:

+55 (11) 3042-1384

Copyright © 2024 Evernow, All rights reserved.

Preencha o formulário abaixo e em breve um de nossos especialistas entrará em contato!