Grupo 7 si_28191_28045_20130609_1800

Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045

1 09-06-2013

NATÁLIA FERNANDES, Nº

28191

CURSO: CONTABILIDADE

NUNO CORREIA, Nº 28045

CURSO: GESTÃO

Índice

Instituto de Estudos Superiores de Fafe

Escola Superior de Tecnologias de Fafe

Erros do Gabinete de Crédito

Problemas com pessoas importantes

Unidade Curricular de Sistemas de Informação


2 09-06-2013

Introdução ...................................................................................................... 3

Segurança de dados ....................................................................................... 4

Deteção e classificação de dados dos cartões de crédito .............................. 5

Proteger os dados armazenados sobre titulares de cartão ............................. 6

Criptografar a transmissão de dados sobre os titulares de cartão em redes

abertas e públicas .......................................................................................... 8

Manter sistemas e aplicativos seguros .......................................................... 8

Restringir o acesso aos dados de titulares de cartão ..................................... 9

Atribuir uma ID exclusiva cada pessoa com acesso ao computador ............ 9

Restringir acesso físico aos dados do titular do cartão ............................... 11

Controlar e monitorizar todo o acesso aos recursos de rede e aos dados de

titulares de cartão ........................................................................................ 12

Conclusão .................................................................................................... 14

Bibliografia .................................................................................................. 15

2/15


3 09-06-2013

Introdução

O pagamento por cartão de crédito

é cada vez mais popular. No

entanto, também requer medidas

de segurança rigorosas no que

respeita aos dados de cartões de

crédito e de transações, de modo a

consolidar a confiança dos

clientes neste método de

pagamento. Por este motivo, os

especialistas em segurança das

empresas de cartões de crédito

reuniram-se e desenvolveram uma

solução comum. Qualquer

empresa que processe, transmita

ou armazene dados de cartões de

crédito tem de cumprir um

conjunto de diretrizes para

garantir a segurança dos dados. O

objetivo é que todos os

comerciantes que aceitam cartões

de crédito cumpram

rigorosamente a PCI-DSS (Padrão

de Segurança de Informação da

Indústria de Cartões de

Pagamento), anteriormente

designada por CISP (Cardholder

Information Security Program).

A versão atual da norma foi

desenvolvida durante um período

de apenas alguns anos. A VISA

lançou o CISP (Cardholder

Information Security Program)

em 2001. Este foi o primeiro

programa deste tipo e exigia que

os comerciantes e fornecedores de

serviços cumprissem um conjunto

de normas específicas para

garantir a segurança dos dados.

Alguns anos mais tarde, a VISA, a

MasterCard, a American Express,

a Discover, a DinersClub e a JCB

conjugaram as respectivas

políticas individuais e

apresentaram a PCI-DSS

(Payment Card Industry Data

Security Standard), uma versão

atualizada e mais abrangente da

norma, que se tornou obrigatória

para todos os comerciantes e

fornecedores de serviços em

Junho de 2005. Novamente

atualizada em Setembro de 2006,

a norma inclui agora cerca de 160

requisitos, que se tornaram

obrigatórios em Junho de 2007. O

acordo não é um mero "tigre de

papel": Só em 2006, a VISA

apresentou reclamações num valor

total de 4,6 milhões de dólares

contra comerciantes que não

cumpriram as normas. Este

número corresponde a um

aumento de 35% em comparação

com o ano anterior.

A norma PCI atual inclui

requisitos rígidos no que respeita

ao processamento e

armazenamento de dados de

cartões de crédito. Os

comerciantes estão obrigados a

cumprir estas normas para manter

o estatuto de parceiros da empresa

de cartões de crédito e evitar

multas pesadas. É possível que o

seu banco o tenha contactado nos

últimos meses com informações

relativas à PCI e respetiva

importância na prevenção de

fraudes com cartões de crédito.

3/15


4 09-06-2013

Segurança de dados

O padrão PCI identifica várias

tecnologias fundamentais de

segurança de TI e vários processos

e procedimentos, que são

necessários para proteger os dados

de titulares de cartão. Para atender

a esses requisitos, a RSA,

Divisãode Segurança da EMC,

oferece a solução RSA PCI, que

abrange uma gama de tecnologias

e serviços de segurança de TI. A

abordagem da RSA, centrada em

informações, permite que os

clientes ultrapassem a proteção do

perímetro e garantam que os

dados estejam seguros não

atingindo onde esses dados

estejam. Além disso, as soluções

RSA para conformidade com o

padrão PCI permitirão que você

responda às seguintes perguntas:

1. Onde estão todos os dados de

cartão de crédito da empresa?

2. Como posso garantir que todos

os dados de cartão de crédito

estejam seguros?

3. Como posso utilizar os

controlos adequados a fim de

garantir uma resposta rápida

aos riscos de segurança

potenciais e comprovar que os

investimentos de PCI e DSS

podem ajudar nos negócios

além das auditorias?

À medida que as empresas

começam a abordar a

conformidade com o PCI DSS,

elas devem primeiro compreender

Objetivos Requisitos

Desenvolver e manter uma rede segura

1. Instalar e manter uma configuração de firewall para proteger os dados de titulares de cartão

2. Não usar os padrões dos fornecedores para as do sistema e outros parâmetros de segurança

Proteger dados de titulares de cartão

3. Proteger os dados armazenados sobre titulares de cartão

4. Criptografar a transmissão de dados sobre os titulares de cartão em redes abertas e públicas

Manter um programa de gerenciamento de vulnerabilidades

5. Usar e atualizar regularmente um software antivírus

6. Desenvolver e manter sistemas e aplicativos seeguros

Implementar medidas sólidas de controle de acesso

7. Restringir o acesso aos dados do titular do cartão apenas aos que realmente precisam dos dados

8. Atribuir uma ID exclusiva para cada pessoa com acesso ao computador

9. Restringir acesso físico aos dados do titular do cartão

Monitorar e testar regularmente as redes

10. Controlar e monitorar todo o acesso aos recursos de rede e aos dados do titular do cartão

11. Testar regularmente os sistemas e processos de segurança

Manter uma política de segurança das informações

12. Manter uma política que cuide da segurança dasinformações

4/15


5 09-06-2013

todas as falhas existentes para que

possam identificar as necessidades

de correção. Por meio da Pré-

avaliação e análise de falhas do

PCI DSS, os serviços profissionais

RSA ajudam os clientes a

compreender a sua atual postura

em relação ao padrão PCI e

desenvolver um roteiro de

correções antes de passar por uma

auditoria formal do padrão PCI.

Esse serviço não substitui nem

serve como auditoria do padrão

PCI, mas ajuda os comerciantes a

identificar e corrigir os pontos

fracos antes de passar por uma

auditoria do PCI. Como um dos

principais resultados práticos, os

serviços profissionais RSA

fornecem uma arquitetura de

referência recomendada para

manipulação adequada dos dados

de titulares de cartão. Os

consultores da RSA fornecem essa

arquitetura propostaapós:

1. Avaliar os níveis atuais de

conformidade com o padrão

PCI DSS por meio da revisão

das arquiteturas atuais para

obter elementos de

infraestrutura (redes,

aplicativos, servidores e

armazenamento) e do uso de

tecnologias avançadas de

classificação e deteção que

manipulam e processam dados

de titulares de cartão.

2. Revisar as políticas e processos

atuais de manipulação dos

dados de titulares de cartão e

compará-los com o padrão PCI

DSS e com as práticas

recomendadas, obtidas

segundo a experiência da

consultoria da RSA.

3. Produzir um relatório para

documentar as brechas entre o

estado atual da infraestrutura,

das políticas e dos

procedimentos e o estado

desejado para alcançar

aconformidade com o PCI

DSS.

4. Desenvolver um roteiro de

correções que forneça um

cronograma passo a passo das

alterações recomendadas de

infraestrutura e processos para

garantir a conformidade com o

PCI DSS e, ao mesmo tempo,

reconhecer as limitações da

gestão de orçamento, da equipa

e das informações. Além disso,

o serviço EMC de avaliação de

segurança do armazenamento

oferece uma análise detalhada

daspráticas e procedimentos de

segurança relacionados às

infraestruturas de

armazenamento em rede da

EMC.

Deteção e classificação de dados

dos cartões de crédito

Os serviços profissionais RSA

permitem que os clientes

compreendam onde os dados de

titulares de cartão residem na

empresa para que esses dados

possam ser geridos de modo

5/15


6 09-06-2013

consistente durante o ciclo de

vida. Para conseguir isso, os

serviços profissionais RSA usam

uma variedade de aplicativos,

tecnologias de deteção e

classificação de redes e dados,

juntamente com entrevistas com

os responsáveis pelos principais

aplicativos para analisar a

localização e o fluxo de transações

dos dados de titulares de cartão.

A oferta de serviço profissional e

a classificação para segurança das

informações garante que os

dadosdos titulares de cartão sejam

usados adequadamente, que a

manipulação de dados de titulares

de cartão seja documentada e que

apenas as informações necessárias

e apropriadas sejam armazenadas.

Os fluxos de transação de dados

de cartões na empresa são

analisados, garantindo que as

informações de cartões de crédito

em aplicativos dependentes e nas

linhas de negócios associadas

sejam armazenadas e catalogadas.

Proteger os dados armazenados

sobre titulares de cartão

A RSA fornece uma ampla gama

de tecnologias de dados

corporativos seguros que permite

que os clientes atendam ao

Requisito 3 do padrão PCI,

protegendo os dados armazenados

de titulares de cartão onde quer

que esses dados estejam na

empresa. As soluções de dados

corporativos seguros permitem

que os clientes protejam os dados

de titulares de cartão em todos os

pontos de criptografia,

independente de onde os dados

residam, seja num aplicativo, num

banco de dados, em arquivos e

pastas ou em armazenamento de

disco. Além disso, a gestão de

chaves em toda a empresa

fornecido pelo RSA Key Manager

garante que as soluções de

proteção de dados possam ser

dimensionadas e adaptadas às

mudanças nos negócios e que os

seus dados estarão disponíveis e

protegidos, independente de onde

sejam necessários no ciclo de vida

das informações. Alguns dos sub-

requisitos específicos que podem

ser atendidos com a tecnologia

RSA são:

Requisito 3.4- Manter o

número principal do cartão no

mínimo ilegível, onde quer que

esteja armazenado o RSA Key

Manager oferece bibliotecas de

desenvolvimento de aplicativos

que suportam uma grande

variedade de linguagens de

desenvolvimento, permitindo

que os desenvolvimentos

integrem, com facilidade, a

criptografia em aplicativos de

ponto de vendas, pagamento,

CRM, ERP e outros aplicativos

que criam ou processam

informações confidenciais. O

RSA Database Security

Manager permite que os

clientes criptografem as

informações no nível do banco

de dados e aceita diversos

DBMS (Database

6/15


7 09-06-2013

Management Systems, sistemas

de gestão de banco de dados),

inclusive Oracle, SQL Server,

IBM DB/2, Sybase e Teradata.

O RSA Database Security

Manager é especialmente

eficiente para empresas com

ambientes heterogéneos de

DBMS, pois a sua tecnologia

permite que as empresas

apliquem políticas de

segurança consistentes em

diferentes sistemas de DBMS.

O RSA File Security Manager

oferece aos clientes a habilidade

de proteger os dados de cartão de

crédito mantidos em arquivos de

computadores, laptops e

servidores contra ataques internos

e externos. Além disso, a sua

tecnologia permite que os clientes

giram e apliquem de modo

centralizado a separação de

funções, juntamente com outras

políticas de segurança, em

arquivos confidenciais,

independente de onde estiverem

localizados na rede. Requisito 3.6:

Documentar e implementar

completamente todos os processos

e procedimentos de gestão de

chaves para estas serem usadas na

criptografia dos dados de titulares

de cartão. O RSA Key Manager

oferece suporte sólido para a

gestão de chaves de criptografia

em todo o ciclo de vida da chave,

desde a geração de chaves fortes,

a ativação do armazenamento e da

distribuição de seguros das chaves

até tornar as chaves de

criptografia praticamente

inacessíveis. Por meio de

parcerias com a Decru e a

NeoScale Systems, a RSA oferece

recursos de criptografia para

sistemas de armazenamento em

disco. O dispositivo de segurança

de armazenamento Decru

DataFort permite que os clientes

automatizem e simplifiquem a

gestão de dados protegidos em

ambientes corporativos

heterogéneos, especialmente entre

ambientes complexos de

armazenamento em disco de

SAN/NAS. Os dispositivos

NeoScale,CryptoStor automatizam

a criptografia de dados localizados

tanto na rede de armazenamento

quando inativos no disco, fita ou

virtual.

Requisito 3.5 - proteger as

chaves de criptografia usadas

para criptografar os dados de

titulares de cartão contra

exposição e uso impróprio.O

RSA KeyManager é uma

tecnologia de gestão

centralizada de chaves de

criptografia que permite aplicar

as políticas de modo

centralizado em toda a

empresa. Além disso, a

tecnologia permite que os

clientes restrinjam o acesso às

chaves e armazenem de modo

seguro as chaves de

criptografia. Por meio da

integração com tecnologias de

criptografia da RSA, além de

tecnologias de outros

fabricantes como Decru e

NeoScale, a RSA oferece uma

plataforma comum para aplicar

7/15


8 09-06-2013

segurança aos dados de

titulares de cartão. Além disso,

a RSA fez parceria com a

Epicor|CRS para integrar o

RSA KeyManager à solução de

ponto de vendas CRS

RetailStore, para ajudar na

proteção de

informaçõesconfidenciais —

como dados de cartão de

crédito — no ponto da entrada.

Além disso, o RSA Key

Manager oferece ainda mais

suporte à conformidade com o

Requisito 3.5, permitindo que

os clientes limitem o acesso às

chaves de criptografia,

assegurando que os

utilizadores sejam autenticados

e autorizados adequadamente,

controlos estes que os

auditores do PCI DSS

procuram constatar. Além

disso, o RSA Key Manager

armazena as chaves de

criptografia em um banco de

dados protegido (o

armazenamento de chaves)

onde as próprias chaves são

criptografadas usando uma

KEK (Key Encryption Key,

chave de criptografia de

chaves). Os clientes podem

armazenar essa KEK num HSM

(Hardware Security Module,

módulo de segurança de

hardware), um dispositivo de

hardware especializado e

protegido que reforça a

proteção.

Criptografar a transmissão de

dados sobre os titulares de

cartão em redes abertas e

públicas

Por meio de uma parceria com a

CipherOptics, a RSA oferece

segurança transparente para dados

em circulação nas redes IP

internas, o que ajuda a proteger os

links entre os sistemas e, assim,

garantir que os dados

confidenciais não sejam

adulterados enquanto são

transferidos entre os sistemas. O

serviço RSA de projeto e

implementação de criptografia do

armazenamento integra os

dispositivos CipherOptics aos

ambientes dos clientes usando as

práticas recomendadas de

implantação. Além disso, o RSA

Key Manager oferece um suporte

sólido para a gestão de chaves de

criptografia em todo o ciclo de

vida das chaves, desde a geração

de chaves fortes, a ativação do

armazenamento e da distribuição

seguros das chavesaté tornar as

chaves de criptografia

praticamente inacessíveis.

Manter sistemas e aplicativos

seguros

O serviço RSA Application

Security Design Assessment é uma

oferta em pacotes que oferece um

diagnóstico rápido e preciso do

estado atual da segurança dos

aplicativos. Os consultores do

RSA Professional

8/15


9 09-06-2013

Servicesanalisam o projeto e o

modelo operacional dos

aplicativos alvo e dos ambientes

que os cerca, conferem

completamente os projetos de

aplicativos atuais e a

documentação técnica

associada,examinam a arquitetura

de aplicativos e o fluxo de

informações e produzem um

relatório destacando os pontos

fortes e fracos dos sistemas atuais

e das operações relativas às

práticas recomendadas da RSA.

Restringir o acesso aos dados de

titulares de cartão

As soluções RSA para acesso

corporativo seguro permitem que

os clientes cumpram o requisito 7

do padrão PCI, assegurando que

apenas usuários autorizados

possam acessar os dados de

titulares de cartão em sistemas de

PCI com base na Web.

Especificamente, o software RSA

Access Manager oferece suporte

aos seguintes sub-requisitos:

Requisito 7.1 - limitar o

acesso aos recursos de

computadores e às informações

sobre titulares de cartões

apenas às pessoas cuja função

exige tal acesso. O software

RSA Access Manager ajuda os

clientes a assegurar que apenas

as pessoas autorizadas poderão

aceder aos dados de titulares de

cartão em aplicativos com base

na Web. Além disso, esses

privilégios podem ser

atribuídos com base nas

responsabilidades do cargo de

uma pessoa ou de um grupo.

Os direitos do RSA Access

Manager podem ser definidos

por atributos exclusivos, como

um cargo (por exemplo,

departamento de

contabilidade), o que ajuda a

assegurar que o acesso seja

automaticamente cancelado se,

por exemplo, um membro da

empresa for transferido para

outro departamento. Além

disso, o RSA “Access

Manager” permite que os

clientes centralizem o acesso

dos dados de titulares de cartão

com base na Web, ajudando a

aumentar a segurança e assim

garantir que sejam

implementados controlos

consistentes de ponto de acesso

com base na Web.

Requisito 7.2- estabelecer um

mecanismo para os sistemas

com diferentes utilizadores que

limite o acesso com base na

necessidade para o cargo do

utilizador e que seja definido

para ―negar todos‖ a menos

que especificamente permitido.

Atribuir uma ID exclusiva cada

pessoa com acesso ao

computador

As soluções RSA para segurança

de acesso aos dados corporativos e

aos dados em si, ajudam os

clientes a garantir que os

utilizadores que acessão os

9/15


10 09-06-2013

sistemas de dados de titulares de

cartão realmente sejam quem

afirmam ser. Os recursos

específicos incluem:

Requisito 8.2- Além de

atribuir uma ID exclusiva,

aplicar pelo menos um dos

métodos a seguir para

autenticar todos os usuários:

a) Senha

b) Dispositivos de token (por

exemplo, SecurID, certificados

ou chaves públicas).

c) Biométrica. O RSA SecurID

permite o cumprimento desses

requisitos, oferecendo uma

série de tokens de autenticação

/ autenticadores de dois fatores

com base em hardware e

software. Além disso, as RSA

Digital Certificate Solutions

oferecem aos clientes

flexibilidade para escolher o

mecanismo de autenticação

que melhor atende às suas

necessidades.Em seguida surge

o:

Requisito 8.3 - implementar

autenticação de dois fatores

para acesso remoto à rede

pelos funcionários,

administradores e terceiros. O

RSA SecurID permite que as

empresas implementem


por meio de uma série de

opções de token para


com base em hardware e

software. Além disso, os

parceiros RSA Secured

oferecem soluções para acesso

remoto com integração

imediata com o RSA SecurID,

tornando mais simples para as

empresas adotar processos de

autenticação sólida dos

utilizadores que acessão os

recursos por conexões VPN. –

Requisito 8.4: criptografar

todas as senhas durante a

transmissão e o

armazenamento em todos os

componentes do sistema. O

RSA SecurID (mais

especificamente, o RSA

SID200 PINpad Authenticator

and Software Authenticator)

permite que o PIN (Personal

Identification Number),

número de identificação

pessoal) do utilizador final seja

criptografado antes de ser

transmitido pela rede. Todas as

comunicações entre os agentes

do RSA SecurID e o servidor

são criptografados e todas as

informações de PIN dos

utilizadores finais são

criptografadas por inteiro

durante o armazenamento no

lado do servidor. Além disso, o

RSA File SecurityManager

permite a criptografia de

arquivos simples usados para

armazenar senhas.

Requisito 8.5 - Assegurar a

gestão apropriada de

autenticação e de senha dos

utilizadores não consumidores

e de administradores em todas

as componentes do sistema. A

tecnologia RSA SecurID ajuda

os seus clientes a exceder esse

requisito, oferecendo meios

para que realizem autenticação

10/15


11 09-06-2013

sólida dos utilizadores antes do

acesso.

Restringir acesso físico aos

dados do titular do cartão

A RSA e a EMC oferecem

soluções para monitorar, analisare

gerenciar a segurança física de

sistemas e instalações onde os

dados de titulares de cartão são

armazenados e processados. Os

recursos específicos que atendem

aos principais sub-requisitos

incluem:

Requisito 9.1 - Usar controlos

apropriados de entrada em

instalações para limitar e

monitorizar o acesso físico aos

sistemas que armazenam,

processam ou transmitem

dados de titulares de cartão. A

EMC Physical Security

Solution permite que os

clientes giram, analisem,

arquivem e dimensionem a

segurança física e as

informações de vigilância em

vídeo ao longo de todo o ciclo

de vida.

O software EMC Surveillance

Manager fornece análises muito

eficientes e gestão automática,

com base em políticas. Além

disso, os sistemas de

armazenamento EMC de nível

empresarial garantem uma solução

dimensionável para atender aos

crescentes requisitos de

armazenamento de segurança

física. As plataformas de

armazenamento endereçado ao

conteúdo do EMC Centera e o

software Documentum de gestão

de conteúdo, fornecem o

arquivamento de evidências para

as análises e armazenamento de

arquivos delongo prazo e à prova

de violação para as informações

de vigilância em vídeo e outras

informações desegurança física.

Os EMC Global Services projetam

e integram a EMC Physical

Security Solution aos ambientes

dos clientes.

Requisito 9.7 -Manter controlo

rigoroso sobre a distribuição

interna e externa de qualquer

tipo de mídias que contenha

dados de titulares de cartão

(abrangendo a classificação da

mídias para que possa ser

identificada como

confidencial).

A oferta de serviço profissional

RSA classificação para segurança

das informações sustenta os

esforços dos clientes para

efetivamente classificar as mídias

que contêm dados de cartões de

crédito.

Requisito 9.10- Destruir

mídias que contêm dados de

titulares de cartão quando não

forem mais necessárias para os

negócios ou por razões legais.

Os EMC Certified Data

Erasure Services usam técnicas

exclusivas e ferramentas do

setor para sobregravar as

mídias de armazenamento em

níveis especificados de

eliminação — 3x, 5x, 7x ou

11/15


12 09-06-2013

um número personalizado — a

fim de substituir os seus dados

por uma sequência de padrões

variáveis de bits que tornam os

dados irrecuperáveis. Os

especialistas da EMC podem

realizar esse serviço nas

instalações dos clientes ou em

locais remotos em storage

arrays completos ou mídias

específicas após substituição

proactiva. Os serviços estão

disponíveis para storage

arrays tanto da EMC quanto

da

Hitachi, IBM, Sun, Network

Appliance e HP. Ao limite do

processo, a EMC fornece um

relatório abrangente e um

certificado de conclusão

específico para os drives que

foram apagados, indicando o nível

de eliminação obtido.

Controlar e monitorizar todo o

acesso aos recursos de rede e aos

dados de titulares de cartão

Requisito 10.1 - Estabelecer

um processo para vincular todo

o acesso aos componentes do

sistema (especialmente acesso

realizado com privilégios de

administrador, como root) a

cada utilizador individual. O

RSA enVision permite que os

clientes controlem as

atividades administrativas de

utilizadores e fornece

supervisão a fim de ajudar a

verificar se um utilizador está a

agir de acordo com a política

estabelecida. Além disso, o

sistema pode enviar um alerta

ao supervisor de um utilizador,

caso o seu comportamento

viole a política.

Requisito 10.2 - Implementar

―pisadas‖ de auditoria

automatizadas para todos os

componentes do sistema para

reconstruir os principais

eventos. O utilizador RSA

enVision ajuda as empresas a

implementar ―pisadas‖ de

auditoria automatizadas, que

detalham o acesso de

utilizadores aos dados de

titulares de cartão, as ações

realizadas pelos utilizadores

com privilégios de

administrador/root, os acesso

às ―pisadas‖ de auditoria, as

tentativas inválidas de acesso

lógico, o uso de mecanismos

de autenticação, a inicialização

do registo de auditoria e a

criação/exclusão de objetos de

nível do sistema.

Requisito 10.3 -Registar

entradas de ―pisadas‖ de

auditoria. O RSA enVision

registará os eventos conforme

forem reportados pelos

dispositivos associados. Além

disso, o RSA enVision salva os

dados de evento, que podem

ser analisados e revistos para

determinar o tipo de evento.

Requisito 10.5 - Proteger as

―pisadas‖ de auditoria de modo

que não possam ser alteradas.

O RSA enVision fornece dados

12/15


13 09-06-2013

não-filtrados e espelhados para

o banco de dados de Protocolo

da Internet, permitindo a

retenção dos dados no seu

formato original. Além disso,

os recursos de ―uma gravação,

muitas leituras‖ ajudam a

garantir que as cópias

espelhadas permaneçam

intactas, mesmo que os dados

originais estejam

comprometidos. Os registos de

evento capturados pelo RSA

enVision são armazenados num

sistema operacional protegido,

em formato compactado e

protegido por meio de

criptografia ―lightweight‖.

Requisito 10.7 - Manter um

histórico da ―pisada‖ de

auditoria por pelo menos um

ano, com um mínimo de três

meses de disponibilidade on-

line. O RSA enVision NAS3500

oferece o EMC Celerra

préconfigurado, pré-testado e

em rack, permitindo que os

clientes tenham entre 3.5 TB e

7 TB de armazenamento,

número especialmente

relevante para a retenção de

dados de registo on-line. Além

disso, como o RSA enVision foi

projetado para oferecer

integração imediata com

plataformas de armazenamento

em rede, como o EMC Centera

e o EMC Celerra, os clientes

terão a capacidade de

armazenar as suas informações

essenciais para cumprir os

requisitos de conformidade. Os

sistemas do EMC Celerra NAS

(Network Attached Storage,

armazenamento conectado à

rede) fornecem o

preço/desempenho líder do

setor com disponibilidade sem

comprometimento. A

disponibilidade sem

compromisso significa que os

aplicativos continuam a

executar as operações nos

mesmos níveis de desempenho

e serviço, mesmo em caso de

falha. O Celerra consegue

oferecer isso por meio de uma

arquitetura de cluster N+1

ativa/passiva e eliminando

qualquer ponto de falha da rede

até o drive de disco. Além

disso, os sistemas do EMC

Celerra NAS implementam um

recurso chamado ―File Level

Retention‖ (retenção num nível

de arquivo) que fornece

proteção ORM com base em

discos para arquivos. Esse

recurso do Celerra protege

arquivos e diretórios de serem

excluídos, alterados,

renomeados ou sobescritos

durante o período de retenção

especificado. O Celerra File

Level Retention pode oferecer

às empresas a capacidade de

proteger a integridade de

registos de auditoria on-line

por um período de retenção

específico (por exemplo, três

meses).

13/15


14 09-06-2013

Conclusão

Num sistema bancário cada vez

mais exigente as entidades

bancárias apostam cada vez mais

nestes serviços de vanguarda

tecnológica apoiada em bases de

dados extremamente cuidadas que

ajudam os clientes a criar políticas

e processos para desenvolver e

aprimorar seus programas de

segurança das informações. Mais

especificamente, os consultores

dos serviços profissionais que

revisam as políticas de segurança

existentes e desenvolvem políticas

novas ou aperfeiçoadas para

assegurar que os dados de titulares

de cartão sejam manipulados

apropriadamente. Estes serviços

também revisam os processos

quanto ao uso, compartilhamento,

armazenamento e rotulação da

mídia que contém dados de

titulares de cartão para assegurar

que sejam consistentes com as

práticas recomendadas pelo

padrão PCI DSS. Tais políticas

devem incluir especificações de

usos apropriados e necessários de

dados de titulares de cartão e

procedimentos adequados para

manipular esses dados. Desta

forma garante-se que erros e

problemas com os clientes não

aconteçam.

14/15


15 09-06-2013

Bibliografia

Security Standards Council (2006). Indústria de Cartões de

Pagamentos (PCI), Padrão de Segurança de Dados - Procedimentos

de Auditoria de Segurança. Versão 1.1;

Visa (2005). Indústria de Cartões de Pagamento (PCI), Padrão de

Segurança de Dados. Versão 1.0;

RSA (2007). Protegendo os Dados de Cartão de Crédito, atendendo

ao padrão de segurança de dados do PCI. Versão 1.1.

15/15

Grupo 7 si_28191_28045_20130609_1800

Documents

Transcript of Grupo 7 si_28191_28045_20130609_1800