Grupo 7 si_28191_28045_20130609_1800
-
Upload
natalia-fernandes -
Category
Documents
-
view
55 -
download
0
Transcript of Grupo 7 si_28191_28045_20130609_1800
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045
1 09-06-2013
NATÁLIA FERNANDES, Nº
28191
CURSO: CONTABILIDADE
NUNO CORREIA, Nº 28045
CURSO: GESTÃO
Índice
Instituto de Estudos Superiores de Fafe
Escola Superior de Tecnologias de Fafe
Erros do Gabinete de Crédito
Problemas com pessoas importantes
Unidade Curricular de Sistemas de Informação
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045
2 09-06-2013
Introdução ...................................................................................................... 3
Segurança de dados ....................................................................................... 4
Deteção e classificação de dados dos cartões de crédito .............................. 5
Proteger os dados armazenados sobre titulares de cartão ............................. 6
Criptografar a transmissão de dados sobre os titulares de cartão em redes
abertas e públicas .......................................................................................... 8
Manter sistemas e aplicativos seguros .......................................................... 8
Restringir o acesso aos dados de titulares de cartão ..................................... 9
Atribuir uma ID exclusiva cada pessoa com acesso ao computador ............ 9
Restringir acesso físico aos dados do titular do cartão ............................... 11
Controlar e monitorizar todo o acesso aos recursos de rede e aos dados de
titulares de cartão ........................................................................................ 12
Conclusão .................................................................................................... 14
Bibliografia .................................................................................................. 15
2/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045
3 09-06-2013
Introdução
O pagamento por cartão de crédito
é cada vez mais popular. No
entanto, também requer medidas
de segurança rigorosas no que
respeita aos dados de cartões de
crédito e de transações, de modo a
consolidar a confiança dos
clientes neste método de
pagamento. Por este motivo, os
especialistas em segurança das
empresas de cartões de crédito
reuniram-se e desenvolveram uma
solução comum. Qualquer
empresa que processe, transmita
ou armazene dados de cartões de
crédito tem de cumprir um
conjunto de diretrizes para
garantir a segurança dos dados. O
objetivo é que todos os
comerciantes que aceitam cartões
de crédito cumpram
rigorosamente a PCI-DSS (Padrão
de Segurança de Informação da
Indústria de Cartões de
Pagamento), anteriormente
designada por CISP (Cardholder
Information Security Program).
A versão atual da norma foi
desenvolvida durante um período
de apenas alguns anos. A VISA
lançou o CISP (Cardholder
Information Security Program)
em 2001. Este foi o primeiro
programa deste tipo e exigia que
os comerciantes e fornecedores de
serviços cumprissem um conjunto
de normas específicas para
garantir a segurança dos dados.
Alguns anos mais tarde, a VISA, a
MasterCard, a American Express,
a Discover, a DinersClub e a JCB
conjugaram as respectivas
políticas individuais e
apresentaram a PCI-DSS
(Payment Card Industry Data
Security Standard), uma versão
atualizada e mais abrangente da
norma, que se tornou obrigatória
para todos os comerciantes e
fornecedores de serviços em
Junho de 2005. Novamente
atualizada em Setembro de 2006,
a norma inclui agora cerca de 160
requisitos, que se tornaram
obrigatórios em Junho de 2007. O
acordo não é um mero "tigre de
papel": Só em 2006, a VISA
apresentou reclamações num valor
total de 4,6 milhões de dólares
contra comerciantes que não
cumpriram as normas. Este
número corresponde a um
aumento de 35% em comparação
com o ano anterior.
A norma PCI atual inclui
requisitos rígidos no que respeita
ao processamento e
armazenamento de dados de
cartões de crédito. Os
comerciantes estão obrigados a
cumprir estas normas para manter
o estatuto de parceiros da empresa
de cartões de crédito e evitar
multas pesadas. É possível que o
seu banco o tenha contactado nos
últimos meses com informações
relativas à PCI e respetiva
importância na prevenção de
fraudes com cartões de crédito.
3/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045
4 09-06-2013
Segurança de dados
O padrão PCI identifica várias
tecnologias fundamentais de
segurança de TI e vários processos
e procedimentos, que são
necessários para proteger os dados
de titulares de cartão. Para atender
a esses requisitos, a RSA,
Divisãode Segurança da EMC,
oferece a solução RSA PCI, que
abrange uma gama de tecnologias
e serviços de segurança de TI. A
abordagem da RSA, centrada em
informações, permite que os
clientes ultrapassem a proteção do
perímetro e garantam que os
dados estejam seguros não
atingindo onde esses dados
estejam. Além disso, as soluções
RSA para conformidade com o
padrão PCI permitirão que você
responda às seguintes perguntas:
1. Onde estão todos os dados de
cartão de crédito da empresa?
2. Como posso garantir que todos
os dados de cartão de crédito
estejam seguros?
3. Como posso utilizar os
controlos adequados a fim de
garantir uma resposta rápida
aos riscos de segurança
potenciais e comprovar que os
investimentos de PCI e DSS
podem ajudar nos negócios
além das auditorias?
À medida que as empresas
começam a abordar a
conformidade com o PCI DSS,
elas devem primeiro compreender
Objetivos Requisitos
Desenvolver e manter uma rede segura
1. Instalar e manter uma configuração de firewall para proteger os dados de titulares de cartão
2. Não usar os padrões dos fornecedores para as do sistema e outros parâmetros de segurança
Proteger dados de titulares de cartão
3. Proteger os dados armazenados sobre titulares de cartão
4. Criptografar a transmissão de dados sobre os titulares de cartão em redes abertas e públicas
Manter um programa de gerenciamento de vulnerabilidades
5. Usar e atualizar regularmente um software antivírus
6. Desenvolver e manter sistemas e aplicativos seeguros
Implementar medidas sólidas de controle de acesso
7. Restringir o acesso aos dados do titular do cartão apenas aos que realmente precisam dos dados
8. Atribuir uma ID exclusiva para cada pessoa com acesso ao computador
9. Restringir acesso físico aos dados do titular do cartão
Monitorar e testar regularmente as redes
10. Controlar e monitorar todo o acesso aos recursos de rede e aos dados do titular do cartão
11. Testar regularmente os sistemas e processos de segurança
Manter uma política de segurança das informações
12. Manter uma política que cuide da segurança dasinformações
4/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045
5 09-06-2013
todas as falhas existentes para que
possam identificar as necessidades
de correção. Por meio da Pré-
avaliação e análise de falhas do
PCI DSS, os serviços profissionais
RSA ajudam os clientes a
compreender a sua atual postura
em relação ao padrão PCI e
desenvolver um roteiro de
correções antes de passar por uma
auditoria formal do padrão PCI.
Esse serviço não substitui nem
serve como auditoria do padrão
PCI, mas ajuda os comerciantes a
identificar e corrigir os pontos
fracos antes de passar por uma
auditoria do PCI. Como um dos
principais resultados práticos, os
serviços profissionais RSA
fornecem uma arquitetura de
referência recomendada para
manipulação adequada dos dados
de titulares de cartão. Os
consultores da RSA fornecem essa
arquitetura propostaapós:
1. Avaliar os níveis atuais de
conformidade com o padrão
PCI DSS por meio da revisão
das arquiteturas atuais para
obter elementos de
infraestrutura (redes,
aplicativos, servidores e
armazenamento) e do uso de
tecnologias avançadas de
classificação e deteção que
manipulam e processam dados
de titulares de cartão.
2. Revisar as políticas e processos
atuais de manipulação dos
dados de titulares de cartão e
compará-los com o padrão PCI
DSS e com as práticas
recomendadas, obtidas
segundo a experiência da
consultoria da RSA.
3. Produzir um relatório para
documentar as brechas entre o
estado atual da infraestrutura,
das políticas e dos
procedimentos e o estado
desejado para alcançar
aconformidade com o PCI
DSS.
4. Desenvolver um roteiro de
correções que forneça um
cronograma passo a passo das
alterações recomendadas de
infraestrutura e processos para
garantir a conformidade com o
PCI DSS e, ao mesmo tempo,
reconhecer as limitações da
gestão de orçamento, da equipa
e das informações. Além disso,
o serviço EMC de avaliação de
segurança do armazenamento
oferece uma análise detalhada
daspráticas e procedimentos de
segurança relacionados às
infraestruturas de
armazenamento em rede da
EMC.
Deteção e classificação de dados
dos cartões de crédito
Os serviços profissionais RSA
permitem que os clientes
compreendam onde os dados de
titulares de cartão residem na
empresa para que esses dados
possam ser geridos de modo
5/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045
6 09-06-2013
consistente durante o ciclo de
vida. Para conseguir isso, os
serviços profissionais RSA usam
uma variedade de aplicativos,
tecnologias de deteção e
classificação de redes e dados,
juntamente com entrevistas com
os responsáveis pelos principais
aplicativos para analisar a
localização e o fluxo de transações
dos dados de titulares de cartão.
A oferta de serviço profissional e
a classificação para segurança das
informações garante que os
dadosdos titulares de cartão sejam
usados adequadamente, que a
manipulação de dados de titulares
de cartão seja documentada e que
apenas as informações necessárias
e apropriadas sejam armazenadas.
Os fluxos de transação de dados
de cartões na empresa são
analisados, garantindo que as
informações de cartões de crédito
em aplicativos dependentes e nas
linhas de negócios associadas
sejam armazenadas e catalogadas.
Proteger os dados armazenados
sobre titulares de cartão
A RSA fornece uma ampla gama
de tecnologias de dados
corporativos seguros que permite
que os clientes atendam ao
Requisito 3 do padrão PCI,
protegendo os dados armazenados
de titulares de cartão onde quer
que esses dados estejam na
empresa. As soluções de dados
corporativos seguros permitem
que os clientes protejam os dados
de titulares de cartão em todos os
pontos de criptografia,
independente de onde os dados
residam, seja num aplicativo, num
banco de dados, em arquivos e
pastas ou em armazenamento de
disco. Além disso, a gestão de
chaves em toda a empresa
fornecido pelo RSA Key Manager
garante que as soluções de
proteção de dados possam ser
dimensionadas e adaptadas às
mudanças nos negócios e que os
seus dados estarão disponíveis e
protegidos, independente de onde
sejam necessários no ciclo de vida
das informações. Alguns dos sub-
requisitos específicos que podem
ser atendidos com a tecnologia
RSA são:
Requisito 3.4- Manter o
número principal do cartão no
mínimo ilegível, onde quer que
esteja armazenado o RSA Key
Manager oferece bibliotecas de
desenvolvimento de aplicativos
que suportam uma grande
variedade de linguagens de
desenvolvimento, permitindo
que os desenvolvimentos
integrem, com facilidade, a
criptografia em aplicativos de
ponto de vendas, pagamento,
CRM, ERP e outros aplicativos
que criam ou processam
informações confidenciais. O
RSA Database Security
Manager permite que os
clientes criptografem as
informações no nível do banco
de dados e aceita diversos
DBMS (Database
6/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045
7 09-06-2013
Management Systems, sistemas
de gestão de banco de dados),
inclusive Oracle, SQL Server,
IBM DB/2, Sybase e Teradata.
O RSA Database Security
Manager é especialmente
eficiente para empresas com
ambientes heterogéneos de
DBMS, pois a sua tecnologia
permite que as empresas
apliquem políticas de
segurança consistentes em
diferentes sistemas de DBMS.
O RSA File Security Manager
oferece aos clientes a habilidade
de proteger os dados de cartão de
crédito mantidos em arquivos de
computadores, laptops e
servidores contra ataques internos
e externos. Além disso, a sua
tecnologia permite que os clientes
giram e apliquem de modo
centralizado a separação de
funções, juntamente com outras
políticas de segurança, em
arquivos confidenciais,
independente de onde estiverem
localizados na rede. Requisito 3.6:
Documentar e implementar
completamente todos os processos
e procedimentos de gestão de
chaves para estas serem usadas na
criptografia dos dados de titulares
de cartão. O RSA Key Manager
oferece suporte sólido para a
gestão de chaves de criptografia
em todo o ciclo de vida da chave,
desde a geração de chaves fortes,
a ativação do armazenamento e da
distribuição de seguros das chaves
até tornar as chaves de
criptografia praticamente
inacessíveis. Por meio de
parcerias com a Decru e a
NeoScale Systems, a RSA oferece
recursos de criptografia para
sistemas de armazenamento em
disco. O dispositivo de segurança
de armazenamento Decru
DataFort permite que os clientes
automatizem e simplifiquem a
gestão de dados protegidos em
ambientes corporativos
heterogéneos, especialmente entre
ambientes complexos de
armazenamento em disco de
SAN/NAS. Os dispositivos
NeoScale,CryptoStor automatizam
a criptografia de dados localizados
tanto na rede de armazenamento
quando inativos no disco, fita ou
virtual.
Requisito 3.5 - proteger as
chaves de criptografia usadas
para criptografar os dados de
titulares de cartão contra
exposição e uso impróprio.O
RSA KeyManager é uma
tecnologia de gestão
centralizada de chaves de
criptografia que permite aplicar
as políticas de modo
centralizado em toda a
empresa. Além disso, a
tecnologia permite que os
clientes restrinjam o acesso às
chaves e armazenem de modo
seguro as chaves de
criptografia. Por meio da
integração com tecnologias de
criptografia da RSA, além de
tecnologias de outros
fabricantes como Decru e
NeoScale, a RSA oferece uma
plataforma comum para aplicar
7/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045
8 09-06-2013
segurança aos dados de
titulares de cartão. Além disso,
a RSA fez parceria com a
Epicor|CRS para integrar o
RSA KeyManager à solução de
ponto de vendas CRS
RetailStore, para ajudar na
proteção de
informaçõesconfidenciais —
como dados de cartão de
crédito — no ponto da entrada.
Além disso, o RSA Key
Manager oferece ainda mais
suporte à conformidade com o
Requisito 3.5, permitindo que
os clientes limitem o acesso às
chaves de criptografia,
assegurando que os
utilizadores sejam autenticados
e autorizados adequadamente,
controlos estes que os
auditores do PCI DSS
procuram constatar. Além
disso, o RSA Key Manager
armazena as chaves de
criptografia em um banco de
dados protegido (o
armazenamento de chaves)
onde as próprias chaves são
criptografadas usando uma
KEK (Key Encryption Key,
chave de criptografia de
chaves). Os clientes podem
armazenar essa KEK num HSM
(Hardware Security Module,
módulo de segurança de
hardware), um dispositivo de
hardware especializado e
protegido que reforça a
proteção.
Criptografar a transmissão de
dados sobre os titulares de
cartão em redes abertas e
públicas
Por meio de uma parceria com a
CipherOptics, a RSA oferece
segurança transparente para dados
em circulação nas redes IP
internas, o que ajuda a proteger os
links entre os sistemas e, assim,
garantir que os dados
confidenciais não sejam
adulterados enquanto são
transferidos entre os sistemas. O
serviço RSA de projeto e
implementação de criptografia do
armazenamento integra os
dispositivos CipherOptics aos
ambientes dos clientes usando as
práticas recomendadas de
implantação. Além disso, o RSA
Key Manager oferece um suporte
sólido para a gestão de chaves de
criptografia em todo o ciclo de
vida das chaves, desde a geração
de chaves fortes, a ativação do
armazenamento e da distribuição
seguros das chavesaté tornar as
chaves de criptografia
praticamente inacessíveis.
Manter sistemas e aplicativos
seguros
O serviço RSA Application
Security Design Assessment é uma
oferta em pacotes que oferece um
diagnóstico rápido e preciso do
estado atual da segurança dos
aplicativos. Os consultores do
RSA Professional
8/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045
9 09-06-2013
Servicesanalisam o projeto e o
modelo operacional dos
aplicativos alvo e dos ambientes
que os cerca, conferem
completamente os projetos de
aplicativos atuais e a
documentação técnica
associada,examinam a arquitetura
de aplicativos e o fluxo de
informações e produzem um
relatório destacando os pontos
fortes e fracos dos sistemas atuais
e das operações relativas às
práticas recomendadas da RSA.
Restringir o acesso aos dados de
titulares de cartão
As soluções RSA para acesso
corporativo seguro permitem que
os clientes cumpram o requisito 7
do padrão PCI, assegurando que
apenas usuários autorizados
possam acessar os dados de
titulares de cartão em sistemas de
PCI com base na Web.
Especificamente, o software RSA
Access Manager oferece suporte
aos seguintes sub-requisitos:
Requisito 7.1 - limitar o
acesso aos recursos de
computadores e às informações
sobre titulares de cartões
apenas às pessoas cuja função
exige tal acesso. O software
RSA Access Manager ajuda os
clientes a assegurar que apenas
as pessoas autorizadas poderão
aceder aos dados de titulares de
cartão em aplicativos com base
na Web. Além disso, esses
privilégios podem ser
atribuídos com base nas
responsabilidades do cargo de
uma pessoa ou de um grupo.
Os direitos do RSA Access
Manager podem ser definidos
por atributos exclusivos, como
um cargo (por exemplo,
departamento de
contabilidade), o que ajuda a
assegurar que o acesso seja
automaticamente cancelado se,
por exemplo, um membro da
empresa for transferido para
outro departamento. Além
disso, o RSA “Access
Manager” permite que os
clientes centralizem o acesso
dos dados de titulares de cartão
com base na Web, ajudando a
aumentar a segurança e assim
garantir que sejam
implementados controlos
consistentes de ponto de acesso
com base na Web.
Requisito 7.2- estabelecer um
mecanismo para os sistemas
com diferentes utilizadores que
limite o acesso com base na
necessidade para o cargo do
utilizador e que seja definido
para ―negar todos‖ a menos
que especificamente permitido.
Atribuir uma ID exclusiva cada
pessoa com acesso ao
computador
As soluções RSA para segurança
de acesso aos dados corporativos e
aos dados em si, ajudam os
clientes a garantir que os
utilizadores que acessão os
9/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045
10 09-06-2013
sistemas de dados de titulares de
cartão realmente sejam quem
afirmam ser. Os recursos
específicos incluem:
Requisito 8.2- Além de
atribuir uma ID exclusiva,
aplicar pelo menos um dos
métodos a seguir para
autenticar todos os usuários:
a) Senha
b) Dispositivos de token (por
exemplo, SecurID, certificados
ou chaves públicas).
c) Biométrica. O RSA SecurID
permite o cumprimento desses
requisitos, oferecendo uma
série de tokens de autenticação
/ autenticadores de dois fatores
com base em hardware e
software. Além disso, as RSA
Digital Certificate Solutions
oferecem aos clientes
flexibilidade para escolher o
mecanismo de autenticação
que melhor atende às suas
necessidades.Em seguida surge
o:
Requisito 8.3 - implementar
autenticação de dois fatores
para acesso remoto à rede
pelos funcionários,
administradores e terceiros. O
RSA SecurID permite que as
empresas implementem
autenticação de dois fatores
por meio de uma série de
opções de token para
autenticação de dois fatores
com base em hardware e
software. Além disso, os
parceiros RSA Secured
oferecem soluções para acesso
remoto com integração
imediata com o RSA SecurID,
tornando mais simples para as
empresas adotar processos de
autenticação sólida dos
utilizadores que acessão os
recursos por conexões VPN. –
Requisito 8.4: criptografar
todas as senhas durante a
transmissão e o
armazenamento em todos os
componentes do sistema. O
RSA SecurID (mais
especificamente, o RSA
SID200 PINpad Authenticator
and Software Authenticator)
permite que o PIN (Personal
Identification Number),
número de identificação
pessoal) do utilizador final seja
criptografado antes de ser
transmitido pela rede. Todas as
comunicações entre os agentes
do RSA SecurID e o servidor
são criptografados e todas as
informações de PIN dos
utilizadores finais são
criptografadas por inteiro
durante o armazenamento no
lado do servidor. Além disso, o
RSA File SecurityManager
permite a criptografia de
arquivos simples usados para
armazenar senhas.
Requisito 8.5 - Assegurar a
gestão apropriada de
autenticação e de senha dos
utilizadores não consumidores
e de administradores em todas
as componentes do sistema. A
tecnologia RSA SecurID ajuda
os seus clientes a exceder esse
requisito, oferecendo meios
para que realizem autenticação
10/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045
11 09-06-2013
sólida dos utilizadores antes do
acesso.
Restringir acesso físico aos
dados do titular do cartão
A RSA e a EMC oferecem
soluções para monitorar, analisare
gerenciar a segurança física de
sistemas e instalações onde os
dados de titulares de cartão são
armazenados e processados. Os
recursos específicos que atendem
aos principais sub-requisitos
incluem:
Requisito 9.1 - Usar controlos
apropriados de entrada em
instalações para limitar e
monitorizar o acesso físico aos
sistemas que armazenam,
processam ou transmitem
dados de titulares de cartão. A
EMC Physical Security
Solution permite que os
clientes giram, analisem,
arquivem e dimensionem a
segurança física e as
informações de vigilância em
vídeo ao longo de todo o ciclo
de vida.
O software EMC Surveillance
Manager fornece análises muito
eficientes e gestão automática,
com base em políticas. Além
disso, os sistemas de
armazenamento EMC de nível
empresarial garantem uma solução
dimensionável para atender aos
crescentes requisitos de
armazenamento de segurança
física. As plataformas de
armazenamento endereçado ao
conteúdo do EMC Centera e o
software Documentum de gestão
de conteúdo, fornecem o
arquivamento de evidências para
as análises e armazenamento de
arquivos delongo prazo e à prova
de violação para as informações
de vigilância em vídeo e outras
informações desegurança física.
Os EMC Global Services projetam
e integram a EMC Physical
Security Solution aos ambientes
dos clientes.
Requisito 9.7 -Manter controlo
rigoroso sobre a distribuição
interna e externa de qualquer
tipo de mídias que contenha
dados de titulares de cartão
(abrangendo a classificação da
mídias para que possa ser
identificada como
confidencial).
A oferta de serviço profissional
RSA classificação para segurança
das informações sustenta os
esforços dos clientes para
efetivamente classificar as mídias
que contêm dados de cartões de
crédito.
Requisito 9.10- Destruir
mídias que contêm dados de
titulares de cartão quando não
forem mais necessárias para os
negócios ou por razões legais.
Os EMC Certified Data
Erasure Services usam técnicas
exclusivas e ferramentas do
setor para sobregravar as
mídias de armazenamento em
níveis especificados de
eliminação — 3x, 5x, 7x ou
11/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045
12 09-06-2013
um número personalizado — a
fim de substituir os seus dados
por uma sequência de padrões
variáveis de bits que tornam os
dados irrecuperáveis. Os
especialistas da EMC podem
realizar esse serviço nas
instalações dos clientes ou em
locais remotos em storage
arrays completos ou mídias
específicas após substituição
proactiva. Os serviços estão
disponíveis para storage
arrays tanto da EMC quanto
da
Hitachi, IBM, Sun, Network
Appliance e HP. Ao limite do
processo, a EMC fornece um
relatório abrangente e um
certificado de conclusão
específico para os drives que
foram apagados, indicando o nível
de eliminação obtido.
Controlar e monitorizar todo o
acesso aos recursos de rede e aos
dados de titulares de cartão
Requisito 10.1 - Estabelecer
um processo para vincular todo
o acesso aos componentes do
sistema (especialmente acesso
realizado com privilégios de
administrador, como root) a
cada utilizador individual. O
RSA enVision permite que os
clientes controlem as
atividades administrativas de
utilizadores e fornece
supervisão a fim de ajudar a
verificar se um utilizador está a
agir de acordo com a política
estabelecida. Além disso, o
sistema pode enviar um alerta
ao supervisor de um utilizador,
caso o seu comportamento
viole a política.
Requisito 10.2 - Implementar
―pisadas‖ de auditoria
automatizadas para todos os
componentes do sistema para
reconstruir os principais
eventos. O utilizador RSA
enVision ajuda as empresas a
implementar ―pisadas‖ de
auditoria automatizadas, que
detalham o acesso de
utilizadores aos dados de
titulares de cartão, as ações
realizadas pelos utilizadores
com privilégios de
administrador/root, os acesso
às ―pisadas‖ de auditoria, as
tentativas inválidas de acesso
lógico, o uso de mecanismos
de autenticação, a inicialização
do registo de auditoria e a
criação/exclusão de objetos de
nível do sistema.
Requisito 10.3 -Registar
entradas de ―pisadas‖ de
auditoria. O RSA enVision
registará os eventos conforme
forem reportados pelos
dispositivos associados. Além
disso, o RSA enVision salva os
dados de evento, que podem
ser analisados e revistos para
determinar o tipo de evento.
Requisito 10.5 - Proteger as
―pisadas‖ de auditoria de modo
que não possam ser alteradas.
O RSA enVision fornece dados
12/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045
13 09-06-2013
não-filtrados e espelhados para
o banco de dados de Protocolo
da Internet, permitindo a
retenção dos dados no seu
formato original. Além disso,
os recursos de ―uma gravação,
muitas leituras‖ ajudam a
garantir que as cópias
espelhadas permaneçam
intactas, mesmo que os dados
originais estejam
comprometidos. Os registos de
evento capturados pelo RSA
enVision são armazenados num
sistema operacional protegido,
em formato compactado e
protegido por meio de
criptografia ―lightweight‖.
Requisito 10.7 - Manter um
histórico da ―pisada‖ de
auditoria por pelo menos um
ano, com um mínimo de três
meses de disponibilidade on-
line. O RSA enVision NAS3500
oferece o EMC Celerra
préconfigurado, pré-testado e
em rack, permitindo que os
clientes tenham entre 3.5 TB e
7 TB de armazenamento,
número especialmente
relevante para a retenção de
dados de registo on-line. Além
disso, como o RSA enVision foi
projetado para oferecer
integração imediata com
plataformas de armazenamento
em rede, como o EMC Centera
e o EMC Celerra, os clientes
terão a capacidade de
armazenar as suas informações
essenciais para cumprir os
requisitos de conformidade. Os
sistemas do EMC Celerra NAS
(Network Attached Storage,
armazenamento conectado à
rede) fornecem o
preço/desempenho líder do
setor com disponibilidade sem
comprometimento. A
disponibilidade sem
compromisso significa que os
aplicativos continuam a
executar as operações nos
mesmos níveis de desempenho
e serviço, mesmo em caso de
falha. O Celerra consegue
oferecer isso por meio de uma
arquitetura de cluster N+1
ativa/passiva e eliminando
qualquer ponto de falha da rede
até o drive de disco. Além
disso, os sistemas do EMC
Celerra NAS implementam um
recurso chamado ―File Level
Retention‖ (retenção num nível
de arquivo) que fornece
proteção ORM com base em
discos para arquivos. Esse
recurso do Celerra protege
arquivos e diretórios de serem
excluídos, alterados,
renomeados ou sobescritos
durante o período de retenção
especificado. O Celerra File
Level Retention pode oferecer
às empresas a capacidade de
proteger a integridade de
registos de auditoria on-line
por um período de retenção
específico (por exemplo, três
meses).
13/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045
14 09-06-2013
Conclusão
Num sistema bancário cada vez
mais exigente as entidades
bancárias apostam cada vez mais
nestes serviços de vanguarda
tecnológica apoiada em bases de
dados extremamente cuidadas que
ajudam os clientes a criar políticas
e processos para desenvolver e
aprimorar seus programas de
segurança das informações. Mais
especificamente, os consultores
dos serviços profissionais que
revisam as políticas de segurança
existentes e desenvolvem políticas
novas ou aperfeiçoadas para
assegurar que os dados de titulares
de cartão sejam manipulados
apropriadamente. Estes serviços
também revisam os processos
quanto ao uso, compartilhamento,
armazenamento e rotulação da
mídia que contém dados de
titulares de cartão para assegurar
que sejam consistentes com as
práticas recomendadas pelo
padrão PCI DSS. Tais políticas
devem incluir especificações de
usos apropriados e necessários de
dados de titulares de cartão e
procedimentos adequados para
manipular esses dados. Desta
forma garante-se que erros e
problemas com os clientes não
aconteçam.
14/15
Erros do Gabinete de Crédito – Problemas Com Pessoas Importantes Natália Fernandes n.º 28191 – Nuno Correia n.º 28045
15 09-06-2013
Bibliografia
Security Standards Council (2006). Indústria de Cartões de
Pagamentos (PCI), Padrão de Segurança de Dados - Procedimentos
de Auditoria de Segurança. Versão 1.1;
Visa (2005). Indústria de Cartões de Pagamento (PCI), Padrão de
Segurança de Dados. Versão 1.0;
RSA (2007). Protegendo os Dados de Cartão de Crédito, atendendo
ao padrão de segurança de dados do PCI. Versão 1.1.
15/15