PCI 01 - Implementando o PCI DSS 3.0 (24 Horas)

Transcrição

1 PCI 01 - Implementando o PCI DSS 3.0 (24 Horas) DEPOIMENTO Temos o prazer de anunciar nossa primeira parceria internacional de treinamento e estamos muito satisfeitos em associar-nos à Antebellum, uma organização com conhecimento profundo dos padrões da PCI A educação é um elemento imprescindível na segurança de pagamentos Bob Russo, General Manager, PCI SSC OBJETIVOS DO CURSO Capacitar os alunos a implementar os controles necessários para atender aos requisitos do PCI DSS; Facilitar a interação entre os colaboradores da empresa e os QSA s. Este curso prepara o profissional para certificação PCI Professional, do PCI Council. Da experie ncia da Antebellum em ministrar os treinamentos oficiais de certificaça o ISA (Internal Security Assessor) e da constataça o da necessidade de um treinamento menos focado em auditoria e mais focado na implementaça o dos controles necessa rios para reforçar a segurança de dados de carto es de pagamento nasceu o treinamento de implementaça o do PCI DSS 3.0. Este treinamento oferece a oportunidade de aumentar a expertise de seus colaboradores nos padro es de segurança do PCI Council e a eficie ncia de sua empresa na implementaça o dos controles necessa rios para atender aos requisitos e alcançar a conformidade com o PCI DSS 3.0. PRÉ-REQUISITOS Conhecimentos ba sicos de Tecnologia da Informaça o PÚBLICO-ALVO Todo o pessoal te cnico envolvido com o manuseio de dados críticos, mais especificamente os custodiantes das informaço es, normalmente pertencentes a a rea de tecnologia da informaça o. Dentre esses profissionais destacamos: Gestores, Consultores e Pessoal de Suporte, e gerentes de projeto de serviços de TI Desenvolvedores, Integradores e arquitetos de sistemas Engenheiros e especialistas de rede Profissionais de segurança da informaça o 2

2 OBJETIVOS DO CURSO O Treinamento leva o aluno a conhecer os controles de segurança utilizados na Evolveris, uma empresa fictícia cujo nome em Latim significa Que esta evoluindo. A Evolveris líder em educaça o ba sica, me dia e universita ria, ale m de oferecer dezenas de cursos de extensa o e capacitaça o profissional. Em 2010, a Evolveris foi adquirida pela Antebellum Group, um grupo internacional, proprieta rio de diversas universidades e centros de treinamento em todo o mundo. Desde enta o, a empresa tem realizando grandes esforços, em todos os sentidos, para se adaptar ao nível de exige ncia das regulamentaço es americanas e europeias, assim como atender aos anseios da governança corporativa da empresa Dentro deste cena rio, este curso apresenta passo a passo as aço es tomadas para a implantaça o dos controles responsa veis pela conformidade da organizaça o com os requisitos do PCI DSS 3.0, desde a conscientizaça o da alta gesta o ate a implantaça o de cada um dos controles dentro de uma ordem sugerida pelo pro prio PCI Council. CONTEÚDO PROGRAMÁTICO A narrativa do curso se da em forma de histo ria, que começa com a chegada de uma nova CEO, com a missa o de garantir a segurança de dados de carta o de pagamento na Evolveris. O Curso e dividido em 7 partes com 28 capítulos, durante os quais as personagens apresentam as políticas e as tecnologias utilizadas para a proteça o de dados críticos na organizaça o. 3

3 Parte I Identificando e isolando dados sensíveis Introdução: A Evolveris e o grupo de colaboradores mais envolvido com a segurança da informaça o e apresentado aos alunos. Hilda solicita que o CIO da empresa (Willian) faça um levantamento de todos os tipos de dados que a empresa processa e armazena, e em seguida pede que Olívia (Jurídico) identifique as leis, normas e regulamentaço es relacionadas a s atividades da empresa e a esses tipos de dados. Juntos, Olívia e Wallace (CISO) desenham as políticas de retença o de dados e diretrizes para comunicaça o com portadores de carta o de pagamento para atenderem ao PCI DSS. Capítulo 1 A Evolveris e o PCI Council: Allan, o CSO da Evolveris posiciona a segurança da informaça o no organograma da empresa, explana sobre o enquadramento da Evolveris nos programas de conformidades das bandeiras de carto es de pagamento e apresenta o PCI Council e seus padro es de segurança para os outros gestores da empresa. Wallace, o CISO, apresenta os componentes de SI (processos, pessoas e tecnologia), os conceitos de defesa em profundidade, o processo de criaça o de controles de segurança e os tipos e funço es das medidas de segurança existentes. Capítulo 2 Análise de Riscos: Allan inicia um processo de análise de riscos baseado nas melhores metodologias de mercado, como a ISO e NIST SP revision 1. Para atender ao requisito 12.2 Allan estabelece sistemas de gesta o de riscos com um processo de revisa o anual dos riscos. Capítulo 3 Localização dos dados: Wallace desenha um diagrama de rede que identifica todos as conexo es entre o ambiente de dados de portadores de carta o, ou CDE (Cardholder Data Environment), e demonstra o fluxo de dados de carto es dentro dos sistemas e redes. Adicionalmente, Willian se utiliza de ferramentas para identificar dados de carto es que possam estar em outras localidades ale m das documentadas. Capítulo 4 Retenção de Dados: Wallace apresenta os critérios utilizados para armazenamento de dados de carto es de pagamento na Evolveris. Capítulo 5 Descarte de dados: Wallace apresenta os controles utilizados para a destruição de dados que na o possuem mais uma necessidade legal ou de nego cio para serem armazenados. Parte II Protegendo sistemas e redes e preparando-se para responder a falhas Capítulo 6 Definição de escopo: Wallace apresenta a Hilda as estratégias de segurança relacio- 4

4 nadas a identificaça o do fluxo de dados de portadores de carta o dentro da Evolveris e de todos os componentes por onde estes dados trafegam, sa o armazenados ou processados. Capítulo 7 Configuração dos ativos de rede: Alex apresenta as políticas de configuração dos ativos de rede, incluindo as regras de firewall, NAT, te cnicas anti-spoofing e sincronizaça o dos arquivos de configuraça o. Alex especifica tambe m os protocolos em uso e apresenta os mecanismos de detecça o de intrusos nos diferentes segmentos de rede criados atrave s de perímetros que separam diferentes zonas com diferentes níveis de confiança atrave s de firewalls, switches e roteadores. Capítulo 8 Configuração padrão: Alex apresenta as políticas definidas para a substituição de senhas dos ativos de rede e dos softwares instalados na Evolveris antes da implantaça o dos mesmos na rede corporativa. Capítulo 9 Configuração de Endpoint: Wallace apresenta as políticas e configurações utilizadas pela Evolveris para a configuraça o do(s) software(s) em execuça o nos hosts. Que incluem o antivírus, firewall pessoal e monitor de integridade nos equipamentos dentro do ambiente de dados do portador de carta o. Capítulo 10 Criptografia Assimétrica: Samuel, o coordenador de infraestrutura apresenta os fundamentos da criptografia assime trica, certificados digitais, autoridades certificadoras, Infraestrutura de chaves pu blicas e assinatura digital. Capítulo 11 Criptografia aplicada à transmissão de dados: Samuel continua sua explicação, demonstrando como a Evolveris utiliza a criptografia para atingir os objetivos de conformidade e aumentar a segurança ao transmitir dados de carto es de pagamentos de forma segura, utilizando VPN, SSL/TLS e WPA. Capítulo 12 Acesso remoto: Samuel apresenta as políticas de acesso remoto, que incluem autenticaça o forte, baseada em mais de um fator, as características criptogra ficas para acesso administrativo. Capítulo 13 Controles Físicos: Allan apresenta os controles de segurança física como a proteção do perímetro físico, a reas sensíveis, controles de acesso ao ambiente, CFTV, pontos de rede, estaço es desbloqueadas, informaço es nas estaço es de trabalho, ale m das políticas de controle de dispositivos de pagamento com lista de dispositivos, e inspeça o perio dica dos mesmos. 5

5 Capítulo 14 Testes de vulnerabilidades: Samuel apresenta as políticas e as metodologias utilizadas para realizar os testes trimestrais de vulnerabilidades e os testes anuais de invasa o no ambiente de dados do portador de carta o. Capítulo 15 Provedores de Serviço e Plano de resposta a incidentes: Wallace apresenta as políticas para controle de provedores de serviço, os controles para resposta a incidentes de segurança e apresenta o plano de resposta a incidentes da Evolveris para o caso de vazamento de dados. PARTE III SEGURANÇA EM APLICAÇÕES DE PAGAMENTO Willian apresenta os estudos relacionados a vulnerabilidades de softwares, o processo de criaça o de exploits, zero-days, os procedimentos a serem adotados pelas empresas para mitigar essas ameaças e as melhores pra ticas de atualizaça o, ale m das políticas de atualizaça o, hardening e privile gio mínimo da Evolveris Capítulo 16 Configuração: Samuel descreve os procedimentos para criação e manutenção de padro es de instalaça o e configuraça o segura (hardening) dos componentes do sistema, assim como os procedimentos criados para que estes sistemas permanecem sempre atualizados e com uma configuraça o segura em qualquer tipo de componente, incluindo sistemas operacionais, pa ginas WEB, e firmware de ativos como roteadores e firewalls. Capítulo 17 - Desenvolvimento: Gabriel, o Lenda, explica como os princípios de segurança no design e segurança por default sa o aplicados nos desenvolvimentos internos da Evolveris. Apresenta tambe m a separaça o entre os ambientes de desenvolvimento, teste e produça o, os procedimentos para gesta o de mudanças em software, treinamento de desenvolvedores e os cuidados tomados na validaça o das entradas dos sistemas para evitar falhas de Buffer overflow, SQL Injection. PARTE IV MONITORAÇÃO E CONTROLE DE ACESSO AOS SISTEMAS Capítulo 18 Controle de Acesso: Willian apresenta a política de controle de acesso da Evolveris, as regras para criaça o e manutença o de senhas seguras e os conceitos de gesta o e identidades, identificaça o u nica, Need to Know, privile gio mínimo, segregaça o de funço es. Capítulo 19 Reference Monitor: Wallace apresenta os conceitos de Reference Monitor, Trile A, DACL s, SACL s, Auditoria de eventos (Logs), assim como o processo e a política de auditoria e os cuidados para sincronizaça o de hosts (NTP). 6

6 Capítulo 20 Autenticação: Willian analisa as diferenças entre os processos de autenticação mais utilizados em sistemas operacionais, como o passwd, SAM, domínios e Kerberos. Discute tambe m, as políticas de acesso a banco de dados e autenticaça o com Smatcards. Capítulo 21 Monitoramento: Alex apresenta as políticas e recursos de monitoramento do ambiente utilizados para detectar alteraço es em arquivos críticos, redes wireless na o autorizadas. O Capítulo aborda tecnologias como Scanners de vulnerabilidades, IDS, IPS e NAC. PARTE V PROTEÇÃO DOS DADOS ARMAZENADOS Capítulo 22 Proteção dos dados armazenados: Wallace apresenta as bases da criptografia simétrica, truncagem e hash de dados atrave s da teoria e da demonstraça o da criptografia de arquivos, bancos de dados, discos e backups utilizada na Evolveris para a proteça o dos dados armazenados. Capítulo 23 Gerenciamento de Chaves: Samuel apresenta as políticas para geração, transmissão, custo dia de chaves criptogra ficas, conhecimento compartilhado, duplo controle e destruiça o das chaves. Capítulo 24 Tokenização: Samuel apresenta os conceitos de Tokenização e como essa metodologia vem sendo aplicada dentro da Evolveris para diminuir o impacto de um eventual vazamento de dados. PARTE VI CONTROLES ADICIONAIS Capítulo 25 Gestão de Mudanças: Wallace apresenta os controles utilizados para garantir uma gesta o adequada das alteraço es realizadas nos componentes dos sistemas da Evolveris, dentre eles a documentaça o de impacto, aprovaça o da mudança, teste de funcionalidade e procedimentos de retorno. Capítulo 26 Política de Segurança: Allan apresenta o processo de criação e aprovação da política de segurança da Evolveris, assim como a sua divulgaça o e a capacitaça o da equipe nos assuntos referentes a segurança da informaça o. PARTE VII DOCUMENTAÇÃO DO PCI COUNCIL Capítulo 27 Os documentos de apoio: Allan apresenta os documentos disponibilizados pelo PCI Council para auxiliar as empresas na obtença o da conformidade com os padro es vigentes. Capítulo 28 SAQ s, ROC s, AOC s e planilha de controles compensatórios: Allan explica as diferenças entre os Questiona rios de auto-avaliaça o (SAQ s) e Relato rios de conformidade (ROC s), e Atestados de Conformidade (AoC), ale m de demonstrar os requisitos e passos para preenchimento da planilha de controles compensato rios 7