Como o software Reflection facilita a conformidade com o PCI DSS

Transcrição

1 Reflection Como o software Reflection facilita a conformidade com o PCI DSS

2 Como o software Reflection facilita a conformidade com o PCI DSS Como o software Reflection facilita a conformidade com o PCI DSS Em 2004, as maiores empresas de cartões de crédito, incluindo Visa, MasterCard e American Express, uniram forças para criar o PCI DSS (Payment Card Industry Data Security Standard). O PCI DSS se aplica a todas as empresas que armazenam, processam ou transmitem dados de contas de titulares de cartões de crédito. O objetivo: garantir a privacidade dos consumidores por meio de rígidos controles de segurança em todo o setor. Uma série de prazos de conformidade fez com que as organizações corressem para atender aos 12 abrangentes requisitos do PCI DSS. Esses requisitos variam de relativamente fácil de implementar, como assegurar o uso de software antivírus atualizado, a complexos e exigentes, como rastrear o acesso aos recursos da rede e aos dados dos titulares de cartão de crédito. Este white paper demonstra como os emuladores de terminal Micro Focus Reflection, os utilitários de transferência de arquivos e clientes e servidores SSH podem ajudar você a alcançar a conformidade com o PCI DSS. Quando terminar a leitura, você saberá quais produtos Reflection podem ajudá-lo a atender aos requisitos específicos do PCI e como eles fazem isso. Você também verá que o Reflection permite a conformidade além da emulação de terminal e da transferência de arquivos em áreas que você nem imaginou. Os 12 requisitos do PCI O PCI DSS consiste em 12 requisitos projetados para ajudar a assegurar que os dados de titulares estejam seguros e que a rede e os sistemas que tratam dos dados estejam bem protegidos. Os 12 requisitos se enquadram nos grupos listados na Figura 1. Como o Reflection lida com os problemas de segurança de host Para ajudar você a compreender como os produtos Reflection podem facilitar a conformidade com o PCI, esta seção resume os principais problemas de segurança de host e descreve como os produtos Reflection os resolvem. Criar e manter uma rede segura 1. Instalar e manter uma configuração de firewall para proteger dados de titulares de cartão. 2. Não usar padrões de fornecedores para senhas do sistema e outros parâmetros de segurança. Proteger os dados do cliente 3. Proteger dados armazenados de titulares de cartão. 4. Criptografar a transmissão de dados de titulares de cartão por redes públicas abertas. Manter uma programação de vulnerabilidade de gerenciamento 5. Usar e atualizar software antivírus regularmente. 6. Desenvolver e manter sistemas e aplicativos seguros. Implementar medidas fortes de controle de acesso 7. Restringir o acesso aos dados de titulares de cartão às empresas que realmente necessitam deles. 8. Atribuir um ID exclusivo para cada pessoa com acesso aos computadores. 9. Restringir o acesso físico a dados de titulares de cartão. Monitorar e testar redes regularmente 10. Controlar e monitorar todo o acesso a recursos da rede e a dados de titulares de cartão. 11. Testar sistemas e processos de segurança regularmente. Manter uma política de segurança de informação 12. Manter uma política voltada para a segurança das informações. Figura 1: Os 12 amplos requisitos do PCI DSS. Os produtos Reflection facilitam a conformidade com os requisitos 1, 2, 4, 6, 7, 8 e 10. Segurança dos servidores Os sistemas de host armazenam os dados de titulares de cartão e executam aplicativos que permitem o acesso a esses dados. Os sistemas de host também podem ser servidores de arquivos que mantém os dados dos titulares de cartão em arquivos que precisam ser transferidos por redes públicas. Devido à natureza confidencial dos dados, as organizações precisam restringir o acesso a eles e criptografá-los durante a movimentação pela rede. 2

3 Solução Reflection: o Reflection for Secure IT é uma família de clientes de shell seguro e de servidores para Windows e UNIX. Com os servidores Reflection for Secure IT, você pode criar túneis seguros e criptografados para os dados em movimento, incluindo comunicações de emuladores baseados em cliente, utilitários de transferência de arquivos ou qualquer aplicativo que utilize o protocolo TCP/IP. O Reflection for Secure IT também executa outra função essencial de segurança: o monitoramento de acesso aos componentes do sistema, incluindo o acesso com privilégios de administrador. Ao ativar a configuração de registro de auditoria, o Reflection for Secure IT fornece as principais informações (quem e quando o sistema foi acessado pelo servidor SSH) para as instalações de registro padrão no sistema de host. Segurança para estações de trabalho Os administradores de sistema e os usuários frequentemente dependem de utilitários baseados em cliente para acessar aplicativos e arquivos de host. Os IDs de usuário e senhas usados para obter acesso a sistemas de host, bem como as informações sigilosas que transitam entre a estação de trabalho e o sistema host, precisam de proteção contra olhos curiosos durante a transmissão. Solução Reflection: os emuladores de terminal Reflection for Windows e Reflection for the Web oferecem suporte a uma variedade de tecnologias de criptografia (incluindo SSH e SSL/TLS) e métodos de autenticação (como Kerberos) que correspondem aos recursos do sistema de host. Com esse suporte, os diretores de segurança podem ter certeza de que tanto as credenciais da conta do usuário (como senhas) e as informações confidenciais (como dados de titulares de cartões) serão criptografados conforme transitam entre o host e a tela de emulação de terminal. Os clientes do Reflection Secure FTP, incluindo os produtos de emulação Reflection, também oferecem suporte a uma variedade de tecnologias de criptografia e métodos de autenticação. Essas tecnologias e métodos ajudam a garantir que os arquivos com informações confidenciais não possam ser acessados por usuários não autorizados e sejam criptografados antes de entrarem na rede. Segurança de acesso ao sistema Os emuladores de terminal de cliente fornecem acesso aos dados particulares do host, o que significa que o acesso às sessões de emulação deve ser rigidamente controlado. Solução Reflection: o Reflection for the Web fornece autenticação e controle de acesso que aproveitam os diretórios de usuários existentes (como Active Directory). Os usuários não podem acessar as sessões de emulação a não ser que sejam aprovados por um administrador. Configurações de sessão específicas podem ser atribuídas a usuários e grupos dentro de um domínio. Essas sessões são iniciadas por meio de links em uma página da web ou portal protegidos. Quando os usuários acessam a página, eles são autenticados de acordo com o diretório de usuários e têm acesso garantido apenas para as sessões pré-designadas. 1) O usuário se conecta ao Reflection Management Server. 2) O usuário é autenticado em um servidor de diretório (LDAP/Active Directory) - opcional. 3) O servidor de diretório fornece um usuário e uma identidade de grupo. 4) O Reflection Management Server envia uma sessão de emulação para o cliente autenticado. 5) O usuário autenticado se conecta ao host. 3

4 Como o software Reflection facilita a conformidade com o PCI DSS O caminho do Reflection para a conformidade Esta seção explica como o Reflection pode ajudar você a atender aos requisitos do PCI DSS 1, 2, 4, 6, 7, 8 e 10. Requisito 1: instalar e manter uma configuração de firewall para proteger dados de titulares de cartão A Seção 1.1 da documentação do PCI DSS especifica que certos protocolos, incluindo SSL (Secure Sockets Layer) e Secure Shell (SSH), poderão passar pelo firewall sem justificativa ou documentação específicas. Mas os protocolos como o FTP, que são considerados de risco, exigem justificativa e documentação para poderem passar pelo firewall. A Seção 1.2 especifica que firewalls devem ser configurados para recusar todo o tráfego de redes não confiáveis, exceto para protocolos exigidos pelo ambiente de dados de titulares de cartões. o requisito 1: REFLECTION FOR WINDOWS Todos os produtos Reflection for Windows oferecem suporte à criptografia do terminal de fluxo de dados usando protocolos seguros aceitáveis, incluindo SSH e SSL/TLS. REFLECTION SECURE FTP O utilitário Reflection Secure FTP suporta FTP padrão, SFTP e funcionalidade de cliente FTP/S em protocolos seguros aceitáveis, incluindo SSH e SSL/TLS. O Reflection for the Web oferece suporte à criptografia do terminal de fluxo de dados usando protocolos seguros aceitáveis, incluindo SSH e SSL/TLS. Além disso, o Reflection for the Web inclui o Reflection Security Proxy, que permite acesso ao host por dentro do firewall. Os hosts ficam es con didos atrás do firewall e o proxy e os vários hosts podem ser acessados por meio de uma única porta aberta no firewall. Os servidores SSH no Reflection for Secure IT fornecem um mecanismo no servidor para o suporte à conectividade SSH com os clientes de emulação e transferência de arquivos de terminal Reflection. Requisito 2: não usar padrões de fornecedores para senhas do sistema e outros parâmetros de segurança A Seção 2.3 exige que todo o acesso administrativo aos sistemas principais não provenientes de console seja criptografado. O SSH e o SSL/ TLS são listados como protocolos aceitáveis. o requisito 2: REFLECTION FOR WINDOWS Os produtos Reflection for Windows podem ser usados para o acesso administrativo não proveniente de console aos sistemas de host. Toda a criptografia de suporte do terminal de fluxo de dados usa protocolos seguros aceitáveis, incluindo SSH e SSL/TLS. O Reflection for the Web oferece suporte à criptografia do terminal de fluxo de dados usando protocolos seguros aceitáveis, incluindo SSH e SSL/TLS. O Reflection Security Proxy também fornece conexões criptografadas para os sistemas de host, como Unisys, que não têm suporte para criptografia nativa. Os clientes Reflection for Secure IT Secure Shell oferecem utilitários para tarefas de administração interativas remotas e com scripts pelo protocolo SSH. Os servidores SSH no Reflection for Secure IT fornecem um mecanismo no servidor para o suporte à conectividade SSH com os clientes de emulação de terminal Reflection. Requisito 3: proteger dados armazenados de titulares de cartão A Seção 3.3 estipula que os números de conta principal (PANs) devem ser mascarados durante a exibição. Veja aqui como o Reflection Desktop, um emulador de terminal para Windows, facilita a conformidade com o requisito 3: REFLECTION DESKTOP O Reflection Desktop inclui um recurso de filtros de privacidade configuráveis que podem mascarar os PANs exibidos na janela de histórico, nos relatórios impressos e nas áreas de transferência. 4

5 Requisito 4: criptografar a transmissão de dados de titulares de cartão por redes públicas abertas O requisito 4 estipula que as informações confidenciais devem ser criptografadas durante a transmissão por meio de redes que são fáceis e comuns para um hacker interceptar, modificar e desviar os dados durante o tráfego. A Seção 4.1 prossegue para especificar que criptografia forte e protocolos de segurança sejam usados para proteger dados confidenciais de titulares de cartão durante o tráfego. o requisito 4: TODOS OS PRODUTOS REFLECTION Todas as implementações dos protocolos SSH e SSL/TLS nos produtos Reflection usam criptografia forte, incluindo DES triplo e algoritmos AES para criptografar dados de titulares de cartões enviados pela rede. Na maioria dos casos, essas implementações de criptografia foram validadas para FIPS por um terceiro credenciado. Requisito 6: desenvolver e manter sistemas e aplicativos seguros A Seção 6.1 do PCI DSS requer a instalação dos patches de segurança mais recentes fornecidos pelo fabricante no prazo máximo de um mês após seu lançamento. Para se manter atualizado no dinâmico cenário das ameaças de segurança, você precisa fazer uma parceria com um fornecedor que monitore os principais serviços de alerta de segurança e que informe as vulnerabilidades de segurança relevantes. Nossos especialistas em segurança mantêm uma série de notas técnicas, disponíveis em nosso site de suporte, que descrevem as vulnerabilidades de segurança publicadas. Os clientes de manutenção podem fazer download dos patches de segurança apropriados. Nossa equipe de suporte técnico também está disponível para ajudar você a lidar com os problemas de segurança que surgirem em nossos produtos. Requisito 7: restringir o acesso aos dados de titulares de cartão às empresas que realmente necessitam deles Este requisito exige que apenas os usuários cujo trabalho dependa do acesso aos dados de titulares de cartão tenham acesso e que a configuração padrão para os usuários seja definida como negar tudo, a menos que o contrário seja permitido. Veja aqui como o Reflection for the Web facilita a conformidade com o requisito 7: Todos os sistemas de host oferecem algum nível de autorização e controle de acesso. Você poderá adicionar uma camada de segurança com o Reflection for the Web, que permite que você controle os utilitários que acessam os seus hosts, como emuladores de terminal e utilitários de transferência de arquivos. Funciona assim: os usuários devem fazer login em um site que fornece links para a emulação de terminal e para as sessões de transferência de arquivos. A autenticação e as sessões do acesso podem ser gerenciadas por meio do seu diretório de controle de acesso existente (p. ex., Active Directory). Você pode controlar o acesso no nível de usuário ou grupo. A configuração padrão do Reflection for the Web negará o acesso a usuários não autorizados. Requisito 8: atribuir um ID exclusivo para cada pessoa com acesso aos computadores Este objetivo se enquadra no quesito implementar controle de acesso forte, este requisito especifica que os usuários devem se identificar antes de receber acesso aos dados de titulares de cartão. Também especifica o suporte para uma variedade de metodologias de autenticação e o uso de autenticação de dois fatores para o acesso remoto. Veja aqui como o Reflection for the Web facilita a conformidade com o requisito 8: Ao colocar uma camada de autenticação e autorização antes do acesso à emulação de terminal e aos utilitários de transferência de arquivos, o Reflection for the Web permite que IDs exclusivas designadas dentro um diretório de usuários existente sejam usadas para o controle de acesso. Além de autenticação com senha, o Reflection for the Web também suporta certificados digitais e chaves públicas para autenticação. Requisito 10: controlar e monitorar todo o acesso a recursos da rede e a dados de titulares de cartão Mecanismos de registro e a capacidade de rastrear as atividades dos usuários são elementares para a conformidade com o PCI DSS. O requisito 10 controla quais eventos são registrados para fins de auditoria e quais pontos de dados específicos são capturados no evento registrado. 5

6 Como o software Reflection facilita a conformidade com o PCI DSS o requisito 10: Como fornecedor de serviços de servidor Secure Shell, o Reflection for Secure IT proporciona capacidades robustas de registro. Eventos principais na operação dos servidores do Reflection for Secure IT, incluindo conexões de cliente e autenticações recebidas, são registrados em uma variedade de sistemas configuráveis, incluindo registro de eventos do sistema operacional padrão. Durante a emulação de terminal e as sessões de transferência de arquivos, o Reflection for the Web registra os eventos de acesso de entrada e os detalhes sobre os sistemas de host aos quais os usuários estão se conectando. Os clientes Reflection for Secure IT Secure Shell oferecem utilitários para tarefas de administração interativas remotas e com scripts pelo protocolo SSH. Os servidores SSH no Reflection for Secure IT fornecem um mecanismo no servidor para o suporte à conectividade SSH com os clientes de emulação de terminal Reflection. Mais recursos, conformidade mais rápida Atender uma ampla gama de requisitos do PCI DSS não é fácil. A implementação pode ultrapassar os limites dos departamentos, envolver várias equipes e afetar várias plataformas do sistema. O esforço envolvido pode ser caro e demorado. Infelizmente, não existe uma única solução de segurança que possa atender a todas as suas necessidades de conformidade com o PCI. Mas os produtos Reflection, que oferecem mais recursos de conformidade com o PCI do que qualquer outra solução de emulação de terminal, pode fornecer uma ampla base de suporte. Com ferramentas que residem tanto em servidores quanto em estações de trabalho dos usuários, os produtos Reflection são concebidos para reduzir o tempo para alcançar a conformidade e suportar o compartilhamento mais seguro de informações. E aqui estão mais boas notícias: quando atender os requisitos do PCI, sua organização estará no caminho certo para alcançar a conformidade com outras regulamentações mais recentes. 6

7 Micro Focus Argentina Brasil Colombia México Venezuela Micro Focus Sede da empresa Reino Unido +44 (0) PB A 09/ Micro Focus. Todos os direitos reservados. Micro Focus, Reflection e o logotipo Micro Focus, entre outros, são marcas registradas ou marcas comerciais registradas da Micro Focus ou de suas subsidiárias ou afiliadas no Reino Unido, Estados Unidos e em outros países. Todas as outras marcas pertencem aos seus respectivos proprietários.