PCI Compliance - Principais desafios na adequação de processos e atualização de sistemas. Armando Linhares Neto Infoglobo

Transcrição

1 PCI Compliance - Principais desafios na adequação de processos e atualização de sistemas Armando Linhares Neto Infoglobo

2 Infoglobo? Inauguração do Classificados Inauguração do Classifone Inauguração do Jornais de Bairro Falecimento de Roberto Marinho anos de Produtos Novos TODOS os dias.

3 Nosso Contexto História de sucesso de 85 anos; Segmento pouco regulamentado; Muito fiscalizado; Pequena base de dados histórica sobre perdas para analisar; Empresa de capital fechado; Segmento em fase de grande transformação; Criação em 2005 da área de Riscos e Segurança da Informação.

4 Visão Geral do PCI DSS Visa e Mastercard tinham seus próprios programas de segurança por anos, com requerimentos independentes. Devido a um rápido aumento de fraudes de cartão de crédito & vazamento de dados, um aproach unificado passou a ser necessário. Criado em 2001, o primeiro padrão divulgado foi o Payment Card Industry Data Security Standards (PCI DSS) que consolida e define o padrão para proteção das informações das empresas e prestadores de serviço que armazenam, processam ou transmitem os dados do portador de cartão, além de fornecedores de solução para esse mercado. Escopo: sistemas que armazenam, processam ou transmitem os dados do portador de cartão.

5 Estrutura do PCI/DSS 10. Rastrear e monitorar todos acessos aos dados do portador do cartão e aos recursos de rede. 11. Testar os processos e sistemas de segurança regularmente 7. Acesso restrito as pessoas que necessitam ter acesso aos dados do cartão 8. Acesso físico restrito aos dados dos portadores dos cartões 9. Atribuir um único ID a cada pessoa que tem acesso ao computador Monitorar e testar as redes regularmente Implementação de rígidos controles de acesso 5. Usar e atualizar regularmente o software de antivírus 6. Desenvolver e manter sistemas e aplicações seguras Manutenção da política de segurança da informação PCI DSS Manter um programa de gerenciamento de vulnerabilidades 12. Manter a política que atenda a segurança da informação. Construção e manutenção de uma rede segura Proteção dos dados do portador cartão 1. Instalar e manter a configuração do firewall para proteger os dados do portador do cartão. 2. Não utilizar senhas padrões de sistema e outros parâmetros de segurança fornecidos pelos prestadores de serviço. 3. Proteção dos dados armazenados. 4. Criptografar as transmissões dos dados do portador do cartão e as informações que transitam nas redes públicas 6 domínos e 12 Requerimentos

6 Classificação dos Estabelecimentos Comerciais Nível Descrição Ação de Validação 1 Mais de 6 milhões de transações por ano ou que tenha sofrido algum problema resultante em comprometimento dos dados de uma conta ou atender a todos os requerimentos de um comerciante do Nível 1. Questionário de auto-avaliação PCI (anual) Varredura trimestral de vulnerabilidades da infraestrutura de TI. Auditoria de segurança (recomendado) mil a 6 milhões de transações eletrônicas por ano. Questionário de auto-avaliação PCI (anual) Varredura trimestral de vulnerabilidades da infraestrutura de TI. Auditoria de segurança (recomendado) 3 Qualquer comerciante que processe de 20 Questionário de auto-avaliação PCI (anual) mil a 150 mil transações eletrônicas por Varredura de vulnerabilidades trimestral da infraestrutura de TI. ano. Auditoria de segurança (recomendado) 4 20 mil por ano Questionário de auto-avaliação PCI (anual) Varredura de vulnerabilidades trimestral da infraestrutura de TI. Auditoria de segurança (recomendado)

7 Uso de cartões de crédito está cada vez maior Transações com cartões de crédito e débito d subiram de 1.4 bilhões em 2002 para 3.9 bilhões em 2007 O estoque de cartões de crédito emitidos no Brasil cresceram de 39 milhões em 2003 para 118 milhões em Um salto de aprox. 200%. No mesmo período, os cartões de crédito ativos cresceram 190% atingindo 66 milhões * Estudo do Banco Central do Brasil durante 3 anos

8 Fatores Críticos de Sucesso: Risco ou Recompensa? Gerenciamento integrado dos riscos Valor sustentado e segurança Melhoria nos controles Conformidade Transformação dos processos Melhoria dos processos Source: KPMG LLP (U.S.), 2004

9 Ajustando a percepção Ajustando a percepção IDEAL PERIGO Orientação aos Responsáveis pelo Tratamento dos Riscos Implantação do Processo de Gestão de Riscos&SI Análise e Conscientização GASTOS DESNECESSÁRIOS DESCONFORTO INADEQUADO ADEQUADO SEGURANÇA REAL SEGURANÇA PERCEBIDA INSUFICIENTE SUFICIENTE

10 avaliando o compliance ao PCI... Média por resposta Média por de EC resposta X Média de por EC EC auditado 100% 96% 97% 90% 80% 70% 60% 84% 79% 82% 77% 70% 64% 84% 71% 83% 73% 70% 78% 78% 60% 61% 50% 40% 42% 38% 34% 47% 35% 45% 48% 30% 25% 23% 20% 10% 0%

11 com o que é notícia...

12 ... no Brasil e no Mundo em Estados Unidos Roubo de Identidade lidera o ranking de reclamações do Federal Trade Commission Europa e Reino Unido 11% das ocorrências policiais (adultos) na Europa e 20% no Reino Unido estão relacionadas a fraude de cartão de crédito*. Aumento de 25% no número de fraudes em relação ao ano de 2006 Total aproximado de 775 M USD Mundo As fraudes com cartões de crédito em 2007 tiveram um aumento de quase 100% em relação a 2006 Press Frenzy Aumento significativo das noticias relacionadas à fraude com Cartões de Crédito e Débito. Falsificação de cartões de crédito aumentaram 21% Perda e roubo aumentaram 52% FONTE: APACS, the UK payments association 12

13

14 Como isto é possível? Mudamos a arma do crime!

15 Motivadores Mercado EUA Custo médio m de um vazamento de informações nos EUA: Pesquisa realizada em 2008 com 100 estabelecimentos de nível 1, 2 e 3 $90 por cada conta comprometida (usuário final) no 1o. ano Apenas custos de Investigação, comunicação com clientes, system recovery, cobrança de charge backs Até $312/conta se você incluir Advogados e taxas nos EUA Isto não inclui Prejuízos á marca, cobertura negativa da mídia, perda de clientes, etc. Custo mínimo m para um total de 100,000 clientes = USD

16 Outros motivadores

17 Decision Report 01/09/2009 Motivadores Mercado Nacional Entre os meses de janeiro e junho deste ano o setor de cartões no Brasil perdeu um valor superior a R$ 31 milhões com o golpe da clonagem. Essa soma representa quase 1% da média mensal registrada no valor das compras feitas no período com plásticos das modalidades crédito, débito, lojas e redes. Os dados foram levantados pela Horus. A empresa desenvolveu um balanço do seu sistema de monitoramento que acompanha diariamente as notícias públicas na imprensa sobre fraudes nesse segmento. Ao todo foram analisadas 160 reportagens publicadas sobre esse tipo de crime no semestre. Além do prejuízo financeiro, as matérias revelam que 346 pessoas foram presas por esse delito. No total, cartões tiveram seus dados usados de forma indevida e 70 máquinas para captura ilegal de dados foram apreendidas. Na comparação com levantamento semelhante feito no primeiro semestre do ano passado houve crescimento em todos os itens, exceto no número de cartões apreendidos. Em 2008, os meios de comunicação haviam publicado somente 68 reportagens. Elas mostravam 169 pessoas presas e 24 máquinas apreendidas. Curiosamente, o número divulgado de cartões clonados no ano passado foi superior ao deste ano, com ocorrências. No entanto, o volume financeiro das fraudes saltou de pouco mais de R$ 2 milhões para os R$ 31 milhões atuais.

18 Trabalhar na origem dos Riscos. Pessoas Displicência/negligência na execução de atividades; Desconhecimento/falta de treinamento para a execução de atividades; Manipulação para cometer fraudes; Processos Processo mal definido; Falta de controles; Falta de segregação de funções; Infra-Estrutura Falha em sistema (hardware ou software); Falha na infra-estrutura de serviços básicos (telecomunicações, energia, água, gás, etc.); Agentes/Eventos Externos Compliance PCI Imposição de mudanças regulatórias (IVC, trabalhista, federal, estadual, municipal, etc.) Desempenho inadequado de prestadores de serviços; Fraudes de clientes, fornecedores ou outros agentes externos; Acões jurídicas contra a Infoglobo (ações cíveis, descumprimento de obrigações contratuais, CADE, etc.) GERENCIAMENTO DE RISCOS

19 Por Onde Começar? Compliance como Consequência O PCI afeta toda a organização (TI e Não-TI); O sucesso do programa depende do comprometimento do alto escalão; Estabeleça um comitê de acompanhamento do programa de conformidade; Não assuma o papel de mensageiro do apocalipse ; Trabalhe na conscientização dos Gestores (Palestras, Cartilhas, Boletins,..) Foque nas oportunidades; Aumento das vendas; Valorização da marca; Prevenção de perdas; Orientação ao Negócio e nos Impactos Financeiros Multas, ressarcimento, penalizações contratuais Perda de credibilidade / Reputação / Imagem Desgaste no relacionamento com as bandeiras e fornecedores Perda de mercado (Os clientes NÃO COMPRAM se não se sentirem seguros)

20 Concluindo Para onde queremos ir? Objetivos COSO; CobiT; Compliance PCI; Onde estamos? Como chegaremos lá? Como saberemos se chegamos? Avaliações Execução Métricas Conhecer o ambiente; Auditorias na 27002; Grau de maturidade CobiT; Indicadores de Risco e SI; Pesquisas de Cultura de SI. Um passo de cada vez Aplicação da Política de SI Estabelecer prioridades; Ajuste nos componentes de sistema, rede, servidores e aplicativos; Programas de Conscientização. Atender as 12 exigências (233 controles) definidas no padrão PCI.

21 Obrigado! Gerente de Riscos e Segurança da Informação Armando Linhares Neto armando.oneto@infoglobo.com.br Tel.: (21)