Relatório de Conformidade com PCI da Verizon de 2014

Transcrição

1 Sumário Executivo Relatório de Conformidade com PCI da Verizon de 2014 Destaques de nossa pesquisa aprofundada sobre o estado atual da conformidade com a Segurança PCI. Em 2013, 64,4% das organizações deixaram de restringir cada conta com acesso a dados de portadores de cartões a apenas um usuário o que limitou a capacidade de rastreamento e aumentou o risco. (Requisito 8)

2 Sumário executivo Relatório de Conformidade com PCI da Verizon de 2014 NÃO SE TRANSFORME em uma ESTATística Pouco mais de um mês se passou de 2014 e já vimos várias grandes violações de dados nas manchetes. As perdas globais por fraude de cartões de pagamento estão aumentando o Nilson Report estima que passaram de US$11,2 bilhões em Não são apenas os portadores de cartões os afetados pela fraude de cartões. Quando uma empresa sofre uma violação de dados e dados de portadores de cartões são perdidos, provavelmente ela terá que arcar com custos de remediação, custos de notificação, penalidades financeiras dos adquirentes e com a perda da confiança dos clientes o que leva à perda de negócios. $12B Perdas globais por fraude de cartões (US$ bilhões) $10B $8B $6B $4B $2B $ Dados do Nilson Report, agosto de 2013 Criminosos estão usando técnicas cada vez mais sofisticadas para tentar violar suas defesas. E, se conseguirem, isso poderá causar danos irreparáveis à reputação de sua empresa basta olhar para as notícias para ver o efeito que uma violação pode ter. É por isso que a conformidade com a Segurança do Payment Card Industry (PCI, Setor de cartões de pagamento) é tão importante. Na pior das hipóteses, você pode ser totalmente impedido de aceitar pagamentos com cartão. Os controles de segurança que você estabelece como parte de um programa de conformidade com a Segurança PCI podem ajudar a manter os dados do portador de cartão e sua reputação duramente conquistada em segurança. A conformidade com PCI deve importar PARA você e para CAda executivo em sua empresa. Nosso Relatório de Conformidade com PCI de 2014 oferece um discernimento único quanto ao estado da conformidade com o Padrão de segurança de dados do PCI (PCI DSS). Isso acontece porque ele é construído sobre um alicerce de dados único. Somos um dos provedores de segurança mais respeitados do mundo, e nossa equipe de Assessores qualificados de segurança (QSAs) é uma das maiores do gênero. 2 Verizon Enterprise Solutions

3 O PCI DSS FAZ SENTIDO EM TERMOS DE NEGÓCIOS A menos que você seja um especialista em segurança, provavelmente pensa que a conformidade com a Segurança PCI tem pouco a ver com você certamente sua equipe de segurança tem tudo sob controle... O fato é que a conformidade com a Segurança PCI deveria importar para você e para todos em sua empresa desde o caixa até o CEO, da TI até o marketing. As normas da Segurança PCI existem para ajudar as organizações a proteger os dados dos portadores de cartões; dados que provavelmente você armazena, transmite e processa em todo o seu negócio milhares de vezes por dia, se trabalhar para uma organização de médio ou grande porte. Mas independentemente do porte da sua organização, dos países ou do setor em que opera, esses dados são imensamente atrativos aos invasores, por serem os mais fáceis de converter no que eles realmente desejam: dinheiro. É bastante provável que programas de conformidade ineficientes estejam drenando seu orçamento ou até mesmo prejudicando suas operações, devido às mudanças significativas em tecnologia e processos que eles envolvem. Mas os programas de conformidade podem protegê-lo somente quando são criados corretamente. Além de serem especialistas em Segurança PCI, nossos consultores e assessores contam com um profundo conhecimento da indústria, conquistado durante anos de experiência no trabalho direto com os setores de varejo, hotelaria e serviços afins, serviços financeiros, saúde e etc. Esse conhecimento significa que verdadeiramente reconhecemos seus desafios: aplicar os requisitos de PCI no contexto dos regulamentos e normas específicos ao seu setor e fazer recomendações não apenas em termos de mudanças de TI, mas também de transformação dos processos comerciais. Estar em conformidade com as normas de Segurança PCI representa uma boa prática de negócio. Isso pode alavancar melhorias nos processos comerciais; não apenas em TI, mas em toda a sua organização. Portanto, as perguntas que você deveria estar fazendo são: como podemos trabalhar juntos enquanto organização para obtermos a real conformidade com PCI? E como podemos fazer a conformidade trabalhar a nosso favor? O Relatório de Conformidade com PCI da Verizon de 2014 pode ajudá-lo a responder a essas perguntas. Desde 2009, nossos Assessores qualificados de segurança (QSAs) fizeram mais de avaliações em mais de 500 empresas espalhadas por mais de 50 países. Essa experiência nos proporciona um discernimento inigualável com relação à proteção dos dados de portadores de cartões. Relatório de Conformidade com PCI de ,9% das organizações foram reprovados em sua avaliação de linha de base de PCI de

4 BASTA UM PONTO FRACO Para os criminosos basta uma pequena fissura na armadura de sua empresa para que possam entrar. Mas identificar e fechar cada ponto fraco potencial não é uma tarefa fácil. O PCI DSS define um padrão de segurança mínimo que todas as empresas que processam pagamentos devem cumprir. As organizações podem transmitir, processar e armazenar dados de portadores de cartões em centenas de sistemas PCs, dispositivos móveis, servidores Web, bancos de dados e dispositivos de ponto de vendas usando redes privadas e públicas, manipulados não apenas por clientes, mas por centenas ou milhares de funcionários. Há centenas de controles que precisam ser atendidos, e o cumprimento de alguns dos requisitos é potencialmente bastante desafiador para qualquer organização. Por isso é ainda mais alarmante que algumas organizações deixem de levar a conformidade a sério. Algumas empresas ainda tratam a conformidade como uma luta anual isolada pela qual a equipe de segurança é responsável e da qual o restante da empresa se queixa. Mas se você não trabalhar a questão da conformidade, bastará um novo ponto de acesso Wi-Fi não controlado, uma conta administrativa desprotegida ou uma unidade sem criptografia para tirá-lo da conformidade. o estado de conformidade Nossa pesquisa mostra que entre 2011 e 2013 houve uma variação significativa entre os 289 controles do PCI DSS 2.0 de 98,0% de conformidade até parcos 39,6%. 100% Média de conformidade 80% 60% 40% 20% Média de conformidade em relação a todos os requisitos entre 2011 e 2013 = 71,5% 0% Controles em ordem de percentagem de conformidade 66% das violações levaram meses ou mesmo anos PARA serem descobertas. E embora nossa evidência também sugira que mais organizações estão obtendo um alto nível de conformidade com a Segurança PCI do que nos anos anteriores, ainda há muito trabalho pela frente. Em 2013, apenas 11,1% das organizações estavam em total conformidade por ocasião de sua avaliação anual de linha de base um aumento em relação aos 7,5% em Um pouco mais de 70% das organizações que avaliamos em 2013 estavam quase lá em conformidade com 81% a 99% dos controles um aumento em comparação com os 25% de O que causou esse aumento? Acreditamos que três dos principais fatores que contribuíram são: Aumento da conscientização com relação à segurança dos dados: esforços realizados pelo órgão regulador do PCI, pelas bandeiras de cartões e pelos fornecedores de segurança surtiram efeito. Mais líderes de TI e comerciais compreendem a importância da proteção dos dados e como obtê-la. Aumento do reconhecimento do valor da conformidade: as consequências das violações de dados e o valor da implementação de controles de segurança eficazes são mais bem reconhecidos nas empresas em parte devido ao aumento da cobertura das violações pela imprensa. Aumento da maturidade da norma: cada versão do DSS eliminou ambiguidades e aumentou a clareza com relação à interpretação e à intenção dos controles de segurança. Relatório de Investigações de Violações 4 Verizon Enterprise Solutions de Dados de 2013 da Verizon

5 A conformidade ajuda? Quando comparamos a conformidade com o PCI-DSS das empresas em nosso relatório com dados de nosso Relatório de Investigações de Violações de Dados de 2013, descobrimos uma probabilidade muito menor de as empresas que sofreram uma violação de dados serem eficazes em: Limitar o acesso a dados de portadores de cartões àqueles que realmente precisam deles. Essa é uma das regras de ouro da segurança abordada pelo Requisito 7 do DSS. Esse requisito apareceu em penúltimo lugar em nosso índice, o que sugere que permitir acesso a dados sigilosos a um número excessivo de pessoas aumenta as chances de enfrentar uma violação de dados. Gerenciamento de registros: registros de dispositivos abordados pelo Requisito 10 do DSS podem não parecer muito interessantes, mas são cruciais à detecção de sinais precoces de advertência de um ataque e à redução da perda de dados caso uma violação venha a ocorrer. Essa exigência foi a última em nosso índice, o que sugere que deixar de gerenciar registros com eficácia é um fator de contribuição essencial à sua probabilidade de sofrer uma perda de dados de portadores de cartões. Vítimas de violações de dados: Conformidade relativa A probabilidade de as organizações 1. Firewalls -2,3 que sofreram violações estarem 2. Senhas padrão restringindo o acesso aos dados de -1,6 portadores de cartões segundo a 3. Criptografia necessidade comercial de conhecer -2,5 a informação era muito inferior. 4. Comunicação segura -0,8 5. Antivírus -3,2 As organizações 6. Patches de sistema investigadas após -2,8 7. Acesso conforme a violação indicaram a necessidade políticas menos -3,5 eficazes de 8. IDs exclusivas gerenciamento -2,1 9. Acesso físico dos registros. 0,0 10. Gerenciamento de -4,0 registros 11. Testes contínuos -2,5 12. Pessoas -3, < Pior Índice de conformidade relativa com PCI da Verizon Melhor > QuÃO segura é sua empresa? Nos dados apresentados acima, houve variações significativas em termos de conformidade: Entre os setores Entre 2011 e 2013, o dobro dos varejistas (69,7%), como empresas do setor de hotelaria e serviços afins (35,0%), estavam em conformidade com pelo menos 80% dos controles do DSS 2.0. Entre as regiões Na Europa, apenas 31,3% das organizações estavam em conformidade com pelo menos 80% dos controles, ficando atrás das regiões da América do Norte (56,2%) e do Pacífico Asiático (75,0%). Entre os requisitos Concluiu-se que a maior parte das organizações em nosso estudo (58,4%) restringe com eficácia o acesso aos dados de portadores de cartões segundo a necessidade comercial de conhecer a informação (Requisito 7). Mas menos de um quarto (23,8%) testava regularmente os sistemas e processos de segurança de acordo com o Requisito 11. Como sua empresa se posiciona em relação às demais? Nosso Relatório de Conformidade com PCI de 2014 pode ajudá-lo a descobrir. Relatório de Conformidade com PCI de 2014 Mais de metade das organizações que cumpriram 95% ou mais dos controles do DSS 2.0 deixaram de testar a eficácia dos sistemas e processos de segurança. 5

6 Faça a conformidade trabalhar PARA você Se você estiver encarando a conformidade com a Segurança PCI apenas como um custo de fazer negócios, está perdendo uma oportunidade. Você deveria tratar seu programa de conformidade como um investimento a ser alavancado. Quando feita da maneira correta, a conformidade pode gerar melhorias de processos, identificar oportunidades de consolidar a infraestrutura e gerar novas receitas para seu negócio. Os benefícios podem ser abrangentes: Aumento da eficiência dos negócios As iniciativas de conformidade com a Segurança PCI representam uma valiosa oportunidade de estudar e reconsiderar sua operações comerciais de ponta a ponta. Muitas organizações descobriram que o processo de obter a conformidade pode ter um efeito imediato e positivo devido à otimização de processos, melhoria da comunicação interna e maior supervisão da segurança e dos gastos associados pela gerência. Serviços de TI mais eficientes Quase sempre os esforços por obter a conformidade com as normas de Segurança PCI envolvem mudanças na TI, bem como nos negócios. Os programas de conformidade oferecem uma oportunidade de assumir uma visão estratégica dos sistemas e investimentos que podem ter se acumulado durante anos, ou mesmo décadas, o que leva a muitos benefícios. Por exemplo, pode ajudar a justificar a consolidação e renovação da infraestrutura, o que gera benefícios em termos de segurança, continuidade dos negócios, capacidade de gerenciamento e desempenho de sistemas. ReduçÃO do risco Com frequência, o programa de conformidade com a Segurança PCI é a primeira vez em que a atenção é seriamente concentrada na proteção das informações em uma organização. O conjunto de controles de linha de base que ele oferece pode ser aplicado a outros tipos de dados e sistemas fora do ambiente de dados de portadores de cartões, o que ajuda a reforçar a segurança em geral e a reduzir a exposição a riscos. Aumento da inovação A conformidade não se limita ao preenchimento de lacunas. A conformidade com a Segurança PCI pode ajudar a estimular a inovação. Pode levar à adoção de novas tecnologias, maneiras de trabalhar e modelos de negócios por exemplo, alguns varejistas implementaram novos sistemas de pontos de vendas para atender a requisitos de PCI e obtiveram vantagens significativas em termos de aumento de rendimento e oportunidades de publicidade. Os controles estabelecidos como parte da conformidade com a Segurança PCI também podem ajudar a estabelecer uma base para permitir o maior uso de novas tecnologias, como computação móvel e na nuvem. Aumento da confiança dos clientes O cliente de amanhã será ainda mais exigente do que o de hoje. Big data e analítica avançada oferecem um discernimento sem precedentes com relação ao comportamento dos clientes; mas somente se eles confiarem em fornecer seus dados a você. Aplicar as normas de Segurança PCI em todas as suas operações de clientes ajudará a proteger a privacidade de seus clientes. A conformidade não deve ser uma tarefa anual. Deve fazer parte da rotina de negócios. Intrigado? Por que não baixar o relatório completo e consultar os outros recursos do Relatório de Conformidade com PCI da Verizon de 2014? Visite nosso site: verizonenterprise.com/br/pcireport/2014 Verizon 2014 PCI Compliance Report An inside look at the business need for protecting payment card information. 6 Verizon Enterprise Solutions In 2013, 64.4% of organizations failed to restrict each account with access to cardholder data to just one user limiting traceability and increasing risk. (Requirement 8) Research Report

7 NOSSAS recomendações 1 Não subestime o esforço envolvido A conformidade com PCI exige tempo, dinheiro e apoio dos executivos. Precisa fazer parte do trabalho de cada um desenvolvedores de aplicativos, administradores de sistemas, executivos e até mesmo funcionários em lojas e call centers e não ser deixada nas mãos da equipe de segurança de TI. 2 Torne a conformidade sustentável Há milhares de tarefas que uma organização precisa desempenhar durante todo o ano para manter a conformidade. Para ser sustentável, a conformidade precisa ser incorporada na rotina de negócios como um processo contínuo. 3 Pense na conformidade em um contexto mais amplo A melhor coisa que você pode fazer enquanto organização para simplificar a carga de trabalho da conformidade com PCI e obter a segurança real é incluir seu programa de conformidade em sua estratégia mais ampla de governança, risco e conformidade. 4 Aproveite a conformidade como uma OPORTunidade Quando feita da maneira correta, a conformidade com a Segurança PCI pode gerar melhorias de processos, identificar oportunidades de consolidar a infraestrutura e gerar mais valor. Pense nela como uma oportunidade, e não como um fardo. 5 Concentre seu foco na definição do escopo Existem muitos mal-entendidos quanto a como manter os sistemas fora do escopo, mas há melhores práticas claras a serem seguidas. A primeira é armazenar menos dados em um menor número de sistemas. Isso não apenas facilita a obtenção da conformidade, mas também economiza em termos de custos com armazenamento e backup. Relatório de Conformidade com PCI de

8 1. verizonenterprise.com/br 2014 Verizon. Todos os direitos reservados. O nome e o logotipo da Verizon e todos os outros nomes, logotipos e slogans que identificam os produtos e serviços da Verizon são marcas comerciais e de serviço ou marcas comerciais e de serviço registradas da Verizon Trademark Services LLC ou de suas afiliadas, nos Estados Unidos e/ou em outros países. Todas as outras marcas comerciais e marcas de serviço são de propriedade de seus respectivos detentores. GL00648 PT-BR 06/14