Trust. PCI DDS. 3 de Abril de 2008



Documentos relacionados
Estudo de Impacto do Prémio Boas Práticas no Sector Público

Dare to be the best. Apresentação da 7ª Edição do Prémio Boas Práticas no Sector Público. 24 de Novembro de 2008

Documento Trabalho Deloitte. Todos os direitos reservados. 0

Estudo sem fronteiras PMEs levantam voo. Terminal 2

FAQ s Tecnologia Contactless

PCI Data Security Standard

Visão global, especialização local Consultoria para a indústria financeira

Financial Services. Precisão competitiva. Metodologias específicas e profissionais especializados na indústria de seguros

GTS.15 Grupo Técnico em Segurança de Redes Marco Antônio Abade

O PCI-DSS contempla 12 requerimentos básicos que tem o objetivo

A IMPORTÂNCIA DE SE ADEQUAR AO PCI DSS 3.0 PARA PROCESSAMENTE DE PAGAMENTOS POR CARTÕES

Payment Card Industry (PCI)

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda

Gestão e estratégia de TI Conhecimento do negócio aliado à excelência em serviços de tecnologia

GESTÃO DE SERVIÇOS DE TI: OTIMIZAÇÃO DE RECURSOS E PROCESSOS. Realização:

Nossa atuação no setor financeiro

Mobile health A tecnologia no mundo da saúde

A ÁREA DE PRÁTICA DE COMERCIAL E SOCIETÁRIO

Conformidade com PCI-DSS

Tax News Flash n.º 7/2015 Construir o futuro

Prospeção e Desenvolvimento de Novos Negócios

Questionário de Auto-avaliação

Gerenciamento de capital e ICAAP

Como melhorar o nível de satisfação dos Clientes

Certificação ISO/IEC SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

UMIC Agência para a Sociedade do Conhecimento

SISTEMAS DE GESTÃO DA QUALIDADE

Resumo Apresentação : Orador

PROTOCOLO. 1ª - REPSOL PORTUGAL COMERCIO DE PETROLEOS E DERIVADOS, LDA, sociedade

Restituição de cauções aos consumidores de electricidade e de gás natural Outubro de 2007

Daniel Zanela. Redecard

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS

A certificação de Qualidade para a Reparação Automóvel.

O Selo Website Protegido

BIOCANT PARK A NOSSA VISÃO

2012 Global. Central de Documentação e Serviços Ltda. Portfólio de Serviços

IMPLEMENTAÇÃO. Acção de Formação do Grupo de Trabalho. Sensibilização Sensibilização Geral para a Qualidade. Qualidade.

Perguntas mais frequentes

Apresentação de Resultados Março 2010

Auditoria nos termos do Regulamento da Qualidade de Serviço Relatório resumo EDP Serviço Universal, S.A.

Apoio à Internacionalização. CENA 3 de Julho de 2012

Grant Thornton & Associados SROC, Lda. Apresentação da Firma

Contratação Pública e Auditoria de Gestão. Jacob Lentz Auditoria Geral da Dinamarca

Bashen Agro Consultoria e sistemas de gestão AgroPecuária

Seguros em um mundo conectado. As novas gerações e as novas formas de negócio

A ÁREA DE PRÁTICA DE FINANCEIRO E PROJECTOS

Primeira Unidade Empresarial de Serviços Partilhados em Saúde arranca em Portugal

ISO 9000:2000 Sistemas de Gestão da Qualidade Fundamentos e Vocabulário. As Normas da família ISO As Normas da família ISO 9000

Processo de Pagamento de solicitações de ingressos para o Público Geral para a Copa do Mundo da FIFA Brasil 2014

Pelas lentes de Cyber Security

Mais de 40% do spam tem como objectivo roubar informação pessoal, incluindo dados financeiros

Sustentabilidade Workshops

Importância da normalização para as Micro e Pequenas Empresas 1. Normas só são importantes para as grandes empresas...

Portifólio de Serviços

SUSTENTABILIDADE FINANCEIRA, PRESTAÇÃO DE CONTAS E RESPONSABILIDADE

PCI Compliance - Principais desafios na adequação de processos e atualização de sistemas. Armando Linhares Neto Infoglobo

EDP Soluções Comerciais. A perspectiva do Cliente. Business Transformation Outsourcing Os novos modelos de outsourcing

Relatório de asseguração limitada dos auditores independentes

WORKSHOP SISTEMAS DE GESTÃO DA QUALIDADE E SUA CERTIFICAÇÃO. Onde estão os Riscos?

Portugal Inovação Social

Contestação de Despesas Desacordo Comercial

INOVAÇÃO PORTUGAL PROPOSTA DE PROGRAMA

Vale Projecto - Simplificado

Governança Corporativa em Pequenas e Médias Empresas

Colhendo os frutos de uma abordagem ampliada do risco operacional

Indústria de cartões de pagamento (PCI) Padrão de Segurança de Dados

A IQSIUS disponibiliza aos seus clientes a criação de um Plano de

Soluções de análise preditiva para optimizar os processos de negócio. João Pequito. Director Geral da PSE

Produtos e Sistemas Comercializados

ACIC. Associação Comercial e Industrial de Cerejeiras ACIC A Casa do Empresário. Nossa Missão: Representar a Classe Empresarial, oferecendo Soluções

PORTUGAL INOVAÇÃO SOCIAL Apoio à Inovação e Empreendedorismo Social

Ajudamos os nossos clientes a criar valor a longo prazo.

Gestão da Continuidade dos Negócios

SEMINÁRIOS AVANÇADOS GESTÃO DE PROJECTOS

BARÓMETRO TRIMESTRAL DO COMÉRCIO ELECTRÓNICO EM PORTUGAL 2º TRIMESTRE DE 2014 RELATÓRIO DE RESULTADOS

PROJECTO DE CARTA-CIRCULAR SOBRE POLÍTICA DE REMUNERAÇÃO DAS INSTITUIÇÕES FINANCEIRAS

A Certificação de Qualidade no Sector Segurador. Sandra Santos - GDQ-Ok! TeleSeguro Certificação do Sistema Gestão da Qualidade

Relatório do Administrador FIP BVEP PLAZA

A Normalização e a Gestão do Risco

CARTA DE AUDITORIA INTERNA GABINETE DE AUDITORIA INTERNA (GAI)

CSU CardSystem

Transcrição:

Trust. PCI DDS 3 de Abril de 2008

Meios de pagamento electrónicos têm vindo a ganhar aceitação 2 Security & Privacy Services

O mercado dos cartões de crédito tem vindo a crescer Mercado de cartões de crédito em Portugal voltou a crescer em 2007 cerca de 6%, para um volume de 15,5 mil milhões Actualmente, a UNICRE (maior operador em Portugal) apresentou um crescimento superior da facturação a crédito (cerca de 8%), relativamente à facturação do débito (4,6%) Segundo a UNICRE a fraude no negócio dos cartões em Portugal cresceu ligeiramente (0,09%), fixando-se nos 2,9 milhões (e.g. Irlanda 11,95 milhões, Espanha 76,27 milhões ) 3 Security & Privacy Services

Qual o peso global da fraude com cartões de crédito? Resultados do Global Airline Fraud Survey, promovido pela Deloitte: Desde 2000 a 2006 a fraude relacionada com cartões de crédito aumentou significativamente, de USD 96k em 2000 para USD 854k média por companhia em 2006 (na Europa e EUA a média em 2006 por companhia foi de USD 1,5M) A fraude relacionada com cartões de crédito é o método de fraude mais comum e dispendioso no sector da aviação 4 Security & Privacy Services

Os impactos por fraude podem ser muito relevantes TJX (TJ Maxx): mais de 45 milhões de números de cartões de crédito e dados pessoais de clientes foram sendo roubados por hackers durante um período de 18 meses Clonagem organizada: 13 indivíduos acusados de elaborar operações organizadas de clonagem de cartões de crédito em 40 restaurantes nos EUA, estando o impacto calculado em cerca de USD 3 milhões CardSystems: mais de 40 milhões de números de cartões de crédito comprometidos. A empresa abriu falência em virtude do processo com a Mastercard e do cancelamento dos contratos com a Amex e VISA DSW: mais de 1,4 milhões de números de cartões de crédito comprometidos. 5 Security & Privacy Services

Existe a percepção de que, uma parte significa das ocorrências ao nível da segurança decorrer do erro Humano e da tecnologia No Deloitte 2007 Global Security Survey 4 das 5 áreas controlo da segurança, com uma percentagem mais elevada de oportunidade de melhoria/correcção, são relativas à atribuição/manutenção de acessos A 5º área de controlo é relativa auditabilidade Perante um cenário de fraude poderá ser difícil identificar a causa 6 Security & Privacy Services

Como identificar uma pessoa fraudulenta? Honestidade / Integridade 20% Honestos? 20% Desonestos 60% Depende da situação Existe uma necessidade de controlo 7 Security & Privacy Services

As ameaças estão em constante transformação, aparecem novos desafios todos os dias Phishing e ataques cada vez mais localizados e sofisticados Crescimento das ameaças internas Existência de gaps nos mecanismos de armazenamento, retenção e encriptação de dados Riscos de segurança associados às tecnologias wireless Aumento dos worms nas redes empresariais 8 Security & Privacy Services

Necessidade de criar um standard comum que estabeleça as boas práticas de segurança (PCI - Data Security Standar) VISA Account Information Security (AIS) MasterCard Site Data Protection (SDP) Amex Data Security Operating Policy (DSOP) Payment Card Industry Council (PCI) VISA Account Information Security (AIS) MasterCard Site Data Protection (SDP) Amex Data Security Operating Policy (DSOP) PCI-DSS Data Security Standard 9 Security & Privacy Services

O principal objectivo do Payment Card Industry/Data Security Standard (PCI/DSS) é reduzir drasticamente fraudes É necessário assegurar que todos os Membros (Emissores e Adquirentes), Agentes, Comércio e Prestadores de Serviços que armazenam, processam e/ou transmitem dados e transacções dos portadores de cartão estejam alinhados com o PCI/DSS. O cumprimento do PCI/DSS éuma obrigação de todas as entidades que processam, transmitem ou armazenam informações/transacções dos Portadores de Cartão. As operadoras de cartão de crédito e os bancos emissores são responsáveis por contactar o comércio, os gateways de pagamento e os prestadores de serviço para informar sobre seus requisitos e prazos Nos casos em que a organização demonstre a sua conformidade com o PCI/DSS, por meio de relatório auditoria anual (realizado pelo Qualified Security Assessor QSA), dos relatórios de testes de vulnerabilidade periódicos (conduzidos pelo Approved Scanning Vendor ASV) e por fim, não tenha recebido chamadas de atenção na análise forense (realizada pelas marcas), quando ocorra um incidente, não estará sujeita às penalidades e não será considerada responsável. 10 Security & Privacy Services

Nem todas as áreas e requisitos do PCI DSS apresentam o mesmo grau de maturidade 11 Security & Privacy Services

A Proposição de Valor do PCI/DSS Estabelecer framework comum de Segurança da Informação. Demonstrar transparência, confiança (TRUST), seriedade e coesão nas ações de segurança de informação. Tipo de cliente Fiel Esporádico Curioso COM PCI: Crescimento rentável Construir confiança Atrair clientes Monitorizar relação com Cliente Gerir os riscos Aumentar TRUST SEM PCI: Desperdiçam recursos Antecipar e gerir riscos e impactos (financeiros, operacionais e de imagem). Promover a integridade do Brand e aumentar a confiança de seus consumidores nos meios de pagamento de cartão de crédito. Presente Tempo Futuro 12 Security & Privacy Services

A Visão da Deloitte sobre os requisitos do PCI/DSS Objetivos da Segurança da Informação Controlos de Segurança da Informação Pessoas Processos Tecnologia 13 Security & Privacy Services

Objetivos de Segurança da Informação & PCI/DSS Os objetivos e guidelines do PCI/DSS potencias as diversas camadas de segurança da informação, desde a segurança física até a segurança dos dados, passando pela segurança de rede, dos servidores e das aplicações Cada uma destas camadas é por sua vez subdividida em diversos controlos de segurança que potenciam as pessoas, os processos e as tecnologia de suporte às operações com cartão de crédito Pessoas Processos Segurança de Dados Segurança dos Aplicativos Segurança de Servidores Segurança de Rede Segurança Física Tecnologia Negócio Cartão de Crédito 14 Security & Privacy Services

A nossa abordagem adopta as guidelines da PCI DSS e tem em consideração as lessons learn apreendidas Definição de âmbito Gap Analysis Programa de remediação Auditoria Validar os requisitos Avaliar os controlos existentes Programa de mobilização Realizar scans à rede Analisar os fluxos de dados Elaborar os gaps analysis Implementar as melhorias de segurança Completar a auditoria de pré-certificação Seleccionar QSA e ASV Definir um roadmap do programa a seguir Validar as melhorias Suportar a execução de auditorias Gestão de Projecto e Qualidade Qualified Security Assessors (QSAs) Approved Scanning Vendors (ASVs) 15 Security & Privacy Services

Contacto Miguel Barão da Cunha micunha@deloitte.pt 16 Security & Privacy Services

Lisboa Porto Luanda Edifício Atrium Saldanha Bom Sucesso Trade Center Praça Duque de Saldanha, 1-6º Praça do Bom Sucesso, 61-13º 1050-094 Lisboa 4150-146 Porto Portugal Portugal Tel: +(351) 210 422 500 Tel: +(351) 225 439 200 Fax: +(351) 210 422 950 2008 Deloitte & Associados Fax: +(351) 225 SROC, 439 SA 650 Rua Engº Costa Serrão, nº 13 Luanda República de Angola Tel: +(244) 222 391 808 / 391 673 Fax: +(244) 222 391 972 A expressão Deloitte refere-se a uma ou várias sociedades que operam ao abrigo de um acordo com a Deloitte Touche Tohmatsu, uma Swiss Verein, bem como às suas respectivas representadas e afiliadas. Deloitte Touche Tohmatsu é uma organização mundial de sociedades dedicadas à prestação de serviços profissionais de excelência, concentradas no serviço ao cliente sob uma estratégia global, aplicada localmente em cerca de 140 países. Com acesso a um capital intelectual de aproximadamente 150.000 pessoas no mundo, a Deloitte presta serviços em quatro áreas profissionais auditoria, impostos, consultoria e assessoria financeira e a mais de 80 por cento das maiores empresas mundiais, assim como às maiores empresas nacionais, instituições públicas, clientes locais importantes e companhias de sucesso com dimensão global e crescimentos acelerados. Os serviços não são prestados pela Deloitte Touche Tohmatsu Verein e, por razões regulamentares entre outras, algumas das sociedades não prestam serviços em todas as áreas. Como Swiss Verein (associação), nem a Deloitte Touche Tohmatsu nem qualquer das suas sociedades membro assumem qualquer responsabilidade isolada ou solidária pelos actos ou omissões de qualquer das outras sociedades membro. Cada uma das sociedades membro é uma entidade legal e separada que opera sob a marca Deloitte, Deloitte & Touche, Deloitte Touche Tohmatsu ou outros nomes relacionados. 17 Security & Privacy 2008 Deloitte Services & Associados SROC, SA Member of 2008 Deloitte Deloitte Touche & Associados Tohmatsu SROC, SA

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback