Transcrições
1. 1 - Introdução: Olá, oi pessoal. Meu nome é femoris e sou
o criador deste curso, discurso de
boas-vindas
que é chamado fundamentos
PCI DSS para o domínio. Agora, o PCI DSS, é um dos tópicos mais quentes por aí e tem
sido no passado, eu acho que 15 anos ou mais. E continuará
a ser quente honestamente, desde
que as
transações de pagamento continuem acontecendo. Então, se você estiver interessado
em aprender sobre o padrão PCI DSS
do zero, este curso é
definitivamente para você se você já é
um especialista, quero dizer, você tem alguns como experiência
na implementação de PCI DSS, então ainda é
para este curso, eu ainda o recomendaria, pois será uma ótima recapitulação
para você apenas revisar alguns
dos conceitos básicos e obter alguns conselhos práticos. E também,
abordarei as novas atualizações do padrão que está
no PCI DSS versão 4. E, honestamente, não importa o
quanto a tecnologia progrida, os dados do
titular
do cartão ainda são um
dos tipos de dados mais importantes e
sempre precisarão ser protegidos. Então, se você é
uma pequena startup, se você é uma Fortune 500, honestamente, o padrão
geralmente é aplicável a você. Esse curso. Eu o
projetei especificamente para ajudar as pessoas a obter domínio sobre
o padrão PCI DSS do zero, ok? Você não precisa
ser um especialista em transações com cartão
de crédito ou no setor de pagamentos
ou mesmo um especialista em TI. OK. É baseado na minha própria experiência
de nove ou dez
anos
e na implementação do PCI DSS. Eu o implementei
em vários padrões em várias regiões geográficas. Conheço o padrão de
dentro para fora do curso. Isso fará com que você entenda e domine o padrão PCI, DSS. E dá a você todo
o conhecimento necessário para implementá-lo em
qualquer ambiente honestamente. E eu tento me certificar de
lhe dar conselhos práticos. Eu não quero aborrecê-lo e torná-lo como uma morte
pelo PowerPoint. Mas eu estou apenas lendo um
slide e você está tipo, eu vou tentar
te dar uma, tornar isso prático
possível. Quais são as principais coisas
que você precisa saber? Quais são alguns dos
erros que as pessoas cometem forma incrível, Vamos começar. Apenas um breve histórico
sobre mim, pessoal não
sei quem está
ensinando este curso. Meu nome é Dan Voltage Law. OK. Eu estive em vários cargos
de
liderança nos últimos 20 anos, principalmente no Oriente Médio. OK. Portanto, totalizarei cerca de 20
anos e risco tecnológico. Fui responsável por supervisionar implementação do
PCI DSS em seus próprios três ou quatro
locais por mais de nove anos. Portanto, tenho uma
experiência muito diversificada e PCI, DSS. OK. Então, atualmente, estou
baseado fora de Londres. Eu sou um autor. Eu tenho, também gosto de blogar e
também sou professora e instrutora,
que você pode ver aqui. Também sou coach de
carreira em segurança cibernética. Normalmente tento ajudar as pessoas
se elas querem ter sucesso. E realmente o que ele chamou, Vá em frente lá e
melhorará suas carreiras de
segurança cibernética. Eu tenho um
canal no YouTube chamado Cloud is cloud security guy, que você pode dar uma olhada. E geralmente falo sobre coisas relacionadas
à segurança na nuvem, inteligência
artificial e conselhos sobre segurança cibernética de
gênero. Então, além da segurança cibernética, minha jornada tem sido
altos e baixos. Ganhei vários prêmios
no setor e me estabeleci no Oriente Médio
por muitos anos. Também escrevi um livro sobre governança de inteligência
artificial em segurança cibernética. E eu tenho mais dois
livros planejados este ano. Achei que esse era um tópico que não estava
recebendo cobertura suficiente. Então, pensei em
fazer a minha parte para criar o máximo de consciência possível meu investimento para a indústria. Fui premiado como um visto de talento global do
Reino Unido. E também ajudo as pessoas que estão se candidatando ao endosso
técnico do Reino Unido. Tentei ajudá-los em seus aplicativos
o máximo que pude. Então, isso é apenas uma
recapitulação de quem eu sou. O que eu faço é entender
quem está ensinando neste curso. Enquanto e PCI, pessoal do DSS. Então, qual é o motivo? Por que você deveria, se você está
participando deste curso, obviamente, você deve
ter um motivo. Pode ser parte do seu trabalho. Ou talvez sua empresa
tenha decidido
implementá-lo como um requisito regulamentar
quando você não tem escolha, tudo o que você pode ser multado se
não implementar tudo. Ou talvez uma empresa
esteja apenas dizendo que é um bom padrão para implementar,
é uma boa prática. Então, vamos em frente e
implementamos um dos, alguns dos motivos, ok. Meus caras do pod, VR, o que ele chamou de Mudança para
uma sociedade sem dinheiro, certo? As transações baseadas em cartão estão se tornando cada vez mais comuns. Podem ser
terminais de ponto de venda, CashRegister, smartphones, tudo está sendo alimentado por
transações sem dinheiro. E proteger essas transações
é muito importante, pessoal. Se você quiser sentir,
se sentir isso, se os clientes sentirem que
não podem proteger seus dados, eles farão
transações com você, o que destruirá
seus negócios. Quero dizer, se você é um comerciante
ou prestador de serviços, certo? E as pessoas não querem
fazer transações com você, isso se tornou um grande problema. Portanto, é aí que
entra o PCI DSS e impõe como um padrão comum em todo o mundo para a proteção dos dados
de titulares de cartões. Esse padrão
permanecerá aplicável enquanto você
chama as pessoas
fazendo transações, certo? E isso será muito importante
para o futuro próximo. É uma ótima coisa ter no seu currículo é uma ótima
experiência. Além disso, dependendo do setor,
pode não ter escolha. Você precisa estar em conformidade se
estiver armazenando, transmitindo ou gostando de processar
dados do titular do cartão, o que veremos. Mas eles são, como eu disse,
eles são sempre bons motivos para saber como implementar
um padrão PCI DSS, que é uma das razões pelas quais
eu fiz este curso. Então, o que esse curso abordará? E eu espero que você entenda agora por que você deve
observar PCI, DSS, ok? E quanto a esse curso? Ou
o que isso vai te ensinar? Ele vai
te ensinar, em primeiro lugar, PCI DSS do zero. Não vou ler o padrão da primeira página
até o final. OK. Ninguém quer isso. Sinceramente, se você quer que eu
leia bala por bala, este não é o curso para você. Vou fazer você entender a intenção do,
todos os requisitos. Quais são as
etapas práticas para fazer isso? Você não precisa
memorizar o padrão. Muitas pessoas começaram a
cometer esse erro. OK. O que vou fazer é
explicar como o padrão funciona e quais são as melhores maneiras de implementar. Vou me
aprofundar nesses 12 requisitos, nos padrões, e
examinaremos cada um em detalhes. Está bem? Vou te dar conselhos
práticos, ok? Na verdade, conselhos baseados em implementações
do mundo real
que eu fiz. E por último, o padrão
está sendo revisado, ok? As atualizações mais recentes para PCI, DSS para pontos, quais são as principais mudanças das quais você
deve estar ciente? Quais são as coisas para as quais você
deve estar preparado, o que você acha que
deveria começar a fazer agora. Porque os dois mil e
vinte e quatro vinte e
cinco estão muito próximos. Parece muito distante, mas
vai chegar. E você pode precisar
fazer certas coisas, então eu quero ter certeza de que
você está pronto para isso. OK. Para quem é esse curso? Seja você um
novo funcionário com conhecimento atual
limitado ou talvez um administrador de
sistema experiente. Este
curso ajudará você,
sua organização, a se tornar compatível com PCI,
DSS ou comentários. Eu fiz isso, eu projetei este curso como um guia de
referência, abordando os aspectos mais
desafiadores da conformidade com PCI, DSS. Então, dependendo da sua
formação, cargo, a organização
deixa algumas seções pode ser
mais relevante do que outras, ok. Assim, você pode ser um
auditor de TI que vai
auditar seu ambiente em
relação ao PCI DSS. Você pode ser como, eu não
sei, um QSEN ISAF, pessoas que estão se preparando
para os exames para PCI, DSS, você pode estar
se preparando para isso. E este exemplo fornece
ótimas informações sobre isso. Há algumas boas perguntas
de teste, conselhos
práticos,
eles estão bem. Você pode ser um profissional
de risco. E quem quer
entender o padrão, como ele, quais são os riscos? Quais são as coisas que
temos que implementar, ok? Ou você pode ser um profissional
de negócios. Sua empresa pode ser
um destaque para PCI, DSS e você quer entender
como implementá-la. Então, essas são todas
as coisas que eram as pessoas a quem ou a quem o padrão
poderia ser aplicável. À medida que um projeto de classe orienta informações que você não aplica, você vai
esquecê-las. Está bem? Essa tem sido minha
experiência ao longo da minha vida. Se você não implementar o que está aprendendo,
vai esquecer. Então, ao final deste curso, quero que você preencha em uma cidade ou
entraremos em detalhes sobre SAQ para um comerciante físico ou
de comércio eletrônico. Então, pense em um comerciante
hipotético. Eles estão aceitando transações
baseadas em cartão. Eles estão fazendo comércio eletrônico? E eu quero que você preencha e SEQ para isso
realmente não ajuda você a bloqueá-lo e realmente fazer você entender como o padrão
PCI DSS funciona. Então, espero ter deixado você animado para este curso e quais são as coisas que vou
ensinar a você? E como você vai
aprender sobre o PCI DSS. Vamos começar, pessoal. Muito obrigado por
fazer este curso. E eu vou te ver
na próxima seção.
2. 2 - Visão geral do PCI DSS: Ok pessoal, Bem-vindo, Bem-vindo ao primeiro
módulo deste curso, que é PCI, DSS e visão geral do padrão. Mas, antes de tudo,
quero ensinar a você o que o PCI DSS é provável ou
não querer implementar os padrões
e requisitos do PCI DSS, certo? Você não entende
o que ouvimos ideias, é
assim que funciona. Qual é o objetivo
desse padrão, certo? Já temos
muitos padrões. Por mais um. Vamos aprender sobre o PCI DSS. Do zero, eu
recomendaria usar esse modelo mesmo que você tenha experiência na
implementação do PCI DSS antes, porque você terá
uma boa visão geral e um histórico do padrão. E vou ensinar como o padrão é
estruturado e alguns
dos erros comuns que
vi pessoas cometerem em cerca de dez anos
implementando o PCI DSS, ok? OK. Em primeiro lugar, o padrão PCI DSS, ok. Foi criado em 2006 ou oito pelas principais marcas de
cartões, Visa, MasterCard, American
Express, Discovery, JCB, todas elas.
Por que eles fizeram isso? Simplificando, historicamente,
o que costumava acontecer com todos
esses esquemas de cores? Eles tinham seus próprios padrões, tinham seus próprios
programas, portanto, conformidade. Então, digamos que você seja
um comerciante, certo? Queremos empregar você quer
aceitar cartões Visa, ok? Visa tinha seu próprio
padrão que você precisa cumprir antes
de poder fazê-lo, então Mastercard lá somente se você quiser
aceitar MasterCard. E simplesmente com a Amazon, novamente com a American Express,
estou fazendo um gesto. Então você pode entender que isso se tornou um grande problema para comerciantes e prestadores de serviços. A quantidade de tempo e dinheiro implementou padrões
diferentes. Ok? Então, o que aconteceu foram todos
os padrões que
se juntaram e eles vão estabelecer um padrão comum. E esse padrão será aplicável
a pessoas envolvidas
no setor de pagamentos. Isso eliminou a
necessidade de
cumprir cada uma das
promessas separadamente, ok? Portanto, é assim que, se você gosta de
armazenar, processar transmitir esses dados, é necessário implementar
o padrão para protegê-los. Com base em milhares
e milhares de
investigações de comerciantes
que foram violados. O que foi confirmado,
e se eles tivessem implementado
distendido adequadamente. OK. O que você chama de que eles
implementaram centrado corretamente. Isso
reduziria muito o risco de serem atacados
ou ficarem comprometidos. Ok, então o padrão
é muito útil. Isso faz de você um 100% seguro? Não, absolutamente não. Mas é um passo de
partida muito bom. Ok? Então, a quem isso se aplica? Basicamente, lembre-se de armazenar,
processar ou transmitir
qualquer empresa que armazene,
processe processar ou transmitir
qualquer empresa que armazene,
processe ou transmita dados de cartão de
pagamento, você é obrigado a
implementar o padrão para evitar
dados do titular do cartão, ok? Você pode ser um comerciante,
pode ser um provedor de serviços, você pode ser um banco, você pode ser um call center. Podemos ser uma empresa de tecnologia. Não importa se você está
fazendo essas três coisas. Qualquer uma das três coisas
que entraremos no escopo. Quanto você precisa implementar, é aí
que a
diferença acontece. Mas tenha certeza de que você
entrará no escopo. OK. Então, por quê? Você pode perguntar por quê, ok. Já estou seguro. Eu implementei controles
e tudo isso, etc. Por que eu preciso
fazer o padrão? OK. Qual é a
necessidade do padrão? Simplificando, como baseado na velha coisa que os criminosos vão onde
o dinheiro está bom? O mesmo. Na era digital, os comerciantes se tornaram muito prestadores
de serviços, torna-se um novo alvo
para atividades fraudulentas. Ok? Então você pode, pode ser sua caixa registradora, pode ser seu
principal ponto de venda. Pode ser um carrinho de compras, pode ser uma rede Wi-Fi. Podem ser os PCs ou as
estações de trabalho que você tem. Ok? Tornou-se um
problema sério porque os atacantes sabem que até mesmo uma dessas coisas
eu posso comprometer. Talvez eu tenha acesso a esses dados. Eu posso ser capaz de
cometer fraude com isso. É por isso que é tão importante entender essas
vulnerabilidades. Eles podem acontecer em qualquer lugar do ecossistema de processamento de cartões. Como eu disse, isso pode
acontecer em dispositivos móveis, pontos de venda,
pontos de acesso sem fio ,
onde aplicativos de
compras podem ser transmitidos
e podem ir, pode não estar em Miami seca, pode estar em um provedor
de serviços. Pode estar em seu ambiente de
nuvem. Ok, então é por isso que o PCI DSS vem e realmente ajuda você
a proteger esse ambiente, realmente faz você entender
o que eu tenho que fazer. O que eu não tenho que fazer? Uma outra
atividade de due diligence que eu tenho que implementar. Ok? Então, definitivamente,
há absolutamente 0 quando ele chamou desvantagem na
implementação desse padrão. OK. É por isso que qualquer tecnologia,
qualquer empresa que foi, que está processando e
envolvendo transações de pagamento, eu sempre recomendo
implementar um padrão PCI DSS. OK. Portanto, a linha
do tempo do padrão percorreu um
longo, longo caminho, honestamente. E por que foi revisado tanto porque
é um documento vivo. Ele evoluiu para
acompanhar o estado do comércio eletrônico e as ameaças cibernéticas mais
sofisticadas. E, honestamente, como as tecnologias
evoluíram em 10 a 15 anos atrás, a nuvem não era tão importante. As transações com smartphones não
estavam acontecendo
tanto quanto estavam acontecendo
, mas não tanto. OK. Ataques para diferentes que
não tinham contêineres semelhantes em Cloud e Sowell à medida que todas
essas coisas surgiram, é por isso
que o padrão
continua mudando. Não precisamos gostar disso. Você não precisa
memorizar a história e isso é apenas
para sua referência. Mas saiba que ele passou por
várias iterações para se manter atualizado
com as tecnologias. Em 2022, a versão
4 foi lançada. Ok? E só para fazer você entender, em 2022, ele surgiu, certo. E expandiu a MFA, autenticação
multifator ou suas funções e
responsabilidades. E muitos novos
requisitos surgiram até março de 2024. Nesse momento, o
PCA, a versão antiga, que é 3.20.1, será aposentado e será
completamente substituído por 4. Então você tem um
pouco de tempo. E até março de 2025, os novos requisitos entrarão
oficialmente em vigor. Alguns comentários opcionais, ok. Eles são
baseados em projeções
do Conselho de Padrões de Segurança do PCA, o órgão que mantém
o padrão. Eles podem estar sujeitos a
mudanças, mas a linha do tempo. Então é por isso que eu continuo
recomendando isso pessoal. Se você estiver no escopo do PCI, comece a analisar os
4 requisitos hoje. Não adie isso. Ok, então essa foi uma
visão geral básica do padrão. No próximo módulo,
vou falar
sobre a arquitetura vesicular, como o padrão é estruturado, como funciona e
como é estruturado. Então, obrigado pessoal, e nos
vemos no próximo módulo.
3. 2 - Estrutura padrão: Ok pessoal, então bem-vindos
a este módulo que é sobre a estrutura do PCI DSS, como o padrão funciona. Simplificando, é muito simples. Tem seis escolas
e 12 requisitos. As pessoas geralmente se concentram mais
nos 12 ou comentários
de um a k, temos que implementá-lo para nos
tornarmos compatíveis com PCI DSS. Você pode estar no escopo de
alguns que eu noto para pais. Mas é basicamente
assim que o padrão foi estruturado
é bem simples. Não é tão complicado. Então, os objetivos, esses são requisitos de etapas
comuns, honestamente, alguns deles você
pode olhar e dizer, Ei, tudo bem, todas essas
coisas que eu já estou fazendo. Mas esse é o ponto principal. Porque o que pode parecer
senso comum para você pode não ser senso
comum para
outros ambientes como outros
provedores de serviços comerciais, eles podem dizer: Ok,
eu não preciso
implementar um firewall, eu
não preciso fazer isso. Esse é o meu mandato afirma. Então, quais são as seis categorias
básicas? Geralmente, trata-se de
manter e construir uma rede segura para
firewalls ou outros dispositivos. Você deve
proteger os
dados do titular do cartão onde quer que estejam armazenados. Você deve ter um programa
de gerenciamento de vulnerabilidades para
garantir que seus sistemas
permaneçam seguros. OK. Algum problema surge,
você está ciente disso? Devemos ter fortes medidas de controle de
acesso que possam ser físicas ou lógicas. Você deveria
monitorar regularmente sua rede, ok? Não presuma que sua
rede esteja segura. Algo pode ter acontecido. É claro que, do ponto de vista da due
diligence, você deve ter um alto
nível de governança por meio de políticas e estatutos, certificando-se de que o
treinamento seja, se as pessoas
estão cientes
de seus requisitos. OK. Então, esses são os objetivos. Os objetivos e quais são os requisitos
abordarão cada um deles
em detalhes, pessoal. Mas, apenas para fornecer um requisito de
alto nível para manter um firewall, você deve ter uma padronização. Você deve proteger os dados
do titular do cartão pela rede, protegendo-os de Albert,
atualizando seus sistemas. Esses são os seis primeiros. Nos próximos seis, estamos
restringindo o acesso, seja logicamente ou fisicamente, tendo credenciais exclusivas, ok. Sem compartilhamento de senhas, por favor. Ter segurança física,
registrar e monitorar o que
está acontecendo fazendo VN, VN PT, ok. E documente e avalie seus riscos que estão acontecendo. Então esses foram os 12
ou comentários caras. Isso pode parecer demais. Ok, 12 horas quem
vai memorizar isso? Então, isso me leva ao meu, alguns dos
erros comuns que as pessoas cometem quando estão
implementando os requisitos. E eu quero
ter certeza de que você não fará o mesmo ingresso para mim. Então,
muitas vezes, alguns
dos erros comuns são que eles
tentam memorizar o padrão. OK. Não é necessário memorizar o padrão e os requisitos do
porta-malas. Ninguém faz isso. Você não precisa fazer isso. Você pode apenas entender a intenção do recurso
Comentário, ok? E depois, quando
você pode implementá-lo, contanto que você
entenda o que o comentário deles está basicamente pretendendo, você pode ter muitas
idas e vindas com o auditor PCI e
você pode satisfazer, olhe, Estou implementando o padrão, talvez XYZ não esteja implementado, mas você fez outras coisas. Analisamos isso em detalhes. Então isso me leva
ao meu próximo ponto, que é outro erro
que as pessoas cometem é não se envolver com
o QSR antes. Se você tiver um auditor do
PCI disponível, você deve se envolver com ele
desde o início. Diga a eles, eu não estou fazendo
isso para que eles estejam cientes. Talvez, se você estiver
cometendo algum erro, possa pegá-lo
desde o início. OK. A auditoria não
trata isso como se
você estivesse tentando esconder coisas do auditor
envolvido com eles imediatamente. Então, espero que você tenha entendido como
o padrão é estruturado. Quais são os principais objetivos, são os principais requisitos e quaisquer erros que
você deve evitar. Então, no próximo módulo, vamos começar
o processo, ok? O PCI, DSS também como um processo, não
é que você possa
simplesmente seguir em frente e começar a implementar os 12
requisitos de qualquer maneira. Há um
processo padrão que temos que seguir e vamos nos
aprofundar nisso. Se você entender que o processo
PCI DSS se tornará, posso prometer que
ficará mais fácil. Então, tudo bem pessoal, vamos
pular para o próximo módulo. Obrigada.
4. 3 - Processo de PCI DSS ( Fundação ): Olá a todos, Bem-vindos a
este módulo sobre PCI DSS,
entendendo o processo. Então, uma coisa que eu quero mencionar é que muitas
pessoas cometem o erro. Muitas empresas
cometem o erro de terem decidido
implementar o PCI DSS, o que elas fazem é pular, baixar o
padrão e simplesmente seguir em frente e começar a
implementá-lo, certo? Eles dizem: Ok, eu tenho que habilitar a autenticação
multifator. Eu tenho que fortalecer meu servidor, eu tenho que corrigir XYZ, etc. Essa não é a maneira que você
deseja iniciar o PCI DSS. Isso é
se armar. Se você quiser estar em conformidade com o PCI DSS, há um
processo estruturado a seguir. Você não pode simplesmente
começar
a implementar os requisitos imediatamente. Não vai funcionar. Você vai perder
muito tempo e ser Willis the Lewis,
muito dinheiro também. Então, vamos ver qual é a
melhor maneira implementar PCI,
DSS e ambiente? Há duas fases. Uma é fundamental, a outra é
a fase de implementação. Se você fizer o trabalho duro
na fase fundamental,
a fase de implementação
se tornará muito, muito mais fácil. A fase de implementação,
mas geralmente leva mais tempo, mas é muito mais fácil porque temos uma direção
firme. Ok, então quais são os passos? As principais etapas que você precisa executar para implementar
com êxito o PCI
DSS em seu ambiente. Ok, vamos começar.
Neste módulo, vou falar sobre
os fundamentos. Primeiro passo, o mais importante, e às
vezes é perdido. Coleta, gerenciamento e suporte
de gerenciamento. Você precisa de suporte de gerenciamento para seu PCI DSS seja bem-sucedido. Pci DSS, observe
isso com muito cuidado. Não é um projeto de TI. Ele lida com
pessoas, processos, tecnologias
operacionais que devem ser testadas e protegidas. Não é, é um projeto, mas não é um projeto de TI. Muitas empresas,
o que elas fazem é capacitar as equipes de TI para ir
em frente e implementá-lo. Você pode fazer isso, mas
o que vai acontecer? Ou será um fracasso ou
será uma atividade única. Você estará em conformidade
pelo primeiro ano, segundo ano, a TI se
ocupará com outras coisas. Esqueci tudo sobre isso. Então você desperdiçou
seu tempo e dinheiro. Você precisa mudar
a cultura primeiro, precisamos de um patrocinador de
nível gerencial, preferência o CEO ou o CEO ou alguém
pode ter a sílaba. Você precisa que esse cara envie uma mensagem clara para
toda a organização. Pci, DSS é uma prioridade
e vamos implementá-lo e, por favor,
indique as unidades da fórmula XYZ. Eles aprovarão o orçamento porque vai
custar caro, você
precisa implementar coisas. Não presuma que tudo
será gratuito, mas realmente o suporte gerencial
garante que sua equipe, todos entendam
a importância disso. E você tornará sua vida
consideravelmente mais fácil mais tarde. Para organizações maiores, se você quiser ter uma conformidade contínua com
PCI e DSS, ela precisa de uma
cultura muito forte de colaboração, comunicação e comprometimento
da liderança executiva. Por favor, não siga este passo. Indique um
patrocinador executivo que aprovará o
orçamento e quem aprovará, para quem você enviará as atualizações do
seu projeto. Ei pessoal, esse é o
status do PCI DSS. Então, faça disso um projeto, mas não faça um projeto de TI. Você pode executá-lo a partir do
seu departamento de risco, seja qual for o departamento que você tiver. Mas não faça disso um projeto de
TI e
certifique-se de ter
suporte gerencial, ok? OK. Segundo passo. Qual é o segundo passo
para a fase fundamental? É entender
suas responsabilidades, mas o que você é? Você é um comerciante,
seu provedor de serviços, IU ou banco. OK. Porque você tem
diferentes processos, tecnologias, coisas
que estão no escopo, ok? Você ficará interessado, tenho certeza de que saberá que
está no PCI, DSS ou não. Mas você precisa descobrir que tipo de negócio você está fazendo. Será que o comércio eletrônico é um ponto de venda,
isso é terceirização? Então, geralmente eu recomendo
entrar em contato com sua carreira. Pode ser um banco, pode
ser um esquema de cartão como Visa, MasterCard e pergunte a eles, estou fazendo XYZ, o
que devo fazer para me
tornar compatível com PCI DSS? Por que eu digo isso? Porque o Conselho PCA,
eles disseram lá embaixo, eles estabeleceram o PCR
Standards Council branco, mas cada pagamento novo Visa, MasterCard, eles têm o seu próprio. Eles estão validando isso. Portanto, você deve entrar em contato com as marcas de pagamento ou com o banco
adquirente. OK. Isso lhe dará um claro o que ele chamou de tom para
quê? Você tem que fazer. Uma auditoria completa, você tem que
preencher um questionário, tem
que enviar um escaneamento da Esri, essas coisas que você pode descobrir seus sites ou você mesmo
pode contatá-los. Eu recomendaria fazer as duas coisas apenas para garantir que não
haja ambigüidade. E mais tarde, você não
se surpreende com algum uso como um cometa que
surge de repente e você não está ciente. OK. Então esse é o número dois. Qual é o número de
terceiros? Terceira parte. Então você entrou em contato com o banco de
pagamento ou com o adquirente. Agora você descobre qual é a
sua obrigação de conformidade. É um
questionário de autoavaliação ou como uma auditoria completa? Desculpa. Cq. O primeiro, o SAQ, é como uma validação para o questionário
Lisa. O que você faz é
preencher você mesmo. Você não precisa ter mais
ninguém para fazer isso. Você
pode fazer isso sozinho. OK. Se você não for obrigado
a fazer uma auditoria completa, basta preencher um SAQ. É uma série de perguntas de sim ou não para cada
PCI, DSS ou comentários, basta preenchê-lo 111, assiná-lo e depois
enviá-lo como um dado. Essa é uma das maneiras mais fáceis
de passar uma auditoria de PC. OK. Então é exatamente o
que parece. É um
questionário de autoavaliação. Você pode preenchê-lo sozinho
e ele basicamente dirá, esta é minha postura atual de
conformidade. Ninguém vai verificar isso. Que seu trabalho e você
tem que ser sincero,
por favor, não leve
isso longe. Você precisa ser sincero,
mas ninguém vai
verificar se você realmente pode fazer com
que sua equipe de auditoria faça o check-in. Essa é a primeira parte. Ou você pode estar sujeito
a uma auditoria completa, que é que o pagamento que
Granville pediu por conformidade
importante e também um atestado de conformidade, que é um EOC que é
basicamente uma auditoria completa. Você precisará entrar em
contato com sua redação Q. Você precisará se envolver
com a empresa, que é como todo o Reino Unido, EUA
discutirá isso mais tarde. Eles chamam um avaliador
de segurança qualificado. OK. Basicamente, eles tinham
uma auditoria do PCI DSS. Eles farão uma auditoria completa. Eles irão avaliar seu
ambiente e dizer: Ok, isso é satisfatório e
lhe dará um relatório de que automóvel civil
completo submetido à sua
faixa de pagamento ao seu banco. OK. Mas este
é mais difícil, mas eu geralmente recomendo fazer a auditoria completa apenas para ter certeza que é sempre melhor ter um terceiro
entrando e verificando. Ok? Então, essas são as duas obrigações de
conformidade que você pode ter. OK. Então, agora entendemos que, ok, eu tenho que fazer
conformidade com o PCA. E agora o que eu faço? Um passo muito, muito importante que
é, por favor, não pule. Isso está definindo o escopo. Muitas organizações
têm algum amido. Eles fizeram essa
pergunta, ok, onde eu implemento ideias de PCA é, se eu tiver 12 filiais
em, eu não sei, 50 países e 5
mil funcionários precisam evitar IDSs de PC e
cada um dos eles? Não. Então, como eu disse, seu escopo é basicamente onde quer que
esteja armazenando, processando, transmitindo o ambiente de dados
do titular do cartão. Isso é muito difícil de
implementar PCI, DSS. Muitas organizações que
têm problemas para
descobrir quais sistemas são ideia de escopo do
NPC
e quais não são. OK. Para isso, eu recomendaria o documento do
conjunto de dados. Vou tentar tocá-lo se
puder, é chamado de PCI, DSS scoping e suplemento de
segmentação Netflix. OK. Acho que saiu em maio de 2017. Ele realmente fornece orientação para identificar quais
sistemas precisam estar no escopo, quais sistemas não estão no escopo e como você pode realmente reduzir seu escopo por meio da segmentação. Pessoal muito importante, você precisa entender seu ambiente de
negócios, especialmente como os sistemas estão interagindo com os dados
do titular do cartão. meio do titular do cartão, os dados estão sendo armazenados e entraremos nisso. Mas você precisa realmente se
sentar com sua empresa. Não se sente apenas com o pessoal de
TI, sente-se com sua empresa, porque
todo o fluxo de dados do titular do cartão, você precisa implementar seus
controles além disso. E essas são as pessoas, os processos e a
tecnologia nos quais os 12º requisitos do PCI
serão implementados. Ok, então o que, que
conselho no escopo é um tópico
muito importante vai levar
meu tempo nisso. Então, o que vem no escopo do PCS? Você precisa primeiro listar, listar e confirmar todos os sistemas
conectados que são como processar, armazenar ou transmitir dados
do titular do cartão. OK. Existem algumas orientações que o
presente do conselho simplesmente colocou, qualquer sistema que armazene processos transmitidos
dados do titular do cartão ou dados confidenciais, ou qualquer sistema que esteja
na mesma rede os tenha. Isso é bem simples. Eu acho que isso é muito
lógico, certo? E o que funciona bem,
além disso, qualquer sistema que os
esteja fornecendo, que esteja conectado a eles
ou fornecendo segurança. OK. Então, o que isso pode ser? Certo, um sistema pode ser conectado
diretamente à sua caudal e ramificado por meio de conectividade de
rede interna. Ou pode estar
indiretamente conectado, talvez como uma conexão de
servidor de salto. Ou isso pode afetar a segurança do seu ambiente
fundamental. Talvez seja um
servidor web, um servidor DNS, ou talvez seja um servidor que
esteja fornecendo segurança, como epóxi de
filtragem de tráfego de rede. Talvez esteja distribuindo
patches, logon único ou talvez seja um
firewall que está segmentando o ambiente
on-line
do seu cartão dos outros. OK. Seus firewalls são
configurados para bloquear semáforos que
entrarão no escopo. Ou está suportando
PCI, DSS ou comentários, talvez servidor de horário,
sua solução SIM. Ok? Então, esse olhar para este diagrama. Isso vai te ajudar
a descobrir, ok? E, claro, você pode
entender que isso parece ok, tipo de coisa
gerenciada,
muito sistema, o escopo. Como você reduz o
escopo do PCI DSS, ok, existem coisas que você pode
fazer para realmente reduzir o escopo do PCI DSS
em seu ambiente. E o mais
importante é a segmentação. Sem segmentação, sua rede se torna
como uma rede plana. O que isso significa? Isso significa que tudo está
na mesma rede. OK. Seu ambiente caudal,
seus sistemas de segurança, seu cartão de gramado, sistemas mais antigos
que não têm nada a ver. Mas você é titular do cartão. Todos eles são
da mesma rede. E o que acontece é que, se um
dos sistemas estiver comprometido, talvez seu laptop fique comprometido com a conexão com
a Internet. Agora, o invasor pode
simplesmente pular
desse servidor para o seu ambiente
caudal. Sem, por
causa disso achatado, tudo estará no escopo. É por isso que você precisa
segmentar sua rede. E impede o sistema fora
do escopo. Então você vai segmentar
seu ambiente não
relacionado ao titular do cartão
do ambiente do titular do cartão
, ok? E o que ele faz é impedir que esses sistemas
falem uns com os outros. E mesmo que esse
ambiente não causal seja comprometido, porque não será
tão seguro, não afetará
o ambiente
do titular do cartão, certo? Mesmo que um invasor
entre nesse documento, não tenha acesso ao ambiente do
titular do cartão. Ok? É por isso que dificulta
a migração do invasor do
ponto de entrada. Talvez fosse como um laptop ou estação de trabalho para outros sistemas. OK. Então, geralmente o que as pessoas fazem, elas usam firewalls
para segmentação ou você pode criar zonas
dentro de suas fibras. E vamos dar uma
olhada em como isso acontece. Então, apenas uma
integral simples em azul. É assim que uma rede de
voos típica se
parecerá, pessoal. Então isso parece muito instituto. Você tem sua rede, certo? Os servidores, seus
midas, heterolíticos, seus desktops, suas máquinas
de ponto de venda. Todos eles se conectaram a um firewall no mesmo firewall e se conectaram
à Internet. Então você pode ver que acabei de dizer que isso é como um pesadelo
esperando para acontecer. Um deles fica como uma
praia por um agressor. Ele pode acessar praticamente
tudo o que você pode pular de lá para o ambiente do
titular do cartão. Essa não é a maneira de fazer isso. Então, o que temos que fazer, pessoal? Criamos algo chamado
rede segmentada. Então, o que fazemos é criar um segmento dentro das
zonas verdes, dentro do firewall. E nós o dividimos em redes
menores, como rede
Cardano, como uma rede de plantão não se conecta como
uma rede comercial. E você coloca firewalls ou
outros dispositivos entre eles. Isso restringe a conectividade
deles. É assim que um segmento
e ele se parecerão. Então, mesmo que um ambiente
seja comprometido, você não pode pular para o
outro ambiente, ok? Como você tem outros controles, segmentação pode ser complicada, especialmente se você não
tem formação técnica, ok? Por isso, eu sempre recomendaria que sua
equipe de rede verificasse isso novamente. Eles só têm seu
cara de risco são os caras da segurança. Verifique, verifique novamente
toda a sua segmentação. E você pode, nós vamos
investigar isso. Como verificamos se a segmentação foi feita corretamente? Mas espero que tenham entendido,
pessoal, por que é tão importante. E agora você pode ver
como isso vai
diminuir o escopo da sua rede
PCI DSS, certo? Você terá dentro
e fora do escopo. E só para ser bem claro pessoal, algumas conversas engraçadas
sobre fora do escopo. Então, estamos falando sobre sistemas. Eles não estão no
escopo do PCI DSS, então você não precisa
implementar o PCI DSS lá. Mas então eles não terão acesso ao ambiente
caudal. Mas se eles fizerem isso, então você tem que
implementar o PCA, ok? Você precisa ter controles
como eu mencionei, segmentação e outras coisas para impedir que eles
obtenham acesso. Então, dentro do console do PCA, eles deram algumas orientações. Eles dizem essas outras coisas para
que não possam processar os dados
do titular do cartão. Não pode estar na mesma rede, não pode conectar
você e você simplesmente não gosta de
praticamente nada. Se fizer isso para ser
considerado fora do escopo, ele precisa satisfazer toda essa área cinzenta
e você precisa ter
controles em vigor para fornecer ao auditor a
garantia de que, por exemplo, você não pode simplesmente mudar
isso amanhã, certo? Você não pode simplesmente colocar essa
métrica na mesma rede. Você precisa ter outros
controles, como firewalls, controles de acesso
físico, autenticação
multifator, restrição do acesso de administrador ou monitoramento ativo
dessa métrica para garantir que não haja
rede conectividade. Ok? E geralmente pessoal, uma coisa que eu recomendo, e não
é popular. Por que não é necessário
implementar PCI, DSS, um otoscópio. Mas eu sempre recomendo que você possa implementar consistentemente
sombra não será auditado, mas é apenas uma
prática recomendada de segurança porque o PCI, DSS é um padrão de
controle tão bom, você deve implementá-lo em redes
fora do escopo também. Ok? Então é assim que
parece, uma rede típica. Ok, era disso que eu estava
falando quando mencionei. Então vocês podem ver aqui pessoal, você tem como um
ambiente Caligula no canto superior direito, você tem uma máquina
de ponto de venda, seus sistemas de coordenadas. Ele está conectado a serviços
compartilhados, como território
ártico,
lote, exploração madeireira. Há um servidor de salto e você tem uma rede de escopo externo, então não há conectividade
entre o CDE, a linha corporativa, ok. Há uma conectividade entre os
serviços compartilhados e isso. Mas você entende que não
há conectividade direta. Se houvesse alguma conectividade
direta, ela
definitivamente se
tornaria no escopo. Então, use isso como uma orientação de alto nível sobre como você deseja
segmentar sua rede. Ok, então é disso que eu estava
falando, segmentação. É como uma arte. Honestamente falando, ele muda dependendo do
tamanho da rede, dependendo de quanto
controle você tem, quantas
soluções técnicas você tem, quão boa é sua equipe de rede? E eu só recomendo que você entre em contato com
seu auditor antes, mostre a eles o
diagrama de rede antes e depois de como você vai segmentar
, obter a orientação deles. Não presuma que eles
não estão lá para ajudá-lo. Eles não estão lá
para falhar na auditoria. Eles estão lá como parceiros. Nós vamos te ajudar. Então, entre em contato com eles. Isso vai lhe poupar
muitos problemas mais tarde. Espero que isso tenha sido útil
para vocês e isso tenha completado nossa fase
fundamental. Então, vamos passar para a fase de
implementação agora. Obrigada.
5. 3 - Processo de PCI DSS ( Implementação ): Olá pessoal, Bem-vindos a este módulo, que é a segunda parte
do processo PCI DSS. Agora terminamos a parte
fundamental ali mesmo. Vou falar sobre
a parte de implementação, que é muito importante. Agora. Você fez
a base, estabeleceu todas as noções básicas. Agora, começa a diversão, que é, na verdade, implementar PCI DSS em seu ambiente. Está bem? Portanto, uma das principais
coisas que você fará se ainda não tiver feito isso seria envolver o Reino Unido, EUA. Basicamente, o avaliador
de segurança qualificado. É uma designação que o conselho do PCA dá
a certas pessoas, então definitivamente elas estão
qualificadas para realizar agora serviços de suspense e consultoria do
PCI e auditorias. Para se tornar um PCR,
você precisa atender a certos
recombinantes educacionais para obter uma certificação e receber treinamento
apropriado
do conselho do PCA. E então você vai
ser contratado por uma particular como eu tenho
segurança e auditoria. E geralmente eles precisam ser
certificados anualmente. Eles convidaram a hierarquia dos EUA. É um terceiro
independente organizações que desejam
competir aqui, em conformidade com o DSS. OK. E eles querem ter certeza de que
virão e farão a auditoria. Eles o aconselharão sobre como
se tornar compatível com PCI DSS. O que durante a auditoria de pré-venda, o QSIF determinará se sua organização
atendeu satisfatoriamente aos comentários adicionais do PCF, The Directory, ou talvez
você não tenha importado, mas você colocou outros controles,
são controles de compensação. Se isso for suficiente, ele preencherá um ROC
e um relatório sobre conformidade, que é como um relatório grosso, e uma AUC que é um
atestado de conformidade. Você e ele um barco,
eu posso designar isso. Em seguida, você o enviará
ao seu esquema de pagamento ou seu banco para verificação. Basicamente, os três SQS como seu amigo não estão
lá para fazer você falhar. Você já é Zai para ajudá-lo. Se ele lhe der muitas
observações, acredite em mim, é em seu próprio benefício garantir que
elas sejam corrigidas. OK. Muitas pessoas
querem apenas
passar em uma auditoria de PC e
acabar com isso. OK. Eles sentem que
fizeram seu trabalho Não. Interaja com eles. entender quais
são os requisitos, por que ele está fazendo isso. Tratado como um parceiro. OK.
Trate-o como um parceiro para que você possa
atender totalmente aos requisitos
do PCI DSS. Ok, então agora você pode
chegar ao Kiva, digamos que todo o
trabalho fundamental que fizemos agora
você pode ter o escopo. Você segmentou fora da rede. Agora você pode começar a trabalhar na implementação dos requisitos do PCI
DSS. Vamos falar sobre isso
em detalhes na próxima seção. Então, eu não vou perder
muito tempo com isso. Basicamente, eles são
operacionais e técnicos. Sempre o foco está na
proteção dos dados do titular do cartão. Temos seis categorias e 12 ou comentários e vou
entrar em detalhes sobre isso. Mas o PCL ou o
QS dizem que geralmente
entra e ele faz um filamentar
como uma auditoria de lacunas. OK. E ele lhe dá suas descobertas. Então isso é o que parece. Sou a primeira vez,
posso garantir. primeira vez,
você
faz uma auditoria de lacunas ,
você vai ficar muito deprimido
ao ver as descobertas. Serão muitas
e muitas descobertas virão
porque não importa quanta base você tenha feito,
todas essas coisas
que você não
sabia. Você encontrará os
dados do titular do cartão claros
na maioria dos lugares
que acontecem com todos. Isso se baseia na
minha própria experiência de fazer PCR
nos últimos dez anos. OK. Mas haverá muitas
e muitas lacunas. Não se preocupe, é uma
viagem, não um destino. Então, você fará um plano de
ação com uma longa lista de itens e
começará a trabalhar nisso. Está bem? Implemente vitórias rápidas. Haverá coisas que você
pode implementar imediatamente. Comece a trabalhar neles
e obtenha atualizações regulares, o QSEN, e depois
concentre-se nos longos. Foi aqui que eu lhe disse, lembre-se de onde você está e
qual é o estado desejado. Muitas empresas têm
as palavras-chave para fazer isso. Você
também pode fazer isso sozinho, a propósito, apenas para avisar ou pode ter uma empresa completamente
independente, como uma
empresa separada dos EUA. Algumas grandes empresas, eu sei
que fizeram isso assim, ok. Além disso. Então,
depende totalmente de você como você faz isso. Está bem? Mas, como eu disse, concentre-se nas telas rápidas e então você
terá essas descobertas. Vai levar algum tempo. É aqui que o suporte
gerencial, sobre o
qual falei, vai ser difícil. Porque se o CEO, o CEO está
ajudando você, acredite, as coisas
vão se mexer. Caso contrário, outros departamentos
têm outras prioridades. Eles têm outras coisas
no dia do prato não o trabalho deles
não é fazer o PCI DSS. Você receberá muito
apoio se se envolver com o suporte gerencial desde o início . Vamos supor que você tenha feito isso. Você conserta todas as lacunas. Agora o que? Agora vem
a parte final, que é a auditoria final. Antes da final,
você pode testar o CQ. OK. Corrija tudo,
entre e vamos fazer a auditoria final
antes que isso aconteça, reunir sua documentação
e suas políticas de segurança,
seus acordos de controle de alterações, relatórios de verificação de diagramas de
rede, documentação,
treinamento sobre e sobre. OK. Garante que todas as partes interessadas estejam alinhadas
e prontas. Não presuma que eles simplesmente
largarão tudo e virão para suas reuniões, porque geralmente o QSEN precisa
ter reuniões agendadas, reservar todo mundo no calendário, colocar e ter certeza que eles compreendam a
importância desse cronograma, os relatórios que ele faz com que sua gerência sênior também
esteja envolvida, e as pessoas-chave de TI, aplicativos de
segurança, recursos
humanos ,
jurídico, todos Esses
caras estão lá. Hábitos como uma espécie de
equipe, você pode criar
uma força-tarefa para o PCA e
pode fazer uma força-tarefa para o PCA e com que
as empresas de lobby de empréstimos às vezes façam isso. Pessoal, por favor,
reservem tempo suficiente para
remediar as descobertas. Se o seu
prazo de conformidade com o PCI for 15 de maio, não ligue para o auditor
e 14 de maio,
por favor, não presuma
que eles querem encontrar coisas. Você pode encontrar algo
completamente inesperado. Tenha um buffer de duas semanas, um mês provavelmente depende do seu ambiente para garantir que, caso haja algumas descobertas completamente
inesperadas, você tenha tempo suficiente
para remediar eles. Agora. Parabéns. Você
possivelmente disse auditoria. O auditor preencherá
o relatório sobre conformidade ROC ou
conformidade decisão
ou você pode não precisar disso com meus dígitos
preenchendo um
questionário de autoavaliação. E você não precisava
do QSR. Os relatórios são o
mecanismo oficial pelo qual você, como comerciante ou
prestador de serviços ou banco, relata sua conformidade com o
PCI à sua instituição financeira como um pagamento com a marca
Visa, MasterCard. E às vezes você
pode precisar enviar um relatório SEQ sobre conformidade. Às vezes, você pode até
precisar enviar um Stan. OK. Isso realmente depende. Como eu disse,
depende de como é feito. Às vezes, você também pode precisar enviar trimestralmente históricos
de verificação de rede. Podemos discutir o decilitro. Realmente depende do pagamento quando é
difícil fornecer apenas um tamanho único
para cada ambiente. Está bem? OK. E agora você passa no PCR
que você enviou. O que foi agora? Pessoal muito importante, por favor, você precisa implementar o PCA como um processo BAU para garantir que os controles de
segurança continuem
a ser implementados corretamente, você precisa corrigi-lo em
seus processos BAU como parte de sua estratégia
geral, como colocá-lo dentro dos
outros departamentos, manuais
operacionais, seu
técnico que disse isso? Não, eles sabem que isso é
algo que você tem que fazer. Coloque-o em seu próprio calendário, os padrões que você precisa fazer, as avaliações, eles
têm que fazer o anúncio. Essa é uma maneira de monitorar
a eficácia de seus controles e isso
vai se manter. Então, mesmo que você esteja lá,
você não está lá, alguém entra,
talvez você esteja de licença. Todo mundo sabe o
que tem que fazer. Está bem? Assim, você pode monitorar seus controles de segurança para
ter certeza de
que, se algo estiver falhando, talvez uma verificação esteja passando um quarto não esteja passando
no outro trimestre. Se você tem algum
tipo de calendário,
esse é um ótimo
mecanismo para saber o quão consistentemente o PCI DSS está indo se você está passando por
varreduras a cada trimestre, controladores de
disco amadurecem agora. Portanto, certifique-se de
implementar como parte de um BAU. Não se esqueça disso e,
em seguida, dê uma palestra para acordar, repente tenho
que fazer esse negócio. Então é assim que
basicamente você implementa o PCI
DSS em seu ambiente, pessoal, como eu disse,
é um processo vivo. Ele continua mudando,
continua evoluindo. O primeiro ano
será difícil. No segundo dia, você se
verá melhorando. No terceiro ano, você pode enfrentar
alguns desafios enormes. Continue melhorando o escopo. Mantenha apenas, acho que
com o auditor mude seus auditores regularmente. Não confie no
mesmo auditor
nos próximos dez anos. Essa
não é uma boa prática. Continue adicionando coisas novas ao seu ambiente e você
definitivamente verá seu ambiente amadurecendo,
ficará mais fácil. E você realmente
começará a aproveitar todo
o processo de
se tornar compatível com o PCA. Ok pessoal, então isso
completa o processo BCR um. Agora vamos nos aprofundar
no padrão e
nos requisitos sobre os quais falei anteriormente. Vejo você no
próximo módulo. Obrigada.
6. 4 - Requisito 1: Oi pessoal. Bem-vindo a este módulo
no qual vamos
nos aprofundar nos requisitos do
PCI. Anteriormente, estávamos falando
sobre o processo, sobre o padrão em si. Agora eles vão
se aprofundar
em cada um dos
requisitos de testes, ok? Como mencionei,
não vou passar por cima de cada linha de
cada requisito. Ninguém quer comer para fazer isso. Que você pode fazer sozinho falando
honestamente, o principal é que você deve
entender a intenção por trás de cada requisito
e tentar atender a isso. O Pca é um padrão técnico. Concordado. Mas isso lhe dá
muito espaço de manobra. Então, vamos começar com o
primeiro comentário e vamos ver. E lembre-se, você sempre pode
entrar em contato com seu celular. Então, se você está confuso
sobre qualquer requisito, trate-o como um parceiro
de segurança. Ok, então vamos começar com
o primeiro requisito que é instalar e
manter um firewall. Só para recapitular, se você se
lembra de um propósito de fibra, o objetivo principal
de um firewall. Por que você coloca um firewall aqui? É filtrar tráfego potencialmente
prejudicial, é a primeira linha de defesa. E simplesmente instalar
uma rede de fibra não a torna segura, certo? Portanto, se sua fibra não estiver
configurada e mantida adequadamente e a eficácia não for
segura no estado padrão. Em resumo, o que estou dizendo é que um firewall
configurado corretamente será a primeira
linha de defesa bloqueará o acesso indesejado à
rede. Você vai querer
colocá-lo entre sua rede,
seus sistemas e
a Internet também dentro de sua rede de portadores e suas outras redes também. Ok, então você vai
precisar de várias fibras. Geralmente é assim que eles fazem. E o firewall geralmente é quando você faz sua segmentação, você também cria
suas zonas. Então, quando
o auditor entrar, ele vai verificar se
descobre que você não revisou seu firewall
nos últimos dois anos, isso vai ser um problema. Se ele perceber que seu firewall
ainda está usando as senhas
padrão, como um acesso total
aberto à Internet. Nada disso
vai causar
problemas para você. Só para recapitular,
falamos sobre isso antes, lembra como a
segmentação funciona, certo? Portanto, suas regras e novo ambiente
mudarão com o tempo. Não vai ser estático. Portanto, você
garantirá que a segmentação esteja lá e seja revisada a
cada seis meses. Mínimo. Pelo menos a cada seis meses você
tem que revisar sua fibra, perdê-la mantida
como uma documentação, ter um relatório lá que comprove que você realmente
revisou o firewall. Cujos caras se lembram disso? Caso contrário, o auditor não
terá como saber se
você está fazendo isso ou não. E quais são as principais ações. Então, como eu mencionei antes, um erro comum, um erro muito, muito comum que
as pessoas cometem é assumir que o firewall é como uma tecnologia
plug and play de bomba. Depois de instalá-lo, quase sempre é necessário um esforço
adicional para
restringir o acesso e proteger o ambiente de
dados do titular do cartão. Veja que o objetivo final do
firewall é filtrar o tráfego
da Internet
potencialmente prejudicial e outras redes não confiáveis. Então, se você estivesse
trabalhando no comércio eletrônico, o firewall
estaria lá entre sua Internet e seu ambiente
mimado, certo? Então você precisa, é
aqui que o escopo e todo o trabalho duro que fizemos
antes Isso vai entrar. Então você vai se
certificar de que todas essas
coisas estão lá. Você vai
ter uma regra de negação. Você vai ter uma unidade de filtragem de
pacotes de tubos. Sempre que você abre uma porta, eles precisam reprocessar a abertura da unidade
IK para cima. Isso foi verificado pelas
equipes, não foi verificado. Se apenas uma pessoa está fazendo
isso, ninguém está olhando para isso. OK. Lembre-se de que você
precisa protegê-lo. Qualquer tráfego de entrada e saída do ambiente caudal. Você precisa ter padrões para seus firewalls, o que é permitido, o que não é permitido, e você precisa ter algum tipo
de revisão acontecendo. Obviamente, ninguém vai
revisar seu firewall
ou roubar ninguém. Honestamente,
nem é possível. Mas geralmente o que
as pessoas
fazem é garantir que tudo
seja inócuo e frâncio. E são alertas configurados. E tipo, como você chama
alguém que está monitorando isso. OK. Se você gerar um relatório, acho que geralmente vem
como trezentas,
quinhentas regras
surgirão em um ambiente pequeno. Portanto, isso não é nem
remotamente prático, mas o auditor vai
verificar a IU certificando-se de que seu firewall
não é apenas algo que você coloca uma vez
e esquece tudo sobre ele. Eles são como avaliações acontecendo,
padrões estão acontecendo. Está sendo
revisado, monitorado e colocado corretamente. Então, ele vai olhar para
onde estão as impressões digitais, o diagrama da rede de fibra também. Portanto, mantenha essas coisas em mente e o quilômetro de fibra é
bem direto, acho que honestamente dentro do seu
corpo chama de momento de segurança. É engraçado. É uma daquelas coisas
que deveriam estar lá de qualquer maneira. Mas a diferença
entre o PCA é quanto esforço eles colocam
tanto foco e portas, as revisões regulares e sua
devida diligência acontecendo. Executar uma regra de segurança é
tudo o que é necessário para comprometer seu ambiente de
firewall. Então, tudo o que eu tenho esse
conceito de confiança, mas verifico porque o
firewall
garante que eles estejam
configurados por
qualquer motivo e é uma perpetuidade,
o tráfego está bloqueado. OK. Certifique-se de
ter fibras pessoais também em seus laptops e PCAs, suas plataformas
móveis. OK. Portanto, não é apenas
um firewall corporativo, certifique-se de que a segurança do
firewall seja aplicada de
forma consistente
em toda a sua rede. Então é basicamente isso. É uma identificação direta ou
comente e você pode
olhar para o padrão para ver quais
são os detalhes, como negação. E uma das coisas
que deveriam estar acontecendo, apenas certifique-se de que essas
regras estejam lá. E você está revisando
e monitorando sua atividade de firewall.
7. 4 - Requisito 2: Olá a todos, Bem-vindo
a este requisito. Neste requisito, vamos fazer sobre o segundo, que é
padrões de configuração e basicamente endurecimento
e padronização, padronizando o ambiente
do titular do cartão. Se eu lhe dissesse
uma palavra para descrever isso, ou duas palavras para
descrever esse requisito. Podem ser configurações padrão. Tradicionalmente, qualquer dispositivo ou, seu roteador ou firewall, seu servidor, ele vem com certas
configurações inseguras padrão, certo? Portanto, o PCM exige que
tenhamos certeza de que eles estão. Eles não permanecem em
suas configurações padrão e são protegidos independentemente do que você estiver colocando em seu ambiente
Caldwell. Ele foi protegido
de seu padrão. Cenário. A maneira mais fácil de um hacker acessar
sua rede interna. Senhas
ou explorações padrão secas certificadas com base nas configurações
padrão, configurações software em sua infraestrutura de cartão de
pagamento. Você não acreditaria nisso. Já vi muitas vezes comerciantes, eles não alteram as senhas
padrão das máquinas de ponto de venda
ou das caixas registradoras. É como se você tivesse uma loja e a tivesse deixado
destrancada à noite. Está bem? Portanto, na grande maioria das
vezes , são senhas e
configurações padrão para dispositivos de rede. Eles são amplamente conhecidos
na Internet. Essas informações são fornecidas com algumas ferramentas
disponíveis gratuitamente. Eles podem dar aos invasores acesso
não autorizado ao seu ambiente
com muita facilidade. Você pode protegê-lo o
quanto quiser. Você pode colocar quantos
seguidores quiser. Mas se você fizer isso, eu não coloquei
em movimento essas
configurações padrão do que você
deixou a janela aberta. Você trancou a porta, mas
deixou a janela aberta. Então, quais são os pontos-chave? Como você garante que as senhas
padrão em configurações
diferentes sejam
reforçadas após a instalação? Você está usando essa senha
padrão, 123 MVC, você sabe, as senhas
padrão. Existe um processo presente que o auditor analisará
se há algo presente com
o qual você possa fortalecer seu IO padrão
caindo em algum padrão. OK. Você sabe que todos os sistemas que têm um inventário, como uma forma automatizada de descobrir quantos
sulistas existem. E se você tiver tipo, você deveria
ter 50 servidores, mas na verdade
temos 100 servidores e os 50 restantes, eles não são realmente seguros. Como você saberia
sobre isso? OK. Nos padrões, o valor presente cai em todos os padrões da indústria. Então, essas são as coisas
que você precisa ter em mente. Quais são as principais
ações a serem tomadas? A consistência é a
principal coisa aqui. Se você tirar alguma coisa
desse padrão,
é consistência. Então, uma vez que você não tem um
servidor e
você faz, você tem que facilitar,
supondo que você criou um
padrão difícil, certo? Você diz que eu vou
seguir o benchmark CIS. Está bem? Você tem que se
candidatar a todos os ambientes e da maneira
consistente com o cliente. Então, depois de configurar o sistema e ter
certeza de que tudo está lá. Você tem outro
trabalho a fazer, certo? Você precisa se certificar de que esse
inventário esteja atualizado. Na verdade, está mapeando
para o ambiente. Muitas vezes as pessoas usam algum
tipo de sistema automatizado. Ninguém vai fazer isso manualmente. Está bem? Dessa forma, se
houver algum sistema, sistema no ambiente caudal que não seja aprovado para uso. Pode ser descoberto, espere. Eu costumo usar algum tipo
de software de gerenciamento de sistema para ajudar a obter
esse inventário. Eles podem relatar sobre
o hardware que está sendo usado ou o
software que está lá. E à medida que novos dispositivos
estão sendo comprados on-line, eles podem
impor padrões, ok. O administrador receberá um alerta se o seu sistema não estiver em conformidade
com seu padrão interno. Normalmente, muitas vezes eu
vi uma empresa usando ferramentas. OK. Portanto, você precisa ter uma maneira
segura de gerenciar o ambiente e o
inventário de tudo, todo o hardware e software
e padrões de
configuração documentados. Você não precisa
fazê-los do zero, use algo como o benchmark
CIS, ok? E você precisa ter uma
maneira segura de acessar seus sistemas. Garante que todo
o padrão seja removido. Como você faz isso? Há
muitas ferramentas disponíveis, ok. Normalmente, parece com isso. OK. Então, se você abrir um servidor, um firewall ou um aparelho em
qualquer cidade ou estado, sua equipe
fará algum endurecimento. Eles vão
fazer algumas varreduras. Eles vão
ver o relatório. Isso vai dizer a eles, ok. Não está endurecido de
acordo com o benchmark CIS. Essa senha está lá,
essas coisas estão lá. Todas essas coisas são
configurações de senha que não estão lá. Você sabe, a
parte básica da complexidade
das configurações de senha e todas essas coisas. Não existem aqueles que o administrador vai fazer o trabalho e eles
vão endurecê-lo. Como você impõe
isso de forma consistente? Normalmente, as pessoas usam algo
como uma imagem dourada ou têm algum tipo de
script, alterna tudo. E, além disso,
eles têm uma varredura que está acontecendo de forma consistente. Essa verificação está acontecendo
e verificando se há alguma não conformidade. Portanto, você deve ter essas
ferramentas em seu ambiente. O auditor vai dar
uma olhada nisso e se
certificar de descobrir
se há algum
desvio em relação aos seus padrões, ok, você deve ter um
processo para resolver isso. Portanto, certifique-se de que essas coisas
estão, acabamos de dizer, lembre-se de que não há configurações
padrão ou endurecimento e
padronização e um processo de monitoramento para
estar lá para garantir que tudo esteja padronizado em seu ambiente de portador de cartão. Ok, eu obviamente isso
é bem simples. Tenho certeza que você pode estar pensando que
isso já está lá. Bem, se já estiver lá,
formalize-o e veja os
requisitos se houver algo que você
não tenha significado. OK. Obrigado pessoal. Vejo você no próximo vídeo.
8. 4 - Requisito 3: Olá a todos, Bem-vindos
a este módulo. Agora, este é
possivelmente o requisito mais
importante para PCI DSS, muitas vezes, quando as pessoas
falam sobre o PCI DSS, elas estão falando sobre esse requisito
específico apenas porque basicamente
captura o que o PCI DSS como n. É uma daquelas
coisas únicas que o PCI DSS tem. OK. E eu estou falando sobre a proteção
dos dados do titular do cartão. Não me lembro do que
eu disse antes sobre não memorizar
nenhum requisito. Não se aplica a este. Você definitivamente deve conhecer
esse requisito de dentro para fora porque é aqui o auditor
se concentrará mais. OK. É aqui que,
se você errar e não
seguir corretamente, poderá
falhar na auditoria. Então isso é muito, muito importante. Então, quando falamos sobre dados
do titular do cartão, basicamente estamos falando qualquer informação impressa, transmitida ou armazenada
em um cartão de pagamento, ok? Se você gosta de
aceitar cartões de pagamento e espera
proteger esses dados, sejam eles impressos
ou armazenados em um banco de dados ou
rede pública interna, ou talvez em uma nuvem. Assim, as partes essenciais
sabem onde você está armazenando esses dados e o que você
não precisa para não armazená-los. E tenha alguma maneira de descobrir onde você está
armazenando esses dados. Você não quer que o
auditor o encontre. Você quer descobrir
por si mesmo, ok? Então, essas são as coisas. Portanto, PCI, DSS é muito, muito claro sobre o que você
pode e não pode armazenar. E você deve saber o que está armazenando, onde
está armazenando, como está armazenando para
ter certeza de que está caindo nos padrões
PCI DSS. Então, só para dar uma olhada, quando você fala sobre carnaval, os elementos, do que
estamos falando? Há algo chamado número
da conta,
o número do titular do cartão, basicamente a panela que vamos chamá-lo, Esse é um número de 16 dígitos. Temos coisas como
o nome do titular do cartão, a data de validade,
o código de serviço. Na parte de trás, você
precisa rastrear os dados, os dados da tarja magnética e o código CVD que pode usar para transações de
comércio eletrônico. Basicamente, quando você está
armazenando esses dados
, eles precisam ser protegidos. Em seguida, você armazena estava
mostrando esses dados. Ele tem que ser protegido quando
você estiver imprimindo o Delta, ele deve ser protegido. O problema geralmente surge quando
as pessoas, sem saber, acabam distorcendo e
não protegendo esses dados, que é onde entra a grande
maioria dos problemas. Então, o que o PECSA e vê
como o que deve ser armazenado? Ok? Em primeiro lugar, então ele divide os dados em
dois elementos, ok? Você está falando sobre dados
do titular do cartão
e dados confidenciais de
autenticação. OK. Então, seu pan, você é o código do serviço de exploração
do nome do titular do cartão, ou seja, dados do titular do cartão. Você pode armazená-lo, mas
precisa protegê-lo. E o outro que é dados de autenticação
confidenciais, como os dados, o código CVD, o pino
e o bloco de pinos, o pino, o pino que você
insere quando está fazendo uma transação que é dados de autenticação confidenciais
ou SAD, não os armazene. Caso contrário, você
não precisa
armazená-lo depois que a transação
for autorizada. OK. Então, na grande maioria das vezes, aqueles grandes compromissos
que aconteceram, pessoas
mal-intencionadas, eles podem, eles descobrem que esses dados estão sendo armazenados e os usam
para reproduzir seu cartão e conduzir um
transações fraudulentas. O código CPP é que você percebe que o código de três dígitos
que você usa para transações de
comércio eletrônico cartão
não apresenta transações. Portanto, o bloco de pinos é, obviamente, o pino
que você está usando. Torna-se um bloco de pinos. Ele é criptografado. Mas mesmo que,
mesmo que seja criptografado, você não pode armazená-lo, pessoal, para lembrar disso, acho que coisas que você pode
armazenar se produzir. Então eu acho que coisas que você
não pode armazenar, ok? E essa é a
principal coisa que você deve
ter em mente se estiver
armazenando o nome Guardiola e você
chama se
estiver armazenando a panela, você precisa criptografá-la. Ou, possivelmente, se você
está mostrando , você tem que fazer outras coisas. Então eu vou, o que eu vou fazer é porque eles têm muitas, muitas maneiras de fazer isso. O que você chama de protegê-lo. Em seguida, você
está armazenando quando está mostrando, quando
está imprimindo. Eu quero ir um por um. Quais são as etapas
que o PCA lhe diz? Então, em primeiro lugar,
é mascarar ou mascarar vídeos geralmente quando você os
exibe em telas ou recibos
de impressões. Não deve ser confundido com os outros requisitos,
como armazenamento, ok? Então, quando você está mostrando
na tela, quando você está na vertical e essa pessoa não
tem a necessidade de vê-lo. Ok? Então, o que você pode fazer é
mascarar a panela,
basicamente, você pode XXX como
os números dos cartões são. Além disso, você
obtém o máximo. Você pode nos mostrar os primeiros
seis e os últimos quatro. Tudo o mais que você
pode simplesmente mascarar. Então você pode ver que este
é o tanque de armazenamento. Quando está sendo
compartilhado na tela você pode mascote completamente, ok, não estamos falando sobre
como os dados são armazenados. Estamos falando sobre
quando está sendo exibido. OK. Quando as
telas do computador de Missy e quando
não há necessidade comercial de ver toda
a panela, às vezes como seus agentes de call center
ou outras pessoas, elas podem ter uma boa
ideia para ver a panorâmica completa, Ok, você precisa documentar isso. Mas nove vezes fora das coisas que
você não precisa. Ok? Portanto, basicamente, concedendo
certos dígitos durante a exibição, até mesmo um feriado, independentemente de como a panela está sendo armazenada,
você pode mascarar o sabor. Ok, então o primeiro
passo é mascarar. Descubra para onde você
vai precisar mascarar isso. E, na verdade, o mascaramento deve ser o padrão apenas com alguém que tenha um requisito
comercial. Se o seu sistema tiver a
capacidade de mascará-lo, eu apenas
o ligo de maneira geral depois que você
verificar com a empresa. OK. Então esse foi o
primeiro que está mascarando. O segundo inverso
é o truncamento. Você também pode truncar os
dados ao armazená-los. O truncamento é
semelhante ao mascaramento, mas aí você não
usa XXX nossos dados, simplesmente
descartamos esses dígitos. Então você pode ver aqui, este
é um número completo de panela. E quando você está
armazenando em um banco de dados, você poderia simplesmente
descartá-lo, ok? Então, basicamente, torna
o cartão ilegível. Removendo um segmento desses dados. E geralmente é usado, eu o vi sendo usado
em bancos de dados e arquivos. Portanto, mesmo que um invasor consiga
acessar esse dia, ele não poderá fazer nada porque esses dígitos foram removidos. Às vezes, as empresas também podem
usar isso como um método. Isso é mais sobre o armazenamento, ok? Ok, o que mais há? Você pode fazer hashing de uma maneira. Então você está armazenando dados. O que é o hash unidirecional? É como um processo
criptográfico. Ele pega seus dados e os converte em um tipo
diferente de string. Então, toda vez
que você fizer isso em uma panela, ele mostrará
um resultado diferente. Por que você chama isso
de hash unidirecional? Porque ainda é reversível. Então você não pode obter essa
vertical do hash. Você não pode recuperar o
número do cartão. Ok? Então, muitas vezes as pessoas o usam para verificar se os dados
foram modificados ou não, mas você também pode usá-los
para armazená-los, ok? Então, basicamente, você está criando um hash
unidirecional irreversível de seus dados. Depende de
você se quiser usar esse processo. Eu
vi isso sendo usado. Lembre-se de que você não pode
voltar atrás daquele hash. Você não pode usá-lo para transações
futuras, ok? Porque esses dados estão sendo
irreversivelmente alterados. Como às vezes precisamos de doces que
você não precisa armazenar, como você faz, não é
necessário mascarar. Não é apenas para truncamento e você
não precisa desses dados, você pode armazená-los como um hash. Essa é a única maneira possível. Então, nós conversamos sobre truncamento
pessoal só para voltar. Então isso era caucasiano. Quando você está armazenando, isso é hash. Agora você
sabe a diferença. Uma coisa muito, muito
importante, pessoal. Você não pode armazenar versões truncadas
e com hash do mesmo cartão de pagamento. Ambiente caudal da Virgínia. Ok? Porque o que acontece é que
eles podem ser correlacionados. O que quero dizer com isso? Se o invasor tiver acesso, o que você chama para
o truncado e essa banda e as
versões com hash do número do registro, ele pode realmente recuperar o plano original com
base nesses dois dados. Portanto, ao armazená-lo
em bancos de dados e arquivos simples como planilhas ou talvez
como logs de auditoria de backup, talvez seja necessário protegê-lo e não armazená-los juntos. OK. Ele era um dos dois, mas
não os guarde juntos. Muitas pessoas que eu
vi às vezes
esquecem esse
requisito e o truncamento e o
hash estão sendo feitos ao
mesmo tempo.
Por favor, não faça isso. Ok, o que mais tem lá? Tokenização. A tokenização é um processo
muito simples. O que acontece é que
às vezes você vê que quando você
faz hash, você o trunca. O formato de 16 dígitos
muda, certo? Não é mais um número de
16 dígitos. A tokenização é um processo que substitui o número original
do cartão. Outro número de 16 dígitos. Isso também é chamado de token. O token pode parecer um número
legítimo do titular do cartão, mas não é, não tem
valor para um invasor. Ok? Então, geralmente o que acontece
é que isso é reversível, então você pode fazer tokenize que você tem algo
chamado token volt. Então, com o formulário desse
token, você pode
voltar, recuperar o número do
cartão original, ok, você pode recuperá-lo. Então, a tokenização,
geralmente eu já vi, está sendo usada quando as pessoas querem apenas
armazenar dados do titular do cartão, do titular do cartão para transações
futuras. Mas eles querem
ter certeza de que é seguro e não
querem que esse
formato seja alterado. Então, quero dizer, você pode, existem
várias maneiras de fazer isso. Você pode fazer isso na panela. Você pode gerá-lo aleatoriamente. Você pode ter um token, um token vault sendo criado, que são os dados de tokenização
e tokenização de D. Existem várias
maneiras de fazer isso. Basta entender o token
que ele preserva o armazenamento, formate o pan de 16 dígitos e você pode revertê-lo para que ele possa tokenizá-lo e tokenizá-lo. Às vezes, seus bancos de dados
podem armazenar grandes quantidades de dados
que sairiam se você estivesse fazendo hash e
precisassem de um número de 16 dígitos. Portanto, a tokenização ajuda você. A tokenização também às vezes eu vou até mesmo tirá-la do escopo. Mas há muito trabalho
a ser feito em torno disso. Portanto, essa é a diferença básica entre tokenização
e outras funções. Por fim, está a criptografia, que
é a coisa mais comum. A criptografia é um pouco
semelhante à tokenização pois o Japão está sendo substituído por outros dados
que não têm valor. Mas a criptografia é um pouco diferente porque, antes de
tudo, ela não
preserva o formato original. E ele usa um gerenciador de chaves como uma parede com uma chave
criptográfica. E ele usa como um
gerenciador de chaves porque seu filho usa uma chave e um algoritmo
para gerar um número enorme, que você não pode recuperar o
número do cartão original desses dados. Ok? Então, normalmente, o tamanho
dos dados aumenta como se não
preservasse o formato original. Então, depende realmente de você
o que você quer usar. Algumas pessoas preferem a tokenização porque desejam restaurar esse formato nos 16 dígitos de algumas pessoas
preferem a criptografia. Geralmente depende dos requisitos da sua
empresa. Só sei de uma coisa. Falei sobre uma chave como se você precisasse de uma chave para criptografar esses dados. Então essa chave, você tem que
criptografar essa chave
também com outra chave, e você tem
que armazená-la separadamente. É como se você pudesse se
referir ao requisito. Basta saber que quando você criptografa
dados, os dados de um titular de cartão, você tem
que criptografá-los com uma chave e você tem que
proteger essa chave também, você tem
que criptografar essa chave novamente. Então, lembrem-se que quando você está falando
sobre criptografia, eu sei que é um bilhete de
loteria pessoal. Basta passar por isso,
revisá-lo e lentamente,
lentamente, você começa
a entendê-lo. Você não precisa
implementar todas essas coisas são números que você pode simplesmente se contentar com criptografia hash
ou tokenização. Basta conhecer esses diferentes
departamentos. Ok? Então você fala sobre,
como eu me lembro, eu falei sobre encontrar nossos dados. Portanto, você precisa revisar suas fontes de
dados para garantir que o NADH armazene os dados
do titular do cartão não criptografados. Você não tem nenhum dado de
autenticação confidencial. Veja seus registros de transações, os
dados da transação, seu rastreamento. Tente como você sabe,
às vezes as pessoas
ativam o rastreamento para
solucionar problemas. Muitas vezes isso começa a armazenar dados não criptografados, ok. Veja seus esquemas de banco de dados. Os esquemas podem mostrar
se há algum número de cartão lá. OK. Veja seus backups, todos arquivos de
despejo de memória
existentes. OK. Seu DLP, muitas e
muitas coisas são, eles estão apenas começando
pela esquerda. Você pode examinar seus terminais de
pagamento, esteja dominando
ou truncando todos os dados que você está armazenando quaisquer dados confidenciais de
autenticação. Você não está armazenando nenhum
dado indeterminado. Veja suas telas
e relatórios. OK. Existe alguém que precise visualizar
dados, dados do titular do cartão, se não, apenas musselina
truncada nos relatórios, pode usar essa extremidade,
esses dados desolados. E se você conseguir aguentar? OK. E se alguém
tiver acesso remoto, eles podem destacar esses dados. Temos algum controle DLP? E quanto a bancos de dados
e armazenamento? OK. Então, quando você está
armazenando esses dados, temos uma
criptografia de prótons lá? Há algum dado de
autenticação confidencial? Normalmente as pessoas, o que elas fazem é ter algum tipo
de ferramenta que verifica os bancos de dados e
faz com que eles relatem. Você não pode fazer isso manualmente. Haverá
milhões de registros, você não pode fazer isso manualmente. E por último, compartilhamento de arquivos. Muitas vezes,
compartilhamentos de arquivos ou um ponto cego. As pessoas não sabem que os funcionários estão colocando dados
do titular do cartão em planilhas
do Excel ou o que ele chamou arquivos
simples e
eles não sabem disso e de repente fazendo a
auditoria, surge. Portanto, verifique se você está
escaneando esses também e certifique-se de que
não possa ser exfiltrado. Essas outras coisas,
pessoal, eu passei mais tempo nisso porque isso é muito, muito
importante saber. Então, ações-chave. Descubra os primeiros dados
do titular do cartão de vídeo não
é apenas usar o método
técnico, falar com as pessoas também, desenhar o diagrama de dados do titular do cartão. Acompanhe sua empresa e
descubra qual é o fluxo de dados desde o ponto em
que os dados são capturados, o titular do cartão até o momento em que são
autorizados e armazenados. OK. Assim, você o encontrará em bancos de dados, compartilhamentos de
arquivos e até mesmo e-mails, você o encontrará como provedores
terceirizados em nuvem. E por último, eu quero
falar sobre, ok, se você não pode implementar o controle soviético
PCA? Quero ter isso em mente. Falaremos
sobre algo chamado controles de
compensação mais tarde. Então isso é algo que você
deve ter em mente. E se você não puder criptografar porque é um
aplicativo legado, certo? Então, o que você
vai fazer isso? Então, isso é algo
que eu quero que você tenha em mente. OK. Para isso, você precisa ter
uma política de retenção de dados. Talvez você não precise interromper os dados
do titular do cartão
após 30 dias, ok. Basta excluí-lo, então
não há necessidade de mantê-lo. Você deve ter um diagrama
de fluxo de dados. O auditor
perguntará: como você descobre, antes de tudo, onde
seus dados estão armazenados? Temos algum tipo
de ferramenta que verifica
regularmente seus
servidores, bancos de dados, laptops e pessoas mais
importantes,
por favor, não armazene dados de
autenticação confidenciais. Depois que a
autorização do seu cartão for concluída. Remova seu caminhão
para dados ou MOOC. Não paramos em blocos mascarando pinheiros nos recebimentos
dos clientes. E se você estiver armazenando,
as informações do titular do cartão, então mascote ou truncado ou segurança
para criptografia. Certifique-se de que
os bancos de dados ou o armazenamento
deles sejam acessados pelo
menor número possível de pessoas. OK. Então esse era o
requisito, pessoal. Espero que não tenha sido demais. Basta levar o seu tempo, ir para o padrão. O principal é descobrir onde
estão os dados do titular do cartão
e protegidos de acordo. Em seguida, não armazene dados,
a menos que você não precise deles. Então, basta passar por esse
modelo mais uma vez. Ele será revisado. Então você
tem uma ideia melhor disso e faz anotações e depois tenta implementá-lo
dentro do ambiente deles. Eu posso te garantir. Se você estiver no ramo de cartões, encontrará dados do titular do cartão onde não
esperava encontrá-los. Isso é uma coisa comum. Não se assuste com isso. Apenas certifique-se de
ter um processo para remediar isso daqui para frente. Ok, pessoal, vejo vocês
na próxima seção agora. Espero que você tenha uma ideia melhor agora e
nos vemos no próximo módulo.
9. 4 - Requisito 4: Olá pessoal, Bem-vindos a este módulo. Este módulo é relativamente curto. É bem simples,
que é proteger dados, redes
abertas e públicas. Isso é bem simples. Acho que sim. Acho que não preciso explicar muito
isso, mas calculá-lo. Quero dizer, se você está
enviando por uma rede aberta
e pública, você tem dois criptografados, certo? Você não quer que as pessoas apenas
olhem para esses dados. Isso o
enviará para um processador de terceiros, talvez backups, talvez
pela nuvem. E o mais importante,
os cibercriminosos talvez
possam interceptar essa transmissão pelos dados do
Guardiola. Portanto, é importante colocar em controle a
criptografia deles pode usá-la. Você pode colocar qualquer criptografia usando uma unidade criptográfica forte TLS e todos esses outros controles. Você pode ter terminais
de ponto de venda, que enviam dados pela
Internet ou sem fio ou GPRS. Você tem criptografia sobre isso, sobre seus violinistas e
outras tecnologias celulares. OK. E quanto às mensagens? Como e-mail,
mensagens instantâneas, SMS, bate-papo. Você também pode enviar
dados do titular do cartão com isso. Então você precisa colocar políticas, você precisa colocar em
controles como DLP. Portanto, é muito, muito importante
ter essas coisas. Há uma mistura de controles
técnicos e
operacionais. Você pode pensar que
é muito simples, mas acredite em mim, especialmente se você estiver usando terminais
de ponto
de venda, muitas vezes o que acontece
são terminais de ponto de venda usam versões antigas do TLS, TLS 1.1, e
não estamos usando as
versões mais recentes, como 1.21.3. Você precisa ter certeza de que tem um plano para migrá-los. Basta criar os diagramas de
fluxo de dados sobre os quais
falamos anteriormente
em três comuns, você saberá a data
do cardo que está vindo da NBC
sendo enviada para fora. Quero ter certeza de que
está criptografado. Ao ser enviado por redes públicas
abertas. Você não quer ter certeza de
que essa criptografia ou eles estão tendo uma política interna não enviar
números de cartão claros por SMS, por chat, por equipes do Slack. Por favor, não tenha isso. Ok? Você deseja verificar seus terminais
de ponto de venda para garantir que eles estejam
criptografando de forma adequada. Se você não os estiver mantendo, peça a um fornecedor que entre em contato o fornecedor e certifique-se de que esses terminais de
ponto de venda não
sejam
suscetíveis a nenhuma exploração conhecida, como vulnerabilidades padrão. Normalmente, é o
fornecedor que diz que você pode fazer seus próprios testes. Além disso. Muitas vezes o que
essas empresas fazem, elas garantem que
seus
terminais de ponto de venda já estejam
certificados pelo PCI DSS. Você pode verificar o número modal. Você pode ir ao site e realmente colocar
a argamassa lombar, colocar essa versão
e ver onde há certificado de
estilo de vida
geralmente é chamado de
transação rosa PDF Standard. E acho que há mais
um padrão, mas você pode conferir
no site deles. Ele informará
imediatamente se este dispositivo é seguro ou não está certificando dados de
acordo com o padrão PCI DSS. Isso é praticamente o que é. Vocês se certificam de ter um inventário de todos os seus dados que
estão enviando para fora. Muitas vezes são os terminais
de ponto de venda. Certifique-se de ter controle sobre as
mensagens do usuário final, como e-mails,
folga, o que quer que esteja usando. Esses controles precisam
estar lá para evitar que os dados
do titular do cartão sejam
enviados pela rede
pública aberta. Ok, isso encerra esta seção
em particular. E, por fim,
certifique-se de que você não está usando o TLS 1, desabilite todos esses protocolos
inseguros. Você não quer usar
essas implementações iniciais de SSL e TLS porque isso é
muito fácil de comprometer. Não é
considerado seguro. Portanto, verifique com seu ponto de
venda quando o fornecedor do ponto de BI e tenha
algum tipo de plano. Se você descobrir que seus
dispositivos de ponto de venda o estão usando, você precisa ter
um
plano de mitigação de riscos e um plano de migração deixando-o nos próximos
12 meses ou 18 meses, eu vou para migrar
tudo para o TLS 1.2 porque acredite em mim, o auditor vai perguntar isso
a você. Ok, isso encerra tudo, pessoal. Vejo você
no próximo módulo. Obrigada.
10. 4 - Requisito 5: Olá pessoal, Bem-vindo
a esta seção. Esse requisito é, eu acho que
distribuído mais fácil para você, que é falar sobre
se você não tiver isso, então há apenas
um problema
maior do que não ser certificado pelo PCI
DSS. Esse requisito
lida com antivírus, antimalware que
precisa ser instalado em todos os sistemas comumente
afetados por malware. Você precisa ter
certeza de que tem uma solução antivírus
lá, que está lá, que tudo dentro
do ambiente cardinal, você quer
ter certeza de que está lá. Está regularmente em pé,
é regularmente atualizado. E você deve ter
um processo para
descobrir se há algum
novo ataque acontecendo. Como você descobrirá se
há uma exploração de dia zero acontecendo ou se algum malware está afetando repentinamente
todos os sistemas? Você tem algum
tipo de maneira de descobrir o que está acontecendo, quais são os alertas
chegando, ok. Portanto, certifique-se geralmente de um PCSS que implemente antimalware
em sistemas que são comumente afetados. As pessoas acham que é no Windows, mas você deve
colocá-lo no Linux também, muitos dos
sabores de servidor Linux que estão lá, eles suportam antimalware. Certifique-se de que esteja lá. Não fique com preguiça no Linux. E
certifique-se de ter implementado antimalware em todos os aspectos. Você está escaneando. E o que acontece. Muitas vezes as pessoas
gostam de colocar um antimalware, mas se um alerta vier,
ninguém está olhando para ele. Ok? Então, você quer ter certeza de que esses alertas estão indo para
algum lugar, de alguma forma realmente tomando uma ação com base nesse alerta,
para
que essa janela de compromisso precise ser muito curta. Essas coisas garantem que seus anticorpos estejam atualizados
e enviem alertas. Ok, não presuma
nada aqui. Como eu disse, os pontos-chave
são implantar antivírus em sistemas
comumente afetados e sistemas
não comumente afetados também, por favor, pessoal, se
você tiver algum tipo de Linux ou
alguma outra coisa, se houver a possibilidade de
implementar antimalware,
por favor, implante. Não fique com preguiça, ok,
certifique-se de que está sendo atualizado se configurado para escanear automaticamente
e, se algo acontecer, esses alertas estão
indo para algum lugar. OK. Sua definição
deve ser atual. Ele não deve ser capaz para
o seu administrador de TI mas não pode simplesmente
desativar o antivírus branco, certifique-se de que haja uma
segregação de funções lá. E você deve se certificar de
algum tipo de prática que, quando você
os chama para
avaliar regularmente os sistemas, como talvez você tenha um
antigo sistema legado AS 424, a HP em tandem não pare todos esses sistemas antigos que muitas pessoas
não usam mais. Mas tem algum tipo de avaliação de risco
regulatório sendo feita para descobrir se há algum alerta do setor saindo. Talvez tenha
surgido algum novo vírus recentemente
que você não conhece, e está afetando
esses sistemas. Portanto, certifique-se de que
esses controles estejam lá e que estejam documentados, que eles possam dar ao auditor
essa garantia, como nós dissemos que você tem um processo morto
e que você está indo muito além. Ok? Você está olhando para as tendências
do setor e está colocando em controles
que precisam estar lá. Portanto, esse é um padrão muito
fácil de cumprir. Eu não acho que nenhuma
dificuldade deveria estar lá. Normalmente, pessoas que
enfrentam problemas quando estão olhando para
esses sistemas legados. Mas, além disso, acho que deve ser simples de
implementar. Obrigado pessoal. Vejo
você no próximo módulo.
11. 4 - Requisito 6: Olá a todos, bem-vindos
a esta lição. E na visão VHDL, estamos na metade do
array para empinar e seis, que está desenvolvendo e
mantendo sistemas seguros. Ok? E esse é um
daqueles departamentos que muitas pessoas odeiam
porque tem a ver com patches. Novamente. Acho que ninguém
gosta de aplicar patches,
mas, infelizmente, é uma parte obrigatória de
qualquer sistema de segurança. E você precisa, você
precisa ter um sistema pronto para
corrigir sistemas vulneráveis. Por que você faz isso? É bem simples, certo?
Vulnerabilidades de segurança em sistemas e aplicativos. Eles podem permitir que
criminosos ignorem os controles e acessem os dados
do titular do cartão. A maioria dessas
vulnerabilidades pode ser eliminada com a instalação de patches
de segurança. Quando eles forneceram patches, fomos da Microsoft ou de
seu fornecedor terceirizado. E é como se ele se conectasse à brecha de segurança e ao
que chamamos de Asper PCIe. Todos os sistemas críticos,
eles precisam ter os
patches de software lançados recentemente instalados, acho que é o mais rápido
possível dentro de 30 dias. E outros você pode
fazer isso em 90 dias, mas essa é realmente uma
das coisas mais difíceis de
realizar . Você pode
entender o porquê. Como os servidores críticos, os
servidores são muito
críticos e você não
pode simplesmente ter o tempo de
inatividade acontecendo. E, ao mesmo tempo, você tem atacantes que são pagos,
possivelmente explorando isso. E se torna mais
perigoso quando não é. Uma coisa interessante. Então, como você precisa ter um processo
de gerenciamento de patches muito forte para implementar patches de segurança
críticos, pessoal, é um dos mais difíceis e mais importantes
para comentários e PCI. Ok? Então, o que você tem que fazer? Bem, você precisa garantir
que as políticas de gerenciamento de patches em vigor e tenham um processo. Como você sabe que alguns patches
críticos chegam? Você precisa ter isso também
um processo
de gerenciamento de mudanças para
quaisquer mudanças químicas. Como você sabe que
suas alterações não estão introduzindo novos problemas
de segurança, certo? E como mencionei, tenha um mês, um mês, o que chamamos de instalação lá. Às vezes, as empresas
não conseguem atender. Você precisa tê-lo além de outros
controles de compensação em vigor. Você precisa ter um sistema
para aplicar patches rapidamente, implantar patches no ambiente de
teste
e, em seguida,
implementá-los na produção. É muito, muito difícil de
se encontrar, eu sei, mas é algo da
sua postura de segurança. Pci, DSS pode realmente
ajudá-lo aqui porque as equipes de
TI e TI às vezes podem
ficar preguiçosas quando se trata implementar patches e o PCI DSS realmente o ajudará aqui. E isso ajudará você a incentivar as equipes de tecnologia a implementar patches o mais
rápido possível. Isso é mais do ponto de vista
do sistema operacional. Isso se aplica a aplicativos. Além disso, você terá patches no
nível do aplicativo chegando. Mas do lado da aplicação, os requisitos seis introduzem algumas
coisas novas que eu preciso você esteja disponível
sobre a compreensão. O que eles são. Então, quando você desenvolve aplicativos,
pessoal, seus desenvolvedores, eles precisam ter treinamento sobre vulnerabilidades de segurança de
aplicativos
com as quais você estará familiarizado, certo? É provável que seja um padrão comum
para segurança de aplicativos. Eles devem ser treinados sobre quais são
essas vulnerabilidades. Ao mesmo tempo, seu
código-fonte deve ser revisado. Além disso. Você deve ter algum
tipo de coisa no lugar que, na verdade, está
revisando seu código, informando se
há novas vulnerabilidades aqui e seu
desenvolvimento e drama, não pode ter
nenhuma dados do titular do cartão. Às vezes, as pessoas fazem
isso para testes. Eles colocaram o
ambiente Guardiola em testes ou UAT ou algo
parecido, por favor. Você não pode absolutamente não
ter a coisa acontecendo. OK. E então, quando você muda
para a produção, o dia Raman deve ser um processo adequado
de gerenciamento de mudanças lá. Se for como um
aplicativo voltado para a Internet , você
precisa mitigar. Como você atenua esse risco? Você pode ter
um aplicativo da web como um teste de caneta acontecendo, ok? Como um acontecimento abstrato, que se eu deixar você
saber se há alguma vulnerabilidade ou se você pode ter um firewall de aplicativo da web, você sabe, tenho certeza de que você
deve estar ciente disso. Idealmente, eu recomendaria os dois. Não acredito que
um substitua o outro. Você deve ter um vav
e você não deve ter um
teste de segurança de aplicativo acontecendo morre. Então, todos eles trabalham juntos. Você precisa entender,
você está fazendo revisão de código, seus desenvolvedores de treinamento e técnicas de gravação
seguras para CCA. Você está se certificando de que não
há cartilagem, há dados além
de testes ou UAT. Você está garantindo que o gerenciamento adequado
da cadeia esteja lá. E então você tem uma
verificação de aplicativo da web e aplica o acoplamento. Então, tudo isso realmente ajudou a mitigar o risco de algum
problema acontecer alguém, você sabe, como as vulnerabilidades comuns no nível do
aplicativo
existem, certo? Mas tudo isso, se você
implementá-los adequadamente, eles realmente ajudam muito mitigar os riscos de segurança de
aplicativos. E eles realmente ajudaram a melhorar sua postura de segurança. OK. Seguindo em frente pessoal. Então, quais são as principais
ações que existem? Só para lembrar,
você deve ter fórmulas
de
política de segurança de aplicativos e distribuídas aos
seus desenvolvedores. Você deve ter um treinamento de codificação
seguro acontecendo e uma revisão de código. Algo que permite que
você saiba se há código
inseguro e não permite que ele se propague para a produção. Você pode usar ferramentas
comerciais comuns que realmente
ajudam os desenvolvedores. Você também pode ter uma ferramenta
de código aberto. Em terceiro lugar, como
você sabe se
há uma panela no ambiente de
desenvolvimento? Você precisa estender
sua digitalização para lá. Você precisa ter certeza de que não
há máscara Somente ou como uma interrompida ou
nem mesmo criptografada. Você só domina truncados ou gosta de números completamente lá. O ambiente de desenvolvimento. Como mencionei,
você deve ter um Web Application Firewall luxuoso
Web Application Firewall e um teste de
caneta de segurança de aplicativos acontecendo. E, claro, o gerenciamento
da cadeia. Portanto, lembre-se de
que a segurança de
aplicativos nunca
será perfeita, certo? Eles nunca serão
um momento para dizer agora que a segurança do
meu aplicativo se
tornou perfeita. Eu posso parar com isso. Não, não. É por isso que você precisa continuar
refinando esse processo. É preciso apenas uma
brecha de segurança para o invasor entrar e comprometer
seu ambiente, certo? Então, patches e segurança de
aplicativos, todos eles, mas juntos. Esse é um dos mais
difíceis de comentar, mas tem um
dos maiores benefícios para sua postura de segurança se você implementou corretamente. Então eu espero que você tenha entendido agora, Como tudo isso funciona
junto, como eu disse, tenho certeza que você encontrará
em aplicativos secretos, você encontrará versões
antigas do Windows que não podem ser corrigidas. Então você precisa levar
isso em consideração. Remova-os
do seu
ambiente atual ou
coloque outros controles. Eles sempre fazem isso. Muitas vezes eu vi
aplicativos que estão sendo executados em aplicativos
legados antigos. Talvez você possa visualizá-lo, você pode conteinerizá-lo. Você pode colocar alguns, em
algum tipo de Citrix, algo que é encapsulado,
definido ou remove o dia. Muitas maneiras de
fazer isso chegam aos seus EUA e tenho certeza
que ele o ajudará. Mas apenas certifique-se de
que você está ciente
dessas vulnerabilidades e elas não o pegam em um vaso, ok. Ok, pessoal, vou passar
para o próximo recompromisso. Obrigada. E
te vejo na próxima lição.
12. 4 - Requisito 7: Olá pessoal, Bem-vindos a esta lição. Esse é um deles
mais fácil de comentar, especialmente depois do último. E isso tem a ver com
restringir o acesso, ok? Basicamente, se você está seguindo o princípio do
menor privilégio, se você não está seguindo,
você deveria segui-lo. Mas se você adicioná-los,
isso se torna fácil porque seus
danos na cartilagem são muito sensíveis. Você deve ter algo como um controle de acesso baseado em função, o que garante que
apenas as pessoas que têm um requisito legítimo de visualizar os dados
do titular do cartão estejam
fazendo isso corretamente. Você não quer que suas contas de
usuário avançadas que não tenham nenhum motivo para examinar
os dados do titular do cartão, elas estão chegando. Portanto, o PCA requer
uma lista atualizada, como uma matriz de controle de
acesso baseada em função. Tenho certeza que você
terá essa matriz, certo? Você deveria ter isso. O auditor vai aceitar. Essa lista não
tem cada função. Qual é o papel a que tipo de
coisas que tem acesso, qual é o privilégio
atual, é realmente necessário? Então, com base nisso, você
deve certificar
isso regularmente, certo? Você deveria ver
se a TI tem acesso, eu não sei, como os programadores têm acesso
à produção, certo? acesso administrativo do sistema ao gravador de banco de dados de
aplicativos, eles
deveriam ter esse direito? Então, essas coisas que
você precisa, você precisa
documentá-las e formalizá-las. Além disso, você precisa ter
avaliações regulares acontecendo. Então, sim, é disso que precisamos. Quais são as principais ações são políticas
escritas para todos, como detalhes de controles de acesso, controle de acesso
documentado. Você deve mapeá-lo para a classificação do
cargo, certo? Então, se houver um administrador de
segurança de rede, você não deve ter acesso ao seu banco de dados de produção, certo? Por que você precisaria
ter acesso a isso? Faz com que todas essas palavras
em público devam ser definidas como o menor privilégio,
essa é a coisa chave aqui. E você deve ter uma política
detalhada por escrito apenas esses crescimentos terão
acesso aos dados do titular do cartão. Somente o
administrador do banco de dados pode ter
acesso de leitura ao banco de dados
e a todas essas coisas. Isso realmente
ajudará você e você deve tê-los regularmente
em uma base trimestral, diariamente, certifique-se de que eles estão sendo revisados e
recertificados por todos os usuários. Portanto, essa é uma economia bem
simples de se fazer. Muitas empresas
viram que já têm algum
tipo de coisa em vigor, seja manual ou automatizada. Portanto, você só precisa
formalizá-lo para o ambiente
do seu titular do cartão. Isso encerra tudo para
esse requisito. Vamos passar para o próximo.
13. 4 - Requisito 8: Olá pessoal, Bem-vindos a
esta aula em particular. E esse é um dos requisitos
, mais uma vez, bastante fáceis de atender se você já está seguindo uma boa
higiene de segurança, que está usando potenciais
UniqueID. Portanto, o PCS afirma que boas credenciais
básicas, como seu analisador, devemos
mudar a cada 90 dias, o que deve ter
duração e complexidade. Anteriormente costumava
ter sete personagens agora eles finalmente o atualizaram. Mas se você estiver usando
algo como Active Directory ou
um logon único, geralmente eles aplicam uma política de senha
forte. Você não quer
ter uma senha que possa ser facilmente quebrada por um hacker para ferramentas
automatizadas, certo? Como o poder da computação
continua aumentando a cada ano, poder da
computação está ficando
cada vez mais poderoso. forçamento bruto está se tornando cada
vez mais fácil. Portanto, você precisa ter senhas
complexas, tornando muito, muito difícil para um invasor
comprometê-las. Ok? Você não quer ter nomes de usuário
padrão, não tem administrador
ou KPIs levando ele que eu ainda vejo essas pessoas usando
algumas coisas muito básicas. Portanto, você não quer que essas coisas possam ser facilmente quebradas por meio de um ataque de
engenharia social ou um ataque de força bruta. Ok, isso é muito básico, mas é tão importante que os PCAs tornem um clima
separador. Outro tópico muito
importante pessoal é MFA,
autenticação multifator. Se você não sabe
o que é,
tenho certeza que você deve
estar ciente disso,
mas além do ID de
usuário e senha, você precisa de outro fator para, no PCI DSS, para acesso remoto
ou acesso administrativo. Então isso pode ser algo
que você tem como uma senha de uso único, como um token ou algo que você é como
uma biométrica, você sabe, como algo que você tem, pode ser um cartão inteligente, token de segurança físico e
lógico
, senha única em
seu smartphone, ok. E algo que você é
seria uma biométrica, como digitalização de retina de
impressão digital, impressão de bombas, varredura de
íris, qualquer outra
coisa que seja exclusiva para você da sua perspectiva
biológica. Assim, você pode usar um desses dois, além do ID
do usuário e da senha. Mas lembre-se, eles precisam ser
independentes um do outro, como se alguém fosse comprometido
ou não fosse afetado. Então, por exemplo, se o seu
smartphone
está comprometido e um invasor obtém acesso à
senha única OTP, ele ainda não terá acesso ao seu ID de usuário e
senha, certo? Então, eles têm que ser
independentes um do outro. Portanto, lembre-se de que neste comentário
específico, você deve ter acesso
administrativo para acesso remoto e autenticação
multifator
para acesso remoto e autenticação multifator para seu acesso administrativo. 1 para observar pessoal, isso vai se
tornar muito
mais difícil NPCI versão quatro. Ok, entrarei em mais detalhes em outra
seção onde discutiremos
apenas os requisitos da
versão quatro do PCA, mas lembre-se disso. O conselho está tornando isso um pouco mais difícil
agora. Ok, então quais são as principais
ações a serem tomadas pelos caras? Definitivamente, você deve
ter uma senha e padrão de
MFA aplicados de forma consistente. Esse é o valor de p. Estes são os
comentários positivos mínimos e esses são
os requisitos da MFA para rebaixamento
ou acesso administrativo. Certifique-se de que suas contas remotas. Muitas vezes você tem
acesso a fornecedores, parceiros de
negócios,
consultores, certo? E eles precisam ser monitorados e desativados
quando não estão em uso. Você só deveria tê-los. Então, como e quando eles usam. Muitas pessoas colocam aplicativos de
terceiros como VDI ou algo parecido. Quero dizer, depende de você como seu ambiente está configurado, mas basta ter isso em vigor. E isso vai realmente, então
basicamente isso é como um simples requisito de
bom senso. Tenho certeza de que muitas dessas
coisas você já terá. Se não for definitivamente,
você deve ter MFA para seu
ambiente administrativo, especialmente se for o ambiente de dados do
titular do cartão. Definitivamente, tenha isso aplicado. Ok pessoal, Então isso
encerra isso vai comentar. Vamos passar para o próximo.
14. 4 - Requisito 9: Oi pessoal. Bem-vindo ao comentário do distrito. Diz como uma área que eu sempre penso
nela como um ponto cego, que é quando se trata de PCI, DSS, que é segurança física. Muitas empresas colocam muitos controles técnicos,
mas
esquecem o lado
físico de coisas como impressões, relatórios. Muitas empresas, você sabe, eles têm back-office é qualquer cobrança
repetida, como se
salvassem o número do cartão. Eles mantêm
cópias físicas do cartão atual. E você não vai acreditar que eles
estão disponíveis abertamente, certo? Portanto, você precisa ter tudo pronto para proteger coisas como roubo de
dados e
acesso confidencial a áreas confidenciais. Você deve ter
políticas e procedimentos de segurança
física . Você só pode manter
como, por exemplo, apenas manter
informações confidenciais. local de trabalho os
protegeu em uma área trancada. fora não podem simplesmente entrar. Os não funcionários precisam
usar crachás, não
estão armazenando informações
confidenciais. O V aberto na minha, uma das minhas empresas
que usamos para limpar as ruas após o horário comercial. Costumávamos ir verificar se todo mundo
limpou a mesa, certo? Não há
informações confidenciais lá. Então, esses são controles
que são de bom senso, mas infelizmente
eles são perdidos por algum motivo, certo? Então, quais são as coisas
que você precisa ter? Ele precisa ter uma política de segurança
física adequada destacando quais
outras áreas sensíveis. Uma coisa que esqueci de mencionar são suas tomadas de rede, certo? Você não quer que
as pessoas simplesmente conectem seus laptops e conectem
seu ambiente de destino. A mídia física ou
backup e outras coisas devem ser protegidas e um
controle rigoroso deve estar lá. E se alguém não puder
comprometer o meio ambiente? E se for capaz de acessar a mordaça, obter acesso à fita de
backup, certo. Que tem todas as
informações que você precisa ter, como um
colocá-lo em segurança, estão claramente marcados para isso. Os documentos devem ter coisas
como confidenciais para serem destruídos e você precisa ser
capaz de destruir a mídia, certo? Diego disse para destruí-lo com
base em sua classificação. Muitas dessas coisas, novamente, eles provavelmente estão fazendo, mas você pode não ser estendido para
o ambiente
do titular do cartão. Certifique-se de que eles sejam estendidos. Você deve coordenar com suas
equipes de segurança física para
garantir que o
treinamento adequado esteja acontecendo. As áreas sensíveis são isoladas. Nem todo funcionário pode simplesmente
entrar em suas áreas sensíveis à luz. Então, todos esses controles Metrodorus não forçados a ter cobertura de CFTV
adequada. Deve ser uma mistura de controles
preventivos e de
detetive. Basicamente, as mesmas coisas que você coloca em seu
ambiente, certo? Seu ambiente técnico,
como segmentação. Segmentação, você
bloqueia essa área. Cctv é como um crachá auditivo
e branco,
crachá e alfinetes de senha Eles são como o MFA.
Todas essas coisas, basta replicá-las em
um ambiente físico. Um ambiente único, pessoal, se você tiver terminais
de ponto de venda, como máquinas de ponto de venda. Você deve ter um
inventário completo disso. Você deve ter um
inventário atualizado desses. Você deve saber onde eles estão. Qual é a localização física, número de
série, modelo nu. Por quê? Porque deveria
estar inspecionando. E se alguém o tiver
adulterado,
mas se alguém o
substituiu por outro C, então outro ambiente,
geralmente muitas empresas que eles mantêm como
vantagens dele, certo? E se alguém entrou
, adulterou, injetou algum dispositivo e você
não sabe sobre isso, certo? Você pode fazer isso basicamente,
poderia fazer isso todos os dias, todo mês é baseado
no tipo de
nível que você tem, ok. Você deve ter cobertura de CFTV. Esses são dispositivos muito
sutis, certo? Certifique-se de que a parte superior esteja
completamente restrita. E você deve
conscientizar equipe que está interagindo com essas coisas no
dia a dia, como um caixa, quem
é quem tem esse
tipo de máquina de ponto de venda, certo? Você deve saber se
alguém o substituiu. Se houver algum dispositivo lá, você deve saber
se alguém tem algo parecido, você deve ser capaz de
verificar o número de série. A física básica. Essas são
coisas simples que você pode ter como um treinamento em vídeo. Você pode visitar fisicamente
e ensiná-los e gostar, mas apenas para ter certeza de que
o risco de substituição, alguém substituindo
o dispositivo quando algo ou há
algum outro dispositivo maliciosamente ou como adulterar, adulterar esse
dispositivo, colocar algum outro dispositivo em cima dele. Aqueles que colete têm
que ser mitigados. Da perspectiva do PCI DSS. Eles são como muitos,
muitos treinamentos comuns disponíveis até mesmo no
site do PCAOB, você pode encontrá-lo. É como uma
coisa única do PCI, os outros controles físicos
que você já pode estar fazendo. Mas isso é algo
único e você deve ter
certeza de tê-lo em
seu ambiente, ok? Ok, isso
encerra esse novo compromisso. Vamos passar para o próximo.
15. 4 - Requisito 10: Olá pessoal, Bem-vindos a esta lição que agora
chegamos quase ao fim, que é um dez comum,
registro e monitoramento. Registro e monitoramento.
Você sabe, é uma daquelas coisas que quase
muitas empresas fazem. Quase todas as empresas fazem isso, mas poucas empresas
fazem isso corretamente. Porque o que acontece é que
muitas vezes eles estão apenas
gravando coisas. Mas ninguém está tomando nenhuma
ação inteligente com base nesses alertas, certo? Soluções Sim, você tem informações
de segurança
e gerenciamento de eventos. Você está enviando todos
os registros para lá, mas não está realmente pensando em criar alertas acionáveis. Você não está realmente
refinando as mesmas coisas. Você precisa capturar
tudo o
que está no ambiente de
dados do titular do cartão, PCI realmente tem uma lista mínima de eventos
que devem ser capturados. Ok? A maioria dos softwares de sistemas
gera logs protegendo o
sistema operacional, pausa no navegador ,
firewall, todas essas coisas
que você deve capturar, ok, então certifique-se de
que essas coisas estejam lá. Se você tem uma
solução SIM ou alguma outra coisa, você precisa
capturar tudo. E eu tenho
alertas acionáveis com base nisso. OK. Então, quais são as
coisas que começamos a verificar e verificar
se você tem um rastreamento de log de auditoria
automatizado para todos os eventos de segurança. Como você está fazendo isso? É como se alguém não tivesse
alguém
olhando para ele e essencialmente escrevesse
algum sistema automatizado. Existe um processo para revisar registros e eventos
de segurança diariamente. Normalmente, é como
uma solução SIM. Talvez você possa ter uma equipe de SOC, ou você pode ter turnos semelhantes, ou você pode pedir que
façamos um sistema administrativo para receber alertas. Realmente depende de
como você está fazendo isso. Você pode ter, se estiver
fazendo isso na nuvem, você pode ter automação, mas o processo
precisa estar lá. Seus registros de auditoria
precisam estar lá pelo menos um ano e nos
últimos três meses. Eles precisam ser registros on-line. Você deveria estar arquivando nos últimos
90 dias, ok. Você precisa tê-lo online. E o que eles eventualmente
estão capturando PCI, DSS é muito específico sobre isso. Como a atividade do administrador
é falha nos logins, alterações nos escalonamentos de
privilégios da conta. E você deve continuar
capturando o que eles sabiam quem era
o usuário, qual era o evento, qual a data e a hora,
se foi um sucesso, que falha onde
aconteceu, todas essas coisas. Você o encontrará facilmente
dentro do padrão. Mas certifique-se de que você está
capturando. Verifique se você tem esses slots
disponíveis e teste-os. Não presuma que você
terá esses registros bem. Um teste e certifique-se que você tem esses
eventos sendo capturados. Muitas soluções SIM, eles já têm modelos
predefinidos para PCI DSS, por isso
não deve ser tão difícil. Apenas certifique-se de que
estejam ativados. Que este foi
bem direto. Vamos para o próximo.
16. 4 - Requisito 11: Oi pessoal. Estamos no segundo
último requisito, que é realizar
varreduras de vulnerabilidade e o PET está bem. Por que fazemos essas coisas, pessoal? Simplificando, você precisa descobrir quais são as fraquezas dentro
do
seu ambiente, certo? Você não quer esperar até que um invasor chegue e comprometa seu
ambiente, certo? Varreduras de vulnerabilidade e PTs
são uma das melhores maneiras de
descobrir a que tipo de ataques
você está suscetível. Va é como se um scanner
de
vulnerabilidades uma verificação automatizada de alto nível. OK. Você acabou de fazer uma varredura.
Eles geralmente têm isso. Você tem algum tipo de software que escaneia o ambiente, fornece um relatório, certo? Você precisa executar
isso interna e externamente trimestralmente. E PT, tenho certeza que você já conhece, é
como um detalhe prático. Normalmente, há uma
pessoa real lá que tenta detectar e explorar as
fraquezas do seu sistema. E isso, novamente, isso tem que ser interno e externo,
tanto no seu ambiente. Pcr exige que essas coisas
aconteçam em várias camadas, ok? Você pode simplesmente fazer isso em uma
camada e chamá-la de eficaz. Vamos entrar em detalhes sobre
o que estou falando, que tipo de camadas estou
falando antes de irmos. Uma coisa muito importante pessoal, se você tem um ambiente
Guardiola voltado para o público, certo? IPs públicos. Pcr exige que as empresas que conduzam como uma varredura
externa e chamem de varredura ESV para descobrir se elas têm
alguma falha potencial. Isso você não pode fazer isso sozinho. Você tem que ser feito por
uma empresa chamada Fornecedor de Digitalização
Aprovado
é chamado de ASP. Está bem? Você não pode fazer isso sozinho. Você tem que
lixiviar para esta empresa. Então, o que acontece é
porque você será cobrado dessa empresa e eles farão a verificação
trimestralmente. Você precisa remediar qualquer vulnerabilidade
mais alta. Então você tem que continuar
fazendo isso até passar. E eles
lhe darão uma varredura de aprovação. E geralmente você tem que
enviar para os
esquemas do carro ou para o espaço em branco. Portanto, isso não é algo que você simplesmente escaneia e
esquece. Você tem que fazer isso no
mínimo trimestralmente e você tem que passar. Essa é uma das coisas
mais importantes. Geralmente é um
requisito muito bom porque público é como um ambiente
de alto risco. Você precisa ser capaz de
escanear e saber quais são
as vulnerabilidades. Ok, então tenha isso em mente. Seu banco ou seu esquema de pagamento geralmente informará se
você, falamos sobre as
obrigações anteriormente na taxa. Portanto, seu banco ou sua marca de
pagamento
informará se você é
obrigado a fazer isso ou não. Mas lembre-se, eu disse que temos que fazer
isso em vários níveis. Então é disso que eu
estava falando. Basta ter uma visão de alto nível. Se você está procurando
na Internet, você precisa ter varreduras de ASP
acontecendo e um PD acontecendo. OK. Do ponto de vista externo, dentro do seu
ambiente cardinal, você não tinha
trimestralmente via varreduras, pagamento
anual que um PT está acontecendo e algo chamado monitoramento de integridade de
arquivos. O que é um monitoramento
da integridade de arquivos? Se você não está ciente, basicamente, é um software que
significa ambiente
para quaisquer
alterações críticas nos arquivos, ok. Você pode ter
arquivos confidenciais em seu ambiente. Você não espera que eles alterem um software de
monitoramento de integridade de arquivos
informará se esse arquivo foi alterado
e emitirá um alerta. Então você precisa ter isso também
dentro do seu ambiente. Então, supondo que você seja
mimado, o aplicativo tem um arquivo de configuração confidencial que não deveria mudar. E se isso ficar estranho? Ok, então essa solução de
monitoramento de integridade de arquivos levantará um alerta
e enviará para você que deve estar lá. E além disso, se
você tiver um ambiente sem fio acontecendo
sem fio, você precisa liberar o
candidato para latas
sem fio também para garantir que o novo sem fio inseguro ou talvez desonesto
pontos de acesso. Tendo criado, geralmente
temos três ferramentas e ferramentas
comerciais. Você pode escanear todo o
ambiente e descobriremos se há alguma
vulnerabilidade ou algum ponto de violência no trânsito. E falamos sobre
segmentação. Lembra? Dissemos que, ok, para a
perspectiva da segmentação, eles deveriam ser
algo que está caindo. E isso geralmente será
um firewall e IDS e IPS. Então, fazemos algo que é
chamado de lata de segmentação, o que é a varredura de segmentação? Segmentações
alguém pode realmente tentar comprometer
a segmentação? Então, do
ambiente do titular do cartão, ele tenta pular para o ambiente
sem nuvem ou do gosto não
Guardiola umami O salto para o
cardo, o ambiente. Ele verifica a adequação da segmentação
que aconteceu, seja ela boa ou não. Então é por isso que é
tão importante, pessoal, como todas essas coisas que
você tem que fazer,
os diferentes momentos em que
eles estão, de alguma forma, eu sabia alguma forma meio semestral
colocaram isso em seu calendário. Falamos sobre ter
um processo BAU, certo? disso que eu estava
falando. Normalmente, o que
as empresas fazem e os
mandatos da PCL devem
ter uma metodologia para testes de penetração. E você coloca o que é externo, interno, como o quê, o que
vai acontecer anualmente? O que vai acontecer
depois de cada mudança? Se a segmentação mudar, como
você vai testar isso? Como você vai fazer
o nível de aplicação um? Como você vai
colocar um interruptor? Todos podem ter seus documentos documentados em uma fórmula adequada é documento e
disponibilizá-los para todos. Dessa forma, você não terá uma surpresa de algodão
e perderá varredura crítica
que deveria estar fazendo. Este é um nível alto
, um pouco simplista, mas isso mostra
quais padrões devem estar acontecendo
em seu ambiente. Então eu espero que isso, isso foi
como se isso lhe desse uma clareza. Comece com isso. Inicialmente se torna muito
opressor e lentamente, lentamente se torna como
um BAU para você. Depois de colocá-lo em
seu processo BAU, você descobrirá que
fica muito mais fácil. Ok, pessoal. Ok, isso encerra
o segundo último. Então, devemos
passar para o último.
17. 4 - Requisito 12: Olá a todos, bem-vindos
a esta lição. Agora, atingimos o último requisito
do parâmetro Alpha, que é documentação
e avaliações de risco. Portanto, o anterior era um requisito muito
técnico em relação ao teste de caneta eb, a e P, D e todas essas coisas. Agora estamos
falando de algo que é muito mais simples, documentação e avaliações de
risco. Então, aqui pessoal, estamos
falando de algo que
você tem que fazer como, do ponto de
vista da due diligence, o auditor precisa
saber que
formalizou fortemente todas as suas políticas de segurança da
informação, outras coisas longe do
que eles deveriam estar fazendo e não
deveriam estar fazendo. Isso ajuda a
protegê-lo caso algo aconteça,
haja uma violação. Então você pode provar que fez tudo do
seu ponto de vista. Você precisa se certificar de que suas políticas de
segurança
foram aprovadas e
convocadas, comunicadas e por todos os funcionários que
eles reconheceram. OK. Se você é um provedor de serviços, precisa ter algo
chamado de carta do PCI DSS. Ele diz quem é
responsável pelo PCI DSS e quem
vai implementar
o programa e quem é responsável pelo PCI, DSS. Ele tem
que dizer quem é a pessoa responsável e como ela se
comunicará com a gerência
executiva, ok. Além disso, você
também precisa ter um inventário de fornecedores
terceirizados, terceirizados ou fornecedores
terceirizados que tenham acesso ao seu ambiente
cardinal. Porque se eles conseguirem comprometer potencialmente
isso para o seu ambiente, você precisa ter uma lista de todos os provedores de serviços
terceirizados e se eles são certificados pela
PECS ou não. OK. Você precisa ter a lista. A maioria deles
geralmente está disponível e você pode fazer isso como
parte do seu calendário, mas certifique-se de que documentação
escura e escura esteja atrasada. Portanto, é muito
simples
comentar , principalmente
sobre documentação. Demora muito tempo. Mas se você trabalha com seu TSA, muitas vezes eles
já estão disponíveis modelos
prontos. Portanto, você deve conseguir
economizar algum tempo com isso. Assim como mencionei,
você precisa ter uma política de conformidade
e segurança por escrito. A carta deve estar aqui
para o seu provedor de serviços. Você precisa ter certeza de que eu
tenho uma revisão trimestral para garantir que
todos estejam seguindo os requisitos que
todos
aprovaram sobre a segurança
de ilustrar. E, por último, uma avaliação de risco muito
importante, a
PCR exige que
todos realizem uma avaliação de risco anual para
identificar ativos críticos. A vulnerabilidade de arranhões é aceitável porque isso ajudará
você a priorizar os riscos. E se você adotar uma
abordagem proativa para isso, isso realmente
compensa a longo prazo. Isso é algo
que ela diz algo
que as pessoas pensam que isso é como uma
tarde de formalidade todos os anos. Mas se você fizer isso corretamente e der o tempo e o respeito
adequados, posso dizer que
as avaliações de risco podem identificar tantos problemas de forma proativa, muito mais antes que
o auditor descubra que eu quero sinalizar isso antes, porque as avaliações
de risco se tornarão muito, muito importantes na
próxima revisão, que é a versão PCI DSS para ela. Se você fizer isso, se você não se
concentrou muito nisso, isso pode se tornar
um problema para você. Então, definitivamente, comece a
se concentrar nisso. Falarei mais sobre isso
na aula futura, na próxima aula que eu tiver, que são sobre PCI DSS 4. Mas, por favor, não
faça uma avaliação de risco, gosta da
formalidade da forma de arte que você tem fazer e esqueça disso. Ok? Então, realmente se concentre, não vai copiar e colar o que você
fez no ano passado para o próximo ano e
realmente se concentrará nisso e definitivamente
valerá a pena no longo prazo. Ok, então isso acaba com
seu processo, pessoal, espero que tenha sido útil para vocês. Vamos para um tópico muito importante
que temos que abordar, que é a compensação de controles. Isso é o que acontece se você não conseguir
atender a um requisito. Vejo você na próxima aula.
18. 4 - Controles de compensação: Oi pessoal. aula muito, muito curta, mas isso é muito importante. Então agora você cobriu todos os requisitos de
trilhas, certo? Mas o que acontece se você não puder
perder um requisito de PCI? Ok? Tipo, vamos
dar um exemplo. Você tem que aplicar adesivos
dentro de 30 dias, certo? Patches críticos. E se não pudermos aplicar um adesivo? Ou se você não conseguir implementar o monitoramento da integridade de
arquivos?
O que acontece então? Portanto, há algo
chamado controles de compensação. Isso acontece quando um, quando uma parte não pode conhecer
um apartamento predefinido, você faz uma razão ilegítima. Não é preguiçoso, talvez o sistema não
suporte ou eles não. Existem algumas
restrições lá. Mas o que você faz é colocar
outros controles lá, ok? Talvez você não consiga remendar. Mas você tem monitoramento 24 horas e outras
ferramentas que o
alertarão imediatamente se alguma forma alguém
tentar explorar esse patch. Ok? Então, isso realmente depende. Os dados são realmente como uma arte. O que você diz? É como se você tivesse que
sentar com o QSEN, fazê-lo entender
o que você fez, como você atenuou esse risco e variar a
eficácia disso. Ele muda de ambiente para ambiente de
poucos EUA estéticos. Ok? Mas lembre-se de que você realmente precisa ser bom em avaliações de
risco para fazer isso. Então, o
controle de compensação em resumo, você tem que preencher uma folha
para encaminhar para o auditor. O que isso parece? É como esse. Como se eu tivesse tomado o exemplo. Isto é, você tem
que terminar isso. Você tem que mostrar quais são
as restrições, ok, por que você não pode atender em um comentário
como por que você não pode corrigir este trimestre ou por que você não gosta de implementar o monitoramento de integridade de
arquivos, então você precisa ter
a definição antiga. Quais são os controles
que você implementou? Qual é o objetivo
desses controles? Qual é o risco de que, por causa
do patch, não estar
lá ou algo assim, E como o auditor validou controles de
compensação densos? E como você
vai garantir que ninguém
mexa nesses controles? Então, isso é algo
que analisaremos. E você tem que realmente
satisfazê-lo para ter certeza que isso não é apenas algo que você
colocou lá para escapar? Não, isso é algo em que
você
pensou e
implementou corretamente. Então, por favor, os controles de
compensação são
um tópico muito importante. Eles não
serão substituídos, mas são uma nova maneira de fazer as coisas
que está surgindo, que é chamada de abordagem
personalizada. Vou falar sobre isso
na versão PCI DSS para módulo. Mas saiba que eles estão compensando
controles é o que você precisa fazer se não conseguir
atender a um requisito específico. E há outras maneiras de fazer isso que estão surgindo. Ok pessoal, então isso encerra
o módulo de requisitos. Espero que você tenha gostado
e espero que você tenha aprendido algumas coisas e veja você
no próximo módulo. Obrigada.
19. 5 - SAQ e seus tipos: Olá a todos, bem-vindos
a esta lição. Agora, isso vai
falar sobre os tipos de questionários de autoavaliação que
você completou os
requisitos do PCI, DSS, certo? E só para recapitular rapidamente, o SAQ, o
questionário de autoavaliação. É como uma ferramenta de validação para comerciantes e
prestadores de serviços
relatarem os resultados da avaliação
do PCI DSS. Se você não for obrigado a fazer uma auditoria completa e enviar um ROC, escreva um relatório sobre conformidade. Dependendo da forma como você processa transmitidos
armazenados nos dados, eles são diferentes SET foi
que ele deve preencher. se você não tem
uma loja de comércio eletrônico, pode ser difícil
preencher outra coisa. Ou se você tem alguma constante, é algo como se
você fosse obrigado. A maneira como você processa os dados, ele muda o
tipo de vesicular. Tenho visto às vezes as pessoas ficarem confusas quando
se trata de executar. Então, os tipos deles porque
são como se estivessem perto disso. Então, pensei que seria bom
dar algumas orientações sobre que tipo de SEQ é necessário
para que tipo de cenário. Então, vamos dar uma olhada nisso. Apenas uma rápida recapitulação. Qual é o básico para vocês
só para que saibam, se você não for obrigado
a fazer uma auditoria completa, você deve
preencher um SAQ
geralmente para pequenos provedores de
serviços comerciais. É uma série de questionários. Pode ser bem longo.
É como se às vezes chegasse a 87 páginas, perguntas de
sim ou não. E como eu disse,
há oito vezes, então basicamente use e
dependendo do tipo de
ambiente que você tem, você vai depois de
selecionar esse. Não tente fazer isso sozinho
na primeira vez que puder verificar com os EUA
ou com seu plano de pagamento. E eles perguntaram a eles que tipo de SEQ eu deveria
preencher. Portanto, não deve ser difícil, desde que você faça
sua lição de casa corretamente. Esses são os tipos de SKUs. Eu não vou ler de
uma mesa chata. Eu sei que ninguém quer que
eu faça isso. Mas esses são os termos
em torno de oito tipos de chamadas de áudio acíclicas.
Então, vamos dar uma olhada. Muito do
questionário de autoavaliação. Então, o que diz a orientação do
PCA? Isso se a sua empresa tiver
a coleta e o processamento de dados do titular do cartão para provedor de
serviços terceirizado compatível com
PCI. Se você não está fazendo nada
em relação aos dados do titular do cartão, você
terceiriza tudo completamente. Então, geralmente o que acontece é eu vi isso em cenários
em há um comércio eletrônico
completo, muito parecido com um
ambiente de comércio eletrônico onde
você não está fazendo nada em seu site quando
o o usuário clica neles, como se fossem redirecionados para outra pessoa e é
aí que a transação acontece. E você acabou de voltar e dizer, Ok, essa transação
foi bem sucedida. Você não precisa fazer nada. Para esses tipos de cenários. Vi que um SAQ é mais adequado como uma terceirização
completa e completa. E é como se você não armazenasse o cartão de transmissão de processo relacionado em nenhum
momento. Portanto, isso é para o controle de qualidade básico, geralmente
é o mais
adequado para esse cenário. Há outra
chamada API SQL. Então, novamente, há um ambiente de
comércio eletrônico e a coleta
de processamento de dados do
titular do cartão
foi terceirizada corretamente, para um terceiro compatível com PCI. Então é semelhante
ao anterior, mas neste,
o que está acontecendo? Você está controlando o fluxo de dados do titular do cartão para
o provedor de serviços. Está bem? Então, geralmente o que
acontece com os clientes, eles querem mais personalização
no ambiente. Assim, eles controlam como
o site está enviando os dados
do titular do cartão e
são o que você chama. Eles não pegam os dados do titular do cartão, mas controlam o
fluxo de como os usuários são redirecionados para o site
para coleta de pagamentos. Normalmente, isso acontece quando eles
não gostam de terceiros é o que você chama de
páginas padrão e eles querem ter
alguma personalização feita. Portanto, para esses tipos de
cenários em
que a API segura, geralmente é
a escolha correta para sua
documentação de conformidade. OK. Questionário B. B. Estes são os quatro
que fazem pedidos pelo correio,
transações de pedidos
por telefone que você
gostaria que o banco aprovasse terminais de
pagamento. Eles geralmente
fazem linhas analógicas,
não linhas telefônicas analógicas. Portanto, eles não têm nenhum processamento eletrônico
e armazenamento de dados. Basicamente, estamos
falando de linhas telefônicas e elas não estão conectadas nem mesmo ao IP de
voz como o analógico. Você verá esses
comerciantes que
geralmente são meio isolados
do mundo como longe, para todos os
comerciantes, eles apenas sentem pelo que ele chamou de terminais
e terminais de pagamento
que são conectados às linhas telefônicas
porque não têm conectividade
com a Internet e não têm
nada parecido. Eles estão usando isso para
esse tipo de pergunta. Seq B é o que está sendo usado. Eu não usei isso. Eu não vi isso
sendo usado tanto. Esse é o cenário em
que você usará este. O que é SEQ BIP? Então, neste,
novamente, temos as transações de pedidos por correio, transações de pedidos
por telefone
e terminais de pagamento, mas você também está
recebendo pessoalmente. E está conectado
a uma rede IP. Então, o que você chama? Não é, não é como uma conexão analógica aqui
você tem uma conexão IP. De repente, eles podem ter acesso à Internet ou
sem fio assim. Geralmente resulta em tempos de processamento
mais rápidos, mas então você precisa
colocar mais cores, há mais
controles
de segurança em vigor e você precisa segmentar essa rede, ok? Porque, nesse caso os dados de pagamento estão sendo
transmitidos pela rede. Então é aí que entra
o BIP. Se você puder
verificar pelo nome. Ip. No anterior 22 é apenas linhas telefônicas
analógicas aqui. É uma rede IP. OK. O que significa ensaio Q. C. Ok. Sim, então neste, você está recebendo
os dados do titular do cartão pessoalmente e, novamente, transações
de pedidos pelo correio
e está usando um sistema de ponto de venda. O que foi isso
no anterior. Então isso foi como um
terminal de pagamento da justiça. Mas aqui você tem um terminal de
ponto de venda e isso não mostra
os dados completos do cartão. Lembre-se de
onde ele falou sobre, certo, armazenamento de dados do cartão. Então, geralmente aqui você tem
essas caixas registradoras e elas estão conectadas
a uma parte traseira de um servidor. E esse servidor pode
estar hospedado do lado de fora. Mas esse é o cenário. Então, cara, você tem um terminal
de ponto de venda que não está configurado para armazenar
os dados do cartão de combustível. E você tem uma precisão
sobre um servidor back-end. Normalmente, eu tenho visto
aqueles comerciantes de varejo usando aquelas grandes
caixas registradoras, certo? É aqui que o SAT
geralmente se aplica a C v, t. E, para este, mesmo apenas pelo próprio nome, você pode dizer que isso é como o terminal virtual de um
Verbit. Então, em alguns casos, você não
tem um terminal físico. Está bem? Então, aqui você tem um terminal virtual de
propósito. E geralmente há
uma estação dedicada em um
local específico para processar pagamentos. Às vezes, quando você permite que
seus clientes possam fazer autoatendimento e
tudo mais, certo? É aqui que isso está chegando. Ok, P2. Portanto, P2, P0, P2P significa
criptografia ponto a ponto. Portanto, esse é um padrão que o conselho do PCI introduziu. O, todos os, todos os
dados são criptografados
a partir do ponto de captura que o ponto envia de volta
para processamento. Então, se você é um comerciante,
não precisa fazer isso. É um padrão totalmente
offshore, mas reduz o escopo
da conformidade com a Piaget. Já vi muitos
códigos de serviço não serem oferecidos pelo banco como uma solução para os comerciantes se eles quiserem reduzir
a complexidade, não
queremos ter o incômodo de nos preocupar com
pagamento e tudo mais. Normalmente tem que ter terminais
especiais dedicados para isso. Está bem? Em seguida,
a transação é enviada de volta ao provedor
de serviços para descriptografia e processamento. Então, aqui, o principal
é que estamos usando terminais de
criptografia
ponto a ponto validados . Está bem? Se você estiver usando isso, então
este é um questionário. Esse questionário é
muito mais simples do que os outros, e
esse é o ponto principal. Você quer reduzir a carga de
conformidade. Você não quer
preencher essa grande,
grande questão é essa, e isso se torna
um incentivo para os comerciantes adotarem esse
tipo de solução. Está bem? E agora estamos no último, que é a
segurança muito e tudo o que não se aplica
aos critérios anteriores. E você não quer,
como, você está armazenando informações
do titular do cartão
e não usa como um sistema
estratificado ponto a ponto. E basicamente qualquer um
dos critérios anteriores
não se aplica a você como segurança. Muitas vezes eu
vi um comerciante começar com isso porque,
nesse cenário, você está apenas adotando
a abordagem mais segura e apenas preenchendo a
segurança deles, porque eles não querem se preocupar com
descobrindo o que exatamente
como são os comentários seguros de
dados de ajuste fino, eles apenas preenchem sua
segurança e os enviados. Portanto, isso se aplica aos comerciantes e aos
prestadores de serviços, também ao provedor de serviços. Eu trabalhei como
prestador de serviços por muitos e muitos anos. Basicamente, não é como se
um pagamento fosse como Visa, MasterCard, e você
não fosse como um banco, certo? Mas você está conduzindo
seu processamento, armazenamento e transmissão de dados
do titular do cartão em nome de um comerciante de ofertas bancárias. Então você basicamente descarrega
tudo, ok? Normalmente, os provedores de serviços
realizam a auditoria completa porque seu ambiente
é muito mais crítico. Você está, você não tem dados. Entidade, você tem beta. Deus sabe quantas entidades são
centenas de bancos, centenas de milhares
de comerciantes. Então, eles geralmente fazem
a auditoria completa, mas você pode
preencher a segurança deles. Você deve verificar com
sua corrida permanente e descobrir o que ela acha que
é aplicável a você. Eu recomendaria que, se
você for um
provedor de serviços, faça a auditoria completa, não confie em uma chave segura porque ela não é verificada de
forma independente. Tentei fazer com repassar
a auditoria completa sempre. Especialmente se você for
um provedor de serviços. Ok, pessoal. Então isso fecha o
corpo chamado parte SEQ. E nos vemos no próximo módulo,
o que é muito importante, que tem a ver com as principais
mudanças na versão 4 do padrão.
Obrigada pessoal. Vejo você na próxima lição.
20. 6- PCI DSS v4 e as principais mudanças: Olá a todos. Ok, então chegamos
ao capítulo final, que é o final
e qual é o mais
voltado para o futuro, que são as principais mudanças
na versão 4 zeros. Portanto, você deve estar
ciente de que a versão 4 marido foi
lançada ao público. Isso foi resultado
de vários esforços do conselho do PCA para
atualizar o padrão. Você não torna isso mais relevante. Você pode. A razão pela qual
eu não fiz isso em uma seção separada
é porque eu quero que você
mantenha a calma e continue se concentrando em seus esforços de conformidade com a versão atual
do padrão. Ao mesmo tempo,
reserve um tempo para ler e planejar o
PCI DSS versão 4. Não tente implementar
4 agora, você ficará mais velho porque
é uma grande mudança. Não é algo que você possa simplesmente começar a implementar imediatamente. Você precisa
entender completamente quais são
as mudanças e como elas se
encaixarão no
quadro geral. Ok pessoal, então apenas um cabo, você não fica todo animado e começa a implementar
imediatamente. Então, do que estamos falando? Em primeiro lugar, por que
o padrão mudou? Então, se uma grande revisão aconteceu, bem, isso pode ser uma pergunta. Você pode dizer, por que o console
PCA
fez uma reescrita tão importante
do PCI DSS. E o PCI DSS é um padrão
bastante maduro por motivos pelos quais eles querem
ter certeza de que ele precisa de padrões de
segurança, as necessidades do
setor de pagamentos, certo? Porque a tecnologia está evoluindo. Não tínhamos nuvem antes e outras coisas antes, certo? E eles o tornaram mais maduro do ponto de vista da
segurança. segurança não era muito
parecida com o que chamamos de link aqui para gerenciamento de riscos
e processos maduros. As empresas agora têm
tecnologias inovadoras que podem atender à intenção
dos requisitos. Lembras-te do que
eu te disse antes? Tente entender a intenção. Não tente apenas memorizar
o padrão, ok? Porque isso não vai te ajudar. E isso lhe dá
muita flexibilidade, além de suporte de metodologia
adicional. Então, eles o tornaram muito mais flexível, muito mais aberto. Você pode ter
muitas discussões com o QS é só lembrar, mas muito, muito importante. Mas pessoal, você precisa se concentrar no gerenciamento de riscos
como uma metodologia. Não seja apenas técnico. Entenda como é. Como o gerenciamento funciona?
Se você ainda não sabe. A linha do tempo principal, só
para mim , para entender esse diagrama, o padrão, o
novo permanece opção até 31 de março de 2024. E então esta versão três
irá para a versão mais antiga, 3.2.1, ela será descontinuada. Depois disso, suas
auditorias começarão a acontecer somente no PCI
DSS versão 4.2. Alguns dos novos requisitos, eles também não se tornaram obrigatórios
até 31 de março de 2025. Até esse momento, será
considerada a melhor prática. OK. Tantos comentários foram
adicionados ao padrão, seu futuro datado de março de 2055, como eu disse, a fim de
permitir que os novos processos sejam desenvolvidos antes que eu precise
fazer comentários possam ser aplicados. Então essa é a razão pela qual eu me concentro. Eu fiz um padrão separado porque eu não
queria confundir você, certo. Vou me concentrar
nas grandes mudanças. Portanto, você tem até 31 março de 2024 para entender e implementar os novos
requisitos para os padrões. E o QS é
que vamos chegar. Eles podem começar a auditar de
acordo com o padrão. OK. Agora, dois anos parecem muito, mas eles realmente não são dados. Por favor, não subestime a rapidez com
que o tempo
passa e a rapidez com
que as coisas mudam. Você receberá uma
xícara forte. Outras coisas. Eu vou te ensinar como se
concentrar em qualquer coisa para se concentrar e quais são as coisas que você deveria
estar fazendo, ok? Está bem? Então, a primeira coisa é que
não é uma
cadeia tão grande, mas sim um escopo. Então, o escopo anterior, se você olhar para esse
tipo de escopo era como se estivesse começando
uma discussão inicial. Foi na introdução. Não fazia parte dos
requisitos do padrão, mas agora o conselho o mudou para
os padrões de requisitos. Está bem? E eles o tornaram um
requisito rastreável com efeito
imediato para a versão 4. Portanto, isso não é como
dados futuros em outros. Está bem? Portanto, você precisará documentar
seu exercício de escopo. Se você é um comerciante,
precisa fazer isso anualmente e, se alguma mudança acontecer ou algo assim, se você for um provedor de serviços, precisará
fazê-lo a cada seis meses. Ou um patrono são os dados
da estrutura de dados. Então, se você é um comerciante,
certifique-se de que está fazendo o seu, você deve estar fazendo o seu escopo de qualquer maneira, comece a documentar seu exercício de escopo anualmente. Pode ser um pouco incômodo primeira vez, mas depois
fica mais fácil. Se você é um provedor de serviços, saiba que depois de 31 de março de
2025, precisará fazer
isso a cada seis meses. Mas depois de qualquer mudança importante, como algo alterado
de uma maneira que os sistemas
das pessoas processam, você precisa levar
isso em consideração. OK. O que mais há no armazenamento
de dados confidenciais de
autenticação? Bem, você não deve armazenar dados confidenciais de
autenticação, mas depois da autorização. Então, já discutimos isso antes, certo?
Algumas organizações. Portanto, antes que a transação
seja autorizada, eles mantêm
os dados temporariamente armazenados. Foi recomendado que tudo bem. Você o armazena por um
minuto, meia hora, o que for recomendado, você deve tentar criptografar
um direito protegido. Não era necessário. Bem, não é mais uma recomendação depois de 31
de março de 2025. O que aconteceu é que eles
viram muitos ataques. Os invasores podem tentar comprometê-lo, desapareceu
dentro da memória, esse armazenamento temporário,
eles tentam comprometê-lo. OK. Então, mesmo que você esteja
armazenando por cinco minutos, eles saberão e
tentarão obtê-lo da memória. Então, você vai até mesmo dentro da memória, mas depois no armazenamento temporário, você precisará
criptografá-lo. OK. Então, tenha isso em mente. E isso não seria uma recomendação depois
de 31 de março de 2025. OK. O que mais há acesso
remoto. Então, se você estiver usando o acesso remoto
ao ambiente do titular do cartão, ok? Em seguida, você deve impedir a cópia e realocação do caso de dados
do titular do cartão. Alguém pode copiar
e colar esses dados. Isso já foi
mencionado anteriormente
na recomendação padrão
que será um requisito. Muitas empresas
viram o que costumavam
fazer para definir uma
política em torno disso. Mas agora ele precisa ser
aplicado por uma tecnologia, ok? Normalmente,
não deve ser muito difícil. Normalmente, se você tem configurações em seu software de acesso remoto que impedem copiar e colar ou você
tem funções DLP, ok? Portanto, dependendo do que
você tem e do seu processo
atual, apesar de ser muito fácil, pode ser
um pouco difícil. Talvez você precise investir
em mais algumas tecnologias é tudo o que você precisa para colocar
alguns controles em torno disso. Portanto, lembre-se disso
para esse requisito. Ok, Firewall de aplicativos da Web. Então, isso é muito
simples, pessoal. Lembre-se, eu disse que
você pode ter o Firewall de aplicativos da Web ou pintores de aplicativos.
Foi uma recomendação. Bem, agora você precisa ter isso. Não é mais opcional. OK. Você precisa ter uma
válvula após 21 de março de 2025. Honestamente, você deve ter
um problema como eu disse antes, não tente se contentar com revisões de codificação
seguras ou chateado, você deve ter um firewall de
aplicativo da web por padrão. Então, se você não está fazendo isso, comece a fazer isso agora mesmo,
comece a fazer um orçamento para isso. Ignora nas páginas de pagamento. Então, isso é
bastante interessante. Isso costumava ser como um
suplemento do Conselho PTA. Inicialmente, isso não deve
fazer parte do padrão PCI. Se você tem páginas de comércio eletrônico com scripts em execução, você tem
que fazer agora o que temos que
fazer se seus scripts
estiverem sendo carregados? Você precisa
ter certeza de que eles estão autorizados e ninguém pode
adulterar esses scripts. E você tem um inventário de todos os scripts
que estão sendo executados. Por quê? Por que isso está acontecendo? Porque fenômenos chamados de pagamentos de
skimming, skimming, o que os invasores
costumavam fazer é comprometer essas páginas de
pagamento e injetar seus próprios scripts ou adulterar os scripts
existentes. Ok, então é como se você estivesse
inserindo seus dados, mas esses dados
estão realmente sendo inseridos na página do
invasor e o
pH é genuíno, certo? Mas eles apenas compararam
com o roteiro. Portanto, nem é como
um ataque de phishing porque o URL
permanecerá o mesmo. É por isso que agora este é
um comentário muito bom pessoalmente, porque o
comércio eletrônico começou. É como se quase o comércio eletrônico lentamente dominando
o mundo físico. E você deve ter
esses controles. Então, definitivamente, dê
uma olhada nisso. Se você tem um mecanismo de comércio eletrônico que veio com mola, comece
a dar uma olhada em como você vai implementar isso. E você pode dar uma olhada no suplemento
de
comércio eletrônico do conselho do PCA. Esse também é um documento
muito bom que entra em mais detalhes. OK. O que mais são os requisitos de
MFA? Então, o MFA foi
expandido um pouco. Então, o que você chama agora, se
recebermos , era
para
acesso administrativo e remoto agora, ele
será expandido
para cobrir o acesso ao ambiente do
titular do cartão. OK. Então, mais uma coisa. Então, eles adicionaram um detalhe. Pode ser um pouco complicado. Então, o que é isso
que antes acontecia? Normalmente, na maioria das soluções de MFA você colocará seu
ID de usuário e senha, certo? Clique em Enter e, em seguida,
outra tela será exibida. Então você tem que colocar
seu código MFA certo? Agora. Tudo isso tem que
acontecer ao mesmo tempo. Portanto, não é como uma senha de ID
de usuário pela primeira vez. E então eles inserem o outro fator logo abaixo do token. Agora, eles precisam
acontecer ao mesmo tempo
e não podem dizer de
que maneira o
campo de senha do ID do usuário no token falha. Você não pode revelar
essa informação. Portanto, a maioria dos fornecedores
deveria atualizá-lo. Mas algo para se ter em mente. Outra coisa foi
finalmente uma boa visão. Então, como eu disse antes, os requisitos de senha do PCI DSS
costumavam ser como sete. Agora eles finalmente o
atualizaram para 12. Eles não deveriam ser
um problema maior. Mas se você tem alguns de seus sistemas que
precisam ser atualizados, talvez você precise alterar
a política de senha ou algo parecido.
Tenha isso em mente. Um pequeno problema é que eles mudaram, eles removeram as referências
a firewalls e roteadores. Agora eles mencionaram isso em vigor, controles
de segurança
e antimalware. Eles o tornaram
mais sincronizado com o que é a
terminologia do setor. A maioria das empresas agora
não usa uma construção de antivírus para reutilizar
algo antimalware. OK. O que mais há lá? Digitalização autenticada. Portanto, interno por meio de digitalização, agora
precisa ser autenticado. Agora, isso significa que
você pode simplesmente escanear suas portas e serviços
e chamá-lo de via scan. Então, se você tem um servidor
ou algo parecido,
geralmente o que você faz
é dar a ele um, você fornecerá o dispositivo
ou o ID de usuário e a senha. Ele fará login nessa máquina
e fará uma verificação completa. Ok, prepare-se para um relatório muito maior se você ainda
não estiver fazendo isso,
honestamente, já deveríamos estar
fazendo isso. Você sempre deve fazer a verificação
autenticada. Ok, mas se você não está e
quando você liga isso na ioga, porque agora ele vai
estar olhando, vai autenticar e realmente fazer uma varredura muito mais profunda. Muitas coisas
surgirão, Ok pessoal, então estejam prontos para começar a
fazer isso agora. Parte importante desse novo
requisito é que
as credenciais inseridas devem ser inseridas
e armazenadas com segurança. OK. Então dê uma olhada nisso. Se você tiver algo
como um cofre de senhas ou talvez possa integrar muitas
dessas soluções, elas se integram ao
Password works, você não precise
inseri-lo manualmente e guarde-o em qualquer lugar. OK. Basta ter isso em mente. Por fim, tudo bem, a maioria,
pessoalmente, na minha opinião, a maior mudança foi a introdução dos Controles
Personalizados. Então, o que costumava acontecer? Como eu disse antes, se anteriormente as empresas
não conseguissem atender aos requisitos, elas poderiam propor algo
chamado
controle compensatório e usá-lo para contornar sem
atender aos seus comentários. Por exemplo, você não pode criptografar sistema legado de dados do
titular localizado, colocar outros controles. E isso é como
mitigar esse risco. Muito tempo curioso é que eles fazem
a pergunta, certo. O auditor As empresas me
perguntaram, ok, temos uma segurança, mas não
consigo atender ao requisito
específico, mas tenho controles seguros. OK. A resposta
costumava ser boa porque você pode implementar um controle de
compensação, que é uma solução temporária até que você atenda ao requisito, até que você finalmente conserte isso. Está bem? Portanto, na versão quatro
do padrão, eles tentaram resolver
esse cenário introduzindo esse conceito de abordagem
personalizada. Então, empresas clientes que
têm segurança madura, ok? E eles têm outros controles, eles podem atender aos
requisitos de outras maneiras. Portanto, não é um
controle compensatório, é muito parecido uma maneira muito mais complexa e muito melhor de
atender aos requisitos. Está bem? Então, as coisas anteriores,
a maneira anterior de fazer isso e foi chamada
de abordagem definida. O Pci foi implementado é
chamado de abordagem definida. Agora você
terá uma seção separada chamada
abordagem personalizada, ok? E, basicamente, você vai propor um novo controle, isso significa os requisitos. Então você não está compensando você não está
compensando uma lacuna. OK. Você está colocando
um novo que está cumprindo o objetivo do PSA e
,
claro, será avaliado
pelo auditor do PCI. Essa é uma ótima
solução para empresas que não podem
atender diretamente aos requisitos, mas têm práticas maduras
de gerenciamento de riscos em vigor e têm
tecnologias inovadoras. Está bem? Como seria? É
um pouco assim. Então, a antiga que definiu a
abordagem era, bem, eu tenho um requisito de PCI
e não posso atendê-lo, então vou colocar
um controle de compensação. Estou compensando a falta de controle e sou documentário a
curto prazo. O auditor
costumava dizer, Ok, nós
aceitamos agora, talvez
depois de um ano, cinco anos, temos que
implementar alguma solução. Ok, agora, eu tenho uma
pizza que não posso atender, eu tenho um controle personalizado, eu fiz e ela atende ao objetivo
do requisito. O padrão PCI está dizendo que
esse XYZ não deve acontecer, cognitivo não deve ser roubado. Ok, estou
cumprindo o requisito e implementei isso. Portanto, você ainda pode fazer controles de
compensação, mas essas novas abordagens são maneira
muito mais estratégica de cumpri-las. Então, como eu disse,
lembre-se de que você
não está compensando a curto prazo. Agora você está implementando
uma abordagem de longo prazo para proteger adequadamente
seus requisitos de PCI. Está bem? Então é assim que o
padrão
se parece , para que eles possam dar
uma olhada nele e estilizá-lo. Você não precisa começar a
implementá-lo imediatamente. E isso pode parecer um
pouco opressor. Então, vou te dar o
conselho para esse prêmio. O que fazer sobre isso,
como focar nisso, ok? E só para deixar claro, pessoal, esse gerenciamento
e documentação são um grande foco
na nova vertente. Então, quando você está fazendo
suas atividades, você precisa fazer uma análise de risco
direcionada do motivo pelo qual você está fazendo as coisas. Você precisa ter certeza de
que eles estão assinados. Se você colocar controles
personalizados, eles precisarão
ser assinados pelo seu Diretor de Risco ou CEO. Alguém sênior, tudo bem. Isso não é algo
como eu mencionei antes. Pci DSS não é um projeto de TI. Mas no novo eles têm
muito mais ênfase nisso. Que você precisa
ter
funções e responsabilidades claramente definidas . Controles personalizados
precisam ser assinados. E a avaliação de risco direcionada
precisa ser feita. Não pense que você pode simplesmente fazer uma planilha
do Excel com
uma coluna dizendo: Eu fiz uma avaliação de risco. Não, não será
aceito assim. Como você faz isso?
21. 6 - Como se preparar: Se você conhece Michael Lumia antes sobre
avaliação de lacunas, a mesma coisa. OK. Quais são as coisas
mais importantes que se concentrar agora? Em primeiro lugar, leia a versão PCI
DSS para Standard, familiarize-se com
as maiores mudanças que podem afetar seu processo de
conformidade e, em
seguida, comece a fazer uma avaliação de
lacunas, certo? Para mim, implemente mudanças.
Liberdade condicional para entrada. Você tem tempo, começa cedo e não terá problemas durante
a conversa. Ok, não se esqueça de
continuar implementando seu padrão
atual, 3.211, mas comece a
pensar em como você fará avaliações de risco. Mais como uma avaliação de
risco mais formal é
a documentação necessária, ok? E a maioria das organizações
precisará adicionar processos e adquirir habilidades
para fazer isso corretamente. Descubra que tipo de
certificações existem. Comece a conversar com você. E o cubo, mesmo que
eles não possam realizar uma avaliação 4
agora até que tenham
sido formalmente treinados. Mas isso vai acontecer
muito, muito rapidamente. OK. Mas meio que nos
dê um conselho, mas, por favor, não
espere até 2024 para começar
a mudar para o PCI DSS para fido, espalhe seus esforços próximos anos e
você ficará bem, ok? OK. Basta lembrar dessas coisas. Até mesmo ter um
foco maior na documentação. gerenciamento de riscos direcionado começou a investir nessa árvore
e há muitas,
muitas certificações
para gerenciamento de riscos. Você pode ver essas
certificações. Não vou indicar
nenhum específico. Você pode dar uma olhada nisso. Seria uma ótima
ideia investir na obtenção de certificações
e gerenciamento de riscos. Eles não são técnicos,
mas
ensinarão as metodologias para
fazer avaliações de risco adequadas. Ok pessoal. Ok, então isso
encerra a versão 4. Espero que você entenda agora as grandes mudanças
que estão chegando, como você pode fazer isso. Parece que, como eu disse, dois anos, parece distante. Pode ser muito curto,
pode ser muito longo. Espalhe seus esforços e tenha um plano de ação adequado em vigor e você ficará
bem com isso. Ok, pessoal, espero
que tenha sido útil. Isso encerra tudo e obrigado por participar
deste treinamento. Agora vamos para
a conclusão. E neste curso, muito
obrigado por ficar
comigo durante esse período.
22. 7 - Caminho para frente: Ok pessoal, parabéns por chegarem ao final deste curso. Espero que você tenha achado interessante. Não foi chato. Tentei torná-lo o mais prático
possível e dar a você o máximo de conselhos acionáveis que pude para
o projeto da aula. Só quero lembrá-lo, lembre-se que conversamos sobre Essex. Quero que você colete um SAQ,
torne-o tão simples quanto a segurança ou qualquer pessoa para um comerciante físico no comércio eletrônico
que realmente
ensinará sobre os diferentes
padrões, diferentes departamentos. Isso lhe dará uma boa ideia de quais outros comentários
também, preencha. Deixe-me saber como você
vai fazer isso e se você enfrentar algum desafio desde que entre em contato comigo e me avise. OK. O que mais vocês podem fazer, pessoal? Você pode dar uma olhada
no programa PCI ISA, avaliador de segurança
na Internet, que é uma certificação de internista que você pode fazer pela sua empresa. torna quase
equivalente ao que nos EUA, mas você não é, você é, você não é como na usaid, você supera seu próprio auditor
interno, mas dá
a você o treinamento
completo como conduzir essas auditorias. Se você está interessado nisso,
definitivamente, qual é. Como eu disse, não
espere pela auditoria. Comece a implementar
esse conhecimento agora mesmo. E você definitivamente vai esta é a melhor maneira de reter
esse conhecimento ou dizer, uma dica acionável que eu
posso dar a você criar um documento PCI ou manual para sua empresa para o comércio eletrônico, como implementar
esses requisitos diariamente para
sua organização. E você aprenderá
muito, acredite, aprenderá muito
sobre sua empresa e como os diferentes
comentários se encaixam. E o mais importante,
comece a se opor ao PCI DSS
versão 4 é 0 hoje, não adie para o próximo
ano ou o ano seguinte, caso contrário, você
terá sérios problemas. Comece a agir hoje mesmo. Pegue o conhecimento que
lhe ensinei e apresente para sua gerência e essas são as coisas
que temos que fazer. Ok, pessoal, isso encerra tudo. Muito obrigado por
participar deste treinamento. Por favor, deixe um comentário. Se você achou que esse
treinamento foi útil, maravilhoso, por favor me avise. Se você pegou esse treinamento foi a pior coisa que
você já assistiu, por favor me avise para
que eu não fique ofendido. E vou usar isso para melhorar
seu treinamento ou fazer. Se você estiver interessado, você pode entrar em contato
comigo no meu canal, como o cara de segurança na nuvem e outros cursos que eu tenho aqui, ok, conecte-se
comigo no LinkedIn. Fico feliz em ajudá-lo
se você tiver algum problema. Ok, e isso chega ao final deste curso,
pessoal, muito obrigado. Espero que você tenha gostado desse treinamento tanto
quanto eu gostei de fazê-lo. Dê uma olhada nos meus outros cursos
e entre em contato comigo. Desejo a você tudo de melhor em sua jornada no PCI DSS e nos
vemos em outros cursos. Muito obrigado
e boa sorte.