PCI DSS Masterclass - de fundamentos para domínio | Taimur Ijlal | Skillshare
Menu
Pesquisar

Velocidade de reprodução


  • 0.5x
  • 1x (Normal)
  • 1.25x
  • 1.5x
  • 2x

PCI DSS Masterclass - de fundamentos para domínio

teacher avatar Taimur Ijlal, Cloud Security expert, teacher, blogger

Assista a este curso e milhares de outros

Tenha acesso ilimitado a todos os cursos
Oferecidos por líderes do setor e profissionais do mercado
Os temas incluem ilustração, design, fotografia e muito mais

Assista a este curso e milhares de outros

Tenha acesso ilimitado a todos os cursos
Oferecidos por líderes do setor e profissionais do mercado
Os temas incluem ilustração, design, fotografia e muito mais

Aulas neste curso

    • 1.

      Apresentação

      8:02

    • 2.

      Visão geral do PCI DSS

      6:10

    • 3.

      Estrutura padrão

      3:29

    • 4.

      Processo PCI DSS ( Fundação

      14:11

    • 5.

      Processo PCI DSS ( Implementação )

      8:01

    • 6.

      Requisito 1

      4:47

    • 7.

      Requisito 2

      4:43

    • 8.

      Requisito 3

      14:11

    • 9.

      Requisito 4

      3:34

    • 10.

      Requisito 5

      2:55

    • 11.

      Requisito 6

      6:28

    • 12.

      Requisito 7

      2:03

    • 13.

      Requisito 8

      3:30

    • 14.

      Requisito 9

      4:14

    • 15.

      Requisito 10

      2:25

    • 16.

      Requisito 11

      5:10

    • 17.

      Requisito 12

      3:25

    • 18.

      Controles compensadores

      2:25

    • 19.

      SAQ e seus tipos

      8:52

    • 20.

      PCI DSS v4 e as principais alterações

      13:18

    • 21.

      Como se preparar

      2:03

    • 22.

      Como avançar

      2:12

  • --
  • Nível iniciante
  • Nível intermediário
  • Nível avançado
  • Todos os níveis

Gerado pela comunidade

O nível é determinado pela opinião da maioria dos estudantes que avaliaram este curso. Mostramos a recomendação do professor até que sejam coletadas as respostas de pelo menos 5 estudantes.

40

Estudantes

--

Projeto

Sobre este curso

O Padrão PCI DSS é considerado o padrão ouro em todo o mundo para proteção de dados de titulares de cartões e foi implementado por milhões de organizações até hoje. Se você está interessado em dominar este padrão do zero, este curso é para você! Este curso assume conhecimento ZERO do padrão e ensina os requisitos principais e como implementar o padrão em qualquer ambiente.

Além disso, PCI DSS passou por uma grande mudança com a versão 4.0 recentemente sendo lançada. Este curso é um dos primeiros cursos do mercado a cobrir a nova versão do PCI DSS v4.0 em detalhes e os novos requisitos que estão entrando em vigor nos próximos anos.

Dê o próximo grande passo da sua carreira neste curso

Tópicos abrangidos:

· Visão geral de PCI DSS

· Estrutura PCI DSS do padrão

· Processo PCI DSS desde escopo até auditoria final

· Quais são os 12 requisitos PCI DSS

· Diferentes tipos de SAQs

· PCI DSS v4.0 e as principais alterações no padrão

· O caminho para implementar PCI DSS em seu ambiente

Além de uma visão geral completa do padrão, você vai receber conselhos acionáveis do instrutor que tem mais de uma década de implementação de PCI DSS em todo o mundo.

Conheça seu professor

Teacher Profile Image

Taimur Ijlal

Cloud Security expert, teacher, blogger

Professor
Level: Beginner

Nota do curso

As expectativas foram atingidas?
    Superou!
  • 0%
  • Sim
  • 0%
  • Um pouco
  • 0%
  • Não
  • 0%

Por que fazer parte da Skillshare?

Faça cursos premiados Skillshare Original

Cada curso possui aulas curtas e projetos práticos

Sua assinatura apoia os professores da Skillshare

Aprenda em qualquer lugar

Faça cursos em qualquer lugar com o aplicativo da Skillshare. Assista no avião, no metrô ou em qualquer lugar que funcione melhor para você, por streaming ou download.

Transcrições

1. 1 - Introdução: Olá, oi pessoal. Meu nome é femoris e sou o criador deste curso, discurso de boas-vindas que é chamado fundamentos PCI DSS para o domínio. Agora, o PCI DSS, é um dos tópicos mais quentes por aí e tem sido no passado, eu acho que 15 anos ou mais. E continuará a ser quente honestamente, desde que as transações de pagamento continuem acontecendo. Então, se você estiver interessado em aprender sobre o padrão PCI DSS do zero, este curso é definitivamente para você se você já é um especialista, quero dizer, você tem alguns como experiência na implementação de PCI DSS, então ainda é para este curso, eu ainda o recomendaria, pois será uma ótima recapitulação para você apenas revisar alguns dos conceitos básicos e obter alguns conselhos práticos. E também, abordarei as novas atualizações do padrão que está no PCI DSS versão 4. E, honestamente, não importa o quanto a tecnologia progrida, os dados do titular do cartão ainda são um dos tipos de dados mais importantes e sempre precisarão ser protegidos. Então, se você é uma pequena startup, se você é uma Fortune 500, honestamente, o padrão geralmente é aplicável a você. Esse curso. Eu o projetei especificamente para ajudar as pessoas a obter domínio sobre o padrão PCI DSS do zero, ok? Você não precisa ser um especialista em transações com cartão de crédito ou no setor de pagamentos ou mesmo um especialista em TI. OK. É baseado na minha própria experiência de nove ou dez anos e na implementação do PCI DSS. Eu o implementei em vários padrões em várias regiões geográficas. Conheço o padrão de dentro para fora do curso. Isso fará com que você entenda e domine o padrão PCI, DSS. E dá a você todo o conhecimento necessário para implementá-lo em qualquer ambiente honestamente. E eu tento me certificar de lhe dar conselhos práticos. Eu não quero aborrecê-lo e torná-lo como uma morte pelo PowerPoint. Mas eu estou apenas lendo um slide e você está tipo, eu vou tentar te dar uma, tornar isso prático possível. Quais são as principais coisas que você precisa saber? Quais são alguns dos erros que as pessoas cometem forma incrível, Vamos começar. Apenas um breve histórico sobre mim, pessoal não sei quem está ensinando este curso. Meu nome é Dan Voltage Law. OK. Eu estive em vários cargos de liderança nos últimos 20 anos, principalmente no Oriente Médio. OK. Portanto, totalizarei cerca de 20 anos e risco tecnológico. Fui responsável por supervisionar implementação do PCI DSS em seus próprios três ou quatro locais por mais de nove anos. Portanto, tenho uma experiência muito diversificada e PCI, DSS. OK. Então, atualmente, estou baseado fora de Londres. Eu sou um autor. Eu tenho, também gosto de blogar e também sou professora e instrutora, que você pode ver aqui. Também sou coach de carreira em segurança cibernética. Normalmente tento ajudar as pessoas se elas querem ter sucesso. E realmente o que ele chamou, Vá em frente lá e melhorará suas carreiras de segurança cibernética. Eu tenho um canal no YouTube chamado Cloud is cloud security guy, que você pode dar uma olhada. E geralmente falo sobre coisas relacionadas à segurança na nuvem, inteligência artificial e conselhos sobre segurança cibernética de gênero. Então, além da segurança cibernética, minha jornada tem sido altos e baixos. Ganhei vários prêmios no setor e me estabeleci no Oriente Médio por muitos anos. Também escrevi um livro sobre governança de inteligência artificial em segurança cibernética. E eu tenho mais dois livros planejados este ano. Achei que esse era um tópico que não estava recebendo cobertura suficiente. Então, pensei em fazer a minha parte para criar o máximo de consciência possível meu investimento para a indústria. Fui premiado como um visto de talento global do Reino Unido. E também ajudo as pessoas que estão se candidatando ao endosso técnico do Reino Unido. Tentei ajudá-los em seus aplicativos o máximo que pude. Então, isso é apenas uma recapitulação de quem eu sou. O que eu faço é entender quem está ensinando neste curso. Enquanto e PCI, pessoal do DSS. Então, qual é o motivo? Por que você deveria, se você está participando deste curso, obviamente, você deve ter um motivo. Pode ser parte do seu trabalho. Ou talvez sua empresa tenha decidido implementá-lo como um requisito regulamentar quando você não tem escolha, tudo o que você pode ser multado se não implementar tudo. Ou talvez uma empresa esteja apenas dizendo que é um bom padrão para implementar, é uma boa prática. Então, vamos em frente e implementamos um dos, alguns dos motivos, ok. Meus caras do pod, VR, o que ele chamou de Mudança para uma sociedade sem dinheiro, certo? As transações baseadas em cartão estão se tornando cada vez mais comuns. Podem ser terminais de ponto de venda, CashRegister, smartphones, tudo está sendo alimentado por transações sem dinheiro. E proteger essas transações é muito importante, pessoal. Se você quiser sentir, se sentir isso, se os clientes sentirem que não podem proteger seus dados, eles farão transações com você, o que destruirá seus negócios. Quero dizer, se você é um comerciante ou prestador de serviços, certo? E as pessoas não querem fazer transações com você, isso se tornou um grande problema. Portanto, é aí que entra o PCI DSS e impõe como um padrão comum em todo o mundo para a proteção dos dados de titulares de cartões. Esse padrão permanecerá aplicável enquanto você chama as pessoas fazendo transações, certo? E isso será muito importante para o futuro próximo. É uma ótima coisa ter no seu currículo é uma ótima experiência. Além disso, dependendo do setor, pode não ter escolha. Você precisa estar em conformidade se estiver armazenando, transmitindo ou gostando de processar dados do titular do cartão, o que veremos. Mas eles são, como eu disse, eles são sempre bons motivos para saber como implementar um padrão PCI DSS, que é uma das razões pelas quais eu fiz este curso. Então, o que esse curso abordará? E eu espero que você entenda agora por que você deve observar PCI, DSS, ok? E quanto a esse curso? Ou o que isso vai te ensinar? Ele vai te ensinar, em primeiro lugar, PCI DSS do zero. Não vou ler o padrão da primeira página até o final. OK. Ninguém quer isso. Sinceramente, se você quer que eu leia bala por bala, este não é o curso para você. Vou fazer você entender a intenção do, todos os requisitos. Quais são as etapas práticas para fazer isso? Você não precisa memorizar o padrão. Muitas pessoas começaram a cometer esse erro. OK. O que vou fazer é explicar como o padrão funciona e quais são as melhores maneiras de implementar. Vou me aprofundar nesses 12 requisitos, nos padrões, e examinaremos cada um em detalhes. Está bem? Vou te dar conselhos práticos, ok? Na verdade, conselhos baseados em implementações do mundo real que eu fiz. E por último, o padrão está sendo revisado, ok? As atualizações mais recentes para PCI, DSS para pontos, quais são as principais mudanças das quais você deve estar ciente? Quais são as coisas para as quais você deve estar preparado, o que você acha que deveria começar a fazer agora. Porque os dois mil e vinte e quatro vinte e cinco estão muito próximos. Parece muito distante, mas vai chegar. E você pode precisar fazer certas coisas, então eu quero ter certeza de que você está pronto para isso. OK. Para quem é esse curso? Seja você um novo funcionário com conhecimento atual limitado ou talvez um administrador de sistema experiente. Este curso ajudará você, sua organização, a se tornar compatível com PCI, DSS ou comentários. Eu fiz isso, eu projetei este curso como um guia de referência, abordando os aspectos mais desafiadores da conformidade com PCI, DSS. Então, dependendo da sua formação, cargo, a organização deixa algumas seções pode ser mais relevante do que outras, ok. Assim, você pode ser um auditor de TI que vai auditar seu ambiente em relação ao PCI DSS. Você pode ser como, eu não sei, um QSEN ISAF, pessoas que estão se preparando para os exames para PCI, DSS, você pode estar se preparando para isso. E este exemplo fornece ótimas informações sobre isso. Há algumas boas perguntas de teste, conselhos práticos, eles estão bem. Você pode ser um profissional de risco. E quem quer entender o padrão, como ele, quais são os riscos? Quais são as coisas que temos que implementar, ok? Ou você pode ser um profissional de negócios. Sua empresa pode ser um destaque para PCI, DSS e você quer entender como implementá-la. Então, essas são todas as coisas que eram as pessoas a quem ou a quem o padrão poderia ser aplicável. À medida que um projeto de classe orienta informações que você não aplica, você vai esquecê-las. Está bem? Essa tem sido minha experiência ao longo da minha vida. Se você não implementar o que está aprendendo, vai esquecer. Então, ao final deste curso, quero que você preencha em uma cidade ou entraremos em detalhes sobre SAQ para um comerciante físico ou de comércio eletrônico. Então, pense em um comerciante hipotético. Eles estão aceitando transações baseadas em cartão. Eles estão fazendo comércio eletrônico? E eu quero que você preencha e SEQ para isso realmente não ajuda você a bloqueá-lo e realmente fazer você entender como o padrão PCI DSS funciona. Então, espero ter deixado você animado para este curso e quais são as coisas que vou ensinar a você? E como você vai aprender sobre o PCI DSS. Vamos começar, pessoal. Muito obrigado por fazer este curso. E eu vou te ver na próxima seção. 2. 2 - Visão geral do PCI DSS: Ok pessoal, Bem-vindo, Bem-vindo ao primeiro módulo deste curso, que é PCI, DSS e visão geral do padrão. Mas, antes de tudo, quero ensinar a você o que o PCI DSS é provável ou não querer implementar os padrões e requisitos do PCI DSS, certo? Você não entende o que ouvimos ideias, é assim que funciona. Qual é o objetivo desse padrão, certo? Já temos muitos padrões. Por mais um. Vamos aprender sobre o PCI DSS. Do zero, eu recomendaria usar esse modelo mesmo que você tenha experiência na implementação do PCI DSS antes, porque você terá uma boa visão geral e um histórico do padrão. E vou ensinar como o padrão é estruturado e alguns dos erros comuns que vi pessoas cometerem em cerca de dez anos implementando o PCI DSS, ok? OK. Em primeiro lugar, o padrão PCI DSS, ok. Foi criado em 2006 ou oito pelas principais marcas de cartões, Visa, MasterCard, American Express, Discovery, JCB, todas elas. Por que eles fizeram isso? Simplificando, historicamente, o que costumava acontecer com todos esses esquemas de cores? Eles tinham seus próprios padrões, tinham seus próprios programas, portanto, conformidade. Então, digamos que você seja um comerciante, certo? Queremos empregar você quer aceitar cartões Visa, ok? Visa tinha seu próprio padrão que você precisa cumprir antes de poder fazê-lo, então Mastercard lá somente se você quiser aceitar MasterCard. E simplesmente com a Amazon, novamente com a American Express, estou fazendo um gesto. Então você pode entender que isso se tornou um grande problema para comerciantes e prestadores de serviços. A quantidade de tempo e dinheiro implementou padrões diferentes. Ok? Então, o que aconteceu foram todos os padrões que se juntaram e eles vão estabelecer um padrão comum. E esse padrão será aplicável a pessoas envolvidas no setor de pagamentos. Isso eliminou a necessidade de cumprir cada uma das promessas separadamente, ok? Portanto, é assim que, se você gosta de armazenar, processar transmitir esses dados, é necessário implementar o padrão para protegê-los. Com base em milhares e milhares de investigações de comerciantes que foram violados. O que foi confirmado, e se eles tivessem implementado distendido adequadamente. OK. O que você chama de que eles implementaram centrado corretamente. Isso reduziria muito o risco de serem atacados ou ficarem comprometidos. Ok, então o padrão é muito útil. Isso faz de você um 100% seguro? Não, absolutamente não. Mas é um passo de partida muito bom. Ok? Então, a quem isso se aplica? Basicamente, lembre-se de armazenar, processar ou transmitir qualquer empresa que armazene, processe processar ou transmitir qualquer empresa que armazene, processe ou transmita dados de cartão de pagamento, você é obrigado a implementar o padrão para evitar dados do titular do cartão, ok? Você pode ser um comerciante, pode ser um provedor de serviços, você pode ser um banco, você pode ser um call center. Podemos ser uma empresa de tecnologia. Não importa se você está fazendo essas três coisas. Qualquer uma das três coisas que entraremos no escopo. Quanto você precisa implementar, é aí que a diferença acontece. Mas tenha certeza de que você entrará no escopo. OK. Então, por quê? Você pode perguntar por quê, ok. Já estou seguro. Eu implementei controles e tudo isso, etc. Por que eu preciso fazer o padrão? OK. Qual é a necessidade do padrão? Simplificando, como baseado na velha coisa que os criminosos vão onde o dinheiro está bom? O mesmo. Na era digital, os comerciantes se tornaram muito prestadores de serviços, torna-se um novo alvo para atividades fraudulentas. Ok? Então você pode, pode ser sua caixa registradora, pode ser seu principal ponto de venda. Pode ser um carrinho de compras, pode ser uma rede Wi-Fi. Podem ser os PCs ou as estações de trabalho que você tem. Ok? Tornou-se um problema sério porque os atacantes sabem que até mesmo uma dessas coisas eu posso comprometer. Talvez eu tenha acesso a esses dados. Eu posso ser capaz de cometer fraude com isso. É por isso que é tão importante entender essas vulnerabilidades. Eles podem acontecer em qualquer lugar do ecossistema de processamento de cartões. Como eu disse, isso pode acontecer em dispositivos móveis, pontos de venda, pontos de acesso sem fio , onde aplicativos de compras podem ser transmitidos e podem ir, pode não estar em Miami seca, pode estar em um provedor de serviços. Pode estar em seu ambiente de nuvem. Ok, então é por isso que o PCI DSS vem e realmente ajuda você a proteger esse ambiente, realmente faz você entender o que eu tenho que fazer. O que eu não tenho que fazer? Uma outra atividade de due diligence que eu tenho que implementar. Ok? Então, definitivamente, há absolutamente 0 quando ele chamou desvantagem na implementação desse padrão. OK. É por isso que qualquer tecnologia, qualquer empresa que foi, que está processando e envolvendo transações de pagamento, eu sempre recomendo implementar um padrão PCI DSS. OK. Portanto, a linha do tempo do padrão percorreu um longo, longo caminho, honestamente. E por que foi revisado tanto porque é um documento vivo. Ele evoluiu para acompanhar o estado do comércio eletrônico e as ameaças cibernéticas mais sofisticadas. E, honestamente, como as tecnologias evoluíram em 10 a 15 anos atrás, a nuvem não era tão importante. As transações com smartphones não estavam acontecendo tanto quanto estavam acontecendo , mas não tanto. OK. Ataques para diferentes que não tinham contêineres semelhantes em Cloud e Sowell à medida que todas essas coisas surgiram, é por isso que o padrão continua mudando. Não precisamos gostar disso. Você não precisa memorizar a história e isso é apenas para sua referência. Mas saiba que ele passou por várias iterações para se manter atualizado com as tecnologias. Em 2022, a versão 4 foi lançada. Ok? E só para fazer você entender, em 2022, ele surgiu, certo. E expandiu a MFA, autenticação multifator ou suas funções e responsabilidades. E muitos novos requisitos surgiram até março de 2024. Nesse momento, o PCA, a versão antiga, que é 3.20.1, será aposentado e será completamente substituído por 4. Então você tem um pouco de tempo. E até março de 2025, os novos requisitos entrarão oficialmente em vigor. Alguns comentários opcionais, ok. Eles são baseados em projeções do Conselho de Padrões de Segurança do PCA, o órgão que mantém o padrão. Eles podem estar sujeitos a mudanças, mas a linha do tempo. Então é por isso que eu continuo recomendando isso pessoal. Se você estiver no escopo do PCI, comece a analisar os 4 requisitos hoje. Não adie isso. Ok, então essa foi uma visão geral básica do padrão. No próximo módulo, vou falar sobre a arquitetura vesicular, como o padrão é estruturado, como funciona e como é estruturado. Então, obrigado pessoal, e nos vemos no próximo módulo. 3. 2 - Estrutura padrão: Ok pessoal, então bem-vindos a este módulo que é sobre a estrutura do PCI DSS, como o padrão funciona. Simplificando, é muito simples. Tem seis escolas e 12 requisitos. As pessoas geralmente se concentram mais nos 12 ou comentários de um a k, temos que implementá-lo para nos tornarmos compatíveis com PCI DSS. Você pode estar no escopo de alguns que eu noto para pais. Mas é basicamente assim que o padrão foi estruturado é bem simples. Não é tão complicado. Então, os objetivos, esses são requisitos de etapas comuns, honestamente, alguns deles você pode olhar e dizer, Ei, tudo bem, todas essas coisas que eu já estou fazendo. Mas esse é o ponto principal. Porque o que pode parecer senso comum para você pode não ser senso comum para outros ambientes como outros provedores de serviços comerciais, eles podem dizer: Ok, eu não preciso implementar um firewall, eu não preciso fazer isso. Esse é o meu mandato afirma. Então, quais são as seis categorias básicas? Geralmente, trata-se de manter e construir uma rede segura para firewalls ou outros dispositivos. Você deve proteger os dados do titular do cartão onde quer que estejam armazenados. Você deve ter um programa de gerenciamento de vulnerabilidades para garantir que seus sistemas permaneçam seguros. OK. Algum problema surge, você está ciente disso? Devemos ter fortes medidas de controle de acesso que possam ser físicas ou lógicas. Você deveria monitorar regularmente sua rede, ok? Não presuma que sua rede esteja segura. Algo pode ter acontecido. É claro que, do ponto de vista da due diligence, você deve ter um alto nível de governança por meio de políticas e estatutos, certificando-se de que o treinamento seja, se as pessoas estão cientes de seus requisitos. OK. Então, esses são os objetivos. Os objetivos e quais são os requisitos abordarão cada um deles em detalhes, pessoal. Mas, apenas para fornecer um requisito de alto nível para manter um firewall, você deve ter uma padronização. Você deve proteger os dados do titular do cartão pela rede, protegendo-os de Albert, atualizando seus sistemas. Esses são os seis primeiros. Nos próximos seis, estamos restringindo o acesso, seja logicamente ou fisicamente, tendo credenciais exclusivas, ok. Sem compartilhamento de senhas, por favor. Ter segurança física, registrar e monitorar o que está acontecendo fazendo VN, VN PT, ok. E documente e avalie seus riscos que estão acontecendo. Então esses foram os 12 ou comentários caras. Isso pode parecer demais. Ok, 12 horas quem vai memorizar isso? Então, isso me leva ao meu, alguns dos erros comuns que as pessoas cometem quando estão implementando os requisitos. E eu quero ter certeza de que você não fará o mesmo ingresso para mim. Então, muitas vezes, alguns dos erros comuns são que eles tentam memorizar o padrão. OK. Não é necessário memorizar o padrão e os requisitos do porta-malas. Ninguém faz isso. Você não precisa fazer isso. Você pode apenas entender a intenção do recurso Comentário, ok? E depois, quando você pode implementá-lo, contanto que você entenda o que o comentário deles está basicamente pretendendo, você pode ter muitas idas e vindas com o auditor PCI e você pode satisfazer, olhe, Estou implementando o padrão, talvez XYZ não esteja implementado, mas você fez outras coisas. Analisamos isso em detalhes. Então isso me leva ao meu próximo ponto, que é outro erro que as pessoas cometem é não se envolver com o QSR antes. Se você tiver um auditor do PCI disponível, você deve se envolver com ele desde o início. Diga a eles, eu não estou fazendo isso para que eles estejam cientes. Talvez, se você estiver cometendo algum erro, possa pegá-lo desde o início. OK. A auditoria não trata isso como se você estivesse tentando esconder coisas do auditor envolvido com eles imediatamente. Então, espero que você tenha entendido como o padrão é estruturado. Quais são os principais objetivos, são os principais requisitos e quaisquer erros que você deve evitar. Então, no próximo módulo, vamos começar o processo, ok? O PCI, DSS também como um processo, não é que você possa simplesmente seguir em frente e começar a implementar os 12 requisitos de qualquer maneira. Há um processo padrão que temos que seguir e vamos nos aprofundar nisso. Se você entender que o processo PCI DSS se tornará, posso prometer que ficará mais fácil. Então, tudo bem pessoal, vamos pular para o próximo módulo. Obrigada. 4. 3 - Processo de PCI DSS ( Fundação ): Olá a todos, Bem-vindos a este módulo sobre PCI DSS, entendendo o processo. Então, uma coisa que eu quero mencionar é que muitas pessoas cometem o erro. Muitas empresas cometem o erro de terem decidido implementar o PCI DSS, o que elas fazem é pular, baixar o padrão e simplesmente seguir em frente e começar a implementá-lo, certo? Eles dizem: Ok, eu tenho que habilitar a autenticação multifator. Eu tenho que fortalecer meu servidor, eu tenho que corrigir XYZ, etc. Essa não é a maneira que você deseja iniciar o PCI DSS. Isso é se armar. Se você quiser estar em conformidade com o PCI DSS, há um processo estruturado a seguir. Você não pode simplesmente começar a implementar os requisitos imediatamente. Não vai funcionar. Você vai perder muito tempo e ser Willis the Lewis, muito dinheiro também. Então, vamos ver qual é a melhor maneira implementar PCI, DSS e ambiente? Há duas fases. Uma é fundamental, a outra é a fase de implementação. Se você fizer o trabalho duro na fase fundamental, a fase de implementação se tornará muito, muito mais fácil. A fase de implementação, mas geralmente leva mais tempo, mas é muito mais fácil porque temos uma direção firme. Ok, então quais são os passos? As principais etapas que você precisa executar para implementar com êxito o PCI DSS em seu ambiente. Ok, vamos começar. Neste módulo, vou falar sobre os fundamentos. Primeiro passo, o mais importante, e às vezes é perdido. Coleta, gerenciamento e suporte de gerenciamento. Você precisa de suporte de gerenciamento para seu PCI DSS seja bem-sucedido. Pci DSS, observe isso com muito cuidado. Não é um projeto de TI. Ele lida com pessoas, processos, tecnologias operacionais que devem ser testadas e protegidas. Não é, é um projeto, mas não é um projeto de TI. Muitas empresas, o que elas fazem é capacitar as equipes de TI para ir em frente e implementá-lo. Você pode fazer isso, mas o que vai acontecer? Ou será um fracasso ou será uma atividade única. Você estará em conformidade pelo primeiro ano, segundo ano, a TI se ocupará com outras coisas. Esqueci tudo sobre isso. Então você desperdiçou seu tempo e dinheiro. Você precisa mudar a cultura primeiro, precisamos de um patrocinador de nível gerencial, preferência o CEO ou o CEO ou alguém pode ter a sílaba. Você precisa que esse cara envie uma mensagem clara para toda a organização. Pci, DSS é uma prioridade e vamos implementá-lo e, por favor, indique as unidades da fórmula XYZ. Eles aprovarão o orçamento porque vai custar caro, você precisa implementar coisas. Não presuma que tudo será gratuito, mas realmente o suporte gerencial garante que sua equipe, todos entendam a importância disso. E você tornará sua vida consideravelmente mais fácil mais tarde. Para organizações maiores, se você quiser ter uma conformidade contínua com PCI e DSS, ela precisa de uma cultura muito forte de colaboração, comunicação e comprometimento da liderança executiva. Por favor, não siga este passo. Indique um patrocinador executivo que aprovará o orçamento e quem aprovará, para quem você enviará as atualizações do seu projeto. Ei pessoal, esse é o status do PCI DSS. Então, faça disso um projeto, mas não faça um projeto de TI. Você pode executá-lo a partir do seu departamento de risco, seja qual for o departamento que você tiver. Mas não faça disso um projeto de TI e certifique-se de ter suporte gerencial, ok? OK. Segundo passo. Qual é o segundo passo para a fase fundamental? É entender suas responsabilidades, mas o que você é? Você é um comerciante, seu provedor de serviços, IU ou banco. OK. Porque você tem diferentes processos, tecnologias, coisas que estão no escopo, ok? Você ficará interessado, tenho certeza de que saberá que está no PCI, DSS ou não. Mas você precisa descobrir que tipo de negócio você está fazendo. Será que o comércio eletrônico é um ponto de venda, isso é terceirização? Então, geralmente eu recomendo entrar em contato com sua carreira. Pode ser um banco, pode ser um esquema de cartão como Visa, MasterCard e pergunte a eles, estou fazendo XYZ, o que devo fazer para me tornar compatível com PCI DSS? Por que eu digo isso? Porque o Conselho PCA, eles disseram lá embaixo, eles estabeleceram o PCR Standards Council branco, mas cada pagamento novo Visa, MasterCard, eles têm o seu próprio. Eles estão validando isso. Portanto, você deve entrar em contato com as marcas de pagamento ou com o banco adquirente. OK. Isso lhe dará um claro o que ele chamou de tom para quê? Você tem que fazer. Uma auditoria completa, você tem que preencher um questionário, tem que enviar um escaneamento da Esri, essas coisas que você pode descobrir seus sites ou você mesmo pode contatá-los. Eu recomendaria fazer as duas coisas apenas para garantir que não haja ambigüidade. E mais tarde, você não se surpreende com algum uso como um cometa que surge de repente e você não está ciente. OK. Então esse é o número dois. Qual é o número de terceiros? Terceira parte. Então você entrou em contato com o banco de pagamento ou com o adquirente. Agora você descobre qual é a sua obrigação de conformidade. É um questionário de autoavaliação ou como uma auditoria completa? Desculpa. Cq. O primeiro, o SAQ, é como uma validação para o questionário Lisa. O que você faz é preencher você mesmo. Você não precisa ter mais ninguém para fazer isso. Você pode fazer isso sozinho. OK. Se você não for obrigado a fazer uma auditoria completa, basta preencher um SAQ. É uma série de perguntas de sim ou não para cada PCI, DSS ou comentários, basta preenchê-lo 111, assiná-lo e depois enviá-lo como um dado. Essa é uma das maneiras mais fáceis de passar uma auditoria de PC. OK. Então é exatamente o que parece. É um questionário de autoavaliação. Você pode preenchê-lo sozinho e ele basicamente dirá, esta é minha postura atual de conformidade. Ninguém vai verificar isso. Que seu trabalho e você tem que ser sincero, por favor, não leve isso longe. Você precisa ser sincero, mas ninguém vai verificar se você realmente pode fazer com que sua equipe de auditoria faça o check-in. Essa é a primeira parte. Ou você pode estar sujeito a uma auditoria completa, que é que o pagamento que Granville pediu por conformidade importante e também um atestado de conformidade, que é um EOC que é basicamente uma auditoria completa. Você precisará entrar em contato com sua redação Q. Você precisará se envolver com a empresa, que é como todo o Reino Unido, EUA discutirá isso mais tarde. Eles chamam um avaliador de segurança qualificado. OK. Basicamente, eles tinham uma auditoria do PCI DSS. Eles farão uma auditoria completa. Eles irão avaliar seu ambiente e dizer: Ok, isso é satisfatório e lhe dará um relatório de que automóvel civil completo submetido à sua faixa de pagamento ao seu banco. OK. Mas este é mais difícil, mas eu geralmente recomendo fazer a auditoria completa apenas para ter certeza que é sempre melhor ter um terceiro entrando e verificando. Ok? Então, essas são as duas obrigações de conformidade que você pode ter. OK. Então, agora entendemos que, ok, eu tenho que fazer conformidade com o PCA. E agora o que eu faço? Um passo muito, muito importante que é, por favor, não pule. Isso está definindo o escopo. Muitas organizações têm algum amido. Eles fizeram essa pergunta, ok, onde eu implemento ideias de PCA é, se eu tiver 12 filiais em, eu não sei, 50 países e 5 mil funcionários precisam evitar IDSs de PC e cada um dos eles? Não. Então, como eu disse, seu escopo é basicamente onde quer que esteja armazenando, processando, transmitindo o ambiente de dados do titular do cartão. Isso é muito difícil de implementar PCI, DSS. Muitas organizações que têm problemas para descobrir quais sistemas são ideia de escopo do NPC e quais não são. OK. Para isso, eu recomendaria o documento do conjunto de dados. Vou tentar tocá-lo se puder, é chamado de PCI, DSS scoping e suplemento de segmentação Netflix. OK. Acho que saiu em maio de 2017. Ele realmente fornece orientação para identificar quais sistemas precisam estar no escopo, quais sistemas não estão no escopo e como você pode realmente reduzir seu escopo por meio da segmentação. Pessoal muito importante, você precisa entender seu ambiente de negócios, especialmente como os sistemas estão interagindo com os dados do titular do cartão. meio do titular do cartão, os dados estão sendo armazenados e entraremos nisso. Mas você precisa realmente se sentar com sua empresa. Não se sente apenas com o pessoal de TI, sente-se com sua empresa, porque todo o fluxo de dados do titular do cartão, você precisa implementar seus controles além disso. E essas são as pessoas, os processos e a tecnologia nos quais os 12º requisitos do PCI serão implementados. Ok, então o que, que conselho no escopo é um tópico muito importante vai levar meu tempo nisso. Então, o que vem no escopo do PCS? Você precisa primeiro listar, listar e confirmar todos os sistemas conectados que são como processar, armazenar ou transmitir dados do titular do cartão. OK. Existem algumas orientações que o presente do conselho simplesmente colocou, qualquer sistema que armazene processos transmitidos dados do titular do cartão ou dados confidenciais, ou qualquer sistema que esteja na mesma rede os tenha. Isso é bem simples. Eu acho que isso é muito lógico, certo? E o que funciona bem, além disso, qualquer sistema que os esteja fornecendo, que esteja conectado a eles ou fornecendo segurança. OK. Então, o que isso pode ser? Certo, um sistema pode ser conectado diretamente à sua caudal e ramificado por meio de conectividade de rede interna. Ou pode estar indiretamente conectado, talvez como uma conexão de servidor de salto. Ou isso pode afetar a segurança do seu ambiente fundamental. Talvez seja um servidor web, um servidor DNS, ou talvez seja um servidor que esteja fornecendo segurança, como epóxi de filtragem de tráfego de rede. Talvez esteja distribuindo patches, logon único ou talvez seja um firewall que está segmentando o ambiente on-line do seu cartão dos outros. OK. Seus firewalls são configurados para bloquear semáforos que entrarão no escopo. Ou está suportando PCI, DSS ou comentários, talvez servidor de horário, sua solução SIM. Ok? Então, esse olhar para este diagrama. Isso vai te ajudar a descobrir, ok? E, claro, você pode entender que isso parece ok, tipo de coisa gerenciada, muito sistema, o escopo. Como você reduz o escopo do PCI DSS, ok, existem coisas que você pode fazer para realmente reduzir o escopo do PCI DSS em seu ambiente. E o mais importante é a segmentação. Sem segmentação, sua rede se torna como uma rede plana. O que isso significa? Isso significa que tudo está na mesma rede. OK. Seu ambiente caudal, seus sistemas de segurança, seu cartão de gramado, sistemas mais antigos que não têm nada a ver. Mas você é titular do cartão. Todos eles são da mesma rede. E o que acontece é que, se um dos sistemas estiver comprometido, talvez seu laptop fique comprometido com a conexão com a Internet. Agora, o invasor pode simplesmente pular desse servidor para o seu ambiente caudal. Sem, por causa disso achatado, tudo estará no escopo. É por isso que você precisa segmentar sua rede. E impede o sistema fora do escopo. Então você vai segmentar seu ambiente não relacionado ao titular do cartão do ambiente do titular do cartão , ok? E o que ele faz é impedir que esses sistemas falem uns com os outros. E mesmo que esse ambiente não causal seja comprometido, porque não será tão seguro, não afetará o ambiente do titular do cartão, certo? Mesmo que um invasor entre nesse documento, não tenha acesso ao ambiente do titular do cartão. Ok? É por isso que dificulta a migração do invasor do ponto de entrada. Talvez fosse como um laptop ou estação de trabalho para outros sistemas. OK. Então, geralmente o que as pessoas fazem, elas usam firewalls para segmentação ou você pode criar zonas dentro de suas fibras. E vamos dar uma olhada em como isso acontece. Então, apenas uma integral simples em azul. É assim que uma rede de voos típica se parecerá, pessoal. Então isso parece muito instituto. Você tem sua rede, certo? Os servidores, seus midas, heterolíticos, seus desktops, suas máquinas de ponto de venda. Todos eles se conectaram a um firewall no mesmo firewall e se conectaram à Internet. Então você pode ver que acabei de dizer que isso é como um pesadelo esperando para acontecer. Um deles fica como uma praia por um agressor. Ele pode acessar praticamente tudo o que você pode pular de lá para o ambiente do titular do cartão. Essa não é a maneira de fazer isso. Então, o que temos que fazer, pessoal? Criamos algo chamado rede segmentada. Então, o que fazemos é criar um segmento dentro das zonas verdes, dentro do firewall. E nós o dividimos em redes menores, como rede Cardano, como uma rede de plantão não se conecta como uma rede comercial. E você coloca firewalls ou outros dispositivos entre eles. Isso restringe a conectividade deles. É assim que um segmento e ele se parecerão. Então, mesmo que um ambiente seja comprometido, você não pode pular para o outro ambiente, ok? Como você tem outros controles, segmentação pode ser complicada, especialmente se você não tem formação técnica, ok? Por isso, eu sempre recomendaria que sua equipe de rede verificasse isso novamente. Eles só têm seu cara de risco são os caras da segurança. Verifique, verifique novamente toda a sua segmentação. E você pode, nós vamos investigar isso. Como verificamos se a segmentação foi feita corretamente? Mas espero que tenham entendido, pessoal, por que é tão importante. E agora você pode ver como isso vai diminuir o escopo da sua rede PCI DSS, certo? Você terá dentro e fora do escopo. E só para ser bem claro pessoal, algumas conversas engraçadas sobre fora do escopo. Então, estamos falando sobre sistemas. Eles não estão no escopo do PCI DSS, então você não precisa implementar o PCI DSS lá. Mas então eles não terão acesso ao ambiente caudal. Mas se eles fizerem isso, então você tem que implementar o PCA, ok? Você precisa ter controles como eu mencionei, segmentação e outras coisas para impedir que eles obtenham acesso. Então, dentro do console do PCA, eles deram algumas orientações. Eles dizem essas outras coisas para que não possam processar os dados do titular do cartão. Não pode estar na mesma rede, não pode conectar você e você simplesmente não gosta de praticamente nada. Se fizer isso para ser considerado fora do escopo, ele precisa satisfazer toda essa área cinzenta e você precisa ter controles em vigor para fornecer ao auditor a garantia de que, por exemplo, você não pode simplesmente mudar isso amanhã, certo? Você não pode simplesmente colocar essa métrica na mesma rede. Você precisa ter outros controles, como firewalls, controles de acesso físico, autenticação multifator, restrição do acesso de administrador ou monitoramento ativo dessa métrica para garantir que não haja rede conectividade. Ok? E geralmente pessoal, uma coisa que eu recomendo, e não é popular. Por que não é necessário implementar PCI, DSS, um otoscópio. Mas eu sempre recomendo que você possa implementar consistentemente sombra não será auditado, mas é apenas uma prática recomendada de segurança porque o PCI, DSS é um padrão de controle tão bom, você deve implementá-lo em redes fora do escopo também. Ok? Então é assim que parece, uma rede típica. Ok, era disso que eu estava falando quando mencionei. Então vocês podem ver aqui pessoal, você tem como um ambiente Caligula no canto superior direito, você tem uma máquina de ponto de venda, seus sistemas de coordenadas. Ele está conectado a serviços compartilhados, como território ártico, lote, exploração madeireira. Há um servidor de salto e você tem uma rede de escopo externo, então não há conectividade entre o CDE, a linha corporativa, ok. Há uma conectividade entre os serviços compartilhados e isso. Mas você entende que não há conectividade direta. Se houvesse alguma conectividade direta, ela definitivamente se tornaria no escopo. Então, use isso como uma orientação de alto nível sobre como você deseja segmentar sua rede. Ok, então é disso que eu estava falando, segmentação. É como uma arte. Honestamente falando, ele muda dependendo do tamanho da rede, dependendo de quanto controle você tem, quantas soluções técnicas você tem, quão boa é sua equipe de rede? E eu só recomendo que você entre em contato com seu auditor antes, mostre a eles o diagrama de rede antes e depois de como você vai segmentar , obter a orientação deles. Não presuma que eles não estão lá para ajudá-lo. Eles não estão lá para falhar na auditoria. Eles estão lá como parceiros. Nós vamos te ajudar. Então, entre em contato com eles. Isso vai lhe poupar muitos problemas mais tarde. Espero que isso tenha sido útil para vocês e isso tenha completado nossa fase fundamental. Então, vamos passar para a fase de implementação agora. Obrigada. 5. 3 - Processo de PCI DSS ( Implementação ): Olá pessoal, Bem-vindos a este módulo, que é a segunda parte do processo PCI DSS. Agora terminamos a parte fundamental ali mesmo. Vou falar sobre a parte de implementação, que é muito importante. Agora. Você fez a base, estabeleceu todas as noções básicas. Agora, começa a diversão, que é, na verdade, implementar PCI DSS em seu ambiente. Está bem? Portanto, uma das principais coisas que você fará se ainda não tiver feito isso seria envolver o Reino Unido, EUA. Basicamente, o avaliador de segurança qualificado. É uma designação que o conselho do PCA dá a certas pessoas, então definitivamente elas estão qualificadas para realizar agora serviços de suspense e consultoria do PCI e auditorias. Para se tornar um PCR, você precisa atender a certos recombinantes educacionais para obter uma certificação e receber treinamento apropriado do conselho do PCA. E então você vai ser contratado por uma particular como eu tenho segurança e auditoria. E geralmente eles precisam ser certificados anualmente. Eles convidaram a hierarquia dos EUA. É um terceiro independente organizações que desejam competir aqui, em conformidade com o DSS. OK. E eles querem ter certeza de que virão e farão a auditoria. Eles o aconselharão sobre como se tornar compatível com PCI DSS. O que durante a auditoria de pré-venda, o QSIF determinará se sua organização atendeu satisfatoriamente aos comentários adicionais do PCF, The Directory, ou talvez você não tenha importado, mas você colocou outros controles, são controles de compensação. Se isso for suficiente, ele preencherá um ROC e um relatório sobre conformidade, que é como um relatório grosso, e uma AUC que é um atestado de conformidade. Você e ele um barco, eu posso designar isso. Em seguida, você o enviará ao seu esquema de pagamento ou seu banco para verificação. Basicamente, os três SQS como seu amigo não estão lá para fazer você falhar. Você já é Zai para ajudá-lo. Se ele lhe der muitas observações, acredite em mim, é em seu próprio benefício garantir que elas sejam corrigidas. OK. Muitas pessoas querem apenas passar em uma auditoria de PC e acabar com isso. OK. Eles sentem que fizeram seu trabalho Não. Interaja com eles. entender quais são os requisitos, por que ele está fazendo isso. Tratado como um parceiro. OK. Trate-o como um parceiro para que você possa atender totalmente aos requisitos do PCI DSS. Ok, então agora você pode chegar ao Kiva, digamos que todo o trabalho fundamental que fizemos agora você pode ter o escopo. Você segmentou fora da rede. Agora você pode começar a trabalhar na implementação dos requisitos do PCI DSS. Vamos falar sobre isso em detalhes na próxima seção. Então, eu não vou perder muito tempo com isso. Basicamente, eles são operacionais e técnicos. Sempre o foco está na proteção dos dados do titular do cartão. Temos seis categorias e 12 ou comentários e vou entrar em detalhes sobre isso. Mas o PCL ou o QS dizem que geralmente entra e ele faz um filamentar como uma auditoria de lacunas. OK. E ele lhe dá suas descobertas. Então isso é o que parece. Sou a primeira vez, posso garantir. primeira vez, você faz uma auditoria de lacunas , você vai ficar muito deprimido ao ver as descobertas. Serão muitas e muitas descobertas virão porque não importa quanta base você tenha feito, todas essas coisas que você não sabia. Você encontrará os dados do titular do cartão claros na maioria dos lugares que acontecem com todos. Isso se baseia na minha própria experiência de fazer PCR nos últimos dez anos. OK. Mas haverá muitas e muitas lacunas. Não se preocupe, é uma viagem, não um destino. Então, você fará um plano de ação com uma longa lista de itens e começará a trabalhar nisso. Está bem? Implemente vitórias rápidas. Haverá coisas que você pode implementar imediatamente. Comece a trabalhar neles e obtenha atualizações regulares, o QSEN, e depois concentre-se nos longos. Foi aqui que eu lhe disse, lembre-se de onde você está e qual é o estado desejado. Muitas empresas têm as palavras-chave para fazer isso. Você também pode fazer isso sozinho, a propósito, apenas para avisar ou pode ter uma empresa completamente independente, como uma empresa separada dos EUA. Algumas grandes empresas, eu sei que fizeram isso assim, ok. Além disso. Então, depende totalmente de você como você faz isso. Está bem? Mas, como eu disse, concentre-se nas telas rápidas e então você terá essas descobertas. Vai levar algum tempo. É aqui que o suporte gerencial, sobre o qual falei, vai ser difícil. Porque se o CEO, o CEO está ajudando você, acredite, as coisas vão se mexer. Caso contrário, outros departamentos têm outras prioridades. Eles têm outras coisas no dia do prato não o trabalho deles não é fazer o PCI DSS. Você receberá muito apoio se se envolver com o suporte gerencial desde o início . Vamos supor que você tenha feito isso. Você conserta todas as lacunas. Agora o que? Agora vem a parte final, que é a auditoria final. Antes da final, você pode testar o CQ. OK. Corrija tudo, entre e vamos fazer a auditoria final antes que isso aconteça, reunir sua documentação e suas políticas de segurança, seus acordos de controle de alterações, relatórios de verificação de diagramas de rede, documentação, treinamento sobre e sobre. OK. Garante que todas as partes interessadas estejam alinhadas e prontas. Não presuma que eles simplesmente largarão tudo e virão para suas reuniões, porque geralmente o QSEN precisa ter reuniões agendadas, reservar todo mundo no calendário, colocar e ter certeza que eles compreendam a importância desse cronograma, os relatórios que ele faz com que sua gerência sênior também esteja envolvida, e as pessoas-chave de TI, aplicativos de segurança, recursos humanos , jurídico, todos Esses caras estão lá. Hábitos como uma espécie de equipe, você pode criar uma força-tarefa para o PCA e pode fazer uma força-tarefa para o PCA e com que as empresas de lobby de empréstimos às vezes façam isso. Pessoal, por favor, reservem tempo suficiente para remediar as descobertas. Se o seu prazo de conformidade com o PCI for 15 de maio, não ligue para o auditor e 14 de maio, por favor, não presuma que eles querem encontrar coisas. Você pode encontrar algo completamente inesperado. Tenha um buffer de duas semanas, um mês provavelmente depende do seu ambiente para garantir que, caso haja algumas descobertas completamente inesperadas, você tenha tempo suficiente para remediar eles. Agora. Parabéns. Você possivelmente disse auditoria. O auditor preencherá o relatório sobre conformidade ROC ou conformidade decisão ou você pode não precisar disso com meus dígitos preenchendo um questionário de autoavaliação. E você não precisava do QSR. Os relatórios são o mecanismo oficial pelo qual você, como comerciante ou prestador de serviços ou banco, relata sua conformidade com o PCI à sua instituição financeira como um pagamento com a marca Visa, MasterCard. E às vezes você pode precisar enviar um relatório SEQ sobre conformidade. Às vezes, você pode até precisar enviar um Stan. OK. Isso realmente depende. Como eu disse, depende de como é feito. Às vezes, você também pode precisar enviar trimestralmente históricos de verificação de rede. Podemos discutir o decilitro. Realmente depende do pagamento quando é difícil fornecer apenas um tamanho único para cada ambiente. Está bem? OK. E agora você passa no PCR que você enviou. O que foi agora? Pessoal muito importante, por favor, você precisa implementar o PCA como um processo BAU para garantir que os controles de segurança continuem a ser implementados corretamente, você precisa corrigi-lo em seus processos BAU como parte de sua estratégia geral, como colocá-lo dentro dos outros departamentos, manuais operacionais, seu técnico que disse isso? Não, eles sabem que isso é algo que você tem que fazer. Coloque-o em seu próprio calendário, os padrões que você precisa fazer, as avaliações, eles têm que fazer o anúncio. Essa é uma maneira de monitorar a eficácia de seus controles e isso vai se manter. Então, mesmo que você esteja lá, você não está lá, alguém entra, talvez você esteja de licença. Todo mundo sabe o que tem que fazer. Está bem? Assim, você pode monitorar seus controles de segurança para ter certeza de que, se algo estiver falhando, talvez uma verificação esteja passando um quarto não esteja passando no outro trimestre. Se você tem algum tipo de calendário, esse é um ótimo mecanismo para saber o quão consistentemente o PCI DSS está indo se você está passando por varreduras a cada trimestre, controladores de disco amadurecem agora. Portanto, certifique-se de implementar como parte de um BAU. Não se esqueça disso e, em seguida, dê uma palestra para acordar, repente tenho que fazer esse negócio. Então é assim que basicamente você implementa o PCI DSS em seu ambiente, pessoal, como eu disse, é um processo vivo. Ele continua mudando, continua evoluindo. O primeiro ano será difícil. No segundo dia, você se verá melhorando. No terceiro ano, você pode enfrentar alguns desafios enormes. Continue melhorando o escopo. Mantenha apenas, acho que com o auditor mude seus auditores regularmente. Não confie no mesmo auditor nos próximos dez anos. Essa não é uma boa prática. Continue adicionando coisas novas ao seu ambiente e você definitivamente verá seu ambiente amadurecendo, ficará mais fácil. E você realmente começará a aproveitar todo o processo de se tornar compatível com o PCA. Ok pessoal, então isso completa o processo BCR um. Agora vamos nos aprofundar no padrão e nos requisitos sobre os quais falei anteriormente. Vejo você no próximo módulo. Obrigada. 6. 4 - Requisito 1: Oi pessoal. Bem-vindo a este módulo no qual vamos nos aprofundar nos requisitos do PCI. Anteriormente, estávamos falando sobre o processo, sobre o padrão em si. Agora eles vão se aprofundar em cada um dos requisitos de testes, ok? Como mencionei, não vou passar por cima de cada linha de cada requisito. Ninguém quer comer para fazer isso. Que você pode fazer sozinho falando honestamente, o principal é que você deve entender a intenção por trás de cada requisito e tentar atender a isso. O Pca é um padrão técnico. Concordado. Mas isso lhe dá muito espaço de manobra. Então, vamos começar com o primeiro comentário e vamos ver. E lembre-se, você sempre pode entrar em contato com seu celular. Então, se você está confuso sobre qualquer requisito, trate-o como um parceiro de segurança. Ok, então vamos começar com o primeiro requisito que é instalar e manter um firewall. Só para recapitular, se você se lembra de um propósito de fibra, o objetivo principal de um firewall. Por que você coloca um firewall aqui? É filtrar tráfego potencialmente prejudicial, é a primeira linha de defesa. E simplesmente instalar uma rede de fibra não a torna segura, certo? Portanto, se sua fibra não estiver configurada e mantida adequadamente e a eficácia não for segura no estado padrão. Em resumo, o que estou dizendo é que um firewall configurado corretamente será a primeira linha de defesa bloqueará o acesso indesejado à rede. Você vai querer colocá-lo entre sua rede, seus sistemas e a Internet também dentro de sua rede de portadores e suas outras redes também. Ok, então você vai precisar de várias fibras. Geralmente é assim que eles fazem. E o firewall geralmente é quando você faz sua segmentação, você também cria suas zonas. Então, quando o auditor entrar, ele vai verificar se descobre que você não revisou seu firewall nos últimos dois anos, isso vai ser um problema. Se ele perceber que seu firewall ainda está usando as senhas padrão, como um acesso total aberto à Internet. Nada disso vai causar problemas para você. Só para recapitular, falamos sobre isso antes, lembra como a segmentação funciona, certo? Portanto, suas regras e novo ambiente mudarão com o tempo. Não vai ser estático. Portanto, você garantirá que a segmentação esteja lá e seja revisada a cada seis meses. Mínimo. Pelo menos a cada seis meses você tem que revisar sua fibra, perdê-la mantida como uma documentação, ter um relatório lá que comprove que você realmente revisou o firewall. Cujos caras se lembram disso? Caso contrário, o auditor não terá como saber se você está fazendo isso ou não. E quais são as principais ações. Então, como eu mencionei antes, um erro comum, um erro muito, muito comum que as pessoas cometem é assumir que o firewall é como uma tecnologia plug and play de bomba. Depois de instalá-lo, quase sempre é necessário um esforço adicional para restringir o acesso e proteger o ambiente de dados do titular do cartão. Veja que o objetivo final do firewall é filtrar o tráfego da Internet potencialmente prejudicial e outras redes não confiáveis. Então, se você estivesse trabalhando no comércio eletrônico, o firewall estaria lá entre sua Internet e seu ambiente mimado, certo? Então você precisa, é aqui que o escopo e todo o trabalho duro que fizemos antes Isso vai entrar. Então você vai se certificar de que todas essas coisas estão lá. Você vai ter uma regra de negação. Você vai ter uma unidade de filtragem de pacotes de tubos. Sempre que você abre uma porta, eles precisam reprocessar a abertura da unidade IK para cima. Isso foi verificado pelas equipes, não foi verificado. Se apenas uma pessoa está fazendo isso, ninguém está olhando para isso. OK. Lembre-se de que você precisa protegê-lo. Qualquer tráfego de entrada e saída do ambiente caudal. Você precisa ter padrões para seus firewalls, o que é permitido, o que não é permitido, e você precisa ter algum tipo de revisão acontecendo. Obviamente, ninguém vai revisar seu firewall ou roubar ninguém. Honestamente, nem é possível. Mas geralmente o que as pessoas fazem é garantir que tudo seja inócuo e frâncio. E são alertas configurados. E tipo, como você chama alguém que está monitorando isso. OK. Se você gerar um relatório, acho que geralmente vem como trezentas, quinhentas regras surgirão em um ambiente pequeno. Portanto, isso não é nem remotamente prático, mas o auditor vai verificar a IU certificando-se de que seu firewall não é apenas algo que você coloca uma vez e esquece tudo sobre ele. Eles são como avaliações acontecendo, padrões estão acontecendo. Está sendo revisado, monitorado e colocado corretamente. Então, ele vai olhar para onde estão as impressões digitais, o diagrama da rede de fibra também. Portanto, mantenha essas coisas em mente e o quilômetro de fibra é bem direto, acho que honestamente dentro do seu corpo chama de momento de segurança. É engraçado. É uma daquelas coisas que deveriam estar lá de qualquer maneira. Mas a diferença entre o PCA é quanto esforço eles colocam tanto foco e portas, as revisões regulares e sua devida diligência acontecendo. Executar uma regra de segurança é tudo o que é necessário para comprometer seu ambiente de firewall. Então, tudo o que eu tenho esse conceito de confiança, mas verifico porque o firewall garante que eles estejam configurados por qualquer motivo e é uma perpetuidade, o tráfego está bloqueado. OK. Certifique-se de ter fibras pessoais também em seus laptops e PCAs, suas plataformas móveis. OK. Portanto, não é apenas um firewall corporativo, certifique-se de que a segurança do firewall seja aplicada de forma consistente em toda a sua rede. Então é basicamente isso. É uma identificação direta ou comente e você pode olhar para o padrão para ver quais são os detalhes, como negação. E uma das coisas que deveriam estar acontecendo, apenas certifique-se de que essas regras estejam lá. E você está revisando e monitorando sua atividade de firewall. 7. 4 - Requisito 2: Olá a todos, Bem-vindo a este requisito. Neste requisito, vamos fazer sobre o segundo, que é padrões de configuração e basicamente endurecimento e padronização, padronizando o ambiente do titular do cartão. Se eu lhe dissesse uma palavra para descrever isso, ou duas palavras para descrever esse requisito. Podem ser configurações padrão. Tradicionalmente, qualquer dispositivo ou, seu roteador ou firewall, seu servidor, ele vem com certas configurações inseguras padrão, certo? Portanto, o PCM exige que tenhamos certeza de que eles estão. Eles não permanecem em suas configurações padrão e são protegidos independentemente do que você estiver colocando em seu ambiente Caldwell. Ele foi protegido de seu padrão. Cenário. A maneira mais fácil de um hacker acessar sua rede interna. Senhas ou explorações padrão secas certificadas com base nas configurações padrão, configurações software em sua infraestrutura de cartão de pagamento. Você não acreditaria nisso. Já vi muitas vezes comerciantes, eles não alteram as senhas padrão das máquinas de ponto de venda ou das caixas registradoras. É como se você tivesse uma loja e a tivesse deixado destrancada à noite. Está bem? Portanto, na grande maioria das vezes , são senhas e configurações padrão para dispositivos de rede. Eles são amplamente conhecidos na Internet. Essas informações são fornecidas com algumas ferramentas disponíveis gratuitamente. Eles podem dar aos invasores acesso não autorizado ao seu ambiente com muita facilidade. Você pode protegê-lo o quanto quiser. Você pode colocar quantos seguidores quiser. Mas se você fizer isso, eu não coloquei em movimento essas configurações padrão do que você deixou a janela aberta. Você trancou a porta, mas deixou a janela aberta. Então, quais são os pontos-chave? Como você garante que as senhas padrão em configurações diferentes sejam reforçadas após a instalação? Você está usando essa senha padrão, 123 MVC, você sabe, as senhas padrão. Existe um processo presente que o auditor analisará se há algo presente com o qual você possa fortalecer seu IO padrão caindo em algum padrão. OK. Você sabe que todos os sistemas que têm um inventário, como uma forma automatizada de descobrir quantos sulistas existem. E se você tiver tipo, você deveria ter 50 servidores, mas na verdade temos 100 servidores e os 50 restantes, eles não são realmente seguros. Como você saberia sobre isso? OK. Nos padrões, o valor presente cai em todos os padrões da indústria. Então, essas são as coisas que você precisa ter em mente. Quais são as principais ações a serem tomadas? A consistência é a principal coisa aqui. Se você tirar alguma coisa desse padrão, é consistência. Então, uma vez que você não tem um servidor e você faz, você tem que facilitar, supondo que você criou um padrão difícil, certo? Você diz que eu vou seguir o benchmark CIS. Está bem? Você tem que se candidatar a todos os ambientes e da maneira consistente com o cliente. Então, depois de configurar o sistema e ter certeza de que tudo está lá. Você tem outro trabalho a fazer, certo? Você precisa se certificar de que esse inventário esteja atualizado. Na verdade, está mapeando para o ambiente. Muitas vezes as pessoas usam algum tipo de sistema automatizado. Ninguém vai fazer isso manualmente. Está bem? Dessa forma, se houver algum sistema, sistema no ambiente caudal que não seja aprovado para uso. Pode ser descoberto, espere. Eu costumo usar algum tipo de software de gerenciamento de sistema para ajudar a obter esse inventário. Eles podem relatar sobre o hardware que está sendo usado ou o software que está lá. E à medida que novos dispositivos estão sendo comprados on-line, eles podem impor padrões, ok. O administrador receberá um alerta se o seu sistema não estiver em conformidade com seu padrão interno. Normalmente, muitas vezes eu vi uma empresa usando ferramentas. OK. Portanto, você precisa ter uma maneira segura de gerenciar o ambiente e o inventário de tudo, todo o hardware e software e padrões de configuração documentados. Você não precisa fazê-los do zero, use algo como o benchmark CIS, ok? E você precisa ter uma maneira segura de acessar seus sistemas. Garante que todo o padrão seja removido. Como você faz isso? Há muitas ferramentas disponíveis, ok. Normalmente, parece com isso. OK. Então, se você abrir um servidor, um firewall ou um aparelho em qualquer cidade ou estado, sua equipe fará algum endurecimento. Eles vão fazer algumas varreduras. Eles vão ver o relatório. Isso vai dizer a eles, ok. Não está endurecido de acordo com o benchmark CIS. Essa senha está lá, essas coisas estão lá. Todas essas coisas são configurações de senha que não estão lá. Você sabe, a parte básica da complexidade das configurações de senha e todas essas coisas. Não existem aqueles que o administrador vai fazer o trabalho e eles vão endurecê-lo. Como você impõe isso de forma consistente? Normalmente, as pessoas usam algo como uma imagem dourada ou têm algum tipo de script, alterna tudo. E, além disso, eles têm uma varredura que está acontecendo de forma consistente. Essa verificação está acontecendo e verificando se há alguma não conformidade. Portanto, você deve ter essas ferramentas em seu ambiente. O auditor vai dar uma olhada nisso e se certificar de descobrir se há algum desvio em relação aos seus padrões, ok, você deve ter um processo para resolver isso. Portanto, certifique-se de que essas coisas estão, acabamos de dizer, lembre-se de que não há configurações padrão ou endurecimento e padronização e um processo de monitoramento para estar lá para garantir que tudo esteja padronizado em seu ambiente de portador de cartão. Ok, eu obviamente isso é bem simples. Tenho certeza que você pode estar pensando que isso já está lá. Bem, se já estiver lá, formalize-o e veja os requisitos se houver algo que você não tenha significado. OK. Obrigado pessoal. Vejo você no próximo vídeo. 8. 4 - Requisito 3: Olá a todos, Bem-vindos a este módulo. Agora, este é possivelmente o requisito mais importante para PCI DSS, muitas vezes, quando as pessoas falam sobre o PCI DSS, elas estão falando sobre esse requisito específico apenas porque basicamente captura o que o PCI DSS como n. É uma daquelas coisas únicas que o PCI DSS tem. OK. E eu estou falando sobre a proteção dos dados do titular do cartão. Não me lembro do que eu disse antes sobre não memorizar nenhum requisito. Não se aplica a este. Você definitivamente deve conhecer esse requisito de dentro para fora porque é aqui o auditor se concentrará mais. OK. É aqui que, se você errar e não seguir corretamente, poderá falhar na auditoria. Então isso é muito, muito importante. Então, quando falamos sobre dados do titular do cartão, basicamente estamos falando qualquer informação impressa, transmitida ou armazenada em um cartão de pagamento, ok? Se você gosta de aceitar cartões de pagamento e espera proteger esses dados, sejam eles impressos ou armazenados em um banco de dados ou rede pública interna, ou talvez em uma nuvem. Assim, as partes essenciais sabem onde você está armazenando esses dados e o que você não precisa para não armazená-los. E tenha alguma maneira de descobrir onde você está armazenando esses dados. Você não quer que o auditor o encontre. Você quer descobrir por si mesmo, ok? Então, essas são as coisas. Portanto, PCI, DSS é muito, muito claro sobre o que você pode e não pode armazenar. E você deve saber o que está armazenando, onde está armazenando, como está armazenando para ter certeza de que está caindo nos padrões PCI DSS. Então, só para dar uma olhada, quando você fala sobre carnaval, os elementos, do que estamos falando? Há algo chamado número da conta, o número do titular do cartão, basicamente a panela que vamos chamá-lo, Esse é um número de 16 dígitos. Temos coisas como o nome do titular do cartão, a data de validade, o código de serviço. Na parte de trás, você precisa rastrear os dados, os dados da tarja magnética e o código CVD que pode usar para transações de comércio eletrônico. Basicamente, quando você está armazenando esses dados , eles precisam ser protegidos. Em seguida, você armazena estava mostrando esses dados. Ele tem que ser protegido quando você estiver imprimindo o Delta, ele deve ser protegido. O problema geralmente surge quando as pessoas, sem saber, acabam distorcendo e não protegendo esses dados, que é onde entra a grande maioria dos problemas. Então, o que o PECSA e vê como o que deve ser armazenado? Ok? Em primeiro lugar, então ele divide os dados em dois elementos, ok? Você está falando sobre dados do titular do cartão e dados confidenciais de autenticação. OK. Então, seu pan, você é o código do serviço de exploração do nome do titular do cartão, ou seja, dados do titular do cartão. Você pode armazená-lo, mas precisa protegê-lo. E o outro que é dados de autenticação confidenciais, como os dados, o código CVD, o pino e o bloco de pinos, o pino, o pino que você insere quando está fazendo uma transação que é dados de autenticação confidenciais ou SAD, não os armazene. Caso contrário, você não precisa armazená-lo depois que a transação for autorizada. OK. Então, na grande maioria das vezes, aqueles grandes compromissos que aconteceram, pessoas mal-intencionadas, eles podem, eles descobrem que esses dados estão sendo armazenados e os usam para reproduzir seu cartão e conduzir um transações fraudulentas. O código CPP é que você percebe que o código de três dígitos que você usa para transações de comércio eletrônico cartão não apresenta transações. Portanto, o bloco de pinos é, obviamente, o pino que você está usando. Torna-se um bloco de pinos. Ele é criptografado. Mas mesmo que, mesmo que seja criptografado, você não pode armazená-lo, pessoal, para lembrar disso, acho que coisas que você pode armazenar se produzir. Então eu acho que coisas que você não pode armazenar, ok? E essa é a principal coisa que você deve ter em mente se estiver armazenando o nome Guardiola e você chama se estiver armazenando a panela, você precisa criptografá-la. Ou, possivelmente, se você está mostrando , você tem que fazer outras coisas. Então eu vou, o que eu vou fazer é porque eles têm muitas, muitas maneiras de fazer isso. O que você chama de protegê-lo. Em seguida, você está armazenando quando está mostrando, quando está imprimindo. Eu quero ir um por um. Quais são as etapas que o PCA lhe diz? Então, em primeiro lugar, é mascarar ou mascarar vídeos geralmente quando você os exibe em telas ou recibos de impressões. Não deve ser confundido com os outros requisitos, como armazenamento, ok? Então, quando você está mostrando na tela, quando você está na vertical e essa pessoa não tem a necessidade de vê-lo. Ok? Então, o que você pode fazer é mascarar a panela, basicamente, você pode XXX como os números dos cartões são. Além disso, você obtém o máximo. Você pode nos mostrar os primeiros seis e os últimos quatro. Tudo o mais que você pode simplesmente mascarar. Então você pode ver que este é o tanque de armazenamento. Quando está sendo compartilhado na tela você pode mascote completamente, ok, não estamos falando sobre como os dados são armazenados. Estamos falando sobre quando está sendo exibido. OK. Quando as telas do computador de Missy e quando não há necessidade comercial de ver toda a panela, às vezes como seus agentes de call center ou outras pessoas, elas podem ter uma boa ideia para ver a panorâmica completa, Ok, você precisa documentar isso. Mas nove vezes fora das coisas que você não precisa. Ok? Portanto, basicamente, concedendo certos dígitos durante a exibição, até mesmo um feriado, independentemente de como a panela está sendo armazenada, você pode mascarar o sabor. Ok, então o primeiro passo é mascarar. Descubra para onde você vai precisar mascarar isso. E, na verdade, o mascaramento deve ser o padrão apenas com alguém que tenha um requisito comercial. Se o seu sistema tiver a capacidade de mascará-lo, eu apenas o ligo de maneira geral depois que você verificar com a empresa. OK. Então esse foi o primeiro que está mascarando. O segundo inverso é o truncamento. Você também pode truncar os dados ao armazená-los. O truncamento é semelhante ao mascaramento, mas aí você não usa XXX nossos dados, simplesmente descartamos esses dígitos. Então você pode ver aqui, este é um número completo de panela. E quando você está armazenando em um banco de dados, você poderia simplesmente descartá-lo, ok? Então, basicamente, torna o cartão ilegível. Removendo um segmento desses dados. E geralmente é usado, eu o vi sendo usado em bancos de dados e arquivos. Portanto, mesmo que um invasor consiga acessar esse dia, ele não poderá fazer nada porque esses dígitos foram removidos. Às vezes, as empresas também podem usar isso como um método. Isso é mais sobre o armazenamento, ok? Ok, o que mais há? Você pode fazer hashing de uma maneira. Então você está armazenando dados. O que é o hash unidirecional? É como um processo criptográfico. Ele pega seus dados e os converte em um tipo diferente de string. Então, toda vez que você fizer isso em uma panela, ele mostrará um resultado diferente. Por que você chama isso de hash unidirecional? Porque ainda é reversível. Então você não pode obter essa vertical do hash. Você não pode recuperar o número do cartão. Ok? Então, muitas vezes as pessoas o usam para verificar se os dados foram modificados ou não, mas você também pode usá-los para armazená-los, ok? Então, basicamente, você está criando um hash unidirecional irreversível de seus dados. Depende de você se quiser usar esse processo. Eu vi isso sendo usado. Lembre-se de que você não pode voltar atrás daquele hash. Você não pode usá-lo para transações futuras, ok? Porque esses dados estão sendo irreversivelmente alterados. Como às vezes precisamos de doces que você não precisa armazenar, como você faz, não é necessário mascarar. Não é apenas para truncamento e você não precisa desses dados, você pode armazená-los como um hash. Essa é a única maneira possível. Então, nós conversamos sobre truncamento pessoal só para voltar. Então isso era caucasiano. Quando você está armazenando, isso é hash. Agora você sabe a diferença. Uma coisa muito, muito importante, pessoal. Você não pode armazenar versões truncadas e com hash do mesmo cartão de pagamento. Ambiente caudal da Virgínia. Ok? Porque o que acontece é que eles podem ser correlacionados. O que quero dizer com isso? Se o invasor tiver acesso, o que você chama para o truncado e essa banda e as versões com hash do número do registro, ele pode realmente recuperar o plano original com base nesses dois dados. Portanto, ao armazená-lo em bancos de dados e arquivos simples como planilhas ou talvez como logs de auditoria de backup, talvez seja necessário protegê-lo e não armazená-los juntos. OK. Ele era um dos dois, mas não os guarde juntos. Muitas pessoas que eu vi às vezes esquecem esse requisito e o truncamento e o hash estão sendo feitos ao mesmo tempo. Por favor, não faça isso. Ok, o que mais tem lá? Tokenização. A tokenização é um processo muito simples. O que acontece é que às vezes você vê que quando você faz hash, você o trunca. O formato de 16 dígitos muda, certo? Não é mais um número de 16 dígitos. A tokenização é um processo que substitui o número original do cartão. Outro número de 16 dígitos. Isso também é chamado de token. O token pode parecer um número legítimo do titular do cartão, mas não é, não tem valor para um invasor. Ok? Então, geralmente o que acontece é que isso é reversível, então você pode fazer tokenize que você tem algo chamado token volt. Então, com o formulário desse token, você pode voltar, recuperar o número do cartão original, ok, você pode recuperá-lo. Então, a tokenização, geralmente eu já vi, está sendo usada quando as pessoas querem apenas armazenar dados do titular do cartão, do titular do cartão para transações futuras. Mas eles querem ter certeza de que é seguro e não querem que esse formato seja alterado. Então, quero dizer, você pode, existem várias maneiras de fazer isso. Você pode fazer isso na panela. Você pode gerá-lo aleatoriamente. Você pode ter um token, um token vault sendo criado, que são os dados de tokenização e tokenização de D. Existem várias maneiras de fazer isso. Basta entender o token que ele preserva o armazenamento, formate o pan de 16 dígitos e você pode revertê-lo para que ele possa tokenizá-lo e tokenizá-lo. Às vezes, seus bancos de dados podem armazenar grandes quantidades de dados que sairiam se você estivesse fazendo hash e precisassem de um número de 16 dígitos. Portanto, a tokenização ajuda você. A tokenização também às vezes eu vou até mesmo tirá-la do escopo. Mas há muito trabalho a ser feito em torno disso. Portanto, essa é a diferença básica entre tokenização e outras funções. Por fim, está a criptografia, que é a coisa mais comum. A criptografia é um pouco semelhante à tokenização pois o Japão está sendo substituído por outros dados que não têm valor. Mas a criptografia é um pouco diferente porque, antes de tudo, ela não preserva o formato original. E ele usa um gerenciador de chaves como uma parede com uma chave criptográfica. E ele usa como um gerenciador de chaves porque seu filho usa uma chave e um algoritmo para gerar um número enorme, que você não pode recuperar o número do cartão original desses dados. Ok? Então, normalmente, o tamanho dos dados aumenta como se não preservasse o formato original. Então, depende realmente de você o que você quer usar. Algumas pessoas preferem a tokenização porque desejam restaurar esse formato nos 16 dígitos de algumas pessoas preferem a criptografia. Geralmente depende dos requisitos da sua empresa. Só sei de uma coisa. Falei sobre uma chave como se você precisasse de uma chave para criptografar esses dados. Então essa chave, você tem que criptografar essa chave também com outra chave, e você tem que armazená-la separadamente. É como se você pudesse se referir ao requisito. Basta saber que quando você criptografa dados, os dados de um titular de cartão, você tem que criptografá-los com uma chave e você tem que proteger essa chave também, você tem que criptografar essa chave novamente. Então, lembrem-se que quando você está falando sobre criptografia, eu sei que é um bilhete de loteria pessoal. Basta passar por isso, revisá-lo e lentamente, lentamente, você começa a entendê-lo. Você não precisa implementar todas essas coisas são números que você pode simplesmente se contentar com criptografia hash ou tokenização. Basta conhecer esses diferentes departamentos. Ok? Então você fala sobre, como eu me lembro, eu falei sobre encontrar nossos dados. Portanto, você precisa revisar suas fontes de dados para garantir que o NADH armazene os dados do titular do cartão não criptografados. Você não tem nenhum dado de autenticação confidencial. Veja seus registros de transações, os dados da transação, seu rastreamento. Tente como você sabe, às vezes as pessoas ativam o rastreamento para solucionar problemas. Muitas vezes isso começa a armazenar dados não criptografados, ok. Veja seus esquemas de banco de dados. Os esquemas podem mostrar se há algum número de cartão lá. OK. Veja seus backups, todos arquivos de despejo de memória existentes. OK. Seu DLP, muitas e muitas coisas são, eles estão apenas começando pela esquerda. Você pode examinar seus terminais de pagamento, esteja dominando ou truncando todos os dados que você está armazenando quaisquer dados confidenciais de autenticação. Você não está armazenando nenhum dado indeterminado. Veja suas telas e relatórios. OK. Existe alguém que precise visualizar dados, dados do titular do cartão, se não, apenas musselina truncada nos relatórios, pode usar essa extremidade, esses dados desolados. E se você conseguir aguentar? OK. E se alguém tiver acesso remoto, eles podem destacar esses dados. Temos algum controle DLP? E quanto a bancos de dados e armazenamento? OK. Então, quando você está armazenando esses dados, temos uma criptografia de prótons lá? Há algum dado de autenticação confidencial? Normalmente as pessoas, o que elas fazem é ter algum tipo de ferramenta que verifica os bancos de dados e faz com que eles relatem. Você não pode fazer isso manualmente. Haverá milhões de registros, você não pode fazer isso manualmente. E por último, compartilhamento de arquivos. Muitas vezes, compartilhamentos de arquivos ou um ponto cego. As pessoas não sabem que os funcionários estão colocando dados do titular do cartão em planilhas do Excel ou o que ele chamou arquivos simples e eles não sabem disso e de repente fazendo a auditoria, surge. Portanto, verifique se você está escaneando esses também e certifique-se de que não possa ser exfiltrado. Essas outras coisas, pessoal, eu passei mais tempo nisso porque isso é muito, muito importante saber. Então, ações-chave. Descubra os primeiros dados do titular do cartão de vídeo não é apenas usar o método técnico, falar com as pessoas também, desenhar o diagrama de dados do titular do cartão. Acompanhe sua empresa e descubra qual é o fluxo de dados desde o ponto em que os dados são capturados, o titular do cartão até o momento em que são autorizados e armazenados. OK. Assim, você o encontrará em bancos de dados, compartilhamentos de arquivos e até mesmo e-mails, você o encontrará como provedores terceirizados em nuvem. E por último, eu quero falar sobre, ok, se você não pode implementar o controle soviético PCA? Quero ter isso em mente. Falaremos sobre algo chamado controles de compensação mais tarde. Então isso é algo que você deve ter em mente. E se você não puder criptografar porque é um aplicativo legado, certo? Então, o que você vai fazer isso? Então, isso é algo que eu quero que você tenha em mente. OK. Para isso, você precisa ter uma política de retenção de dados. Talvez você não precise interromper os dados do titular do cartão após 30 dias, ok. Basta excluí-lo, então não há necessidade de mantê-lo. Você deve ter um diagrama de fluxo de dados. O auditor perguntará: como você descobre, antes de tudo, onde seus dados estão armazenados? Temos algum tipo de ferramenta que verifica regularmente seus servidores, bancos de dados, laptops e pessoas mais importantes, por favor, não armazene dados de autenticação confidenciais. Depois que a autorização do seu cartão for concluída. Remova seu caminhão para dados ou MOOC. Não paramos em blocos mascarando pinheiros nos recebimentos dos clientes. E se você estiver armazenando, as informações do titular do cartão, então mascote ou truncado ou segurança para criptografia. Certifique-se de que os bancos de dados ou o armazenamento deles sejam acessados pelo menor número possível de pessoas. OK. Então esse era o requisito, pessoal. Espero que não tenha sido demais. Basta levar o seu tempo, ir para o padrão. O principal é descobrir onde estão os dados do titular do cartão e protegidos de acordo. Em seguida, não armazene dados, a menos que você não precise deles. Então, basta passar por esse modelo mais uma vez. Ele será revisado. Então você tem uma ideia melhor disso e faz anotações e depois tenta implementá-lo dentro do ambiente deles. Eu posso te garantir. Se você estiver no ramo de cartões, encontrará dados do titular do cartão onde não esperava encontrá-los. Isso é uma coisa comum. Não se assuste com isso. Apenas certifique-se de ter um processo para remediar isso daqui para frente. Ok, pessoal, vejo vocês na próxima seção agora. Espero que você tenha uma ideia melhor agora e nos vemos no próximo módulo. 9. 4 - Requisito 4: Olá pessoal, Bem-vindos a este módulo. Este módulo é relativamente curto. É bem simples, que é proteger dados, redes abertas e públicas. Isso é bem simples. Acho que sim. Acho que não preciso explicar muito isso, mas calculá-lo. Quero dizer, se você está enviando por uma rede aberta e pública, você tem dois criptografados, certo? Você não quer que as pessoas apenas olhem para esses dados. Isso o enviará para um processador de terceiros, talvez backups, talvez pela nuvem. E o mais importante, os cibercriminosos talvez possam interceptar essa transmissão pelos dados do Guardiola. Portanto, é importante colocar em controle a criptografia deles pode usá-la. Você pode colocar qualquer criptografia usando uma unidade criptográfica forte TLS e todos esses outros controles. Você pode ter terminais de ponto de venda, que enviam dados pela Internet ou sem fio ou GPRS. Você tem criptografia sobre isso, sobre seus violinistas e outras tecnologias celulares. OK. E quanto às mensagens? Como e-mail, mensagens instantâneas, SMS, bate-papo. Você também pode enviar dados do titular do cartão com isso. Então você precisa colocar políticas, você precisa colocar em controles como DLP. Portanto, é muito, muito importante ter essas coisas. Há uma mistura de controles técnicos e operacionais. Você pode pensar que é muito simples, mas acredite em mim, especialmente se você estiver usando terminais de ponto de venda, muitas vezes o que acontece são terminais de ponto de venda usam versões antigas do TLS, TLS 1.1, e não estamos usando as versões mais recentes, como 1.21.3. Você precisa ter certeza de que tem um plano para migrá-los. Basta criar os diagramas de fluxo de dados sobre os quais falamos anteriormente em três comuns, você saberá a data do cardo que está vindo da NBC sendo enviada para fora. Quero ter certeza de que está criptografado. Ao ser enviado por redes públicas abertas. Você não quer ter certeza de que essa criptografia ou eles estão tendo uma política interna não enviar números de cartão claros por SMS, por chat, por equipes do Slack. Por favor, não tenha isso. Ok? Você deseja verificar seus terminais de ponto de venda para garantir que eles estejam criptografando de forma adequada. Se você não os estiver mantendo, peça a um fornecedor que entre em contato o fornecedor e certifique-se de que esses terminais de ponto de venda não sejam suscetíveis a nenhuma exploração conhecida, como vulnerabilidades padrão. Normalmente, é o fornecedor que diz que você pode fazer seus próprios testes. Além disso. Muitas vezes o que essas empresas fazem, elas garantem que seus terminais de ponto de venda já estejam certificados pelo PCI DSS. Você pode verificar o número modal. Você pode ir ao site e realmente colocar a argamassa lombar, colocar essa versão e ver onde há certificado de estilo de vida geralmente é chamado de transação rosa PDF Standard. E acho que há mais um padrão, mas você pode conferir no site deles. Ele informará imediatamente se este dispositivo é seguro ou não está certificando dados de acordo com o padrão PCI DSS. Isso é praticamente o que é. Vocês se certificam de ter um inventário de todos os seus dados que estão enviando para fora. Muitas vezes são os terminais de ponto de venda. Certifique-se de ter controle sobre as mensagens do usuário final, como e-mails, folga, o que quer que esteja usando. Esses controles precisam estar lá para evitar que os dados do titular do cartão sejam enviados pela rede pública aberta. Ok, isso encerra esta seção em particular. E, por fim, certifique-se de que você não está usando o TLS 1, desabilite todos esses protocolos inseguros. Você não quer usar essas implementações iniciais de SSL e TLS porque isso é muito fácil de comprometer. Não é considerado seguro. Portanto, verifique com seu ponto de venda quando o fornecedor do ponto de BI e tenha algum tipo de plano. Se você descobrir que seus dispositivos de ponto de venda o estão usando, você precisa ter um plano de mitigação de riscos e um plano de migração deixando-o nos próximos 12 meses ou 18 meses, eu vou para migrar tudo para o TLS 1.2 porque acredite em mim, o auditor vai perguntar isso a você. Ok, isso encerra tudo, pessoal. Vejo você no próximo módulo. Obrigada. 10. 4 - Requisito 5: Olá pessoal, Bem-vindo a esta seção. Esse requisito é, eu acho que distribuído mais fácil para você, que é falar sobre se você não tiver isso, então há apenas um problema maior do que não ser certificado pelo PCI DSS. Esse requisito lida com antivírus, antimalware que precisa ser instalado em todos os sistemas comumente afetados por malware. Você precisa ter certeza de que tem uma solução antivírus lá, que está lá, que tudo dentro do ambiente cardinal, você quer ter certeza de que está lá. Está regularmente em pé, é regularmente atualizado. E você deve ter um processo para descobrir se há algum novo ataque acontecendo. Como você descobrirá se há uma exploração de dia zero acontecendo ou se algum malware está afetando repentinamente todos os sistemas? Você tem algum tipo de maneira de descobrir o que está acontecendo, quais são os alertas chegando, ok. Portanto, certifique-se geralmente de um PCSS que implemente antimalware em sistemas que são comumente afetados. As pessoas acham que é no Windows, mas você deve colocá-lo no Linux também, muitos dos sabores de servidor Linux que estão lá, eles suportam antimalware. Certifique-se de que esteja lá. Não fique com preguiça no Linux. E certifique-se de ter implementado antimalware em todos os aspectos. Você está escaneando. E o que acontece. Muitas vezes as pessoas gostam de colocar um antimalware, mas se um alerta vier, ninguém está olhando para ele. Ok? Então, você quer ter certeza de que esses alertas estão indo para algum lugar, de alguma forma realmente tomando uma ação com base nesse alerta, para que essa janela de compromisso precise ser muito curta. Essas coisas garantem que seus anticorpos estejam atualizados e enviem alertas. Ok, não presuma nada aqui. Como eu disse, os pontos-chave são implantar antivírus em sistemas comumente afetados e sistemas não comumente afetados também, por favor, pessoal, se você tiver algum tipo de Linux ou alguma outra coisa, se houver a possibilidade de implementar antimalware, por favor, implante. Não fique com preguiça, ok, certifique-se de que está sendo atualizado se configurado para escanear automaticamente e, se algo acontecer, esses alertas estão indo para algum lugar. OK. Sua definição deve ser atual. Ele não deve ser capaz para o seu administrador de TI mas não pode simplesmente desativar o antivírus branco, certifique-se de que haja uma segregação de funções lá. E você deve se certificar de algum tipo de prática que, quando você os chama para avaliar regularmente os sistemas, como talvez você tenha um antigo sistema legado AS 424, a HP em tandem não pare todos esses sistemas antigos que muitas pessoas não usam mais. Mas tem algum tipo de avaliação de risco regulatório sendo feita para descobrir se há algum alerta do setor saindo. Talvez tenha surgido algum novo vírus recentemente que você não conhece, e está afetando esses sistemas. Portanto, certifique-se de que esses controles estejam lá e que estejam documentados, que eles possam dar ao auditor essa garantia, como nós dissemos que você tem um processo morto e que você está indo muito além. Ok? Você está olhando para as tendências do setor e está colocando em controles que precisam estar lá. Portanto, esse é um padrão muito fácil de cumprir. Eu não acho que nenhuma dificuldade deveria estar lá. Normalmente, pessoas que enfrentam problemas quando estão olhando para esses sistemas legados. Mas, além disso, acho que deve ser simples de implementar. Obrigado pessoal. Vejo você no próximo módulo. 11. 4 - Requisito 6: Olá a todos, bem-vindos a esta lição. E na visão VHDL, estamos na metade do array para empinar e seis, que está desenvolvendo e mantendo sistemas seguros. Ok? E esse é um daqueles departamentos que muitas pessoas odeiam porque tem a ver com patches. Novamente. Acho que ninguém gosta de aplicar patches, mas, infelizmente, é uma parte obrigatória de qualquer sistema de segurança. E você precisa, você precisa ter um sistema pronto para corrigir sistemas vulneráveis. Por que você faz isso? É bem simples, certo? Vulnerabilidades de segurança em sistemas e aplicativos. Eles podem permitir que criminosos ignorem os controles e acessem os dados do titular do cartão. A maioria dessas vulnerabilidades pode ser eliminada com a instalação de patches de segurança. Quando eles forneceram patches, fomos da Microsoft ou de seu fornecedor terceirizado. E é como se ele se conectasse à brecha de segurança e ao que chamamos de Asper PCIe. Todos os sistemas críticos, eles precisam ter os patches de software lançados recentemente instalados, acho que é o mais rápido possível dentro de 30 dias. E outros você pode fazer isso em 90 dias, mas essa é realmente uma das coisas mais difíceis de realizar . Você pode entender o porquê. Como os servidores críticos, os servidores são muito críticos e você não pode simplesmente ter o tempo de inatividade acontecendo. E, ao mesmo tempo, você tem atacantes que são pagos, possivelmente explorando isso. E se torna mais perigoso quando não é. Uma coisa interessante. Então, como você precisa ter um processo de gerenciamento de patches muito forte para implementar patches de segurança críticos, pessoal, é um dos mais difíceis e mais importantes para comentários e PCI. Ok? Então, o que você tem que fazer? Bem, você precisa garantir que as políticas de gerenciamento de patches em vigor e tenham um processo. Como você sabe que alguns patches críticos chegam? Você precisa ter isso também um processo de gerenciamento de mudanças para quaisquer mudanças químicas. Como você sabe que suas alterações não estão introduzindo novos problemas de segurança, certo? E como mencionei, tenha um mês, um mês, o que chamamos de instalação lá. Às vezes, as empresas não conseguem atender. Você precisa tê-lo além de outros controles de compensação em vigor. Você precisa ter um sistema para aplicar patches rapidamente, implantar patches no ambiente de teste e, em seguida, implementá-los na produção. É muito, muito difícil de se encontrar, eu sei, mas é algo da sua postura de segurança. Pci, DSS pode realmente ajudá-lo aqui porque as equipes de TI e TI às vezes podem ficar preguiçosas quando se trata implementar patches e o PCI DSS realmente o ajudará aqui. E isso ajudará você a incentivar as equipes de tecnologia a implementar patches o mais rápido possível. Isso é mais do ponto de vista do sistema operacional. Isso se aplica a aplicativos. Além disso, você terá patches no nível do aplicativo chegando. Mas do lado da aplicação, os requisitos seis introduzem algumas coisas novas que eu preciso você esteja disponível sobre a compreensão. O que eles são. Então, quando você desenvolve aplicativos, pessoal, seus desenvolvedores, eles precisam ter treinamento sobre vulnerabilidades de segurança de aplicativos com as quais você estará familiarizado, certo? É provável que seja um padrão comum para segurança de aplicativos. Eles devem ser treinados sobre quais são essas vulnerabilidades. Ao mesmo tempo, seu código-fonte deve ser revisado. Além disso. Você deve ter algum tipo de coisa no lugar que, na verdade, está revisando seu código, informando se há novas vulnerabilidades aqui e seu desenvolvimento e drama, não pode ter nenhuma dados do titular do cartão. Às vezes, as pessoas fazem isso para testes. Eles colocaram o ambiente Guardiola em testes ou UAT ou algo parecido, por favor. Você não pode absolutamente não ter a coisa acontecendo. OK. E então, quando você muda para a produção, o dia Raman deve ser um processo adequado de gerenciamento de mudanças lá. Se for como um aplicativo voltado para a Internet , você precisa mitigar. Como você atenua esse risco? Você pode ter um aplicativo da web como um teste de caneta acontecendo, ok? Como um acontecimento abstrato, que se eu deixar você saber se há alguma vulnerabilidade ou se você pode ter um firewall de aplicativo da web, você sabe, tenho certeza de que você deve estar ciente disso. Idealmente, eu recomendaria os dois. Não acredito que um substitua o outro. Você deve ter um vav e você não deve ter um teste de segurança de aplicativo acontecendo morre. Então, todos eles trabalham juntos. Você precisa entender, você está fazendo revisão de código, seus desenvolvedores de treinamento e técnicas de gravação seguras para CCA. Você está se certificando de que não há cartilagem, há dados além de testes ou UAT. Você está garantindo que o gerenciamento adequado da cadeia esteja lá. E então você tem uma verificação de aplicativo da web e aplica o acoplamento. Então, tudo isso realmente ajudou a mitigar o risco de algum problema acontecer alguém, você sabe, como as vulnerabilidades comuns no nível do aplicativo existem, certo? Mas tudo isso, se você implementá-los adequadamente, eles realmente ajudam muito mitigar os riscos de segurança de aplicativos. E eles realmente ajudaram a melhorar sua postura de segurança. OK. Seguindo em frente pessoal. Então, quais são as principais ações que existem? Só para lembrar, você deve ter fórmulas de política de segurança de aplicativos e distribuídas aos seus desenvolvedores. Você deve ter um treinamento de codificação seguro acontecendo e uma revisão de código. Algo que permite que você saiba se há código inseguro e não permite que ele se propague para a produção. Você pode usar ferramentas comerciais comuns que realmente ajudam os desenvolvedores. Você também pode ter uma ferramenta de código aberto. Em terceiro lugar, como você sabe se há uma panela no ambiente de desenvolvimento? Você precisa estender sua digitalização para lá. Você precisa ter certeza de que não há máscara Somente ou como uma interrompida ou nem mesmo criptografada. Você só domina truncados ou gosta de números completamente lá. O ambiente de desenvolvimento. Como mencionei, você deve ter um Web Application Firewall luxuoso Web Application Firewall e um teste de caneta de segurança de aplicativos acontecendo. E, claro, o gerenciamento da cadeia. Portanto, lembre-se de que a segurança de aplicativos nunca será perfeita, certo? Eles nunca serão um momento para dizer agora que a segurança do meu aplicativo se tornou perfeita. Eu posso parar com isso. Não, não. É por isso que você precisa continuar refinando esse processo. É preciso apenas uma brecha de segurança para o invasor entrar e comprometer seu ambiente, certo? Então, patches e segurança de aplicativos, todos eles, mas juntos. Esse é um dos mais difíceis de comentar, mas tem um dos maiores benefícios para sua postura de segurança se você implementou corretamente. Então eu espero que você tenha entendido agora, Como tudo isso funciona junto, como eu disse, tenho certeza que você encontrará em aplicativos secretos, você encontrará versões antigas do Windows que não podem ser corrigidas. Então você precisa levar isso em consideração. Remova-os do seu ambiente atual ou coloque outros controles. Eles sempre fazem isso. Muitas vezes eu vi aplicativos que estão sendo executados em aplicativos legados antigos. Talvez você possa visualizá-lo, você pode conteinerizá-lo. Você pode colocar alguns, em algum tipo de Citrix, algo que é encapsulado, definido ou remove o dia. Muitas maneiras de fazer isso chegam aos seus EUA e tenho certeza que ele o ajudará. Mas apenas certifique-se de que você está ciente dessas vulnerabilidades e elas não o pegam em um vaso, ok. Ok, pessoal, vou passar para o próximo recompromisso. Obrigada. E te vejo na próxima lição. 12. 4 - Requisito 7: Olá pessoal, Bem-vindos a esta lição. Esse é um deles mais fácil de comentar, especialmente depois do último. E isso tem a ver com restringir o acesso, ok? Basicamente, se você está seguindo o princípio do menor privilégio, se você não está seguindo, você deveria segui-lo. Mas se você adicioná-los, isso se torna fácil porque seus danos na cartilagem são muito sensíveis. Você deve ter algo como um controle de acesso baseado em função, o que garante que apenas as pessoas que têm um requisito legítimo de visualizar os dados do titular do cartão estejam fazendo isso corretamente. Você não quer que suas contas de usuário avançadas que não tenham nenhum motivo para examinar os dados do titular do cartão, elas estão chegando. Portanto, o PCA requer uma lista atualizada, como uma matriz de controle de acesso baseada em função. Tenho certeza que você terá essa matriz, certo? Você deveria ter isso. O auditor vai aceitar. Essa lista não tem cada função. Qual é o papel a que tipo de coisas que tem acesso, qual é o privilégio atual, é realmente necessário? Então, com base nisso, você deve certificar isso regularmente, certo? Você deveria ver se a TI tem acesso, eu não sei, como os programadores têm acesso à produção, certo? acesso administrativo do sistema ao gravador de banco de dados de aplicativos, eles deveriam ter esse direito? Então, essas coisas que você precisa, você precisa documentá-las e formalizá-las. Além disso, você precisa ter avaliações regulares acontecendo. Então, sim, é disso que precisamos. Quais são as principais ações são políticas escritas para todos, como detalhes de controles de acesso, controle de acesso documentado. Você deve mapeá-lo para a classificação do cargo, certo? Então, se houver um administrador de segurança de rede, você não deve ter acesso ao seu banco de dados de produção, certo? Por que você precisaria ter acesso a isso? Faz com que todas essas palavras em público devam ser definidas como o menor privilégio, essa é a coisa chave aqui. E você deve ter uma política detalhada por escrito apenas esses crescimentos terão acesso aos dados do titular do cartão. Somente o administrador do banco de dados pode ter acesso de leitura ao banco de dados e a todas essas coisas. Isso realmente ajudará você e você deve tê-los regularmente em uma base trimestral, diariamente, certifique-se de que eles estão sendo revisados e recertificados por todos os usuários. Portanto, essa é uma economia bem simples de se fazer. Muitas empresas viram que já têm algum tipo de coisa em vigor, seja manual ou automatizada. Portanto, você só precisa formalizá-lo para o ambiente do seu titular do cartão. Isso encerra tudo para esse requisito. Vamos passar para o próximo. 13. 4 - Requisito 8: Olá pessoal, Bem-vindos a esta aula em particular. E esse é um dos requisitos , mais uma vez, bastante fáceis de atender se você já está seguindo uma boa higiene de segurança, que está usando potenciais UniqueID. Portanto, o PCS afirma que boas credenciais básicas, como seu analisador, devemos mudar a cada 90 dias, o que deve ter duração e complexidade. Anteriormente costumava ter sete personagens agora eles finalmente o atualizaram. Mas se você estiver usando algo como Active Directory ou um logon único, geralmente eles aplicam uma política de senha forte. Você não quer ter uma senha que possa ser facilmente quebrada por um hacker para ferramentas automatizadas, certo? Como o poder da computação continua aumentando a cada ano, poder da computação está ficando cada vez mais poderoso. forçamento bruto está se tornando cada vez mais fácil. Portanto, você precisa ter senhas complexas, tornando muito, muito difícil para um invasor comprometê-las. Ok? Você não quer ter nomes de usuário padrão, não tem administrador ou KPIs levando ele que eu ainda vejo essas pessoas usando algumas coisas muito básicas. Portanto, você não quer que essas coisas possam ser facilmente quebradas por meio de um ataque de engenharia social ou um ataque de força bruta. Ok, isso é muito básico, mas é tão importante que os PCAs tornem um clima separador. Outro tópico muito importante pessoal é MFA, autenticação multifator. Se você não sabe o que é, tenho certeza que você deve estar ciente disso, mas além do ID de usuário e senha, você precisa de outro fator para, no PCI DSS, para acesso remoto ou acesso administrativo. Então isso pode ser algo que você tem como uma senha de uso único, como um token ou algo que você é como uma biométrica, você sabe, como algo que você tem, pode ser um cartão inteligente, token de segurança físico e lógico , senha única em seu smartphone, ok. E algo que você é seria uma biométrica, como digitalização de retina de impressão digital, impressão de bombas, varredura de íris, qualquer outra coisa que seja exclusiva para você da sua perspectiva biológica. Assim, você pode usar um desses dois, além do ID do usuário e da senha. Mas lembre-se, eles precisam ser independentes um do outro, como se alguém fosse comprometido ou não fosse afetado. Então, por exemplo, se o seu smartphone está comprometido e um invasor obtém acesso à senha única OTP, ele ainda não terá acesso ao seu ID de usuário e senha, certo? Então, eles têm que ser independentes um do outro. Portanto, lembre-se de que neste comentário específico, você deve ter acesso administrativo para acesso remoto e autenticação multifator para acesso remoto e autenticação multifator para seu acesso administrativo. 1 para observar pessoal, isso vai se tornar muito mais difícil NPCI versão quatro. Ok, entrarei em mais detalhes em outra seção onde discutiremos apenas os requisitos da versão quatro do PCA, mas lembre-se disso. O conselho está tornando isso um pouco mais difícil agora. Ok, então quais são as principais ações a serem tomadas pelos caras? Definitivamente, você deve ter uma senha e padrão de MFA aplicados de forma consistente. Esse é o valor de p. Estes são os comentários positivos mínimos e esses são os requisitos da MFA para rebaixamento ou acesso administrativo. Certifique-se de que suas contas remotas. Muitas vezes você tem acesso a fornecedores, parceiros de negócios, consultores, certo? E eles precisam ser monitorados e desativados quando não estão em uso. Você só deveria tê-los. Então, como e quando eles usam. Muitas pessoas colocam aplicativos de terceiros como VDI ou algo parecido. Quero dizer, depende de você como seu ambiente está configurado, mas basta ter isso em vigor. E isso vai realmente, então basicamente isso é como um simples requisito de bom senso. Tenho certeza de que muitas dessas coisas você já terá. Se não for definitivamente, você deve ter MFA para seu ambiente administrativo, especialmente se for o ambiente de dados do titular do cartão. Definitivamente, tenha isso aplicado. Ok pessoal, Então isso encerra isso vai comentar. Vamos passar para o próximo. 14. 4 - Requisito 9: Oi pessoal. Bem-vindo ao comentário do distrito. Diz como uma área que eu sempre penso nela como um ponto cego, que é quando se trata de PCI, DSS, que é segurança física. Muitas empresas colocam muitos controles técnicos, mas esquecem o lado físico de coisas como impressões, relatórios. Muitas empresas, você sabe, eles têm back-office é qualquer cobrança repetida, como se salvassem o número do cartão. Eles mantêm cópias físicas do cartão atual. E você não vai acreditar que eles estão disponíveis abertamente, certo? Portanto, você precisa ter tudo pronto para proteger coisas como roubo de dados e acesso confidencial a áreas confidenciais. Você deve ter políticas e procedimentos de segurança física . Você só pode manter como, por exemplo, apenas manter informações confidenciais. local de trabalho os protegeu em uma área trancada. fora não podem simplesmente entrar. Os não funcionários precisam usar crachás, não estão armazenando informações confidenciais. O V aberto na minha, uma das minhas empresas que usamos para limpar as ruas após o horário comercial. Costumávamos ir verificar se todo mundo limpou a mesa, certo? Não há informações confidenciais lá. Então, esses são controles que são de bom senso, mas infelizmente eles são perdidos por algum motivo, certo? Então, quais são as coisas que você precisa ter? Ele precisa ter uma política de segurança física adequada destacando quais outras áreas sensíveis. Uma coisa que esqueci de mencionar são suas tomadas de rede, certo? Você não quer que as pessoas simplesmente conectem seus laptops e conectem seu ambiente de destino. A mídia física ou backup e outras coisas devem ser protegidas e um controle rigoroso deve estar lá. E se alguém não puder comprometer o meio ambiente? E se for capaz de acessar a mordaça, obter acesso à fita de backup, certo. Que tem todas as informações que você precisa ter, como um colocá-lo em segurança, estão claramente marcados para isso. Os documentos devem ter coisas como confidenciais para serem destruídos e você precisa ser capaz de destruir a mídia, certo? Diego disse para destruí-lo com base em sua classificação. Muitas dessas coisas, novamente, eles provavelmente estão fazendo, mas você pode não ser estendido para o ambiente do titular do cartão. Certifique-se de que eles sejam estendidos. Você deve coordenar com suas equipes de segurança física para garantir que o treinamento adequado esteja acontecendo. As áreas sensíveis são isoladas. Nem todo funcionário pode simplesmente entrar em suas áreas sensíveis à luz. Então, todos esses controles Metrodorus não forçados a ter cobertura de CFTV adequada. Deve ser uma mistura de controles preventivos e de detetive. Basicamente, as mesmas coisas que você coloca em seu ambiente, certo? Seu ambiente técnico, como segmentação. Segmentação, você bloqueia essa área. Cctv é como um crachá auditivo e branco, crachá e alfinetes de senha Eles são como o MFA. Todas essas coisas, basta replicá-las em um ambiente físico. Um ambiente único, pessoal, se você tiver terminais de ponto de venda, como máquinas de ponto de venda. Você deve ter um inventário completo disso. Você deve ter um inventário atualizado desses. Você deve saber onde eles estão. Qual é a localização física, número de série, modelo nu. Por quê? Porque deveria estar inspecionando. E se alguém o tiver adulterado, mas se alguém o substituiu por outro C, então outro ambiente, geralmente muitas empresas que eles mantêm como vantagens dele, certo? E se alguém entrou , adulterou, injetou algum dispositivo e você não sabe sobre isso, certo? Você pode fazer isso basicamente, poderia fazer isso todos os dias, todo mês é baseado no tipo de nível que você tem, ok. Você deve ter cobertura de CFTV. Esses são dispositivos muito sutis, certo? Certifique-se de que a parte superior esteja completamente restrita. E você deve conscientizar equipe que está interagindo com essas coisas no dia a dia, como um caixa, quem é quem tem esse tipo de máquina de ponto de venda, certo? Você deve saber se alguém o substituiu. Se houver algum dispositivo lá, você deve saber se alguém tem algo parecido, você deve ser capaz de verificar o número de série. A física básica. Essas são coisas simples que você pode ter como um treinamento em vídeo. Você pode visitar fisicamente e ensiná-los e gostar, mas apenas para ter certeza de que o risco de substituição, alguém substituindo o dispositivo quando algo ou há algum outro dispositivo maliciosamente ou como adulterar, adulterar esse dispositivo, colocar algum outro dispositivo em cima dele. Aqueles que colete têm que ser mitigados. Da perspectiva do PCI DSS. Eles são como muitos, muitos treinamentos comuns disponíveis até mesmo no site do PCAOB, você pode encontrá-lo. É como uma coisa única do PCI, os outros controles físicos que você já pode estar fazendo. Mas isso é algo único e você deve ter certeza de tê-lo em seu ambiente, ok? Ok, isso encerra esse novo compromisso. Vamos passar para o próximo. 15. 4 - Requisito 10: Olá pessoal, Bem-vindos a esta lição que agora chegamos quase ao fim, que é um dez comum, registro e monitoramento. Registro e monitoramento. Você sabe, é uma daquelas coisas que quase muitas empresas fazem. Quase todas as empresas fazem isso, mas poucas empresas fazem isso corretamente. Porque o que acontece é que muitas vezes eles estão apenas gravando coisas. Mas ninguém está tomando nenhuma ação inteligente com base nesses alertas, certo? Soluções Sim, você tem informações de segurança e gerenciamento de eventos. Você está enviando todos os registros para lá, mas não está realmente pensando em criar alertas acionáveis. Você não está realmente refinando as mesmas coisas. Você precisa capturar tudo o que está no ambiente de dados do titular do cartão, PCI realmente tem uma lista mínima de eventos que devem ser capturados. Ok? A maioria dos softwares de sistemas gera logs protegendo o sistema operacional, pausa no navegador , firewall, todas essas coisas que você deve capturar, ok, então certifique-se de que essas coisas estejam lá. Se você tem uma solução SIM ou alguma outra coisa, você precisa capturar tudo. E eu tenho alertas acionáveis com base nisso. OK. Então, quais são as coisas que começamos a verificar e verificar se você tem um rastreamento de log de auditoria automatizado para todos os eventos de segurança. Como você está fazendo isso? É como se alguém não tivesse alguém olhando para ele e essencialmente escrevesse algum sistema automatizado. Existe um processo para revisar registros e eventos de segurança diariamente. Normalmente, é como uma solução SIM. Talvez você possa ter uma equipe de SOC, ou você pode ter turnos semelhantes, ou você pode pedir que façamos um sistema administrativo para receber alertas. Realmente depende de como você está fazendo isso. Você pode ter, se estiver fazendo isso na nuvem, você pode ter automação, mas o processo precisa estar lá. Seus registros de auditoria precisam estar lá pelo menos um ano e nos últimos três meses. Eles precisam ser registros on-line. Você deveria estar arquivando nos últimos 90 dias, ok. Você precisa tê-lo online. E o que eles eventualmente estão capturando PCI, DSS é muito específico sobre isso. Como a atividade do administrador é falha nos logins, alterações nos escalonamentos de privilégios da conta. E você deve continuar capturando o que eles sabiam quem era o usuário, qual era o evento, qual a data e a hora, se foi um sucesso, que falha onde aconteceu, todas essas coisas. Você o encontrará facilmente dentro do padrão. Mas certifique-se de que você está capturando. Verifique se você tem esses slots disponíveis e teste-os. Não presuma que você terá esses registros bem. Um teste e certifique-se que você tem esses eventos sendo capturados. Muitas soluções SIM, eles já têm modelos predefinidos para PCI DSS, por isso não deve ser tão difícil. Apenas certifique-se de que estejam ativados. Que este foi bem direto. Vamos para o próximo. 16. 4 - Requisito 11: Oi pessoal. Estamos no segundo último requisito, que é realizar varreduras de vulnerabilidade e o PET está bem. Por que fazemos essas coisas, pessoal? Simplificando, você precisa descobrir quais são as fraquezas dentro do seu ambiente, certo? Você não quer esperar até que um invasor chegue e comprometa seu ambiente, certo? Varreduras de vulnerabilidade e PTs são uma das melhores maneiras de descobrir a que tipo de ataques você está suscetível. Va é como se um scanner de vulnerabilidades uma verificação automatizada de alto nível. OK. Você acabou de fazer uma varredura. Eles geralmente têm isso. Você tem algum tipo de software que escaneia o ambiente, fornece um relatório, certo? Você precisa executar isso interna e externamente trimestralmente. E PT, tenho certeza que você já conhece, é como um detalhe prático. Normalmente, há uma pessoa real lá que tenta detectar e explorar as fraquezas do seu sistema. E isso, novamente, isso tem que ser interno e externo, tanto no seu ambiente. Pcr exige que essas coisas aconteçam em várias camadas, ok? Você pode simplesmente fazer isso em uma camada e chamá-la de eficaz. Vamos entrar em detalhes sobre o que estou falando, que tipo de camadas estou falando antes de irmos. Uma coisa muito importante pessoal, se você tem um ambiente Guardiola voltado para o público, certo? IPs públicos. Pcr exige que as empresas que conduzam como uma varredura externa e chamem de varredura ESV para descobrir se elas têm alguma falha potencial. Isso você não pode fazer isso sozinho. Você tem que ser feito por uma empresa chamada Fornecedor de Digitalização Aprovado é chamado de ASP. Está bem? Você não pode fazer isso sozinho. Você tem que lixiviar para esta empresa. Então, o que acontece é porque você será cobrado dessa empresa e eles farão a verificação trimestralmente. Você precisa remediar qualquer vulnerabilidade mais alta. Então você tem que continuar fazendo isso até passar. E eles lhe darão uma varredura de aprovação. E geralmente você tem que enviar para os esquemas do carro ou para o espaço em branco. Portanto, isso não é algo que você simplesmente escaneia e esquece. Você tem que fazer isso no mínimo trimestralmente e você tem que passar. Essa é uma das coisas mais importantes. Geralmente é um requisito muito bom porque público é como um ambiente de alto risco. Você precisa ser capaz de escanear e saber quais são as vulnerabilidades. Ok, então tenha isso em mente. Seu banco ou seu esquema de pagamento geralmente informará se você, falamos sobre as obrigações anteriormente na taxa. Portanto, seu banco ou sua marca de pagamento informará se você é obrigado a fazer isso ou não. Mas lembre-se, eu disse que temos que fazer isso em vários níveis. Então é disso que eu estava falando. Basta ter uma visão de alto nível. Se você está procurando na Internet, você precisa ter varreduras de ASP acontecendo e um PD acontecendo. OK. Do ponto de vista externo, dentro do seu ambiente cardinal, você não tinha trimestralmente via varreduras, pagamento anual que um PT está acontecendo e algo chamado monitoramento de integridade de arquivos. O que é um monitoramento da integridade de arquivos? Se você não está ciente, basicamente, é um software que significa ambiente para quaisquer alterações críticas nos arquivos, ok. Você pode ter arquivos confidenciais em seu ambiente. Você não espera que eles alterem um software de monitoramento de integridade de arquivos informará se esse arquivo foi alterado e emitirá um alerta. Então você precisa ter isso também dentro do seu ambiente. Então, supondo que você seja mimado, o aplicativo tem um arquivo de configuração confidencial que não deveria mudar. E se isso ficar estranho? Ok, então essa solução de monitoramento de integridade de arquivos levantará um alerta e enviará para você que deve estar lá. E além disso, se você tiver um ambiente sem fio acontecendo sem fio, você precisa liberar o candidato para latas sem fio também para garantir que o novo sem fio inseguro ou talvez desonesto pontos de acesso. Tendo criado, geralmente temos três ferramentas e ferramentas comerciais. Você pode escanear todo o ambiente e descobriremos se há alguma vulnerabilidade ou algum ponto de violência no trânsito. E falamos sobre segmentação. Lembra? Dissemos que, ok, para a perspectiva da segmentação, eles deveriam ser algo que está caindo. E isso geralmente será um firewall e IDS e IPS. Então, fazemos algo que é chamado de lata de segmentação, o que é a varredura de segmentação? Segmentações alguém pode realmente tentar comprometer a segmentação? Então, do ambiente do titular do cartão, ele tenta pular para o ambiente sem nuvem ou do gosto não Guardiola umami O salto para o cardo, o ambiente. Ele verifica a adequação da segmentação que aconteceu, seja ela boa ou não. Então é por isso que é tão importante, pessoal, como todas essas coisas que você tem que fazer, os diferentes momentos em que eles estão, de alguma forma, eu sabia alguma forma meio semestral colocaram isso em seu calendário. Falamos sobre ter um processo BAU, certo? disso que eu estava falando. Normalmente, o que as empresas fazem e os mandatos da PCL devem ter uma metodologia para testes de penetração. E você coloca o que é externo, interno, como o quê, o que vai acontecer anualmente? O que vai acontecer depois de cada mudança? Se a segmentação mudar, como você vai testar isso? Como você vai fazer o nível de aplicação um? Como você vai colocar um interruptor? Todos podem ter seus documentos documentados em uma fórmula adequada é documento e disponibilizá-los para todos. Dessa forma, você não terá uma surpresa de algodão e perderá varredura crítica que deveria estar fazendo. Este é um nível alto , um pouco simplista, mas isso mostra quais padrões devem estar acontecendo em seu ambiente. Então eu espero que isso, isso foi como se isso lhe desse uma clareza. Comece com isso. Inicialmente se torna muito opressor e lentamente, lentamente se torna como um BAU para você. Depois de colocá-lo em seu processo BAU, você descobrirá que fica muito mais fácil. Ok, pessoal. Ok, isso encerra o segundo último. Então, devemos passar para o último. 17. 4 - Requisito 12: Olá a todos, bem-vindos a esta lição. Agora, atingimos o último requisito do parâmetro Alpha, que é documentação e avaliações de risco. Portanto, o anterior era um requisito muito técnico em relação ao teste de caneta eb, a e P, D e todas essas coisas. Agora estamos falando de algo que é muito mais simples, documentação e avaliações de risco. Então, aqui pessoal, estamos falando de algo que você tem que fazer como, do ponto de vista da due diligence, o auditor precisa saber que formalizou fortemente todas as suas políticas de segurança da informação, outras coisas longe do que eles deveriam estar fazendo e não deveriam estar fazendo. Isso ajuda a protegê-lo caso algo aconteça, haja uma violação. Então você pode provar que fez tudo do seu ponto de vista. Você precisa se certificar de que suas políticas de segurança foram aprovadas e convocadas, comunicadas e por todos os funcionários que eles reconheceram. OK. Se você é um provedor de serviços, precisa ter algo chamado de carta do PCI DSS. Ele diz quem é responsável pelo PCI DSS e quem vai implementar o programa e quem é responsável pelo PCI, DSS. Ele tem que dizer quem é a pessoa responsável e como ela se comunicará com a gerência executiva, ok. Além disso, você também precisa ter um inventário de fornecedores terceirizados, terceirizados ou fornecedores terceirizados que tenham acesso ao seu ambiente cardinal. Porque se eles conseguirem comprometer potencialmente isso para o seu ambiente, você precisa ter uma lista de todos os provedores de serviços terceirizados e se eles são certificados pela PECS ou não. OK. Você precisa ter a lista. A maioria deles geralmente está disponível e você pode fazer isso como parte do seu calendário, mas certifique-se de que documentação escura e escura esteja atrasada. Portanto, é muito simples comentar , principalmente sobre documentação. Demora muito tempo. Mas se você trabalha com seu TSA, muitas vezes eles já estão disponíveis modelos prontos. Portanto, você deve conseguir economizar algum tempo com isso. Assim como mencionei, você precisa ter uma política de conformidade e segurança por escrito. A carta deve estar aqui para o seu provedor de serviços. Você precisa ter certeza de que eu tenho uma revisão trimestral para garantir que todos estejam seguindo os requisitos que todos aprovaram sobre a segurança de ilustrar. E, por último, uma avaliação de risco muito importante, a PCR exige que todos realizem uma avaliação de risco anual para identificar ativos críticos. A vulnerabilidade de arranhões é aceitável porque isso ajudará você a priorizar os riscos. E se você adotar uma abordagem proativa para isso, isso realmente compensa a longo prazo. Isso é algo que ela diz algo que as pessoas pensam que isso é como uma tarde de formalidade todos os anos. Mas se você fizer isso corretamente e der o tempo e o respeito adequados, posso dizer que as avaliações de risco podem identificar tantos problemas de forma proativa, muito mais antes que o auditor descubra que eu quero sinalizar isso antes, porque as avaliações de risco se tornarão muito, muito importantes na próxima revisão, que é a versão PCI DSS para ela. Se você fizer isso, se você não se concentrou muito nisso, isso pode se tornar um problema para você. Então, definitivamente, comece a se concentrar nisso. Falarei mais sobre isso na aula futura, na próxima aula que eu tiver, que são sobre PCI DSS 4. Mas, por favor, não faça uma avaliação de risco, gosta da formalidade da forma de arte que você tem fazer e esqueça disso. Ok? Então, realmente se concentre, não vai copiar e colar o que você fez no ano passado para o próximo ano e realmente se concentrará nisso e definitivamente valerá a pena no longo prazo. Ok, então isso acaba com seu processo, pessoal, espero que tenha sido útil para vocês. Vamos para um tópico muito importante que temos que abordar, que é a compensação de controles. Isso é o que acontece se você não conseguir atender a um requisito. Vejo você na próxima aula. 18. 4 - Controles de compensação: Oi pessoal. aula muito, muito curta, mas isso é muito importante. Então agora você cobriu todos os requisitos de trilhas, certo? Mas o que acontece se você não puder perder um requisito de PCI? Ok? Tipo, vamos dar um exemplo. Você tem que aplicar adesivos dentro de 30 dias, certo? Patches críticos. E se não pudermos aplicar um adesivo? Ou se você não conseguir implementar o monitoramento da integridade de arquivos? O que acontece então? Portanto, há algo chamado controles de compensação. Isso acontece quando um, quando uma parte não pode conhecer um apartamento predefinido, você faz uma razão ilegítima. Não é preguiçoso, talvez o sistema não suporte ou eles não. Existem algumas restrições lá. Mas o que você faz é colocar outros controles lá, ok? Talvez você não consiga remendar. Mas você tem monitoramento 24 horas e outras ferramentas que o alertarão imediatamente se alguma forma alguém tentar explorar esse patch. Ok? Então, isso realmente depende. Os dados são realmente como uma arte. O que você diz? É como se você tivesse que sentar com o QSEN, fazê-lo entender o que você fez, como você atenuou esse risco e variar a eficácia disso. Ele muda de ambiente para ambiente de poucos EUA estéticos. Ok? Mas lembre-se de que você realmente precisa ser bom em avaliações de risco para fazer isso. Então, o controle de compensação em resumo, você tem que preencher uma folha para encaminhar para o auditor. O que isso parece? É como esse. Como se eu tivesse tomado o exemplo. Isto é, você tem que terminar isso. Você tem que mostrar quais são as restrições, ok, por que você não pode atender em um comentário como por que você não pode corrigir este trimestre ou por que você não gosta de implementar o monitoramento de integridade de arquivos, então você precisa ter a definição antiga. Quais são os controles que você implementou? Qual é o objetivo desses controles? Qual é o risco de que, por causa do patch, não estar lá ou algo assim, E como o auditor validou controles de compensação densos? E como você vai garantir que ninguém mexa nesses controles? Então, isso é algo que analisaremos. E você tem que realmente satisfazê-lo para ter certeza que isso não é apenas algo que você colocou lá para escapar? Não, isso é algo em que você pensou e implementou corretamente. Então, por favor, os controles de compensação são um tópico muito importante. Eles não serão substituídos, mas são uma nova maneira de fazer as coisas que está surgindo, que é chamada de abordagem personalizada. Vou falar sobre isso na versão PCI DSS para módulo. Mas saiba que eles estão compensando controles é o que você precisa fazer se não conseguir atender a um requisito específico. E há outras maneiras de fazer isso que estão surgindo. Ok pessoal, então isso encerra o módulo de requisitos. Espero que você tenha gostado e espero que você tenha aprendido algumas coisas e veja você no próximo módulo. Obrigada. 19. 5 - SAQ e seus tipos: Olá a todos, bem-vindos a esta lição. Agora, isso vai falar sobre os tipos de questionários de autoavaliação que você completou os requisitos do PCI, DSS, certo? E só para recapitular rapidamente, o SAQ, o questionário de autoavaliação. É como uma ferramenta de validação para comerciantes e prestadores de serviços relatarem os resultados da avaliação do PCI DSS. Se você não for obrigado a fazer uma auditoria completa e enviar um ROC, escreva um relatório sobre conformidade. Dependendo da forma como você processa transmitidos armazenados nos dados, eles são diferentes SET foi que ele deve preencher. se você não tem uma loja de comércio eletrônico, pode ser difícil preencher outra coisa. Ou se você tem alguma constante, é algo como se você fosse obrigado. A maneira como você processa os dados, ele muda o tipo de vesicular. Tenho visto às vezes as pessoas ficarem confusas quando se trata de executar. Então, os tipos deles porque são como se estivessem perto disso. Então, pensei que seria bom dar algumas orientações sobre que tipo de SEQ é necessário para que tipo de cenário. Então, vamos dar uma olhada nisso. Apenas uma rápida recapitulação. Qual é o básico para vocês só para que saibam, se você não for obrigado a fazer uma auditoria completa, você deve preencher um SAQ geralmente para pequenos provedores de serviços comerciais. É uma série de questionários. Pode ser bem longo. É como se às vezes chegasse a 87 páginas, perguntas de sim ou não. E como eu disse, há oito vezes, então basicamente use e dependendo do tipo de ambiente que você tem, você vai depois de selecionar esse. Não tente fazer isso sozinho na primeira vez que puder verificar com os EUA ou com seu plano de pagamento. E eles perguntaram a eles que tipo de SEQ eu deveria preencher. Portanto, não deve ser difícil, desde que você faça sua lição de casa corretamente. Esses são os tipos de SKUs. Eu não vou ler de uma mesa chata. Eu sei que ninguém quer que eu faça isso. Mas esses são os termos em torno de oito tipos de chamadas de áudio acíclicas. Então, vamos dar uma olhada. Muito do questionário de autoavaliação. Então, o que diz a orientação do PCA? Isso se a sua empresa tiver a coleta e o processamento de dados do titular do cartão para provedor de serviços terceirizado compatível com PCI. Se você não está fazendo nada em relação aos dados do titular do cartão, você terceiriza tudo completamente. Então, geralmente o que acontece é eu vi isso em cenários em há um comércio eletrônico completo, muito parecido com um ambiente de comércio eletrônico onde você não está fazendo nada em seu site quando o o usuário clica neles, como se fossem redirecionados para outra pessoa e é aí que a transação acontece. E você acabou de voltar e dizer, Ok, essa transação foi bem sucedida. Você não precisa fazer nada. Para esses tipos de cenários. Vi que um SAQ é mais adequado como uma terceirização completa e completa. E é como se você não armazenasse o cartão de transmissão de processo relacionado em nenhum momento. Portanto, isso é para o controle de qualidade básico, geralmente é o mais adequado para esse cenário. Há outra chamada API SQL. Então, novamente, há um ambiente de comércio eletrônico e a coleta de processamento de dados do titular do cartão foi terceirizada corretamente, para um terceiro compatível com PCI. Então é semelhante ao anterior, mas neste, o que está acontecendo? Você está controlando o fluxo de dados do titular do cartão para o provedor de serviços. Está bem? Então, geralmente o que acontece com os clientes, eles querem mais personalização no ambiente. Assim, eles controlam como o site está enviando os dados do titular do cartão e são o que você chama. Eles não pegam os dados do titular do cartão, mas controlam o fluxo de como os usuários são redirecionados para o site para coleta de pagamentos. Normalmente, isso acontece quando eles não gostam de terceiros é o que você chama de páginas padrão e eles querem ter alguma personalização feita. Portanto, para esses tipos de cenários em que a API segura, geralmente é a escolha correta para sua documentação de conformidade. OK. Questionário B. B. Estes são os quatro que fazem pedidos pelo correio, transações de pedidos por telefone que você gostaria que o banco aprovasse terminais de pagamento. Eles geralmente fazem linhas analógicas, não linhas telefônicas analógicas. Portanto, eles não têm nenhum processamento eletrônico e armazenamento de dados. Basicamente, estamos falando de linhas telefônicas e elas não estão conectadas nem mesmo ao IP de voz como o analógico. Você verá esses comerciantes que geralmente são meio isolados do mundo como longe, para todos os comerciantes, eles apenas sentem pelo que ele chamou de terminais e terminais de pagamento que são conectados às linhas telefônicas porque não têm conectividade com a Internet e não têm nada parecido. Eles estão usando isso para esse tipo de pergunta. Seq B é o que está sendo usado. Eu não usei isso. Eu não vi isso sendo usado tanto. Esse é o cenário em que você usará este. O que é SEQ BIP? Então, neste, novamente, temos as transações de pedidos por correio, transações de pedidos por telefone e terminais de pagamento, mas você também está recebendo pessoalmente. E está conectado a uma rede IP. Então, o que você chama? Não é, não é como uma conexão analógica aqui você tem uma conexão IP. De repente, eles podem ter acesso à Internet ou sem fio assim. Geralmente resulta em tempos de processamento mais rápidos, mas então você precisa colocar mais cores, há mais controles de segurança em vigor e você precisa segmentar essa rede, ok? Porque, nesse caso os dados de pagamento estão sendo transmitidos pela rede. Então é aí que entra o BIP. Se você puder verificar pelo nome. Ip. No anterior 22 é apenas linhas telefônicas analógicas aqui. É uma rede IP. OK. O que significa ensaio Q. C. Ok. Sim, então neste, você está recebendo os dados do titular do cartão pessoalmente e, novamente, transações de pedidos pelo correio e está usando um sistema de ponto de venda. O que foi isso no anterior. Então isso foi como um terminal de pagamento da justiça. Mas aqui você tem um terminal de ponto de venda e isso não mostra os dados completos do cartão. Lembre-se de onde ele falou sobre, certo, armazenamento de dados do cartão. Então, geralmente aqui você tem essas caixas registradoras e elas estão conectadas a uma parte traseira de um servidor. E esse servidor pode estar hospedado do lado de fora. Mas esse é o cenário. Então, cara, você tem um terminal de ponto de venda que não está configurado para armazenar os dados do cartão de combustível. E você tem uma precisão sobre um servidor back-end. Normalmente, eu tenho visto aqueles comerciantes de varejo usando aquelas grandes caixas registradoras, certo? É aqui que o SAT geralmente se aplica a C v, t. E, para este, mesmo apenas pelo próprio nome, você pode dizer que isso é como o terminal virtual de um Verbit. Então, em alguns casos, você não tem um terminal físico. Está bem? Então, aqui você tem um terminal virtual de propósito. E geralmente há uma estação dedicada em um local específico para processar pagamentos. Às vezes, quando você permite que seus clientes possam fazer autoatendimento e tudo mais, certo? É aqui que isso está chegando. Ok, P2. Portanto, P2, P0, P2P significa criptografia ponto a ponto. Portanto, esse é um padrão que o conselho do PCI introduziu. O, todos os, todos os dados são criptografados a partir do ponto de captura que o ponto envia de volta para processamento. Então, se você é um comerciante, não precisa fazer isso. É um padrão totalmente offshore, mas reduz o escopo da conformidade com a Piaget. Já vi muitos códigos de serviço não serem oferecidos pelo banco como uma solução para os comerciantes se eles quiserem reduzir a complexidade, não queremos ter o incômodo de nos preocupar com pagamento e tudo mais. Normalmente tem que ter terminais especiais dedicados para isso. Está bem? Em seguida, a transação é enviada de volta ao provedor de serviços para descriptografia e processamento. Então, aqui, o principal é que estamos usando terminais de criptografia ponto a ponto validados . Está bem? Se você estiver usando isso, então este é um questionário. Esse questionário é muito mais simples do que os outros, e esse é o ponto principal. Você quer reduzir a carga de conformidade. Você não quer preencher essa grande, grande questão é essa, e isso se torna um incentivo para os comerciantes adotarem esse tipo de solução. Está bem? E agora estamos no último, que é a segurança muito e tudo o que não se aplica aos critérios anteriores. E você não quer, como, você está armazenando informações do titular do cartão e não usa como um sistema estratificado ponto a ponto. E basicamente qualquer um dos critérios anteriores não se aplica a você como segurança. Muitas vezes eu vi um comerciante começar com isso porque, nesse cenário, você está apenas adotando a abordagem mais segura e apenas preenchendo a segurança deles, porque eles não querem se preocupar com descobrindo o que exatamente como são os comentários seguros de dados de ajuste fino, eles apenas preenchem sua segurança e os enviados. Portanto, isso se aplica aos comerciantes e aos prestadores de serviços, também ao provedor de serviços. Eu trabalhei como prestador de serviços por muitos e muitos anos. Basicamente, não é como se um pagamento fosse como Visa, MasterCard, e você não fosse como um banco, certo? Mas você está conduzindo seu processamento, armazenamento e transmissão de dados do titular do cartão em nome de um comerciante de ofertas bancárias. Então você basicamente descarrega tudo, ok? Normalmente, os provedores de serviços realizam a auditoria completa porque seu ambiente é muito mais crítico. Você está, você não tem dados. Entidade, você tem beta. Deus sabe quantas entidades são centenas de bancos, centenas de milhares de comerciantes. Então, eles geralmente fazem a auditoria completa, mas você pode preencher a segurança deles. Você deve verificar com sua corrida permanente e descobrir o que ela acha que é aplicável a você. Eu recomendaria que, se você for um provedor de serviços, faça a auditoria completa, não confie em uma chave segura porque ela não é verificada de forma independente. Tentei fazer com repassar a auditoria completa sempre. Especialmente se você for um provedor de serviços. Ok, pessoal. Então isso fecha o corpo chamado parte SEQ. E nos vemos no próximo módulo, o que é muito importante, que tem a ver com as principais mudanças na versão 4 do padrão. Obrigada pessoal. Vejo você na próxima lição. 20. 6- PCI DSS v4 e as principais mudanças: Olá a todos. Ok, então chegamos ao capítulo final, que é o final e qual é o mais voltado para o futuro, que são as principais mudanças na versão 4 zeros. Portanto, você deve estar ciente de que a versão 4 marido foi lançada ao público. Isso foi resultado de vários esforços do conselho do PCA para atualizar o padrão. Você não torna isso mais relevante. Você pode. A razão pela qual eu não fiz isso em uma seção separada é porque eu quero que você mantenha a calma e continue se concentrando em seus esforços de conformidade com a versão atual do padrão. Ao mesmo tempo, reserve um tempo para ler e planejar o PCI DSS versão 4. Não tente implementar 4 agora, você ficará mais velho porque é uma grande mudança. Não é algo que você possa simplesmente começar a implementar imediatamente. Você precisa entender completamente quais são as mudanças e como elas se encaixarão no quadro geral. Ok pessoal, então apenas um cabo, você não fica todo animado e começa a implementar imediatamente. Então, do que estamos falando? Em primeiro lugar, por que o padrão mudou? Então, se uma grande revisão aconteceu, bem, isso pode ser uma pergunta. Você pode dizer, por que o console PCA fez uma reescrita tão importante do PCI DSS. E o PCI DSS é um padrão bastante maduro por motivos pelos quais eles querem ter certeza de que ele precisa de padrões de segurança, as necessidades do setor de pagamentos, certo? Porque a tecnologia está evoluindo. Não tínhamos nuvem antes e outras coisas antes, certo? E eles o tornaram mais maduro do ponto de vista da segurança. segurança não era muito parecida com o que chamamos de link aqui para gerenciamento de riscos e processos maduros. As empresas agora têm tecnologias inovadoras que podem atender à intenção dos requisitos. Lembras-te do que eu te disse antes? Tente entender a intenção. Não tente apenas memorizar o padrão, ok? Porque isso não vai te ajudar. E isso lhe dá muita flexibilidade, além de suporte de metodologia adicional. Então, eles o tornaram muito mais flexível, muito mais aberto. Você pode ter muitas discussões com o QS é só lembrar, mas muito, muito importante. Mas pessoal, você precisa se concentrar no gerenciamento de riscos como uma metodologia. Não seja apenas técnico. Entenda como é. Como o gerenciamento funciona? Se você ainda não sabe. A linha do tempo principal, só para mim , para entender esse diagrama, o padrão, o novo permanece opção até 31 de março de 2024. E então esta versão três irá para a versão mais antiga, 3.2.1, ela será descontinuada. Depois disso, suas auditorias começarão a acontecer somente no PCI DSS versão 4.2. Alguns dos novos requisitos, eles também não se tornaram obrigatórios até 31 de março de 2025. Até esse momento, será considerada a melhor prática. OK. Tantos comentários foram adicionados ao padrão, seu futuro datado de março de 2055, como eu disse, a fim de permitir que os novos processos sejam desenvolvidos antes que eu precise fazer comentários possam ser aplicados. Então essa é a razão pela qual eu me concentro. Eu fiz um padrão separado porque eu não queria confundir você, certo. Vou me concentrar nas grandes mudanças. Portanto, você tem até 31 março de 2024 para entender e implementar os novos requisitos para os padrões. E o QS é que vamos chegar. Eles podem começar a auditar de acordo com o padrão. OK. Agora, dois anos parecem muito, mas eles realmente não são dados. Por favor, não subestime a rapidez com que o tempo passa e a rapidez com que as coisas mudam. Você receberá uma xícara forte. Outras coisas. Eu vou te ensinar como se concentrar em qualquer coisa para se concentrar e quais são as coisas que você deveria estar fazendo, ok? Está bem? Então, a primeira coisa é que não é uma cadeia tão grande, mas sim um escopo. Então, o escopo anterior, se você olhar para esse tipo de escopo era como se estivesse começando uma discussão inicial. Foi na introdução. Não fazia parte dos requisitos do padrão, mas agora o conselho o mudou para os padrões de requisitos. Está bem? E eles o tornaram um requisito rastreável com efeito imediato para a versão 4. Portanto, isso não é como dados futuros em outros. Está bem? Portanto, você precisará documentar seu exercício de escopo. Se você é um comerciante, precisa fazer isso anualmente e, se alguma mudança acontecer ou algo assim, se você for um provedor de serviços, precisará fazê-lo a cada seis meses. Ou um patrono são os dados da estrutura de dados. Então, se você é um comerciante, certifique-se de que está fazendo o seu, você deve estar fazendo o seu escopo de qualquer maneira, comece a documentar seu exercício de escopo anualmente. Pode ser um pouco incômodo primeira vez, mas depois fica mais fácil. Se você é um provedor de serviços, saiba que depois de 31 de março de 2025, precisará fazer isso a cada seis meses. Mas depois de qualquer mudança importante, como algo alterado de uma maneira que os sistemas das pessoas processam, você precisa levar isso em consideração. OK. O que mais há no armazenamento de dados confidenciais de autenticação? Bem, você não deve armazenar dados confidenciais de autenticação, mas depois da autorização. Então, já discutimos isso antes, certo? Algumas organizações. Portanto, antes que a transação seja autorizada, eles mantêm os dados temporariamente armazenados. Foi recomendado que tudo bem. Você o armazena por um minuto, meia hora, o que for recomendado, você deve tentar criptografar um direito protegido. Não era necessário. Bem, não é mais uma recomendação depois de 31 de março de 2025. O que aconteceu é que eles viram muitos ataques. Os invasores podem tentar comprometê-lo, desapareceu dentro da memória, esse armazenamento temporário, eles tentam comprometê-lo. OK. Então, mesmo que você esteja armazenando por cinco minutos, eles saberão e tentarão obtê-lo da memória. Então, você vai até mesmo dentro da memória, mas depois no armazenamento temporário, você precisará criptografá-lo. OK. Então, tenha isso em mente. E isso não seria uma recomendação depois de 31 de março de 2025. OK. O que mais há acesso remoto. Então, se você estiver usando o acesso remoto ao ambiente do titular do cartão, ok? Em seguida, você deve impedir a cópia e realocação do caso de dados do titular do cartão. Alguém pode copiar e colar esses dados. Isso já foi mencionado anteriormente na recomendação padrão que será um requisito. Muitas empresas viram o que costumavam fazer para definir uma política em torno disso. Mas agora ele precisa ser aplicado por uma tecnologia, ok? Normalmente, não deve ser muito difícil. Normalmente, se você tem configurações em seu software de acesso remoto que impedem copiar e colar ou você tem funções DLP, ok? Portanto, dependendo do que você tem e do seu processo atual, apesar de ser muito fácil, pode ser um pouco difícil. Talvez você precise investir em mais algumas tecnologias é tudo o que você precisa para colocar alguns controles em torno disso. Portanto, lembre-se disso para esse requisito. Ok, Firewall de aplicativos da Web. Então, isso é muito simples, pessoal. Lembre-se, eu disse que você pode ter o Firewall de aplicativos da Web ou pintores de aplicativos. Foi uma recomendação. Bem, agora você precisa ter isso. Não é mais opcional. OK. Você precisa ter uma válvula após 21 de março de 2025. Honestamente, você deve ter um problema como eu disse antes, não tente se contentar com revisões de codificação seguras ou chateado, você deve ter um firewall de aplicativo da web por padrão. Então, se você não está fazendo isso, comece a fazer isso agora mesmo, comece a fazer um orçamento para isso. Ignora nas páginas de pagamento. Então, isso é bastante interessante. Isso costumava ser como um suplemento do Conselho PTA. Inicialmente, isso não deve fazer parte do padrão PCI. Se você tem páginas de comércio eletrônico com scripts em execução, você tem que fazer agora o que temos que fazer se seus scripts estiverem sendo carregados? Você precisa ter certeza de que eles estão autorizados e ninguém pode adulterar esses scripts. E você tem um inventário de todos os scripts que estão sendo executados. Por quê? Por que isso está acontecendo? Porque fenômenos chamados de pagamentos de skimming, skimming, o que os invasores costumavam fazer é comprometer essas páginas de pagamento e injetar seus próprios scripts ou adulterar os scripts existentes. Ok, então é como se você estivesse inserindo seus dados, mas esses dados estão realmente sendo inseridos na página do invasor e o pH é genuíno, certo? Mas eles apenas compararam com o roteiro. Portanto, nem é como um ataque de phishing porque o URL permanecerá o mesmo. É por isso que agora este é um comentário muito bom pessoalmente, porque o comércio eletrônico começou. É como se quase o comércio eletrônico lentamente dominando o mundo físico. E você deve ter esses controles. Então, definitivamente, dê uma olhada nisso. Se você tem um mecanismo de comércio eletrônico que veio com mola, comece a dar uma olhada em como você vai implementar isso. E você pode dar uma olhada no suplemento de comércio eletrônico do conselho do PCA. Esse também é um documento muito bom que entra em mais detalhes. OK. O que mais são os requisitos de MFA? Então, o MFA foi expandido um pouco. Então, o que você chama agora, se recebermos , era para acesso administrativo e remoto agora, ele será expandido para cobrir o acesso ao ambiente do titular do cartão. OK. Então, mais uma coisa. Então, eles adicionaram um detalhe. Pode ser um pouco complicado. Então, o que é isso que antes acontecia? Normalmente, na maioria das soluções de MFA você colocará seu ID de usuário e senha, certo? Clique em Enter e, em seguida, outra tela será exibida. Então você tem que colocar seu código MFA certo? Agora. Tudo isso tem que acontecer ao mesmo tempo. Portanto, não é como uma senha de ID de usuário pela primeira vez. E então eles inserem o outro fator logo abaixo do token. Agora, eles precisam acontecer ao mesmo tempo e não podem dizer de que maneira o campo de senha do ID do usuário no token falha. Você não pode revelar essa informação. Portanto, a maioria dos fornecedores deveria atualizá-lo. Mas algo para se ter em mente. Outra coisa foi finalmente uma boa visão. Então, como eu disse antes, os requisitos de senha do PCI DSS costumavam ser como sete. Agora eles finalmente o atualizaram para 12. Eles não deveriam ser um problema maior. Mas se você tem alguns de seus sistemas que precisam ser atualizados, talvez você precise alterar a política de senha ou algo parecido. Tenha isso em mente. Um pequeno problema é que eles mudaram, eles removeram as referências a firewalls e roteadores. Agora eles mencionaram isso em vigor, controles de segurança e antimalware. Eles o tornaram mais sincronizado com o que é a terminologia do setor. A maioria das empresas agora não usa uma construção de antivírus para reutilizar algo antimalware. OK. O que mais há lá? Digitalização autenticada. Portanto, interno por meio de digitalização, agora precisa ser autenticado. Agora, isso significa que você pode simplesmente escanear suas portas e serviços e chamá-lo de via scan. Então, se você tem um servidor ou algo parecido, geralmente o que você faz é dar a ele um, você fornecerá o dispositivo ou o ID de usuário e a senha. Ele fará login nessa máquina e fará uma verificação completa. Ok, prepare-se para um relatório muito maior se você ainda não estiver fazendo isso, honestamente, já deveríamos estar fazendo isso. Você sempre deve fazer a verificação autenticada. Ok, mas se você não está e quando você liga isso na ioga, porque agora ele vai estar olhando, vai autenticar e realmente fazer uma varredura muito mais profunda. Muitas coisas surgirão, Ok pessoal, então estejam prontos para começar a fazer isso agora. Parte importante desse novo requisito é que as credenciais inseridas devem ser inseridas e armazenadas com segurança. OK. Então dê uma olhada nisso. Se você tiver algo como um cofre de senhas ou talvez possa integrar muitas dessas soluções, elas se integram ao Password works, você não precise inseri-lo manualmente e guarde-o em qualquer lugar. OK. Basta ter isso em mente. Por fim, tudo bem, a maioria, pessoalmente, na minha opinião, a maior mudança foi a introdução dos Controles Personalizados. Então, o que costumava acontecer? Como eu disse antes, se anteriormente as empresas não conseguissem atender aos requisitos, elas poderiam propor algo chamado controle compensatório e usá-lo para contornar sem atender aos seus comentários. Por exemplo, você não pode criptografar sistema legado de dados do titular localizado, colocar outros controles. E isso é como mitigar esse risco. Muito tempo curioso é que eles fazem a pergunta, certo. O auditor As empresas me perguntaram, ok, temos uma segurança, mas não consigo atender ao requisito específico, mas tenho controles seguros. OK. A resposta costumava ser boa porque você pode implementar um controle de compensação, que é uma solução temporária até que você atenda ao requisito, até que você finalmente conserte isso. Está bem? Portanto, na versão quatro do padrão, eles tentaram resolver esse cenário introduzindo esse conceito de abordagem personalizada. Então, empresas clientes que têm segurança madura, ok? E eles têm outros controles, eles podem atender aos requisitos de outras maneiras. Portanto, não é um controle compensatório, é muito parecido uma maneira muito mais complexa e muito melhor de atender aos requisitos. Está bem? Então, as coisas anteriores, a maneira anterior de fazer isso e foi chamada de abordagem definida. O Pci foi implementado é chamado de abordagem definida. Agora você terá uma seção separada chamada abordagem personalizada, ok? E, basicamente, você vai propor um novo controle, isso significa os requisitos. Então você não está compensando você não está compensando uma lacuna. OK. Você está colocando um novo que está cumprindo o objetivo do PSA e , claro, será avaliado pelo auditor do PCI. Essa é uma ótima solução para empresas que não podem atender diretamente aos requisitos, mas têm práticas maduras de gerenciamento de riscos em vigor e têm tecnologias inovadoras. Está bem? Como seria? É um pouco assim. Então, a antiga que definiu a abordagem era, bem, eu tenho um requisito de PCI e não posso atendê-lo, então vou colocar um controle de compensação. Estou compensando a falta de controle e sou documentário a curto prazo. O auditor costumava dizer, Ok, nós aceitamos agora, talvez depois de um ano, cinco anos, temos que implementar alguma solução. Ok, agora, eu tenho uma pizza que não posso atender, eu tenho um controle personalizado, eu fiz e ela atende ao objetivo do requisito. O padrão PCI está dizendo que esse XYZ não deve acontecer, cognitivo não deve ser roubado. Ok, estou cumprindo o requisito e implementei isso. Portanto, você ainda pode fazer controles de compensação, mas essas novas abordagens são maneira muito mais estratégica de cumpri-las. Então, como eu disse, lembre-se de que você não está compensando a curto prazo. Agora você está implementando uma abordagem de longo prazo para proteger adequadamente seus requisitos de PCI. Está bem? Então é assim que o padrão se parece , para que eles possam dar uma olhada nele e estilizá-lo. Você não precisa começar a implementá-lo imediatamente. E isso pode parecer um pouco opressor. Então, vou te dar o conselho para esse prêmio. O que fazer sobre isso, como focar nisso, ok? E só para deixar claro, pessoal, esse gerenciamento e documentação são um grande foco na nova vertente. Então, quando você está fazendo suas atividades, você precisa fazer uma análise de risco direcionada do motivo pelo qual você está fazendo as coisas. Você precisa ter certeza de que eles estão assinados. Se você colocar controles personalizados, eles precisarão ser assinados pelo seu Diretor de Risco ou CEO. Alguém sênior, tudo bem. Isso não é algo como eu mencionei antes. Pci DSS não é um projeto de TI. Mas no novo eles têm muito mais ênfase nisso. Que você precisa ter funções e responsabilidades claramente definidas . Controles personalizados precisam ser assinados. E a avaliação de risco direcionada precisa ser feita. Não pense que você pode simplesmente fazer uma planilha do Excel com uma coluna dizendo: Eu fiz uma avaliação de risco. Não, não será aceito assim. Como você faz isso? 21. 6 - Como se preparar: Se você conhece Michael Lumia antes sobre avaliação de lacunas, a mesma coisa. OK. Quais são as coisas mais importantes que se concentrar agora? Em primeiro lugar, leia a versão PCI DSS para Standard, familiarize-se com as maiores mudanças que podem afetar seu processo de conformidade e, em seguida, comece a fazer uma avaliação de lacunas, certo? Para mim, implemente mudanças. Liberdade condicional para entrada. Você tem tempo, começa cedo e não terá problemas durante a conversa. Ok, não se esqueça de continuar implementando seu padrão atual, 3.211, mas comece a pensar em como você fará avaliações de risco. Mais como uma avaliação de risco mais formal é a documentação necessária, ok? E a maioria das organizações precisará adicionar processos e adquirir habilidades para fazer isso corretamente. Descubra que tipo de certificações existem. Comece a conversar com você. E o cubo, mesmo que eles não possam realizar uma avaliação 4 agora até que tenham sido formalmente treinados. Mas isso vai acontecer muito, muito rapidamente. OK. Mas meio que nos dê um conselho, mas, por favor, não espere até 2024 para começar a mudar para o PCI DSS para fido, espalhe seus esforços próximos anos e você ficará bem, ok? OK. Basta lembrar dessas coisas. Até mesmo ter um foco maior na documentação. gerenciamento de riscos direcionado começou a investir nessa árvore e há muitas, muitas certificações para gerenciamento de riscos. Você pode ver essas certificações. Não vou indicar nenhum específico. Você pode dar uma olhada nisso. Seria uma ótima ideia investir na obtenção de certificações e gerenciamento de riscos. Eles não são técnicos, mas ensinarão as metodologias para fazer avaliações de risco adequadas. Ok pessoal. Ok, então isso encerra a versão 4. Espero que você entenda agora as grandes mudanças que estão chegando, como você pode fazer isso. Parece que, como eu disse, dois anos, parece distante. Pode ser muito curto, pode ser muito longo. Espalhe seus esforços e tenha um plano de ação adequado em vigor e você ficará bem com isso. Ok, pessoal, espero que tenha sido útil. Isso encerra tudo e obrigado por participar deste treinamento. Agora vamos para a conclusão. E neste curso, muito obrigado por ficar comigo durante esse período. 22. 7 - Caminho para frente: Ok pessoal, parabéns por chegarem ao final deste curso. Espero que você tenha achado interessante. Não foi chato. Tentei torná-lo o mais prático possível e dar a você o máximo de conselhos acionáveis que pude para o projeto da aula. Só quero lembrá-lo, lembre-se que conversamos sobre Essex. Quero que você colete um SAQ, torne-o tão simples quanto a segurança ou qualquer pessoa para um comerciante físico no comércio eletrônico que realmente ensinará sobre os diferentes padrões, diferentes departamentos. Isso lhe dará uma boa ideia de quais outros comentários também, preencha. Deixe-me saber como você vai fazer isso e se você enfrentar algum desafio desde que entre em contato comigo e me avise. OK. O que mais vocês podem fazer, pessoal? Você pode dar uma olhada no programa PCI ISA, avaliador de segurança na Internet, que é uma certificação de internista que você pode fazer pela sua empresa. torna quase equivalente ao que nos EUA, mas você não é, você é, você não é como na usaid, você supera seu próprio auditor interno, mas dá a você o treinamento completo como conduzir essas auditorias. Se você está interessado nisso, definitivamente, qual é. Como eu disse, não espere pela auditoria. Comece a implementar esse conhecimento agora mesmo. E você definitivamente vai esta é a melhor maneira de reter esse conhecimento ou dizer, uma dica acionável que eu posso dar a você criar um documento PCI ou manual para sua empresa para o comércio eletrônico, como implementar esses requisitos diariamente para sua organização. E você aprenderá muito, acredite, aprenderá muito sobre sua empresa e como os diferentes comentários se encaixam. E o mais importante, comece a se opor ao PCI DSS versão 4 é 0 hoje, não adie para o próximo ano ou o ano seguinte, caso contrário, você terá sérios problemas. Comece a agir hoje mesmo. Pegue o conhecimento que lhe ensinei e apresente para sua gerência e essas são as coisas que temos que fazer. Ok, pessoal, isso encerra tudo. Muito obrigado por participar deste treinamento. Por favor, deixe um comentário. Se você achou que esse treinamento foi útil, maravilhoso, por favor me avise. Se você pegou esse treinamento foi a pior coisa que você já assistiu, por favor me avise para que eu não fique ofendido. E vou usar isso para melhorar seu treinamento ou fazer. Se você estiver interessado, você pode entrar em contato comigo no meu canal, como o cara de segurança na nuvem e outros cursos que eu tenho aqui, ok, conecte-se comigo no LinkedIn. Fico feliz em ajudá-lo se você tiver algum problema. Ok, e isso chega ao final deste curso, pessoal, muito obrigado. Espero que você tenha gostado desse treinamento tanto quanto eu gostei de fazê-lo. Dê uma olhada nos meus outros cursos e entre em contato comigo. Desejo a você tudo de melhor em sua jornada no PCI DSS e nos vemos em outros cursos. Muito obrigado e boa sorte.