Grupo 7 si_28191_28045_20130609_1800

131 views
82 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
131
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Grupo 7 si_28191_28045_20130609_1800

  1. 1. Erros do Gabinete de Crédito – Problemas Com Pessoas ImportantesNatália Fernandes n.º 28191 – Nuno Correia n.º 280451 09-06-2013NATÁLIA FERNANDES, Nº28191CURSO: CONTABILIDADENUNO CORREIA, Nº 28045CURSO: GESTÃOÍndiceInstituto de Estudos Superiores de FafeEscola Superior de Tecnologias de FafeErros do Gabinete de CréditoProblemas com pessoas importantesUnidade Curricular de Sistemas de Informação
  2. 2. Erros do Gabinete de Crédito – Problemas Com Pessoas ImportantesNatália Fernandes n.º 28191 – Nuno Correia n.º 280452 09-06-2013Introdução......................................................................................................3Segurança de dados.......................................................................................4Deteção e classificação de dados dos cartões de crédito ..............................5Proteger os dados armazenados sobre titulares de cartão .............................6Criptografar a transmissão de dados sobre os titulares de cartão em redesabertas e públicas ..........................................................................................8Manter sistemas e aplicativos seguros ..........................................................8Restringir o acesso aos dados de titulares de cartão .....................................9Atribuir uma ID exclusiva cada pessoa com acesso ao computador ............9Restringir acesso físico aos dados do titular do cartão ...............................11Controlar e monitorizar todo o acesso aos recursos de rede e aos dados detitulares de cartão ........................................................................................12Conclusão....................................................................................................14Bibliografia..................................................................................................152/15
  3. 3. Erros do Gabinete de Crédito – Problemas Com Pessoas ImportantesNatália Fernandes n.º 28191 – Nuno Correia n.º 280453 09-06-2013IntroduçãoO pagamento por cartão de créditoé cada vez mais popular. Noentanto, também requer medidasde segurança rigorosas no querespeita aos dados de cartões decrédito e de transações, de modo aconsolidar a confiança dosclientes neste método depagamento. Por este motivo, osespecialistas em segurança dasempresas de cartões de créditoreuniram-se e desenvolveram umasolução comum. Qualquerempresa que processe, transmitaou armazene dados de cartões decrédito tem de cumprir umconjunto de diretrizes paragarantir a segurança dos dados. Oobjetivo é que todos oscomerciantes que aceitam cartõesde crédito cumpramrigorosamente a PCI-DSS (Padrãode Segurança de Informação daIndústria de Cartões dePagamento), anteriormentedesignada por CISP (CardholderInformation Security Program).A versão atual da norma foidesenvolvida durante um períodode apenas alguns anos. A VISAlançou o CISP (CardholderInformation Security Program)em 2001. Este foi o primeiroprograma deste tipo e exigia queos comerciantes e fornecedores deserviços cumprissem um conjuntode normas específicas paragarantir a segurança dos dados.Alguns anos mais tarde, a VISA, aMasterCard, a American Express,a Discover, a DinersClub e a JCBconjugaram as respectivaspolíticas individuais eapresentaram a PCI-DSS(Payment Card Industry DataSecurity Standard), uma versãoatualizada e mais abrangente danorma, que se tornou obrigatóriapara todos os comerciantes efornecedores de serviços emJunho de 2005. Novamenteatualizada em Setembro de 2006,a norma inclui agora cerca de 160requisitos, que se tornaramobrigatórios em Junho de 2007. Oacordo não é um mero "tigre depapel": Só em 2006, a VISAapresentou reclamações num valortotal de 4,6 milhões de dólarescontra comerciantes que nãocumpriram as normas. Estenúmero corresponde a umaumento de 35% em comparaçãocom o ano anterior.A norma PCI atual incluirequisitos rígidos no que respeitaao processamento earmazenamento de dados decartões de crédito. Oscomerciantes estão obrigados acumprir estas normas para mantero estatuto de parceiros da empresade cartões de crédito e evitarmultas pesadas. É possível que oseu banco o tenha contactado nosúltimos meses com informaçõesrelativas à PCI e respetivaimportância na prevenção defraudes com cartões de crédito.3/15
  4. 4. Erros do Gabinete de Crédito – Problemas Com Pessoas ImportantesNatália Fernandes n.º 28191 – Nuno Correia n.º 280454 09-06-2013Segurança de dadosO padrão PCI identifica váriastecnologias fundamentais desegurança de TI e vários processose procedimentos, que sãonecessários para proteger os dadosde titulares de cartão. Para atendera esses requisitos, a RSA,Divisãode Segurança da EMC,oferece a solução RSA PCI, queabrange uma gama de tecnologiase serviços de segurança de TI. Aabordagem da RSA, centrada eminformações, permite que osclientes ultrapassem a proteção doperímetro e garantam que osdados estejam seguros nãoatingindo onde esses dadosestejam. Além disso, as soluçõesRSA para conformidade com opadrão PCI permitirão que vocêresponda às seguintes perguntas:1. Onde estão todos os dados decartão de crédito da empresa?2. Como posso garantir que todosos dados de cartão de créditoestejam seguros?3. Como posso utilizar oscontrolos adequados a fim degarantir uma resposta rápidaaos riscos de segurançapotenciais e comprovar que osinvestimentos de PCI e DSSpodem ajudar nos negóciosalém das auditorias?À medida que as empresascomeçam a abordar aconformidade com o PCI DSS,elas devem primeiro compreenderObjetivos RequisitosDesenvolver emanter uma redesegura1. Instalar e manteruma configuraçãode firewall paraproteger os dadosde titulares decartão2. Não usar os padrõesdos fornecedorespara as do sistema eoutros parâmetrosde segurançaProteger dados detitulares de cartão3. Proteger os dadosarmazenados sobretitulares de cartão4. Criptografar atransmissão dedados sobre ostitulares de cartãoem redes abertas epúblicasManter umprograma degerenciamento devulnerabilidades5. Usar e atualizarregularmente umsoftware antivírus6. Desenvolver emanter sistemas eaplicativos seegurosImplementarmedidas sólidasde controle deacesso7. Restringir o acessoaos dados do titulardo cartão apenasaos que realmenteprecisam dos dados8. Atribuir uma IDexclusiva para cadapessoa com acessoao computador9. Restringir acessofísico aos dados dotitular do cartãoMonitorar e testarregularmente asredes10. Controlar emonitorar todo oacesso aos recursosde rede e aos dadosdo titular do cartão11. Testar regularmenteos sistemas eprocessos desegurançaManter umapolítica desegurança dasinformações12. Manter uma políticaque cuide dasegurançadasinformações4/15
  5. 5. Erros do Gabinete de Crédito – Problemas Com Pessoas ImportantesNatália Fernandes n.º 28191 – Nuno Correia n.º 280455 09-06-2013todas as falhas existentes para quepossam identificar as necessidadesde correção. Por meio da Pré-avaliação e análise de falhas doPCI DSS, os serviços profissionaisRSA ajudam os clientes acompreender a sua atual posturaem relação ao padrão PCI edesenvolver um roteiro decorreções antes de passar por umaauditoria formal do padrão PCI.Esse serviço não substitui nemserve como auditoria do padrãoPCI, mas ajuda os comerciantes aidentificar e corrigir os pontosfracos antes de passar por umaauditoria do PCI. Como um dosprincipais resultados práticos, osserviços profissionais RSAfornecem uma arquitetura dereferência recomendada paramanipulação adequada dos dadosde titulares de cartão. Osconsultores da RSA fornecem essaarquitetura propostaapós:1. Avaliar os níveis atuais deconformidade com o padrãoPCI DSS por meio da revisãodas arquiteturas atuais paraobter elementos deinfraestrutura (redes,aplicativos, servidores earmazenamento) e do uso detecnologias avançadas declassificação e deteção quemanipulam e processam dadosde titulares de cartão.2. Revisar as políticas e processosatuais de manipulação dosdados de titulares de cartão ecompará-los com o padrão PCIDSS e com as práticasrecomendadas, obtidassegundo a experiência daconsultoria da RSA.3. Produzir um relatório paradocumentar as brechas entre oestado atual da infraestrutura,das políticas e dosprocedimentos e o estadodesejado para alcançaraconformidade com o PCIDSS.4. Desenvolver um roteiro decorreções que forneça umcronograma passo a passo dasalterações recomendadas deinfraestrutura e processos paragarantir a conformidade com oPCI DSS e, ao mesmo tempo,reconhecer as limitações dagestão de orçamento, da equipae das informações. Além disso,o serviço EMC de avaliação desegurança do armazenamentooferece uma análise detalhadadaspráticas e procedimentos desegurança relacionados àsinfraestruturas dearmazenamento em rede daEMC.Deteção e classificação de dadosdos cartões de créditoOs serviços profissionais RSApermitem que os clientescompreendam onde os dados detitulares de cartão residem naempresa para que esses dadospossam ser geridos de modo5/15
  6. 6. Erros do Gabinete de Crédito – Problemas Com Pessoas ImportantesNatália Fernandes n.º 28191 – Nuno Correia n.º 280456 09-06-2013consistente durante o ciclo devida. Para conseguir isso, osserviços profissionais RSA usamuma variedade de aplicativos,tecnologias de deteção eclassificação de redes e dados,juntamente com entrevistas comos responsáveis pelos principaisaplicativos para analisar alocalização e o fluxo de transaçõesdos dados de titulares de cartão.A oferta de serviço profissional ea classificação para segurança dasinformações garante que osdadosdos titulares de cartão sejamusados adequadamente, que amanipulação de dados de titularesde cartão seja documentada e queapenas as informações necessáriase apropriadas sejam armazenadas.Os fluxos de transação de dadosde cartões na empresa sãoanalisados, garantindo que asinformações de cartões de créditoem aplicativos dependentes e naslinhas de negócios associadassejam armazenadas e catalogadas.Proteger os dados armazenadossobre titulares de cartãoA RSA fornece uma ampla gamade tecnologias de dadoscorporativos seguros que permiteque os clientes atendam aoRequisito 3 do padrão PCI,protegendo os dados armazenadosde titulares de cartão onde querque esses dados estejam naempresa. As soluções de dadoscorporativos seguros permitemque os clientes protejam os dadosde titulares de cartão em todos ospontos de criptografia,independente de onde os dadosresidam, seja num aplicativo, numbanco de dados, em arquivos epastas ou em armazenamento dedisco. Além disso, a gestão dechaves em toda a empresafornecido pelo RSA Key Managergarante que as soluções deproteção de dados possam serdimensionadas e adaptadas àsmudanças nos negócios e que osseus dados estarão disponíveis eprotegidos, independente de ondesejam necessários no ciclo de vidadas informações. Alguns dos sub-requisitos específicos que podemser atendidos com a tecnologiaRSA são:Requisito 3.4- Manter onúmero principal do cartão nomínimo ilegível, onde quer queesteja armazenado o RSA KeyManager oferece bibliotecas dedesenvolvimento de aplicativosque suportam uma grandevariedade de linguagens dedesenvolvimento, permitindoque os desenvolvimentosintegrem, com facilidade, acriptografia em aplicativos deponto de vendas, pagamento,CRM, ERP e outros aplicativosque criam ou processaminformações confidenciais. ORSA Database SecurityManager permite que osclientes criptografem asinformações no nível do bancode dados e aceita diversosDBMS (Database6/15
  7. 7. Erros do Gabinete de Crédito – Problemas Com Pessoas ImportantesNatália Fernandes n.º 28191 – Nuno Correia n.º 280457 09-06-2013Management Systems, sistemasde gestão de banco de dados),inclusive Oracle, SQL Server,IBM DB/2, Sybase e Teradata.O RSA Database SecurityManager é especialmenteeficiente para empresas comambientes heterogéneos deDBMS, pois a sua tecnologiapermite que as empresasapliquem políticas desegurança consistentes emdiferentes sistemas de DBMS.O RSA File Security Manageroferece aos clientes a habilidadede proteger os dados de cartão decrédito mantidos em arquivos decomputadores, laptops eservidores contra ataques internose externos. Além disso, a suatecnologia permite que os clientesgiram e apliquem de modocentralizado a separação defunções, juntamente com outraspolíticas de segurança, emarquivos confidenciais,independente de onde estiveremlocalizados na rede. Requisito 3.6:Documentar e implementarcompletamente todos os processose procedimentos de gestão dechaves para estas serem usadas nacriptografia dos dados de titularesde cartão. O RSA Key Manageroferece suporte sólido para agestão de chaves de criptografiaem todo o ciclo de vida da chave,desde a geração de chaves fortes,a ativação do armazenamento e dadistribuição de seguros das chavesaté tornar as chaves decriptografia praticamenteinacessíveis. Por meio deparcerias com a Decru e aNeoScale Systems, a RSA oferecerecursos de criptografia parasistemas de armazenamento emdisco. O dispositivo de segurançade armazenamento DecruDataFort permite que os clientesautomatizem e simplifiquem agestão de dados protegidos emambientes corporativosheterogéneos, especialmente entreambientes complexos dearmazenamento em disco deSAN/NAS. Os dispositivosNeoScale,CryptoStor automatizama criptografia de dados localizadostanto na rede de armazenamentoquando inativos no disco, fita ouvirtual.Requisito 3.5 - proteger aschaves de criptografia usadaspara criptografar os dados detitulares de cartão contraexposição e uso impróprio.ORSA KeyManager é umatecnologia de gestãocentralizada de chaves decriptografia que permite aplicaras políticas de modocentralizado em toda aempresa. Além disso, atecnologia permite que osclientes restrinjam o acesso àschaves e armazenem de modoseguro as chaves decriptografia. Por meio daintegração com tecnologias decriptografia da RSA, além detecnologias de outrosfabricantes como Decru eNeoScale, a RSA oferece umaplataforma comum para aplicar7/15
  8. 8. Erros do Gabinete de Crédito – Problemas Com Pessoas ImportantesNatália Fernandes n.º 28191 – Nuno Correia n.º 280458 09-06-2013segurança aos dados detitulares de cartão. Além disso,a RSA fez parceria com aEpicor|CRS para integrar oRSA KeyManager à solução deponto de vendas CRSRetailStore, para ajudar naproteção deinformaçõesconfidenciais —como dados de cartão decrédito — no ponto da entrada.Além disso, o RSA KeyManager oferece ainda maissuporte à conformidade com oRequisito 3.5, permitindo queos clientes limitem o acesso àschaves de criptografia,assegurando que osutilizadores sejam autenticadose autorizados adequadamente,controlos estes que osauditores do PCI DSSprocuram constatar. Alémdisso, o RSA Key Managerarmazena as chaves decriptografia em um banco dedados protegido (oarmazenamento de chaves)onde as próprias chaves sãocriptografadas usando umaKEK (Key Encryption Key,chave de criptografia dechaves). Os clientes podemarmazenar essa KEK num HSM(Hardware Security Module,módulo de segurança dehardware), um dispositivo dehardware especializado eprotegido que reforça aproteção.Criptografar a transmissão dedados sobre os titulares decartão em redes abertas epúblicasPor meio de uma parceria com aCipherOptics, a RSA oferecesegurança transparente para dadosem circulação nas redes IPinternas, o que ajuda a proteger oslinks entre os sistemas e, assim,garantir que os dadosconfidenciais não sejamadulterados enquanto sãotransferidos entre os sistemas. Oserviço RSA de projeto eimplementação de criptografia doarmazenamento integra osdispositivos CipherOptics aosambientes dos clientes usando aspráticas recomendadas deimplantação. Além disso, o RSAKey Manager oferece um suportesólido para a gestão de chaves decriptografia em todo o ciclo devida das chaves, desde a geraçãode chaves fortes, a ativação doarmazenamento e da distribuiçãoseguros das chavesaté tornar aschaves de criptografiapraticamente inacessíveis.Manter sistemas e aplicativossegurosO serviço RSA ApplicationSecurity Design Assessment é umaoferta em pacotes que oferece umdiagnóstico rápido e preciso doestado atual da segurança dosaplicativos. Os consultores doRSA Professional8/15
  9. 9. Erros do Gabinete de Crédito – Problemas Com Pessoas ImportantesNatália Fernandes n.º 28191 – Nuno Correia n.º 280459 09-06-2013Servicesanalisam o projeto e omodelo operacional dosaplicativos alvo e dos ambientesque os cerca, conferemcompletamente os projetos deaplicativos atuais e adocumentação técnicaassociada,examinam a arquiteturade aplicativos e o fluxo deinformações e produzem umrelatório destacando os pontosfortes e fracos dos sistemas atuaise das operações relativas àspráticas recomendadas da RSA.Restringir o acesso aos dados detitulares de cartãoAs soluções RSA para acessocorporativo seguro permitem queos clientes cumpram o requisito 7do padrão PCI, assegurando queapenas usuários autorizadospossam acessar os dados detitulares de cartão em sistemas dePCI com base na Web.Especificamente, o software RSAAccess Manager oferece suporteaos seguintes sub-requisitos:Requisito 7.1 - limitar oacesso aos recursos decomputadores e às informaçõessobre titulares de cartõesapenas às pessoas cuja funçãoexige tal acesso. O softwareRSA Access Manager ajuda osclientes a assegurar que apenasas pessoas autorizadas poderãoaceder aos dados de titulares decartão em aplicativos com basena Web. Além disso, essesprivilégios podem seratribuídos com base nasresponsabilidades do cargo deuma pessoa ou de um grupo.Os direitos do RSA AccessManager podem ser definidospor atributos exclusivos, comoum cargo (por exemplo,departamento decontabilidade), o que ajuda aassegurar que o acesso sejaautomaticamente cancelado se,por exemplo, um membro daempresa for transferido paraoutro departamento. Alémdisso, o RSA “AccessManager” permite que osclientes centralizem o acessodos dados de titulares de cartãocom base na Web, ajudando aaumentar a segurança e assimgarantir que sejamimplementados controlosconsistentes de ponto de acessocom base na Web.Requisito 7.2- estabelecer ummecanismo para os sistemascom diferentes utilizadores quelimite o acesso com base nanecessidade para o cargo doutilizador e que seja definidopara ―negar todos‖ a menosque especificamente permitido.Atribuir uma ID exclusiva cadapessoa com acesso aocomputadorAs soluções RSA para segurançade acesso aos dados corporativos eaos dados em si, ajudam osclientes a garantir que osutilizadores que acessão os9/15
  10. 10. Erros do Gabinete de Crédito – Problemas Com Pessoas ImportantesNatália Fernandes n.º 28191 – Nuno Correia n.º 2804510 09-06-2013sistemas de dados de titulares decartão realmente sejam quemafirmam ser. Os recursosespecíficos incluem:Requisito 8.2- Além deatribuir uma ID exclusiva,aplicar pelo menos um dosmétodos a seguir paraautenticar todos os usuários:a) Senhab) Dispositivos de token (porexemplo, SecurID, certificadosou chaves públicas).c) Biométrica. O RSA SecurIDpermite o cumprimento dessesrequisitos, oferecendo umasérie de tokens de autenticação/ autenticadores de dois fatorescom base em hardware esoftware. Além disso, as RSADigital Certificate Solutionsoferecem aos clientesflexibilidade para escolher omecanismo de autenticaçãoque melhor atende às suasnecessidades.Em seguida surgeo:Requisito 8.3 - implementarautenticação de dois fatorespara acesso remoto à redepelos funcionários,administradores e terceiros. ORSA SecurID permite que asempresas implementemautenticação de dois fatorespor meio de uma série deopções de token paraautenticação de dois fatorescom base em hardware esoftware. Além disso, osparceiros RSA Securedoferecem soluções para acessoremoto com integraçãoimediata com o RSA SecurID,tornando mais simples para asempresas adotar processos deautenticação sólida dosutilizadores que acessão osrecursos por conexões VPN. –Requisito 8.4: criptografartodas as senhas durante atransmissão e oarmazenamento em todos oscomponentes do sistema. ORSA SecurID (maisespecificamente, o RSASID200 PINpad Authenticatorand Software Authenticator)permite que o PIN (PersonalIdentification Number),número de identificaçãopessoal) do utilizador final sejacriptografado antes de sertransmitido pela rede. Todas ascomunicações entre os agentesdo RSA SecurID e o servidorsão criptografados e todas asinformações de PIN dosutilizadores finais sãocriptografadas por inteirodurante o armazenamento nolado do servidor. Além disso, oRSA File SecurityManagerpermite a criptografia dearquivos simples usados paraarmazenar senhas.Requisito 8.5 - Assegurar agestão apropriada deautenticação e de senha dosutilizadores não consumidorese de administradores em todasas componentes do sistema. Atecnologia RSA SecurID ajudaos seus clientes a exceder esserequisito, oferecendo meiospara que realizem autenticação10/15
  11. 11. Erros do Gabinete de Crédito – Problemas Com Pessoas ImportantesNatália Fernandes n.º 28191 – Nuno Correia n.º 2804511 09-06-2013sólida dos utilizadores antes doacesso.Restringir acesso físico aosdados do titular do cartãoA RSA e a EMC oferecemsoluções para monitorar, analisaregerenciar a segurança física desistemas e instalações onde osdados de titulares de cartão sãoarmazenados e processados. Osrecursos específicos que atendemaos principais sub-requisitosincluem:Requisito 9.1 - Usar controlosapropriados de entrada eminstalações para limitar emonitorizar o acesso físico aossistemas que armazenam,processam ou transmitemdados de titulares de cartão. AEMC Physical SecuritySolution permite que osclientes giram, analisem,arquivem e dimensionem asegurança física e asinformações de vigilância emvídeo ao longo de todo o ciclode vida.O software EMC SurveillanceManager fornece análises muitoeficientes e gestão automática,com base em políticas. Alémdisso, os sistemas dearmazenamento EMC de nívelempresarial garantem uma soluçãodimensionável para atender aoscrescentes requisitos dearmazenamento de segurançafísica. As plataformas dearmazenamento endereçado aoconteúdo do EMC Centera e osoftware Documentum de gestãode conteúdo, fornecem oarquivamento de evidências paraas análises e armazenamento dearquivos delongo prazo e à provade violação para as informaçõesde vigilância em vídeo e outrasinformações desegurança física.Os EMC Global Services projetame integram a EMC PhysicalSecurity Solution aos ambientesdos clientes.Requisito 9.7 -Manter controlorigoroso sobre a distribuiçãointerna e externa de qualquertipo de mídias que contenhadados de titulares de cartão(abrangendo a classificação damídias para que possa seridentificada comoconfidencial).A oferta de serviço profissionalRSA classificação para segurançadas informações sustenta osesforços dos clientes paraefetivamente classificar as mídiasque contêm dados de cartões decrédito.Requisito 9.10- Destruirmídias que contêm dados detitulares de cartão quando nãoforem mais necessárias para osnegócios ou por razões legais.Os EMC Certified DataErasure Services usam técnicasexclusivas e ferramentas dosetor para sobregravar asmídias de armazenamento emníveis especificados deeliminação — 3x, 5x, 7x ou11/15
  12. 12. Erros do Gabinete de Crédito – Problemas Com Pessoas ImportantesNatália Fernandes n.º 28191 – Nuno Correia n.º 2804512 09-06-2013um número personalizado — afim de substituir os seus dadospor uma sequência de padrõesvariáveis de bits que tornam osdados irrecuperáveis. Osespecialistas da EMC podemrealizar esse serviço nasinstalações dos clientes ou emlocais remotos em storagearrays completos ou mídiasespecíficas após substituiçãoproactiva. Os serviços estãodisponíveis para storagearrays tanto da EMC quantodaHitachi, IBM, Sun, NetworkAppliance e HP. Ao limite doprocesso, a EMC fornece umrelatório abrangente e umcertificado de conclusãoespecífico para os drives queforam apagados, indicando o nívelde eliminação obtido.Controlar e monitorizar todo oacesso aos recursos de rede e aosdados de titulares de cartãoRequisito 10.1 - Estabelecerum processo para vincular todoo acesso aos componentes dosistema (especialmente acessorealizado com privilégios deadministrador, como root) acada utilizador individual. ORSA enVision permite que osclientes controlem asatividades administrativas deutilizadores e fornecesupervisão a fim de ajudar averificar se um utilizador está aagir de acordo com a políticaestabelecida. Além disso, osistema pode enviar um alertaao supervisor de um utilizador,caso o seu comportamentoviole a política.Requisito 10.2 - Implementar―pisadas‖ de auditoriaautomatizadas para todos oscomponentes do sistema parareconstruir os principaiseventos. O utilizador RSAenVision ajuda as empresas aimplementar ―pisadas‖ deauditoria automatizadas, quedetalham o acesso deutilizadores aos dados detitulares de cartão, as açõesrealizadas pelos utilizadorescom privilégios deadministrador/root, os acessoàs ―pisadas‖ de auditoria, astentativas inválidas de acessológico, o uso de mecanismosde autenticação, a inicializaçãodo registo de auditoria e acriação/exclusão de objetos denível do sistema.Requisito 10.3 -Registarentradas de ―pisadas‖ deauditoria. O RSA enVisionregistará os eventos conformeforem reportados pelosdispositivos associados. Alémdisso, o RSA enVision salva osdados de evento, que podemser analisados e revistos paradeterminar o tipo de evento.Requisito 10.5 - Proteger as―pisadas‖ de auditoria de modoque não possam ser alteradas.O RSA enVision fornece dados12/15
  13. 13. Erros do Gabinete de Crédito – Problemas Com Pessoas ImportantesNatália Fernandes n.º 28191 – Nuno Correia n.º 2804513 09-06-2013não-filtrados e espelhados parao banco de dados de Protocoloda Internet, permitindo aretenção dos dados no seuformato original. Além disso,os recursos de ―uma gravação,muitas leituras‖ ajudam agarantir que as cópiasespelhadas permaneçamintactas, mesmo que os dadosoriginais estejamcomprometidos. Os registos deevento capturados pelo RSAenVision são armazenados numsistema operacional protegido,em formato compactado eprotegido por meio decriptografia ―lightweight‖.Requisito 10.7 - Manter umhistórico da ―pisada‖ deauditoria por pelo menos umano, com um mínimo de trêsmeses de disponibilidade on-line. O RSA enVision NAS3500oferece o EMC Celerrapréconfigurado, pré-testado eem rack, permitindo que osclientes tenham entre 3.5 TB e7 TB de armazenamento,número especialmenterelevante para a retenção dedados de registo on-line. Alémdisso, como o RSA enVision foiprojetado para oferecerintegração imediata complataformas de armazenamentoem rede, como o EMC Centerae o EMC Celerra, os clientesterão a capacidade dearmazenar as suas informaçõesessenciais para cumprir osrequisitos de conformidade. Ossistemas do EMC Celerra NAS(Network Attached Storage,armazenamento conectado àrede) fornecem opreço/desempenho líder dosetor com disponibilidade semcomprometimento. Adisponibilidade semcompromisso significa que osaplicativos continuam aexecutar as operações nosmesmos níveis de desempenhoe serviço, mesmo em caso defalha. O Celerra consegueoferecer isso por meio de umaarquitetura de cluster N+1ativa/passiva e eliminandoqualquer ponto de falha da redeaté o drive de disco. Alémdisso, os sistemas do EMCCelerra NAS implementam umrecurso chamado ―File LevelRetention‖ (retenção num nívelde arquivo) que forneceproteção ORM com base emdiscos para arquivos. Esserecurso do Celerra protegearquivos e diretórios de seremexcluídos, alterados,renomeados ou sobescritosdurante o período de retençãoespecificado. O Celerra FileLevel Retention pode ofereceràs empresas a capacidade deproteger a integridade deregistos de auditoria on-linepor um período de retençãoespecífico (por exemplo, trêsmeses).13/15
  14. 14. Erros do Gabinete de Crédito – Problemas Com Pessoas ImportantesNatália Fernandes n.º 28191 – Nuno Correia n.º 2804514 09-06-2013ConclusãoNum sistema bancário cada vezmais exigente as entidadesbancárias apostam cada vez maisnestes serviços de vanguardatecnológica apoiada em bases dedados extremamente cuidadas queajudam os clientes a criar políticase processos para desenvolver eaprimorar seus programas desegurança das informações. Maisespecificamente, os consultoresdos serviços profissionais querevisam as políticas de segurançaexistentes e desenvolvem políticasnovas ou aperfeiçoadas paraassegurar que os dados de titularesde cartão sejam manipuladosapropriadamente. Estes serviçostambém revisam os processosquanto ao uso, compartilhamento,armazenamento e rotulação damídia que contém dados detitulares de cartão para assegurarque sejam consistentes com aspráticas recomendadas pelopadrão PCI DSS. Tais políticasdevem incluir especificações deusos apropriados e necessários dedados de titulares de cartão eprocedimentos adequados paramanipular esses dados. Destaforma garante-se que erros eproblemas com os clientes nãoaconteçam.14/15
  15. 15. Erros do Gabinete de Crédito – Problemas Com Pessoas ImportantesNatália Fernandes n.º 28191 – Nuno Correia n.º 2804515 09-06-2013BibliografiaSecurity Standards Council (2006). Indústria de Cartões dePagamentos (PCI), Padrão de Segurança de Dados - Procedimentosde Auditoria de Segurança. Versão 1.1;Visa (2005). Indústria de Cartões de Pagamento (PCI), Padrão deSegurança de Dados. Versão 1.0;RSA (2007). Protegendo os Dados de Cartão de Crédito, atendendoao padrão de segurança de dados do PCI. Versão 1.1.15/15

×