março de 2009
Reportagem da Decision Report sobre desafios do PCI, com apoio da Cipher
O desafio do PCI DSS no Brasil, por Eduardo Scampini Bouças
Determinada pelo Conselho da Indústria de Cartões de Pagamento (PCI Security Standards Council), a norma PCI DSS (Data Security Standard) foi criada e é adotada pelas principais bandeiras de cartão de crédito para garantir a segurança dos dados de seus usuários, e surpreendeu muitas empresas deste mercado, que não acreditavam na obrigatoriedade da norma.
Entre procedimentos mais simples, como adequação de firewalls e antivírus, e outros mais complexos, que exigem novas tecnologias, mudanças em sistemas e modificações na cultura da empresa, o processo de certificação leva em torno de um ou dois anos, variando em função do tamanho da empresa e do nível de conformidade inicial. E são as modificações na cultura da empresa, os maiores desafios para a implementação da certificação.
Inerente aos costumes de muitas empresas brasileiras, a informalidade no manuseio dos dados de cartão e falta de documentação de alguns processos são responsáveis pela sensação de complexidade do processo. Isso não significa que a empresa não possua processos adequados, mas que a casualidade gera essa ausência de registros e documentos sobre os procedimentos. Além disso, a proliferação de dados de cartão em diversos sistemas, onde não existe a real necessidade de sua presença, aumenta em muito o escopo do projeto e sua complexidade.
Além de culturais, os desafios técnicos também influenciam no tempo de implementação da norma PCI DSS. A criptografia de bases de dados, por exemplo, ainda encontra barreiras como a dificuldade de organização de um processo de gerenciamento das chaves criptográficas que possa atender às necessidades de integração com os mais diversos sistemas e bancos de dados de empresas de grande porte.
Finalizando os desafios, com a chegada do deadline imposto pelas bandeiras, que determina a apresentação de resultados positivos na redução de riscos para até setembro de 2009 e exige a conformidade para setembro do ano seguinte, o prazo soma-se aos fatores culturais e técnicos como critério a ser considerado para a conquista da certificação PCI DSS.
No entanto, o desafio inicial será superado pelos benefícios que a norma trará para as empresas, que poderão assegurar aos clientes e parceiros um grande aumento na segurança de seus dados, evitando ainda multas por parte das bandeiras. Um último benefício é ainda associado à possibilidade de exploração do diferencial competitivo entre empresas, mostrando aos seus clientes a preocupação com a segurança desses dados de extrema relevância.
*Eduardo Bouças é diretor da Cipher, empresa especializada em segurança da informação e pioneira, no Brasil, a receber a titulação PCI QSA (Qualified Security Assessors) e PCI ASV (Approved Scanning Vendors)
Fonte: Decision Report
24/03/2009
Determinada pelo Conselho da Indústria de Cartões de Pagamento (PCI Security Standards Council), a norma PCI DSS (Data Security Standard) foi criada e é adotada pelas principais bandeiras de cartão de crédito para garantir a segurança dos dados de seus usuários, e surpreendeu muitas empresas deste mercado, que não acreditavam na obrigatoriedade da norma.
Entre procedimentos mais simples, como adequação de firewalls e antivírus, e outros mais complexos, que exigem novas tecnologias, mudanças em sistemas e modificações na cultura da empresa, o processo de certificação leva em torno de um ou dois anos, variando em função do tamanho da empresa e do nível de conformidade inicial. E são as modificações na cultura da empresa, os maiores desafios para a implementação da certificação.
Inerente aos costumes de muitas empresas brasileiras, a informalidade no manuseio dos dados de cartão e falta de documentação de alguns processos são responsáveis pela sensação de complexidade do processo. Isso não significa que a empresa não possua processos adequados, mas que a casualidade gera essa ausência de registros e documentos sobre os procedimentos. Além disso, a proliferação de dados de cartão em diversos sistemas, onde não existe a real necessidade de sua presença, aumenta em muito o escopo do projeto e sua complexidade.
Além de culturais, os desafios técnicos também influenciam no tempo de implementação da norma PCI DSS. A criptografia de bases de dados, por exemplo, ainda encontra barreiras como a dificuldade de organização de um processo de gerenciamento das chaves criptográficas que possa atender às necessidades de integração com os mais diversos sistemas e bancos de dados de empresas de grande porte.
Finalizando os desafios, com a chegada do deadline imposto pelas bandeiras, que determina a apresentação de resultados positivos na redução de riscos para até setembro de 2009 e exige a conformidade para setembro do ano seguinte, o prazo soma-se aos fatores culturais e técnicos como critério a ser considerado para a conquista da certificação PCI DSS.
No entanto, o desafio inicial será superado pelos benefícios que a norma trará para as empresas, que poderão assegurar aos clientes e parceiros um grande aumento na segurança de seus dados, evitando ainda multas por parte das bandeiras. Um último benefício é ainda associado à possibilidade de exploração do diferencial competitivo entre empresas, mostrando aos seus clientes a preocupação com a segurança desses dados de extrema relevância.
*Eduardo Bouças é diretor da Cipher, empresa especializada em segurança da informação e pioneira, no Brasil, a receber a titulação PCI QSA (Qualified Security Assessors) e PCI ASV (Approved Scanning Vendors)
Fonte: Decision Report
24/03/2009