PCI Compliance - Principais desafios na adequação
de processos e atualização de sistemas
Armando Linhares Neto
Infoglobo
1925 Falecimento de Falecimento de Roberto Roberto Marinho Marinho Inauguração do Classifone 1969 1974 1982 1988 1996 1998 1999 2004 2000 2001 2003 2006 2007 1975 Inauguração do Classificados 2008 Inauguração do Jornais de Bairro
Infoglobo
?
Infoglobo
?
Nosso Contexto
• História de sucesso de 85 anos;
• Segmento pouco regulamentado;
• Muito fiscalizado;
• Pequena base de dados histórica sobre perdas para analisar;
• Empresa de capital fechado;
• Segmento em fase de grande transformação;
Visa e Mastercard tinham seus próprios programas de segurança por anos, com
requerimentos independentes. Devido a um rápido aumento de fraudes de cartão de
crédito & vazamento de dados, um aproach unificado passou a ser necessário.
Criado em 2001, o primeiro padrão divulgado foi o Payment Card Industry Data Security
Standards (PCI DSS) que consolida e define o padrão
para proteção das informações
das empresas e prestadores de serviço que armazenam, processam ou transmitem os
dados do portador de cartão, além de fornecedores de solução para esse mercado
.
Escopo: sistemas que armazenam, processam
ou transmitem os dados do portador de cartão.
Estrutura do PCI/DSS
1. Instalar e manter a configuração do firewall para proteger os dados do portador do cartão.
7. Acesso restrito as pessoas que necessitam ter acesso aos dados do cartão
3. Proteção dos dados armazenados.
5. Usar e atualizar regularmente o software de antivírus 6. Desenvolver e manter sistemas e aplicações seguras
12. Manter a política que atenda a segurança da informação. Proteção dos dados do portador cartão Construção e manutenção de uma rede segura Manter um programa de gerenciamento de vulnerabilidades Manutenção da política de segurança da informação Monitorar e testar as redes regularmente
PCI DSS
10.Rastrear e monitorar todos acessos aos dados do portador do cartão e aos recursos de rede. 11.Testar os processos e sistemas
de segurança regularmente
2. Não utilizar senhas padrões de sistema e outros parâmetros de segurança fornecidos pelos prestadores de serviço.
4. Criptografar as transmissões dos dados do portador do cartão e as informações que transitam nas redes públicas 8. Acesso físico restrito aos dados
dos portadores dos cartões
9. Atribuir um único ID a cada pessoa que tem acesso ao computador
6 domínos e 12 Requerimento
Implementação de rígidos controles de acessos
Classificação dos Estabelecimentos Comerciais
Nível Descrição Ação de Validação
1 Mais de 6 milhões de transações por ano ou que tenha sofrido algum problema resultante em comprometimento dos dados de uma conta ou atender a todos os requerimentos de um comerciante do Nível 1.
150 mil a 6 milhões de transações eletrônicas por ano.
Qualquer comerciante que processe de 20 mil a 150 mil transações eletrônicas por ano.
20 mil por ano
• Questionário de auto-avaliação PCI (anual) • Varredura trimestral de vulnerabilidades da
infra-estrutura de TI.
• Auditoria de segurança (recomendado).
2 • Questionário de auto-avaliação PCI (anual) • Varredura trimestral de vulnerabilidades da
infra-estrutura de TI.
• Auditoria de segurança (recomendado)
3 • Questionário de auto-avaliação PCI (anual) • Varredura de vulnerabilidades trimestral da
infra-estrutura de TI.
• Auditoria de segurança (recomendado)
4 • Questionário de auto-avaliação PCI (anual) • Varredura de vulnerabilidades trimestral da
infra-estrutura de TI.
Uso de cartões de crédito está cada vez maior
•
•
Transa
Transa
ç
ç
ões com cartões de cr
ões com cartões de cr
é
é
dito e d
dito e d
é
é
bito subiram de
bito subiram de
1.4 bilhões em 2002 para 3.9 bilhões em 2007
1.4 bilhões em 2002 para 3.9 bilhões em 2007
•
•
O estoque de cartões de cr
O estoque de cartões de cr
é
é
dito emitidos no Brasil cresceram
dito emitidos no Brasil cresceram
de
de
39 milhões em 2003 para 118 milhões em 2008
39 milhões em 2003 para 118 milhões em 2008
. Um salto
. Um salto
de aprox. 200%.
de aprox. 200%.
•
•
No mesmo per
No mesmo per
í
í
odo, os cartões de cr
odo, os cartões de cr
é
é
dito ativos cresceram
dito ativos cresceram
190% atingindo 66 milhões
190% atingindo 66 milhões
Fatores Críticos de Sucesso: Risco ou Recompensa?
Fatores Críticos de Sucesso: Risco ou Recompensa?
Transformação dos processos Transformação dos processos Gerenciamento integrado dos riscos Gerenciamento integrado dos riscos Melhoria nos controles Melhoria nos controles Melhoria dos processos Melhoria dos processos Valor sustentado e segurança Valor sustentado e segurança Conformidade Conformidade Source: KPMG LLP (U.S.), 2004
Ajustando a percepção …
Ajustando a percepção …
SEGURANÇA REAL
SEGURANÇA PERCEBIDA
SUFICIEN TE INADEQUADO ADEQUADO INSUFIC IENTE Implan tação do Pr ocesso de Ge stão d e Risc os&SI Orien tação aos R espon sáveis pelo T ratamen to do s Risc os PERIGO DESCONFORTO IDEAL GASTOS DESNECESSÁRIOS Análise e Conscientizaçãoavaliando o compliance ao PCI...
79%
84%
77%
82%
96%
71%
97%
83%
70%
78%
60%
61%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 1 2 3 4 5 6 7 8 9 10 11 12Média por resposta de EC
79%
42%
84%
38%
77%
64%
82%
70%
96%
84%
71%
34%
97%
73%
83%
47%
70%
35%
78%
45%
60%
25%
61%
23%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 1 2 3 4 5 6 7 8 9 10 11 12Média por resposta de EC X Média por EC auditado
78%
Estados Unidos
Roubo de Identidade lidera o ranking de
reclamações do Federal Trade Commission
Europa e Reino Unido
11% das ocorrências policiais (adultos) na Europa e
20% no Reino Unido estão relacionadas a fraude de
cartão de crédito*.
Aumento de 25% no número de fraudes em relação
ao ano de 2006 – Total aproximado de 775 M USD
Mundo
As fraudes com cartões de crédito em 2007 tiveram
um aumento de quase 100% em relação a 2006
“Press Frenzy” – Aumento significativo das noticias
relacionadas à fraude com Cartões de Crédito e
Débito.
Falsificação de cartões de crédito aumentaram 21%
Perda e roubo aumentaram 52%
12
FONTE: APACS, the UK payments association
... no Brasil e no Mundo em
2008.
Como isto é possível?
Motivadores Mercado EUA
Pesquisa realizada
em 2008 com 100
estabelecimentos
de nível 1, 2 e 3
Custo m
Custo m
é
é
dio de um vazamento de informa
dio de um vazamento de informa
ç
ç
ões nos EUA:
ões nos EUA:
•
•
$90 por cada conta comprometida (usu
$90 por cada conta comprometida (usu
á
á
rio final) no
rio final) no
1o. ano
1o. ano
– Apenas custos de
• Investigação, comunicação com clientes,
system recovery, cobrança de charge backs
•
•
At
At
é
é
$312/conta se você incluir
$312/conta se você incluir
– Advogados e taxas nos EUA
•
•
Isto não inclui
Isto não inclui
– Prejuízos á marca, cobertura negativa da mídia,
perda de clientes, etc.
•
•
Custo m
Custo m
í
í
nimo para um total de 100,000 clientes =
nimo para um total de 100,000 clientes =
USD 9.000.000
Motivadores Mercado Nacional
Decision Report
01/09/2009
Entre os meses de janeiro e junho deste ano o setor de
cartões no Brasil perdeu um valor
superior a R$ 31 milhões com o golpe da clonagem
.
Essa soma representa quase 1% da
média mensal registrada no valor das compras feitas no período com plásticos das
modalidades crédito, débito, lojas e redes.
Os dados foram levantados pela Horus. A empresa desenvolveu um balanço do seu sistema de
monitoramento que acompanha diariamente as notícias públicas na imprensa sobre fraudes nesse
segmento.
Ao todo foram analisadas 160 reportagens publicadas sobre esse tipo de crime no semestre.
Além
do prejuízo financeiro, as matérias revelam que 346 pessoas foram presas por esse delito.
No total, 3.061 cartões tiveram seus dados usados de forma indevida e 70 máquinas para
captura ilegal de dados foram apreendidas.
Na comparação com levantamento semelhante feito no
primeiro semestre do ano passado
houve crescimento em todos os itens, exceto no número de cartões apreendidos. Em 2008,
os meios de comunicação haviam publicado somente 68 reportagens. Elas mostravam 169
pessoas presas e 24 máquinas apreendidas.
Curiosamente,
o número divulgado de cartões clonados no ano passado foi superior ao
deste ano, com 5.650 ocorrências
. No entanto,
o volume financeiro das fraudes saltou de
pouco mais de R$ 2 milhões para os R$ 31 milhões atuais.
Trabalhar na origem dos
Riscos.
GERENCIAMENTO DE RISCOS
Pessoas
• Displicência/negligência na execução de atividades;
• Desconhecimento/falta de treinamento para a execução de atividades;
• Manipulação para cometer fraudes;
Processos
• Processo mal definido;
• Falta de controles;
• Falta de segregação de funções;
Infra-Estrutura
• Falha em sistema (hardware ou software);
• Falha na infra-estrutura de serviços básicos (telecomunicações, energia, água, gás, etc.);
Agentes/Eventos Externos
• Compliance PCI
• Imposição de mudanças regulatórias (IVC, trabalhista, federal, estadual, municipal, etc.)
• Desempenho inadequado de prestadores de serviços;
• Fraudes de clientes, fornecedores ou outros agentes externos;
• Acões jurídicas contra a Infoglobo (ações cíveis, descumprimento de obrigações contratuais, CADE, etc.)
Por Onde Começar?
Compliance como Consequência
• O PCI afeta toda a organização (TI e Não-TI);
• O sucesso do programa depende do comprometimento do alto escalão;
• Estabeleça um comitê de acompanhamento do programa de conformidade;
• Não assuma o papel de “mensageiro do apocalipse”;
• Trabalhe na conscientização dos Gestores (Palestras, Cartilhas, Boletins,..)
• Foque nas oportunidades;
• Aumento das vendas;
• Valorização da marca;
• Prevenção de perdas;
• Orientação ao Negócio e nos Impactos
• Financeiros – Multas, ressarcimento, penalizações contratuais
• Perda de credibilidade / Reputação / Imagem
• Desgaste no relacionamento com as bandeiras e fornecedores
Concluindo
Para onde
queremos ir?
Onde estamos?
Como
chegaremos lá?
Como saberemos
se chegamos?
Objetivos
9 COSO; 9 CobiT; 9 Compliance PCI;Avaliações
9 Conhecer o ambiente; 9 Auditorias na 27002;9 Grau de maturidade CobiT; 9 Indicadores de Risco e SI; 9 Pesquisas de Cultura de SI.
Execução
9 Um passo de cada vez 9 Aplicação da Política de SI 9 Estabelecer prioridades;
9 Ajuste nos componentes de sistema, rede, servidores e aplicativos;
9 Programas de Conscientização.