• Nenhum resultado encontrado

Trust. PCI DDS. 3 de Abril de 2008

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "Trust. PCI DDS. 3 de Abril de 2008"

Copied!
17
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 17 páginas )

Texto

(1)

Trust

.

PCI DDS

(2)

Meios de pagamento electrónicos têm vindo a ganhar

aceitação

(3)

O mercado dos cartões de crédito tem vindo a crescer

• Mercado de cartões de crédito em Portugal voltou a crescer em 2007 cerca de

6%, para um volume de 15,5 mil milhões €

• Actualmente, a UNICRE (maior operador em Portugal) apresentou um

crescimento superior da facturação a crédito (cerca de 8%), relativamente à facturação do débito (4,6%)

• Segundo a UNICRE a fraude no negócio dos cartões em Portugal cresceu

ligeiramente (0,09%), fixando-se nos 2,9 milhões € (e.g. Irlanda 11,95 milhões €, Espanha 76,27 milhões €)

(4)

Qual o peso global da fraude com cartões de crédito?

• Resultados do Global Airline Fraud Survey, promovido pela Deloitte:

• Desde 2000 a 2006 a fraude relacionada com cartões de crédito aumentou significativamente, de USD 96k em 2000 para USD 854k média por companhia em 2006 (na Europa e EUA a média em 2006 por companhia foi de USD 1,5M)

• A fraude relacionada com cartões de crédito é o método de fraude mais comum e dispendioso no sector da aviação

(5)

Os impactos por fraude podem ser muito relevantes

• TJX (TJ Maxx): mais de 45 milhões de números de cartões de crédito e dados pessoais de clientes foram sendo roubados por hackers durante um período de 18 meses

• Clonagem organizada: 13 indivíduos acusados de elaborar operações organizadas de clonagem de cartões de crédito em 40 restaurantes nos EUA, estando o impacto

calculado em cerca de USD 3 milhões

• CardSystems: mais de 40 milhões de números de cartões de crédito comprometidos. A empresa abriu falência em virtude do processo com a Mastercard e do cancelamento dos contratos com a Amex e VISA

(6)

Existe a percepção de que, uma parte significa das

ocorrências ao nível da segurança decorrer do erro

Humano e da tecnologia

• No “Deloitte 2007 Global Security Survey”

4 das 5 áreas controlo da segurança, com

uma percentagem mais elevada de

oportunidade de melhoria/correcção, são relativas à atribuição/manutenção de acessos • A 5º área de controlo é relativa auditabilidade • Perante um cenário de fraude poderá ser

(7)

Como identificar uma pessoa fraudulenta?

60% Depende da situação 20% Desonestos 20% Honestos Honestidade / Integridade 60% Depende da situação 20% Desonestos 20% Honestos Honestidade / Integridade

?

(8)

As ameaças estão em constante transformação, aparecem

novos desafios todos os dias

• Phishing e ataques cada vez mais localizados e

sofisticados

• Crescimento das ameaças internas

• Existência de gaps nos mecanismos de

armazenamento, retenção e encriptação de

dados

• Riscos de segurança associados às tecnologias

wireless

(9)

Necessidade de criar um standard comum que estabeleça as

boas práticas de segurança (PCI - Data Security Standar)

VISA

Account Information Security

(AIS)

MasterCard Site Data Protection

(SDP)

Amex

Data Security Operating Policy

(DSOP)

Payment Card Industry Council (PCI)

VISA

Account Information Security

(AIS)

MasterCard Site Data Protection

(SDP)

Amex

Data Security Operating Policy

(DSOP)

PCI-DSS

(10)

O principal objectivo do Payment Card Industry/Data Security

Standard (PCI/DSS) é reduzir drasticamente fraudes

• É necessário assegurar que todos os Membros (Emissores e Adquirentes), Agentes, Comércio e Prestadores de Serviços que armazenam, processam

e/ou transmitem dados e transacções dos portadores de cartão estejam alinhados com o PCI/DSS.

• O cumprimento do PCI/DSS é uma obrigação de todas as entidades que

processam, transmitem ou armazenam informações/transacções dos

Portadores de Cartão.

• As operadoras de cartão de crédito e os bancos emissores são

responsáveis por contactar o comércio, os gateways de pagamento e os prestadores de serviço para informar sobre seus requisitos e prazos

(11)

Nem todas as áreas e requisitos do PCI DSS apresentam o

mesmo grau de maturidade

(12)

• Estabelecer framework comum de Segurança da Informação.

• Demonstrar transparência, confiança (TRUST), seriedade e coesão nas ações de segurança de informação.

COM PCI: Crescimento rentável Fiel Esporádico T ip o d e c li e n te Atrair clientes Aumentar TRUST Mon itoriz ar re laçã o co m C liente risc os

A Proposição de Valor do PCI/DSS

• Antecipar e gerir riscos e impactos (financeiros,

operacionais e de imagem).

• Promover a integridade do

Brand e aumentar a confiança de seus

(13)

A Visão da Deloitte sobre os requisitos do PCI/DSS

Processos Tecnologia Pessoas

Objetivos da

Segurança da Informação

Controlos de

Segurança da Informação

(14)

• Os objetivos e guidelines do PCI/DSS potencias as diversas

camadas de segurança da

informação, desde a segurança física até a segurança dos

dados, passando pela

segurança de rede, dos

servidores e das aplicações

• Cada uma destas camadas é por sua vez subdividida em diversos controlos de

Objetivos de Segurança da Informação & PCI/DSS

Tec nolo

gia

Segurança dos Aplicativos Segurança de Dados Pess oas Proc esso s Segurança de Rede

Segurança de Servidores Negócio

(15)

A nossa abordagem adopta as guidelines da PCI DSS e tem

em consideração as lessons learn apreendidas

Definição de âmbito Gap Analysis Programa de

remediação Auditoria

Gestão de Projecto e Qualidade Validar os requisitos Analisar os fluxos de dados Avaliar os controlos existentes Elaborar os gaps analysis Definir um roadmap do programa a seguir Programa de mobilização Implementar as melhorias de segurança Validar as melhorias

Realizar scans à rede

Completar a auditoria de pré-certificação

Suportar a execução de auditorias

Seleccionar QSA e ASV

• Qualified Security Assessors (QSAs) • Approved Scanning Vendors (ASVs)

(16)

Contacto

Miguel Barão da Cunha

(17)

Lisboa

Edifício Atrium Saldanha

Praça Duque de Saldanha, 1 - 6º 1050-094 Lisboa

Portugal

Tel: +(351) 210 422 500

Fax: +(351) 210 422 950 ©2008 Deloitte & Associados – SROC, SA

Porto

Bom Sucesso Trade Center Praça do Bom Sucesso, 61 - 13º 4150-146 Porto

Portugal

Tel: +(351) 225 439 200 Fax: +(351) 225 439 650

Luanda

Rua Engº Costa Serrão, nº 13 Luanda

República de Angola

Tel: +(244) 222 391 808 / 391 673 Fax: +(244) 222 391 972

A expressão Deloitte refere-se a uma ou várias sociedades que operam ao abrigo de um acordo com a Deloitte Touche Tohmatsu, uma Swiss Verein, bem como às suas respectivas representadas e afiliadas. Deloitte Touche Tohmatsu é uma organização mundial de sociedades dedicadas à prestação de serviços profissionais de excelência, concentradas no serviço ao cliente sob uma estratégia global, aplicada localmente em cerca de 140 países. Com acesso a um capital intelectual de aproximadamente 150.000 pessoas no mundo, a Deloitte presta serviços em quatro áreas profissionais – auditoria, impostos, consultoria e assessoria financeira – e a mais de 80 por cento das maiores empresas mundiais, assim como às maiores empresas nacionais, instituições públicas, clientes locais importantes e companhias de sucesso com dimensão global e crescimentos acelerados. Os serviços não são prestados pela Deloitte Touche Tohmatsu Verein e, por razões regulamentares entre outras, algumas das sociedades não prestam serviços em todas as áreas.

Como Swiss Verein (associação), nem a Deloitte Touche Tohmatsu nem qualquer das suas sociedades membro assumem qualquer responsabilidade isolada ou solidária pelos actos ou omissões de qualquer das outras sociedades membro. Cada uma das sociedades membro é uma entidade legal e separada que opera sob a marca “Deloitte”, “Deloitte & Touche”, “Deloitte Touche Tohmatsu” ou outros nomes relacionados.

Referências

Descarregar agora ( PDF - 17 páginas - 1.15 MB )

Documentos relacionados

DOMÍNIO DA LINGUAGEM ALGÉBRICA NO 8º ANO DO ENSINO FUNDAMENTAL: INICIAÇÃO CIENTÍFICA NA FORMAÇÃO DO PROFESSOR DE MATEMÁTICA

(2019) Pretendemos continuar a estudar esses dados com a coordenação de área de matemática da Secretaria Municipal de Educação e, estender a pesquisa aos estudantes do Ensino Médio

Formação geral no SESI-PE e qualificação profissional no SENAI-PE: o projeto EMEP (Ensino Médio e Educação Profissional)

dois gestores, pelo fato deles serem os mais indicados para avaliarem administrativamente a articulação entre o ensino médio e a educação profissional, bem como a estruturação

Um workshop. Um processo. Um modelo de trabalho para materiais open source.

> o on-line – um espaço na internet dedicado à criação digital, promovendo a produção e a divulgação de trabalhos artísticos concebidos para este suporte;. > a

ANÁLISE DO COMPORTAMENTO ACÚSTICO DAS IGREJAS DO SÉCULO XIX EM PORTO ALEGRE

Apresentamos estudo sobre o comportamento acústico das Igrejas do século XIX de Porto Alegre, RS, Brasil: Igreja Nossa Senhora das Dores (1832); Igreja Nossa Senhora da Conceição

CADERNO DE APOIO AO PROFESSOR. 6. o ANO. Apresentação do projeto Planificação a médio prazo Passatempos Resoluções do manual (cap.

Com a realização da Ficha de Diagnóstico, o professor deve averiguar as aprendizagens dos alunos já realizadas sobre números racionais não negativos – operações e propriedades.

Fundamentos de Segurança da Informação

Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir

Coeficiente de dispersão hidrodinâmica e fator de retardamento de metais pesados em solo residual compactadoHydrodynamic dispersion coefficient and retardation factor for heavy metals in residual compacted soil

Dentre as principais conclusões tiradas deste trabalho, destacam-se: a seqüência de mobilidade obtida para os metais pesados estudados: Mn2+>Zn2+>Cd2+>Cu2+>Pb2+>Cr3+; apesar dos

O candeeiro se apagou? A universidade brasileira sob fogo cruzado

Resumo: A revista Candeeiro, da Seção Sindical dos Docentes, da Universidade Federal de Sergipe, ao longo do seu período de existência entre 1998 e 2016,