PCI Versus ISO 27000
Evandro Gomes Soares, Edgar Zattar Dominoni Neto Instituto de Informática – Centro Universitário do Triângulo (UNITRI)
Caixa Postal 309 – 38.411-106 – Uberlândia – MG – Brasil evandroti@gmail.com, edgar.zattar@gmail.com
Resumo. O objetivo desse artigo é identificar e apresentar métodos e
diferenças existentes entre as potencialidades dos padrões PCI vs. ISO27000, e analisar a existência de divergentes cumprimentos da gestão de segurança. Técnicas e métodos de segurança para viabilização e proteção desses dados são aprimorados para diminuir o impacto das empresas e clientes usuários dessa técnica. A metodologia utilizada para a elaboração deste artigo baseia-se no levantamento e análibaseia-se bibliográfica baseia-seguida de uma pesquisa de opinião com profissionais da área para critério de enriquecimento do artigo científico obtendo como principal resultado a identificação dos conhecimentos das regras de negócios da empresa, dos processos, dos impactos gerados, das dificuldades e pontos críticos, dos custos e normas dos padrões aplicados para proteção dos dados do cliente através de entrevista em cenário real.
1. Introdução
A Indústria de Cartões de Pagamento, ou PCI, é um novo assunto em evolução. PCI é a regulamentação sobre o comércio através da Internet, telefone ou terminais de ponto de venda. Qualquer lugar onde há transações financeiras com os dados do indivíduo há preocupações com PCI. O PCI pretende proteger e armazenar os dados de clientes e comerciantes. Milhões de empresas, bancos, os anfitriões web, e-commerce, distribuidores e terminais, são afetados por PCI e seus regulamentos.
Ao pesquisar sobre a Indústria de Cartões de Pagamento, ou PCI, pela primeira vez, pode notar muitas semelhanças com as normas da série ISO27000, abreviação de ISO para Organização Internacional de Normalização, e, especificamente, ISO 27001. Ambas são conjuntos de regras para as empresas seguir em matéria de gestão de segurança da informação. Embora, ambos têm o mesmo objetivo e também diferem em muitos aspectos.
O objetivo da PCI e da série de normativas ISO27000 é controlar e proteger os dados dos clientes, através do estabelecimento de padrões da indústria internacional. Ambas exigem auditorias e verificações de sistemas para mostrar o cumprimento destas normas. Tanto a PCI quanto a ISO27000 também operam em melhores práticas da indústria estabelecidos pelos comitês de regulação.
O objetivo deste artigo é identificar e apresentar métodos e diferenças existentes entre as potencialidades dos padrões PCI e da série ISO27000, e analisar a existência de divergentes cumprimentos da gestão de segurança. Mostrar através da pesquisa em cenário real quais foram os passos, às dificuldades, as falhas e pontos críticos, os custos para implementação e os benefícios que esta certificação trouxe à instituição e aos profissionais dela.
dias devido à comodidade e até mesmo uma fácil aquisição dos meios de pagamento. Técnicas e métodos de segurança para viabilização e proteção desses dados são cada vez mais aprimorados para diminuir o impacto das empresas e clientes usuários dessa técnica. Empresas ainda não conhecem as ameaças e não fazem suas avaliações de impactos de violação de dados que podem sofrer com a falta da implementação, avaliação e correção de normativas de segurança presentes em sua corporação. Portanto questiona-se: Quais das ferramentas são compatíveis para tal empresa? PCI ou ISO27000/27001?
2. O Mercado de Meios Eletrônicos de Pagamento
A evolução tecnológica comprometeu e ainda vem comprometendo os meios de pagamento e a forma de realizar transações financeiras. As transações se sustentam no processamento de dados deixando de ser apenas físicas, o que atribuiu mais flexibilidade e rapidez no pagamento. O aspecto tecnológico se torna real frente a essa fase de transformação. A tendência futura para as novas formas de pagamento depende do desenvolvimento de caminhos inovadores para conduzir dados com rapidez e flexibilidade [FUZITANI; SAUAIA S.D].
A performance econômica das empresas e a decisão de compra são influenciadas pelos meios de pagamento. Muitos produtos financeiros que aceitam ser negociados pelos clientes por diversos tipos e meios de pagamentos permitem uma vantagem superior à concorrência. Deste modo, ao planejar uma estratégia para implantar os meios de pagamento como ferramenta e chegar a um desempenho superior ao concorrente, tornou-se difícil e crítica.
Os meios de pagamento não estão vinculados somente a um simples procedimento de transação. Com as diversas opções de serviços agregados e gerando influencia para o consumidor no aumento das compras, o relacionamento com o cliente e a fonte de receita torna-se uma tarefa competitiva e de riscos.
Os meios de pagamento eletrônicos são significativos quando é observado e confrontado com o atual cenário brasileiro. Da somatória em geral, tem-se 21% da movimentação financeira de todos os meios de pagamento comparado com outros países mais desenvolvidos, como Estados Unidos e Coréia. O Setor no Brasil é mostrado na tabela 1 abaixo: [FUZITANI; SAUAIA S.D]
Tabela 1: Participantes do Setor de Meios Eletrônicos de Pagamento
Participante Descrição
Instituições Financeiras Emitem e administram cartões (crédito, débito e loja) próprios ou de terceiros e concedem financiamento direto aos consumidores. Administradoras Empresas não financeiras que emitem e administram cartões
clientes.
Credenciadoras Empresas que habilitam estabelecimentos fornecedores de bens e/ou prestadores de serviços para aceitarem cartões.
Bandeiras Instituições que autorizam o uso de sua marca e de sua tecnologia por emissores e credenciadoras de estabelecimentos.
Processadoras Empresas que prestam serviços operacionais relacionados à administração de cartões, tais como: emissão de fatura, processamento de transações, atendimento aos portadores, entre outros.
Lojas Empresas que emitem e administram cartões de loja, ou seja, aqueles de uso restrito nos estabelecimentos de empresa emissora.
Fonte: Fuzitani e Sauaia (s.d)
O brasileiro está consumindo por mês metade do seu volume financeiro com os pagamentos via meios eletrônicos. Com o aumento no uso dos cartões para consumo do seu montante financeiro, afirma-se que outros meios de pagamentos vêm perdendo espaço perante os meios eletrônicos de pagamento. [GLENIA 2013]
Entre os três meios eletrônicos de pagamento mais usados, o cartão de crédito está em primeiro lugar, contudo, é necessário um público que tenha conta corrente e comprovação de renda. Para uso dos cartões de débito, o consumidor já o utiliza por ser um produto de entrada oferecido a ele e pelo fato de ter conta corrente e comprovação de renda, mas o consumidor fica restringido às compras por não ter o poder da compra. Já os cartões de loja não exigem a conta corrente do público consumidor, todavia os cartões de pagamento são emitidos pelos estabelecimentos e as compras são realizadas pelos lojistas, sendo assim fidelizando um cliente entre os meios de pagamentos e o crédito. [FUZITANI; SAUAIA S.D]
3. Segurança da Informação
A segurança da informação é fortemente relacionada à proteção das informações de pessoas ou empresas. Essas informações têm valores importantes para uma organização ou mesmo para uma pessoa física e podem estar exposta para pesquisa ou uso ao público ou estar guardadas para uso restrito. As propriedades de confidencialidade, integridade, disponibilidade e autenticidade, são características fundamentais da segurança da informação, e esta segurança não está limitada apenas às informações eletrônicas, a sistemas computacionais ou sistemas de armazenamento. O conceito é definido a todos as formas de proteção de dados e informações [Dias 2009].
Hoje em dia o conceito de Segurança da Informação, espelhado pelo modelo inglês (British Standard) BS 7799, está padronizado pela norma ISO/IEC 17799:2005 em inglês (International Organization for Standardization / International
Electrotechnical Commission). A série de normas ISO/IEC 27000 foi mantida para
adaptar padrões de Segurança da Informação. A ISO/IEC 27002:2005 permanece sendo analisada convencionalmente como 17799:2005 para fins históricos [TERPSTRA 2005].
A Segurança da Informação está aplicada tanto para a proteção das informações pessoais quanto às corporativas. Há fatores que podem comprometer a segurança de uma informação. Como fatores de quem a manipula, fatores comportamentais, ambiente e por usuários mal intencionados com o objetivo de alterar ou até mesmo roubarem tal informação [DIAS 2009].
rede ou sistema de recursos físicos e lógicos que precisar de proteção. Deve-se equiparar e quantificar os níveis de segurança em relação aos valores associados à implementação de mecanismos de proteção para diminuir e tornar mínimo a probabilidade de um ataque.
As políticas de segurança precisam fixar as áreas de responsabilidade dos usuários utilizadores, do pessoal de redes, e gestão de sistemas, sendo que levando em consideração a essas necessidades, as políticas de segurança demandam implementação realista. As políticas de segurança determinam processos de auditoria à segurança, estipulam métodos de segurança apropriados e estabelecem um conjunto de procedimentos legais para ataques [TERPSTRA 2005].
Algumas normas determinam aspectos que devem ser levados em apreço ao elaborar políticas de segurança. Entre essas normas estão a BS 7799, organizada pela
British Standards Institution e a NBR ISO/IEC 17799, a versão brasileira desta
primeira. A ISO principiou a publicar a série de normas 27000, em transferência à ISO 17799, das quais a primeira, ISO 27001, foi publicada em 2005 [TERPSTRA 2005].
Os elementos da política de segurança que devem ser analisados são: autenticidade, ou seja, a capacidade de apresentar condições de examinar a identidade dos usuários e criar condições de analisar identidade do sistema. A disponibilidade, o sistema deve estar disponível para usar quando preciso. Os dados críticos devem apresentar legalidade e integridade e assim ficando disponível continuamente, assim o sistema deve estar sempre íntegro e em condições de ser empregado. E por fim, somente os titulares dos dados ou grupo por ele liberado podem ter acesso e manuseio a estes dados privados e suas confidencialidades [TERPSTRA 2005].
A Gestão de Riscos é essencial para garantir o exato funcionamento de toda a estrutura tecnológica da empresa, engloba a Segurança da Informação, já que atualmente a quantidade de vulnerabilidades e riscos que podem danificar as informações da empresa é cada vez maior. [DIAS 2009].
Ao abranger a Gestão da Segurança da Informação, a Gestão de Riscos apresenta como principais desafios resguardar um dos principais ativos da organização, que é a informação, assim como a reputação e a marca da empresa, implementar e administrar controles que apresentem como foco principal os objetivos do negócio, promover ações corretivas e preventivas de forma hábil, garantir a execução de regulamentações e determinar os processos de gestão da Segurança da Informação [DIAS 2009].
4. Normas da série ISO 27000
Por meio da ISO 27000, a segurança da informação trata a proteção dos ativos de TI e das informações organizacionais. Para muitas empresas, as informações tem mais valor financeiro do que os ativos físicos. Na família ISO 27000 temos duas normas que são as mais conhecidas: [DOROW 2011]
ISO 27001: É um padrão especializado em melhorar, conservar, e monitorar um sistema de Gestão da Segurança da Informação. Irá implementar os controles da ISO 27002.
ISO 27002: Código de práticas para Segurança da Informação.
A ISO 27001 destaca a abordagem da implementação da segurança da Informação enfatizando os processos e seus usuários: a capacidade de reconhecer os requisitos e a exigência de se demonstrar uma política da segurança da informação;
controlar o gerenciamento dos riscos; promover a melhoria da política da segurança monitorando a sua atuação e a eficácia [DOROW 2011].
Esta abordagem de processos é feita com embasamento na tão conhecida estrutura PDCA (Plan, Do, Check, Act), ou seja, Planejar, Implementar, Monitorar e Manter [DOROW 2011].
Figura 1: PDCA da Segurança
Planejar: Definição do objetivo do sistema de gerenciamento de segurança da informação. Identificação de riscos, avaliar e medir riscos, alternativas de tratamento de riscos entre outros.
Implementar e Operar: Plano para tratamento de riscos, prática de controles, avaliação da eficácia dos controles.
Monitorar e revisar: Monitoramento e controle, revisões circulares no sistema de segurança, administrar auditorias internas, modernizar planos de segurança.
Manter e melhorar: Implementar avanços identificados, tomar ações corretivas e preventivas, sobrepor lições aprendidas, comunicar as ações de melhoria aos interessados.
A ISO 27001 mostra como definir um sistema de gestão de segurança da informação de forma livre. Isso admite que se protejam todos os dados financeiros e confidenciais de maneira mais eficiente, tornando mínima a probabilidade de serem acessados ilegalmente ou sem permissão. Com a norma ISO 27001, as melhores práticas são expostas com mais aceitação, indicando a fornecedores e clientes que a segurança é essencial no funcionamento de qualquer empresa.
A ISO 27002 é reconhecida como uma norma para os códigos de práticas para gestão de segurança da informação. Além de se apontar como um guia para orientar utilização dos controles segurança, ela também aponta quais os requisitos a serem instalados numa organização. Em resumo tem-se para esta norma: [PEIXOTO 2012]
Figura 2: Principais características da ISO 27002
A ISO 27002 é organizada em seções. Por seção é oferecido vários controles que se encaixa pela necessidade de cada empresa. Ao todo, são cerca de 130 controles classificados em: Política da segurança da informação; Organizando a segurança da informação; Gestão de ativos; Segurança em recursos humanos; Segurança física do ambiente; Gestão das operações e comunicações; Controle de acesso; Aquisição, desenvolvimento e manutenção de sistemas de informação; Gestão de incidentes da segurança da informação; Gestão da continuidade do negócio e Conformidade [DOROW 2011].
As normas da família ISO/IEC 27000, tendo as normativas mais dominadas do Sistema de Gestão de Segurança da Informação (SGSI), as ISO 27001 e ISO 27002. Estão muito relacionadas à segurança de dados digitais ou sistemas de armazenamento eletrônico. O conceito de segurança da informação anda bem próximo da realidade tecnologia e informático, porem este conceito ainda vai muito além. Para o modelo de gestão do SGSI (Sistema de Gestão de Segurança da Informação), considera-se como uma forma de garantir a segurança para todos os tipos informações e dados, contendo os seguintes atributos: confidencialidade, integridade, disponibilidade e autenticidade.
Cada uma das normas existentes nas séries ISO 27000 possui sua especialidade, mas com o primordial objetivo: criar e manter em perfeito estado um SGSI. O tamanho da empresa ou mesmo o tipo dela não interfere para a adoção de uma normativa, e seus regulamentos buscam fazer com que não só as informações da organização, mas também os sistemas estejam seguros. A adequação do SGSI em uma determinada empresa é baseada nas orientações e estratégias trazidas pelas normas, fazendo que o SGSI se adapte com a empresa que deseja implementá-lo.
A série de normas da ISO 27000 possui dois tipos de certificados que precisam estar sempre alinhados e os dois trazem consigo os seus benefícios. Esses certificados são para os profissionais e para as empresas. A certificação da ISO 27000 em uma empresa faz com que ela seja reconhecida com padrão internacional, trazendo boa imagem e confiabilidade para as partes interessadas: clientes, colaboradores, parceiros.
Portanto, pode-se dizer que os principais objetivos da norma são: comunicação, segurança, proteção do consumidor em relação à qualidade de produtos e eliminação de barreiras técnicas e comerciais.
5. PCI – Indústria de Cartões de Pagamento
Em janeiro de 2005, as cinco marcas líderes de cartões de pagamento que são: American Express, Discover Financial Services, JCB (JCB International Credit Card
proteção de dados de portadores de cartões de pagamentos. O resultado foi à criação do Padrão de Segurança de Dados (DSS) para a Indústria de Cartões de Pagamento (PCI). O DSS (Security Standards Council) é uma coleção de práticas indicadas para a segurança de dados por todo o ciclo de vida das informações [WESTCON 2015].
Desde então, atividades de negócios vem se adaptando para cumprir com o padrão, gerando o aparecimento de diferentes perguntas e desafios. Para adaptação ao padrão, o recurso RSA (Ron Rivest Adi Shamir Len Adleman) de DSS para PCI existe para proporcionar informações e as ferramentas aos comerciantes, processadores de pagamento e bancos [WESTCON 2015].
As empresas que manipulam as informações do cartão de crédito, bem como, a coleta, o processamento e o armazenamento desses dados, estão obrigadas a adaptar ao padrão PCI DSS. Em linhas gerais, esta adaptação inclui comerciantes, intermediários que processam dados de cartão de crédito e estão ligados à rede da associação de cartões, assim como provedores de serviço que hospedam sites, processam transações em ATM (Automatic Teller Machine), caixas automáticos criados pelos bancos para facilitar as transações bancárias ou coletam e processam dados de cartão de crédito em nome de membros das redes Visa e Mastercard – gateways de pagamento.
A não obrigatoriedade de conformidade com o PCI DSS fica com empresas que apenas autorizam transações e emitem cartões de crédito, como bancos e grandes varejistas.
O RSA (Ron Rivest Adi Shamir Len Adleman) é um dos métodos de criptografia mais empregados em todo o mundo, os objetos de estudo são os métodos de codificação de mensagens de modo que ninguém em sua posse, além do remetente e o legítimo destinatário, consegue entender seu conteúdo. Hoje em dia, com o aumento do acesso aos dados devido ao uso da internet, a criptografia tem sido cada vez mais importante aos sistemas e bancos de dados, pois códigos de simples descriptografação podem conceber grandes ameaças à suas informações. Uma das utilidades do RSA, atualmente, é sua utilização, no protocolo HTTPS (Hyper Text Transfer Protocol Secure), que é indispensável, por exemplo, em compras eletrônicas ou no protocolo de login em alguns sites [DIAS; FENDRICH 2014].
Em relação ao PCI, a norma é aplicada a todos agentes que manipulam e transmitem os dados do proprietário do cartão, tanto como prestadores de serviços e comerciantes. O PCI DSS 2.0 é um padrão internacional estabelecido pela indústria de cartões de pagamento para diminuir fraudes e falhas na segurança da tecnologia e proteger o sistema contra imprevistos. A certificação PCI DSS 2.0 concede ao agente fazer negócios no mundo na área de processamento de pagamentos [PCI SECURITUY STANDARDS 2015].
O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) é um conjunto de requisitos abrangentes para gerenciamento de segurança, políticas, métodos, arquitetura de rede, design de software e treinamento para resguardar as informações do titular do cartão de crédito. A norma estabelece que qualquer empresa que aceita pagamentos com cartão de crédito deva atender a um nível mínimo de conformidade, incluindo treinamento [CONHECIMENTO COMPUTADOR, 2015].
O PCI DSS é uma propriedade de informações de segurança padrão para organizações que lidam com a marca de cartões de crédito dos principais sistemas de cartões. É administrado pelo Payment Card Industry Security Standards Council e foi criado para aumentar os controles de dados do portador de cartão para diminuir fraudes
com cartões de crédito por meio da sua exposição. A validação da conformidade é realizada anualmente e cria-se um Relatório de Conformidade para as organizações que tratam grandes volumes de transações, ou Self-Assessment Questionnaire (SAQ) para as empresas que lidam com menor volume [PCI DSS COMPLIANCE 2008].
Para o cronograma de conformidade no Brasil, às empresas que estão de acordo com o propósito do PCI tiveram até 2009 para se adequar. O cronograma varia de acordo com o continente e o mercado. Em 2006 foi revelado uma pesquisa realizada no mercado norte-americano que menos de 20% chegaram a conquistar a conformidade plena com o PCI DSS. Já em 2007, resultado dessa pesquisa chegou ao índice de 35%.
Algumas dificuldades podem surgir ao implantar alguns dos requerimentos, levando em consideração a diversidade dos modelos de negócio das empresas e dos ambientes operacionais. Considerando o caso anterior, será preciso resolver e implantar controles que interage de forma a alcançar o nível de risco adequado.
O Padrão de Segurança de Dados PCI aponta 12 exigências para a conformidade, organizados em seis grupos relacionados logicamente chamados objetivos de controle. Cada versão do PCI DSS dividiu esses 12 requisitos em um número de sub-requisitos de forma diferente, contudo os 12 requisitos de alto nível não alteraram desde o princípio do padrão.
Tabela 2: Requisitos do PCI
Objetivos de Controle Requisitos do PCI DSS
Construir e manter uma rede segura
1. Instalar e conservar um firewall para resguardar os dados de configuração do titular do cartão
2. Não usar padrões disponibilizados pelo fornecedor para sistema de senhas e outros parâmetros de segurança
Proteger os dados do portador do cartão
3. Proteja os dados do portador do cartão armazenados 4. Codifique a transmissão dos dados do portador do cartão em redes abertas e públicas
Manter um programa de
gerenciamento de
vulnerabilidades
5. Use e atualize regularmente o software antivírus em todos os sistemas comumente afetados por malware
6. Desenvolver e manter sistemas e aplicativos seguros
controle de acesso
necessidade de tomar conhecimento
8. Atribua um ID único para cada pessoa com acesso ao computador
9. Restrinja o acesso físico aos dados do portador de cartão
Regularmente Monitorar e Testar as Redes
10. Acompanhe e monitore todo o acesso aos recursos da rede e dados do portador de cartão
11. Testar regularmente os sistemas e processos de segurança
Manter uma Política de
Segurança da Informação 12. Manter uma política que aborde a segurança dasinformações Fonte: PCI Security Standards Council LLC, 2008.
Ainda que o PCI DSS deva ser implementada por todas as entidades que processam, registram ou transmitem os dados do titular do cartão, o PCI DSS não é obrigatório para todas as entidades. Tanto a operadora Visa e MasterCard exige dos comerciantes e provedores de serviços que sejam validados de acordo com o PCI DSS. Pequenos comerciantes e prestadores de serviços não tem a necessidade de validar o cumprimento de cada um dos controlos prescritos pelo PCI DSS embora essas organizações ainda deva implementar todos os controles a fim de conservar e impedir a responsabilidade potencial em caso de fraude relacionado com o roubo de dados do cartão de pagamento.
6. PCI Versus ISO 27000
A PCI tem a finalidade de proteger os dados do portador do cartão de pagamento. O PCI já existia como um todo, desde 2004, e agora está sendo regulamentada sob as normas mais rigorosas do PCI DSS 1.2. Estas novas normas e rigoroso acompanhamento surgiram devido ao aumento da violação de dados a partir de 2005 [FOCUS ON PCI 2015].
Uma empresa com os padrões ISO 27000 é reconhecida internacionalmente, e isso já torna a empresa confiável e com alto índice de aceitação de todas as partes interessadas: clientes, colaboradores, parceiros etc. Outro benefício é que as normas da série ISO 27000 também se comunicam com outros sistemas de gestão, como o de qualidade da série ISO 9000. Com as normativas implantadas, facilita encontrar e corrigir falhas no SGSI e facilita no processo de revisão [NORMAS TÉCNICAS 2015]. Qualquer pessoa que aceita cartões de crédito ou débito através da Internet, telefone ou terminais como pagamento; dados de cartões de lojas, ou processos de transações de cartão já são responsáveis por serem compatíveis com PCI. Isto é para a proteção do cliente e para evitar potencial uso indevido de seus dados financeiros.
Enquanto PCI e ISO são semelhantes em seus valores, seus métodos são diferentes. A tabela 3 observa algumas dessas diferenças.
Tabela 3: Diferenças entre o PCI e a ISO27001
Tópico PCI ISO
Aceitação geográfica América do Norte e Europa Internacionalmente Reconhecido
Mandatos de
conformidade Cumprimento Obrigatório Cumprimento voluntário Âmbito da Empresa Níveis de funcionamento Empresa geral
Grau de cumprimento Deve cumprir todas as normas Normas voluntárias
Sistemas de Separação Alto Baixo
Grau de flexibilidade Baixo Alto
Fonte: http://www.normastecnicas.com
O PCI é a maior referência para práticas de segurança de dados na Internet. Foi constituído pelas grandes bandeiras internacionais de cartões de crédito para aumentar a segurança das transações eletrônicas e proteger as informações dos portadores de cartões apresentando diversos benefícios à segurança dos ambientes que armazenam ou processam dados de cartão de pagamento. A versão 2.0 do padrão incorporou as melhores práticas para temas atuais, como virtualização e a avaliação de riscos. Os controles ajudam a preservar a confiança do consumidor no cartão de crédito como meio de pagamento seguro. Isto possibilita um aumento do consumo, que gera e tranquilidade para o comprador e se reflete em mais negócios para todos os membros da cadeia: lojistas, bancos emissores e prestadores de serviço.
Uma certificação ISO 27001 não é fundamentalmente para uma vantagem competitiva, e sim uma necessidade. O mercado globalizado de hoje passa por diversas regulamentações, e para muitas organizações essa certificação é necessária, pois alguns critérios básicos são atendidos diminuindo principalmente o trabalho de auditoria.
A PCI DSS não se aprofunda em dados e transações, pois é considerada uma infraestrutura de data-center. Já a ISO 27001 é direcionada e sustentada em tudo que garante a confiabilidade e ajuda na segurança da transferência da informação, e tudo preciso para fazer com que a informação esteja disponível e autêntica. A informação por si só não pode existir fora de uma infraestrutura. Assim compreende-se que a implantação em conjunto do certificado ISO 27000 com a PCI DSS complementaria o trabalho entre os dois lados.
Com implementação dos dois lados, ou seja, das duas normativas, é possível diminuir os riscos gerais associados ao processamento de cartões de pagamento e garantir uma infraestrutura mais resistente. Esses serviços apresentam soluções confiáveis a fim de identificar e gerenciar os riscos à segurança dos dados para comerciantes e provedores de serviços que administram os dados dos proprietários de cartões.
7. Considerações Finais
Realizado a pesquisa de opinião com profissionais da área, no qual o funcionário e subgerente de uma das agências bancárias do estado de Goiás enfatizou e detalhou a importância da segurança e proteção dos dados dos clientes nas transações de cartões de pagamento. A agência bancária usa uma ferramenta denominada AKER, pelo qual indicou elevados critérios de segurança para proteção dos dados. O subgerente cita que “o banco não possui as certificações PCI e ISO 27000, mas possui a certificação ISO
9001:2008 no qual é responsável pela elaboração de normas do Sistema de Gestão da Qualidade da instituição financeira”. A ISO 9001 está dentro da série de normativas da ISO 9000, sendo assim, tendo como benefício à comunicação com a ISO 27000. Com o sistema da ISO 9001 em comum com outros sistemas, fica sendo mais fácil encontrar falhas e corrigi-las no SGSI.
O funcionário também cita que “o sistema AKER trabalha dentro das normas ISO 9001 em conjunto com a garantia da gestão da qualidade da empresa. Foram necessários intensos procedimentos de consultoria e auditoria de processos para uma garantia de sucesso no momento da implantação. Para consultoria de implementação, foram necessários 2 consultores com conhecimentos especializados nas normativas ISO 9001 e que abrange também conhecimentos da série ISO27000. O tempo de duração da consultoria para implantação da normativa foi de aproximadamente 7 meses.”
Com a realização de cada passo para a implantação, o mapeamento de processos, definição das atividades, a política da qualidade da empresa, ações corretivas, foram aparecendo obstáculos e dificuldades na implantação. Constatou que alguns pontos críticos da organização, bem como as políticas internas de segurança do setor de tecnologia e cumprimentos de objetivos que ainda não estavam de acordo com o cronograma e foram necessários tempos para adequação dos mesmos.
8. Conclusão
A PCI é mais padronizada e regulada na gestão de segurança da informação que se refere especificamente aos dados do portador do cartão. Uma empresa poderia implantar a ISO 27000 junto com a PCI se ela estiver preocupada com a satisfação de ambos os regulamentos, tanto a PCI quanto a ISO. Não há problema nenhum em obter as duas normativas e mantê-las em paralelo dentro da organização.
Por outro lado, o objetivo da família da norma ISO 27000 é fornecer requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI). Em relação a sua escolha, esta deve ser uma decisão estratégica, pois para implantar um SGSI em uma organização, vários fatores que influenciadores dessa mudança são responsáveis pela implantação, bem como o requisito de segurança, estrutura e tamanho da organização.
Após a realização da pesquisa com o profissional sobre a segurança dos dados do cartão de pagamento dos clientes e sobre qual normativa a instituição estaria preocupada em se certificar-se, chega-se a conclusão que ela optou pela certificação da ISO 9001 por estabelecer e conter requisitos que estão presentes na série da ISO 27000, simplificando todo o processo de conhecimento das pessoas que foram interagidas na implementação e, buscando assim, uma normativa que possa atender também os requisitos da Gestão da Qualidade total da empresa e meios da garantia de Segurança dos dados.
Levando em consideração aos fatos e requisitos levantados pela instituição financeira antes, durante e após a escolha da norma, define-se que as normativas da série ISO27000 são mais adequadas para atender os objetivos que ela mais necessita. Com a ISO, a organização equilibra a sua estrutura organizacional total, não somente no foco da exclusiva proteção dos dados do portador do cartão, mas também abrange todo o sistema de Gestão de Segurança da Informação, a gestão da qualidade dos processos, a melhora e facilidade da correção das falhas e pontos críticos dos setores envolvidos.
situação atual e presente da instituição financeira, conclui-se também que o conjunto de normativas da ISO27000 é a melhor escolha para adoção por ser capaz de se comunicar com a norma ISO9001 já existente na estrutura da organização.
A implementação da certificação trouxe vastos conhecimentos para a equipe da tecnologia interna da organização que acompanhou os processos e interagia com os benefícios. Para a organização que recebe a certificação, com certeza obteve melhorias em seu processo e planejamento do Sistema de Gestão, que ajuda a identificar as partes interessadas, mas por outro lado, por falta de interesse, o cliente não conhece e não possui nenhuma informação sobre a certificação, suas melhorias e benefícios para ele mesmo e a organização certificada. A empresa certificada obteve também a conformidade dos produtos e serviços que são ofertados, automaticamente melhorando-os.
O valor cobrado por hora / consultoria varia de profissional para profissional. O valor padrão cobrado para cada dia trabalhado custa em torno de R$ 1.000,00 e esse consultor poderá gastar até 36 visitas no método convencional podendo chegar ou passar ao final das visitas o valor de R$ 45.000,00.
Referências
CONHECIMENTO COMPUTADOR. “Requisitos do PCI DSS treinamento de segurança”. Disponível em: < http://pt.wingwit.com/Networking/network-security/76295.html#.VU0rB_lVikp>. Acesso em 05 mai. 2015.
DIAS, C. (2009). “Segurança e Auditoria da Tecnologia da Informação”. Rio de Janeiro: Axcel Books, 2009.
DIAS, I., FENDRICH, A. N. (2014) “Números Inteiros e Criptografia RSA”. 21º Simpósio Internacional de Iniciação Científica da USP, 2014. Disponível em: <https://uspdigital.usp.br/siicusp/cdOnlineTrabalhoVisualizarResumo?
numeroInscricaoTrabalho=1628&numeroEdicao=21>. Acesso em 25 abr. 2015. DOROW, E. (2011) “Governança de TI: segurança da informação – NORMAS ISO
27000”. Profissionais TI, 2011. Disponível em:
< http://www.profissionaisti.com.br/2011/01/governanca-de-ti-seguranca-da-informacao-normas-iso-27000/>. Acesso em 03 mai. 2015.
FOCUS ON PCI. “Intro to PCI”. Disponível em:
<http://www.focusonpci.com/site/index.php/About-PCI/intro-to-pci.html>. Acesso em 02 mai. 2015.
FUZITANI, E. A., SAUAIA, A. C. A. “Meio eletrônico de pagamento e desempenho no varejo: Estudo comparativo de setores na adoção de um cartão de loja como meio de pagamento”. Disponível em: < http://www.ead.fea.usp.br/TCC/trabalhos/Artigo-Eric%20Akira.pdf>. Acesso em 03 mai. 2015.
NORMAS TÉCNICAS. “Série ISO 27000”. Disponível em: <http://www.normastecnicas.com/iso/serie-iso-27000/>. Acesso em 02 mai. 2015. PCI DSS COMPLIANCE. “Introdução com o Padrão de Segurança de Dados PCI”.
Disponível em: <http://pcidsscompliance.net/>. Acesso em 05 mai. 2015.
PCI SECURITUY STANDARDS. Disponível em:
<https://www.pcisecuritystandards.org/>. Acesso em 03 mai. 2015.
PCI SECURITY STANDARDS COUNCIL LLC. Disponível em: <https://pt.pcisecuritystandards.org/minisite/en/>. Acesso em 05 mai. 2015.
PEIXOTO, M. (2012) “Segurança da informação: vale muito aplicar a ISO 27002”. Webinsider, 2012. Disponível em: < http://webinsider.com.br/2012/11/12/seguranca-da-informacao-vale-muito-aplicar-a-iso-27002/#sthash.PiRkdZ2H.dpuf>. Acesso em 06 mai. 2015.
WESTCON. “Indústria de Cartões de Pagamento (PCI)”. Disponível em: <
