Simplificando o seu trabalho no atendimento às Normas de Segurança

Simplificando o seu trabalho no atendimento às Normas de Segurança – Parte 1

O tema conformidade (“compliance”) está cada vez mais presente no dia-a-dia corporativo, e uma das especificações bastante conhecidas e utilizadas pelo mercado é a PCI DSS (Payment Card Industry Data Security Standard).

Este post tem como objetivo mostrar o por quê desta norma, como ela pode ajudar as empresas na melhoria da postura de segurança, reduzir a exposição às vulnerabilidades e como se preparar para atendimento aos requisitos de controle utilizando a solução de Virtualização de Redes e Segurança – NSX.

O assunto é bastante abrangente e merece atenção especial, por isso esse post é o primeiro de uma série. Será uma temporada completa, chamada – Simplificando o seu trabalho no atendimento às Normas de Segurança.

Primeiro vamos entender o escopo, ou seja, definir a abrangência da norma sobre a infraestrutura. A regulação é aplicável a todos os ambientes, infraestrutura, aplicações e recursos computacionais que armazenam, processam ou transmitem dados de cartão de crédito, incluindo números de contas pessoais assim como outras informações.

E como estamos tratando de mecanismos e sistemas relacionados a pagamentos efetuados por cartão, é mandatória a adoção de procedimentos e tecnologias de segurança para minimizar o risco da exploração das vulnerabilidades existentes por toda a cadeia de processamento.

Para ser mais claro, observe a figura 1 (PCI DSS Quick Reference Guide version 3.2), que mostra o ecossistema de processamento de cartão, desde o POS (Point of Sales – Ponto de Vendas), passando pela loja, provedor de serviço e o próprio banco comercial.

Figura 1 – Ecossistema de Processamento de Cartão

É possível observar que temos vários agentes participando do processo, agentes esses que podem apresentar vulnerabilidades e posturas de segurança distintas. Junte a tudo isso, o fato de que toda a comunicação é realizada por links de Internet, wireless e por redes públicas, aumentado ainda mais a exposição dos dados à manipulação indevida por terceiros.

Com o objetivo de proteger esta infraestrutura, mostrar aos usuários que as informações são devidamente protegidas, um grupo de cinco empresas (American Express, Discover Financial Services, JCB International, MasterCard WorldWide e Visa) criou em 2006 o Conselho de Normas de Segurança do PCI (PCI Security Standards Council).

Esta norma requer que todos os participantes sejam auditados através da análise de diversos pontos de controle (observar tabela 1). E se a empresa falhar neste processo, há multas, penalidades e até a suspensão para processar cartões de crédito, além de perda de reputação.

Tabela 1 – Requerimentos PCI DSS

Um exemplo interessante é o sobre a aderência de PCI em ambiente de Cloud. Uma recente pesquisa (“Cloud Security – 2016 Spotlight Report”) mostra que uma das principais barreiras para adoção da Cloud é exatamente relacionada a conformidade regulatória e legal. O resultado é que a preocupação neste item específico cresceu 13% pontos percentuais de 2015 para 2016.

Figura 2 – Barreiras para Adoção a Cloud – Cloud-Security-Report-2016

Esta informação demonstra dois pontos importantes:

As empresas têm a consciência de que não só o ambiente de Data Center tradicional precisa de normas, regulamentações e implementações que seguem as melhores práticas, mas também o uso da Cloud precisa de ações similares;
Necessidade por maior conhecimento em como atender os objetivos de controles e normas. Se em um Data Center, o planejamento e a aplicação destes mecanismos são cada vez mais complexos, o que esperar destes novos ambientes?

Portanto, há necessidade por aderência às normas como o PCI, de uma forma simplificada, automatizada e com esforço reduzido tanto de OPEX quanto de CAPEX.

Entendendo estas necessidades, a VMware, em conjunto com um dos parceiros de GRC (Governance, Risk and Compliance), realizou uma análise em todas as suas soluções, incluindo o NSX, com o foco exclusivo para a construção de documentos que possam orientar e mapear cada aspecto técnico e de procedimento ao atendimento às regulações.

O resultado desta abordagem já gerou frutos positivos. Dentre vários projetos, exemplifico um caso de referência com a Rackspace que precisava segregar os ambientes e assim definir o escopo para suportar o PCI DSS versão 3.1, além de proteger seus segmentos internos com uma implementação rápida e sem complexidade. Maiores detalhes podem ser vistos na no post “Rackspace meets New PCI-DSS compliance with VMware NSX Network Virtualization”.

Como cenas do próximo capítulo, vamos explorar por exemplo em detalhes como o NSX atende os requisitos PCI (conforme tabela 1).

Espero que tenham achado relevante a leitura para os seus negócios e nos vemos no próximo post.


	Irapuan Lima
	Especialista VMware NSX
	[email protected]

Related Articles

VMware Education Services oferece novas classes de treinamento NSX-T 3.0

Por que participar do vForum Online AO VIVO? 10 vExperts o endossam.

Inscrições gratuitas para o vForum Online - 13 de Maio

Introdução ao Kubernetes – Porque é tão importante para nós?