0
0
Por Romain Deslorieux | Director, Strategic Partnerships da Thales
O prazo para conformidade com o PCI DSS 4.0, era até o dia 31 de março de 2025. Se você já está totalmente preparado—fantástico! Mas, se ainda está nos ajustes finais, não se preocupe — você não está sozinho. Atender aos novos requisitos “com data futura” pode parecer desafiador, mas com a abordagem e as soluções certas, a conformidade está ao seu alcance. Vamos explorar o que está mudando, por que isso é importante e como a Thales e a Imperva (uma empresa da Thales) podem ajudá-lo a enfrentar essa reta final com confiança.
Por que a conformidade com o PCI DSS 4.0 é importante?
Cumprir os requisitos do PCI DSS 4.0 é essencial por várias razões. Obviamente, há consequências financeiras para a não conformidade—com multas variando entre US$ 5.000 e US$ 100.000 por mês—mas é importante enxergar o PCI DSS não apenas como um ônus regulatório, mas também como um diferencial para os negócios.
Diariamente, um número impressionante de consumidores realiza transações com cartões de crédito. Você quer garantir que eles escolham seus serviços. A experiência do usuário é essencial, mas, no fim das contas, os consumidores só confiarão na sua empresa se souberem que seus dados estarão protegidos. O Índice de Confiança Digital do Consumidor Thales 2024 revelou que os consumidores valorizam tanto uma boa experiência online quanto a segurança de seus dados. A conformidade com o PCI DSS mostra que sua empresa é confiável para lidar com informações sensíveis.
Entendendo os requisitos com data futura do PCI DSS 4.0
O PCI DSS 4.0 foi lançado em março de 2022, mas seus requisitos com data futura só entram em vigor em 31 de março de 2025. O PCI Security Standards Council (SSC) reconheceu que essas mudanças poderiam exigir ajustes significativos nos sistemas, processos e tecnologias das empresas.
Mas não precisa se desesperar: as soluções da Thales e da Imperva podem ajudá-lo a atender muitos desses requisitos. Primeiro, vamos entender o que muda:
- Ampliação da implementação de MFA: A autenticação multifator (MFA) será obrigatória para todo acesso ao Ambiente de Dados do Portador do Cartão (CDE), não apenas para acessos remotos. Isso significa implementar MFA para acessos locais e remotos dentro do CDE.
- Senhas mais longas: O tamanho mínimo das senhas aumentará para 12 caracteres, a menos que o sistema não suporte essa extensão, mantendo-se o mínimo de 8 caracteres nesses casos.
- Gestão de senhas: Senhas não poderão ser codificadas em aplicativos ou contas de sistema, e deverão ser alteradas periodicamente.
- Proteção automatizada de aplicativos: Aplicações web públicas precisarão de proteção por meio de soluções técnicas automatizadas, como firewalls de aplicativos web (WAF); revisões manuais não serão mais suficientes.
- Gerenciamento de scripts: Scripts em páginas de pagamento deverão ser gerenciados para garantir autorização e integridade, evitando modificações não autorizadas.
- Revisões anuais: Conjuntos e protocolos criptográficos utilizados precisarão ser revisados formalmente uma vez por ano, incluindo o monitoramento ativo das tendências de criptografia do setor. Isso é essencial diante da criptografia pós-quântica.
- Programas de treinamento aprimorados: Programas de conscientização em segurança deverão ser revisados e atualizados anualmente, abordando temas como phishing, engenharia social e uso aceitável de tecnologias de usuários finais.
Soluções que podem ajudar
Se sua organização ainda não está em conformidade com o PCI DSS 4.0, as soluções da Thales e da Imperva podem ajudá-lo a atender quase todos os requisitos com data futura. Veja como:
Segurança de Dados
As soluções de segurança de dados da Thales são fundamentais para garantir a conformidade com o PCI DSS 4.0. Nossas soluções descobrem, classificam e protegem dados de cartão por meio de criptografia e tokenização, com gerenciamento de chaves validado pelo FIPS.
Além disso, o CipherTrust Transparent Encryption protege dados em repouso, independentemente de onde estejam armazenados. Também oferecemos monitoramento em tempo real e detecção de anomalias baseada em machine learning, identificando possíveis ameaças e aplicando remediações automáticas para eliminar vulnerabilidades. Juntas, essas soluções garantem proteção e conformidade contínua.
Proteção de Aplicações
A plataforma de proteção automatizada de aplicativos e APIs da Imperva protege aplicações web e APIs contra ataques. Ela combina WAF, gerenciamento de bots, segurança de APIs e proteção em tempo de execução para mitigar riscos como ataques da OWASP Top 10, bots maliciosos e vulnerabilidades de API. Isso garante a disponibilidade dos aplicativos, a proteção de dados e a conformidade com o PCI DSS 4.0.
Além disso, a plataforma inclui Client-Side Protection, que oferece visibilidade sobre os scripts de terceiros utilizados nos seus sites, bem como seus próprios scripts executados no lado do cliente. Assim, é possível entender quais scripts estão rodando em caminhos críticos onde os clientes inserem dados sensíveis, facilitando a conformidade com o PCI DSS 4.0.
Gerenciamento de Identidade e Acesso (IAM)
As soluções de Gerenciamento de Identidade e Acesso (IAM) da Thales ajudam a atender ao requisito de MFA expandido. Nossas soluções oferecem métodos de autenticação diversificados (incluindo autenticação sem senha e baseada em risco), controle de acesso granular e integração fluida com todos os sistemas do CDE.
A autenticação sem senha elimina completamente o uso de senhas, aumentando a segurança, melhorando a experiência do usuário e atendendo aos requisitos do PCI DSS 4.0. O Thales Passwordless 360 oferece um login seguro e fluido com biometria, chaves FIDO2 e outras tecnologias, eliminando as vulnerabilidades associadas às senhas tradicionais.
Para saber mais sobre o PCI DSS 4.0 e como as soluções da Thales e da Imperva podem ajudá-lo a se adequar antes do prazo de 31 de março, acesse aqui e aqui
Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.