PCI DSS 4.0: Tudo que você precisa saber

Picture of Júlia Valim

Júlia Valim

PCI DSS 4.0: Tudo que você precisa saber

Lançado em 2006, O PCI DSS (Padrão de Segurança de Dados do Setor de Cartões de Pagamento) é um compliance que estabelece diretrizes para a proteção de informações de titulares de cartões de crédito.

Ele é direcionado para todas as empresas que processam, armazenam, transmitem ou têm algum tipo de impacto na segurança dessas informações.

Sua versão mais recente é PCI DSS 4.0, que conta com melhorias significativas em comparação com as versões anteriores, estando mais adequada para atender as principais necessidades do setor — em especial os e-commerces e as ameaças cada vez mais sofisticadas.

Overview do PCI DSS 4.0

O PCI Security Standards Council (PCI SSC) lançou oficialmente o PCI DSS 4.0 no ano passado. Até então, ele estava em período de transição e implementação, mas a partir de março de 2024 a versão 3.2.1 será oficialmente desativada.

Ou seja, a partir dessa data, as empresas já devem ter iniciado a implementação das novas diretrizes.

Além disso, algumas outras medidas serão válidas apenas a partir de maio de 2025. Enquanto isso, elas serão apenas indicadas como boas práticas do setor.

Timeline de implementação do PCI DSS 4.0

A nova versão tem como principal objetivo fortalecer ainda mais as práticas recomendadas para proteger os dados dos titulares de cartões. Algumas das principais mudanças incluem:

_Atualizações nos requisitos técnicos e operacionais;

_Documentação da compreensão de papéis e responsabilidades;

_Execução de testes de segurança;

_Reforço na autenticação de identidades;

_Expansão das políticas organizacionais e de conscientização de funcionários.

Abaixo falaremos um pouco mais sobre elas, mas é importante frisar que todas essas alterações foram feitas justamente para aumentar ainda mais a eficácia das medidas de segurança adotadas pelas empresas.

PCI DSS 3.0 X PCI DSS 4.0

Confira algumas das mudanças. Trouxemos as alterações de 4 das 13 diretrizes do PCI DSS como exemplo.

PCI DSS 3.0 x PCI DSS 4.0

Requisitos técnicos e operacionais

Requisito 6: Desenvolver e manter sistemas e softwares seguros

O Requisito 6 aborda algumas das exigências ligadas a questões operacionais, sistemas e softwares. Obrigatória a partir de 2024 temos:

  • Documentar, assinar e compreender os papeis e responsabilidades das atividades ligadas ao Requisito 6 a serem performadas;

Para as práticas recomendadas, que serão exigidas a partir de 2025, foram incluídas:

  • Manter um inventário de softwares personalizado;
  • Implementar uma solução técnica e automatizada nas aplicações web disponíveis para o público, que sejam capazes de detectar e prever ataques web-based;
  • Gerenciamento dos scripts de pagamento carregados e executados no navegador do consumidor.

Autenticação de Identidade

Requisito 8: Identificar usuários e autenticar o acesso aos componentes do sistema

Esse requisito aborda a identificação de usuários e o acesso às informações. As principais exigências, obrigatórias a partir de março de 2024:

  • Documentar, assinar e compreender os papeis e responsabilidades das atividades ligadas ao Requisito 8 a serem performadas;
  • Aumentar o número das tentativas inválidas de autenticação antes do bloqueio de um usuário, subindo de 6 para 10 tentativas;
  • Acrescentar uma opção que determine automaticamente o nível de permissão de um usuário, por meio da análise da postura de segurança da conta.

Já para as melhores práticas, que serão obrigatórias a partir de 2025, algumas das principais mudanças são:

  • Aumentar o tamanho mínimo das senhas de 7 caracteres para 12 caracteres (ou 8, caso 12 não seja suportado pelo sistema);
  • Implementar a autenticação multifator para todos os acessos no CDE (Ambiente de Dados do Titular do Cartão);
  • Implementar sistemas de autenticação multifator;
  • Proteger senhas e frases de segurança contra o uso indevido.

Execução de testes de securança

Requisito 11: Testar a segurança de sistemas e redes regularmente

Esse requisito aborda os testes de segurança. Para as obrigações a partir de 2024, temos:

  • Documentar, assinar e compreender os papeis e responsabilidades das atividades ligadas ao Requisito 8 a serem performadas;

Algumas das práticas obrigatórias a partir de 2025 são:

  • Gerenciar todas as vulnerabilidades encontradas durante scans de vulnerabilidades internos, mesmo que não sejam críticas ou altas;
  • Executar scans de vulnerabilidades internos por meio de scans autenticados;
  • Implementar um mecanismo de detecção do tipo change-and-temper, alertando sobre modificações não-autorizadas nas headers HTTPS e no conteúdo das páginas de pagamento.

Políticas e treinamentos organizacionais

Requisito 12: Apoiar a segurança da informação com políticas e programas organizacionais

O Requisito 12 aborda as principais ações organizacionais. Entre as exigências para 2024, temos:

  • Incluir do reconhecimento formal das responsabilidades de cada pessoa;
  • Documentar e confirmar o escopo do PCI DSS a cada 12 meses e quando houver alterações significativas no ambiente do escopo.

Em relação as principais mudanças válidas a partir de 2025, algumas das atualizações são:

  • Documentar e criptografar cipher suites e protocolos em uso pelo menos a cada 12 meses;
  • Revisar a tecnologia dos hardwares e softwares utilizados a cada 12 meses, pelo menos;
  • Revisar e atualizar, caso necessário, o programa de conscientização em cibersegurança uma vez a cada 12 meses, no mínimo;
  • Incluir treinamentos sobre as ameaças e vulnerabilidades que podem afetar o CDE (Ambiente de Dados do Titular do Cartão);
  • Executar uma análise de risco para definir uma frequência de treinamentos voltados para resposta a incidentes.

Você pode conferir o documento oficial do PCI DSS 4.0 publicado pelo PCI SSC, ao final deste artigo.

PCI DSS 4.0: Próximos passos

A nova versão do PCI DSS traz várias mudanças consideráveis, que exigirão planejamento e grandes mudanças nas estratégias de segurança das informações de pagamento.

Para se organizar, recomendamos que cumpra os seguintes passos:

  1. Faça um compilado das principais mudanças, dividindo-as entre as que já serão obrigatórias a partir de março e as que serão obrigatórias a partir de 2025;
  2. A partir dessas mudanças, estabeleça as ações que deverão ser executadas para a sua implementação, atribuindo responsáveis e criando um planejamento e check-points;
  3. Verifique quais recursos internos e externos serão necessários. Por exemplo: em relação ao Requisito 11, será necessária a utilização de scans de vulnerabilidades;
  4. Comece a implementação das novas práticas.

Apesar de ser importante focar primeiro nas diretrizes que já serão obrigatórias neste ano, não negligencie as demais. Implemente-as assim que possível, pois isso não apenas irá garantir a conformidade, como também irá aumentar os níveis de proteção aos dados.

Sobre a Vantico

A Vantico é pioneira em Pentest as a Service no Brasil, executando testes de segurança até 50% mais ágeis, além de oferecer também outras soluções em cibersegurança, como Scan de Vulnerabilidades, Code Review e Attack Surface Management.

Conheça um dos cases de sucesso de Pentest para PCI DSS da Vantico, e descubra como podemos contribuir com o sucesso dos testes de segurança dessa regulamentação.

 

 

PCI DSS 4.0 Oficial | PCI SSC

veja também

Outros conteúdos sobre Segurança Cibernética