Agências de Viagens em todo o Brasil foram pegas de surpresa com uma nova exigência publicada este ano pela IATA (Associação Internacional de Transportes Aéreos), que exige de suas agências credenciadas a adoção de uma série de controles de segurança em conformidade com a norma PCI-DSS, denominada como Padrão de Segurança de Dados da Indústria de Cartões de Pagamento. O primeiro prazo solicitado pela IATA venceu em 1º de junho de 2017 e diante uma série de dúvidas e dificuldades para sua real implantação, associações que representam essas empresas no Brasil pleitearam uma prorrogação, conseguindo uma nova data limite para adequação de todos os requisitos solicitados, que deverão ser comprovados até o dia 1º de março de 2018.
Até então mais conhecida e adotada por setores do mercado de crédito e comércio eletrônico, o padrão PCI começa a despontar como um modelo a ser seguido por organizações que necessitam garantir níveis de segurança em transações financeiras por meio eletrônico, devido ao gradativo aumento das fraudes envolvendo dados sensíveis de clientes. Estima-se que somente o setor de viagens tenha prejuízos anuais de cerca de 1 bilhão de dólares com fraudes, segundo estudo da IATA. Por este motivo, a entidade vê como indispensável a adoção do PCI como norma obrigatória para o setor.
Porém quando falamos de Brasil, esbarramos em diversos ofensores que interferem diretamente no sucesso deste tipo de projeto. O primeiro obviamente é cultural, pois não temos a prevenção como uma característica prioritária, embora seja inegável uma evolução no comportamento da sociedade quando vemos o mercado de seguros nos últimos 30 anos. O segundo problema é dinheiro e como investir em segurança está fortemente ligado a ações de prevenção, muitos empresários ainda deixam para o final da fila os investimentos que deveriam fazer parte dos custos do negócio desde sua concepção. Como não o fez no início, cabe agora embutir os custos adicionais dos investimentos nos seus produtos e para aquele empresário que nunca investiu em segurança adequadamente ao longo da existência do seu negócio, poderá se assustar agora que tem poucos meses para estar em conformidade com o PCI.
Mas por onde começar?
Estar em conformidade com o PCI significa atender os 12 requisitos abaixo:
Construir e manter a segurança de rede e sistemas:
1. Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão.
2. Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança.
Proteger os dados do titular do cartão:
3. Proteger os dados armazenados do titular do cartão.
4. Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas.
Manter um programa de gerenciamento de vulnerabilidades:
5. Proteger todos os sistemas contra malware e atualizar regularmente programas ou software antivírus.
6. Desenvolver e manter sistemas e aplicativos seguros.
Implementar medidas rigorosas de controle de acesso:
7. Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio.
8. Identificar e autenticar o acesso aos componentes do sistema.
9. Restringir o acesso físico aos dados do titular do cartão.
Monitorar e testar as redes regularmente:
10. Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão.
11. Testar regularmente os sistemas e processos de segurança.
Manter uma política de segurança de informações:
12. Manter uma política que aborde a segurança da informação para todas as equipes.
Mas para a IATA, a comprovação da implantação dos requisitos será tratada de duas formas. As agências de viagens que aceitam pagamentos em cartões das bandeiras Mastercard ou Visa e que efetuam mais de 6 milhões de transações por ano deverão apresentar a certificação PCI emitida por um auditor credenciado pelo PCI Security Standards Council. Esse auditor é chamado de Assessor de Segurança Qualificado (QSA) e deverá comprovar que a agência está em conformidade com os 12 requisitos da norma.
Já para as agências que efetuam menos de 6 milhões de transações por ano nos cartões de bandeira Mastercard ou Visa deverão responder a um questionário online, anexando evidências da adoção de uma série de controles dos requisitos previstos no PCI.
Minimamente o que observamos nas pequenas e médias empresas é que não há adoção correta de controles básicos de segurança, como firewall, antivírus, além de ausência de políticas de segurança. Para essas empresas o mínimo para começar a se adequar é preparar a infraestrutura básica do seu ambiente de TI, de modo que os benefícios destes controles primários sejam percebidos no dia a dia, como otimização do consumo dos links de internet e identificação de tentativas de acessos indevidos, seja por funcionários mau intencionados que tentam acessar conteúdo indevido na internet ou usuários externos não autorizados que buscam obter dados sensíveis ao negócio, como informações financeiras de clientes, por exemplo. Além disso, ter as regras para o uso dos recursos como internet, e-mail, impressoras e smartphones pode ajudar a reduzir o número de incidentes internos e contribuir na resolução de conflitos legais em caso de desligamento de funcionários.
Soluções alinhadas aos requisitos do PCI
Ter uma infraestrutura básica de TI é a base para o bom andamento de qualquer negócio, independentemente de haver a necessidade de estar em conformidade com alguma norma. Listamos aqui algumas soluções acessíveis à empresas de pequeno e médio porte de acordo com requisitos identificados no PCI:
1. Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão.
Blockbit UTM é um produto de cibersegurança multifuncional de última geração que inclui recursos importantes de segurança de rede, como Firewall de Última Geração, IPS (Sistema de Prevenção de Intrusos), VPN IPSec, VPN SSL, Secure Web Gateway, ATP (Proteção Contra Ameaças Avançadas) e muito mais.
Sonicwall UTM é uma solução de segurança de rede acessível que oferece proteção altamente eficaz. A SonicWALL série TZ fornece proteção de nível empresarial aos clientes de pequenas e médias empresas que interrompe criminosos cibernéticos em sua trajetória. Proteja sua organização com uma prevenção altamente eficaz contra intrusões, antimalware, filtragem de conteúdo/URL e controle de aplicativos com os firewalls de gerenciamento unificado de ameaças (UTM) do SonicWALL série TZ de nível empresarial. Elimine os gargalos da rede, aumente a produtividade e forneça acesso seguro a uma ampla variedade de dispositivos móveis, como notebooks, smartphones e tablets. Implante com confiança esse equipamento seguro e sofisticado do firewall para pequenas empresas em diversas organizações, como varejo, filiais/escritórios remotos ou escritórios residenciais.
4. Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas.
Recursos de VPN (Virtual Private Network) também estão disponíveis nas soluções Blockbit UTM e Sonicwall UTM.
5. Proteger todos os sistemas contra malware e atualizar regularmente programas ou software antivírus.
F-Secure Protection Service for Business (PSB) protege todos os seus dispositivos contra as últimas ameaças de segurança. Mesmo seus celulares são protegidos. Com PSB você continua trabalhando e seus dados confidenciais ficam seguros, mantendo toda a solução centralizada para monitorar e gerenciar os computadores e dispositivos móveis. Não há investimentos e hardware, o que significa redução de custos pra você.
6. Desenvolver e manter sistemas e aplicativos seguros.
A solução F-Secure Protection Service for Business (PSB) também possui um sistema de gerenciamento de atualizações de softwares terceiros, ou seja, todos os updates disponibilizados para produtos da Microsoft, Adobe, Oracel, VMWare, entre outras dezenas de fabricantes são monitorados e atualizados remotamente.
Além disso, controles dos requisitos 6 e 12 do PCI apontam a necessidade em adotar um controle de inventário dos ativos da rede, identificando seu proprietário, sua localização, versão dos programas entre outras informações que possam auxiliar em processos, como a gestão de mudança, por exemplo. Para controle de inventário, temos a solução de gestão de ativos ADOTI, uma ferramenta completa que permite a visualização e a gestão de forma simples, obtendo informações atualizadas e consolidadas sobre os itens do hardware e software de todos os ativos conectados na rede.
Sem o básico, não há como pensar em conformidade
É claro que uma norma PCI aborda outros itens mais avançados, mas fundamentais para elevar a segurança do ambiente, especialmente relacionadas aos proprietários dos cartões, como armazenamento seguro dos dados, transmissão criptografada, auditoria de acessos aos aplicativos e testes de intrusão na rede (interno e externo). Porém, se a empresa não possui ainda a infraestrutura básica citada acima, ela terá muita dificuldade em avançar na adequação dos requisitos para uma plena conformidade com o PCI. Mesmo para as agências que não estão obrigadas pela IATA a serem certificadas pela norma, será necessário evidenciar a implantação destes controles.
Se sua agência de viagens está em busca de adequação aos requisitos do PCI exigidos pela IATA, podemos auxiliar com estas soluções, além de serviços de consultoria com profissionais experientes em compliance. Fale com nossa equipe: (11) 4393-2400 ou contato@abctec.com.br
Fontes consultadas: PCI-DSS / IATA / ABAV
Imagens/Vídeos: Pixabay / PCI-DSS
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec