Desde novembro de 2016 está em vigor a nova versão do PCI-DSS (Payment Card Industry Security – Data Security Standard), padrões de segurança que se aplicam a toda e qualquer empresa que coleta, processa, armazena ou transmite informações de cartão de crédito. Nessa nova versão, a PCI-DSS 3.2, uma importante mudança diz respeito aos provedores de serviços.

Segundo uma pesquisa do Instituto Ponemon, cerca de metade dos profissionais de segurança disseram que suas organizações foram alvo de violação de dados por conta de brechas encontradas por hackers em seus fornecedores. Além disso, 75% dos entrevistados informaram que o número de incidentes de segurança envolvendo fornecedores tem aumentado e 65% disseram que enfrentam dificuldades para gerenciar incidentes que envolvem fornecedores.

Atualmente, o ecossistema de TI das empresas conta com appliances e soluções e diversos fornecedores, assim como provedores de serviços. Entender como cada um desses fornecedores “usa” a sua rede corporativa, monitorando e rastreando suas ações, é uma tarefa complicada. Mas, agora, a nova versão do PCI-DSS também aumenta a responsabilidade desses fornecedores em relação às práticas de cibersegurança definindo, inclusive, que o intervalo para a realização de testes de invasão passa de 1 ano para seis meses.

Por outro lado, para atender ao novo padrão, as empresas precisam monitorar o nível de acesso à suas aplicações e sistemas entregues aos usuários dos fornecedores, e como esse acesso está sendo utilizado, identificando rapidamente comportamentos suspeitos.

Outro requerimento do PCI-DSS 3.2 diz que os provedores devem “estabelecer responsabilidades” para proteção dos dados do portador do cartão de crédito e conformidade com a norma. Segundo Troy Leach, Chief Technology Officer do PCI Security Standards Council, com o novo requerimento “gerências executivas que estão envolvidas no desenvolvimento de estratégias de segurança do pagamento com cartões serão capazes de responder a mudanças e fazer perguntas adequadas para determinar a eficácia do programa e definir prioridades”.

Visibilidade das informações em tempo real

Mas essa visibilidade para atender a padrões como o PCI-DSS, entre outros, dependendo do setor, requer ferramentas automatizadas que entreguem as informações em tempo real, de modo que elas possam ser monitoradas e analisadas.

Leach ressalta que é importante ter processos validados para garantir que controles de segurança sejam aplicados onde necessário, impedindo, por exemplo, que novos dispositivos sejam adicionados à rede por um usuário que não tenha conhecimento das normas de conformidade. “Mudanças na norma também garantem que as organizações vejam a segurança como um processo orgânico que evolui com o negócio, como um esforço contínuo, e não uma avaliação anual para corrigir comportamentos”.

E isso só é possível com uma visão clara do estado da segurança da empresa, com suporte à gestão e à automação do fluxo de segurança. O GAT, plataforma de Gestão de Segurança, desenvolvida pela iBLISS, facilita a melhoria contínua da segurança, mantendo a conformidade com políticas de segurança internas, regulamentações e padrões como PCI-DSS.

A versão 3.2 do PCI-DSS reconhece e aponta a necessidade de as empresas garantirem a conformidade de seus fornecedores. E a partir do momento em que o gerenciamento de risco faz parte da estratégia da organização, de forma automatizada e customizada para atender as necessidades do negócio, estar em conformidade com o PCI-DSS 3.2 e outras normas deixa de ser um problema.