| |
|
|
| |
| IBM anuncia solução de segurança para pagamentos eletrônicos |
|
|
|
| |
por PCI Security Standards Council |
|
| |
|
|
| |
Pacote de produtos e serviços permite que as empresas atendam aos doze requisitos da norma do PCI-DSS |
|
| |
|
|
| |
São Paulo, 24 de março de 2008 - A IBM anuncia para o mercado brasileiro um novo programa que fornece produtos e serviços para ajudar os clientes a se adaptarem ao PCI DSS - Padrão deSegurança de Dados do Setor de Cartões de Pagamento (Payment Card Industry Data Security Standard). Este programa orienta as companhias em todo o processo regulatório, desde a avaliação de conformidade até a certificação.
O PCI é um padrão de segurança privado criado globalmente em 2005 por empresas de cartão
de pagamento. O objetivo desse padrão é ajudar as organizações a prevenirem violações de
segurança, ataques cibernéticos e fraudes. Os requisitos do PCI compreendem desde a
instalação e manutenção de configurações de firewall até a criptografia da transmissão de dados do assinante, assim como a manutenção de políticas apropriadas e testes de procedimentos.
Asolução também inclui serviços de consultoria para análises de falhas, validação e testes.
"Administradores de cartões, varejistas, companhias de comércio online e processadores de
dados do Brasil têm até 2009 para se adequarem a essa norma, que conta com doze requisitos
de segurança", comenta Marcelo Bezerra, Gerente de Soluções de Segurança da IBM para a
América Latina. "Caso contrário, podem ter sua licença para processar cartões revogada ou
sofrer multas", completa.
A IBM oferece avaliação completa do processo de segurança, armazenamento, criptografia,
gerenciamento de identidades e acessos, controle de alteração e configuração, sistemas de
prevenção à invasão, teste de camada de aplicativo e software de monitoração de atividade de
usuário. Além disso, a IBM Internet Security Systems é uma das três empresas no mundo
certificadas para realizar avaliações de PCI, como verificação trimestral de vulnerabilidade da
rede e de aplicativos de pagamento.
|
|
| |
|
|
| |
A IBM implementa sua solução PCI através de um programa de cinco fases:
* Avaliação - verificação do funcionamento de segurança geral para entender as áreas que
precisam de reparo para mantê-las em conformidade com o PCI.
* Projeto - esta fase envolve a implementação de estratégias, políticas, padrões e
procedimentos de segurança, assim como planejamento de resposta a incidentes, design de
arquitetura de segurança e planejamento de implementação.
* Implementação - concentra a implementação e otimização de software e hardware de
segurança para proteger dados ativos e inativos do cliente, assim como serviços de migração e
reparo de vulnerabilidade.
* Gerenciamento - a IBM fornece suporte contínuo nessa fase com a monitoração de segurança e soluções de software de gerenciamento.
* Educação - a IBM fornece cursos contínuos sobre os produtos e programas de
conscientização de segurança, de forma que os clientes possam treinar seu pessoal para se
manterem em conformidade com o PCI.
|
|
| |
|
|
| |
Soluções
A IBM adaptou seus produtos e criou uma solução única para atender os clientes que precisam
se adequar ao PCI. Um exemplo é o IBM Proventia Network Enterprise Scanner, que passou a
contar com diversas verificações de vulnerabilidade específicas de PCI para simplificar os
processos de avaliações de rede. Além disso, o IBM Proventia Network Multifunction Security
unificou em um único produto a solução de gerenciamento de ameaças que sozinha lida com
dez dos doze requisitos de segurança PCI.
O IBM Tivoli Compliance Insight Manager, uma solução de software que fornece auditoria e
painel de conformidade, agora também conta com um Módulo PCI DSS, com uma série de
modelos de relatório especificamente projetados para demonstrar a conformidade com as
políticas da organização. O portfólio da IBM passou a contar com o IBM Rational AppScan, que
ajuda as empresas a atenderem ao PCI DSS, automatizando testes de vulnerabilidade de
aplicativos e identificando falhas durante o desenvolvimento de softwares.
A IBM também oferece a possibilidade para que os clientes utilizem seus investimentos atuais
em mainframe para auditorias de PCI. Este mainframe oferece mecanismos de segurança do
tipo 'fortaleza', tais como controle de acesso seguro e soluções de criptografia, além de recursos de segurança de rede, como serviços de detecção de intrusos e agentes de políticas de segurança de rede. Juntos, estes elementos podem ajudar a mitigar os casos de fraude.
|
|
| |
|
|
| |
*Os doze requisitos da norma do PCI
1. Instale e mantenha uma configuração de firewall para proteger os dados
2. Não use as senhas padrão de sistema e outros parâmetros de segurança fornecidos pelos
prestadores de serviços
3. Proteja os dados armazenados
4. Codifique a transmissão dos dados do portador de cartão e as informações importantes que
transitam nas redes públicas
5. Use e atualize regularmente o software antivírus
6. Desenvolva e mantenha seguros os sistemas e aplicativos
7. Restrinja o acesso aos dados a apenas aqueles que necessitam conhecê-los para a execução dos trabalhos
8. Atribua um ID exclusivo para cada pessoa que possua acesso ao computador
9. Restrinja ao máximo o acesso físico aos dados do portador de cartão
10. Acompanhe e monitore todo o acesso aos recursos da rede e dados do portador de cartão
11. Teste regularmente os sistemas e os processos de segurança
12. Mantenha uma política que atenda à segurança da informação
|
|
| |
|
|
| |
voltar |
|
| |
|
|
|
|
