O objetivo deste artigo é explorar alguns aspectos de proteção criptográfica apresentados no requisito 3, do conjunto de requisitos do PCI DSS.

PCI DSS

O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) é uma referência indispensável quando se fala em oferecer confiança, segurança e proteção nas transações financeiras. Seu objetivo central é definir um conjunto de requisitos técnicos e operacionais para proteger os dados de contas utilizadas nas transações de pagamento.

Estas medidas são aplicadas a todos os participantes da cadeia de pagamentos, incluindo as lojas, os credenciadores, os emissores das contas, os processadores e demais fornecedores de serviços de pagamento.

O objetivo deste artigo é explorar alguns aspectos de proteção criptográfica apresentados no requisito 3, do conjunto de requisitos do PCI:

Proteger os dados armazenados do titular do cartão

Dados dos titulares e dados confidenciais

Em seu escopo, o PCI define como dados do titular do cartão:

O PCI também define um conjunto de dados de autenticação confidenciais que incluem:

O sequestro destas informações abre espaço para um grande conjunto de fraudes, utilizando os dados confidenciais do portador do cartão. Por este motivo, o PCI determina: “Se o nome, código de serviço e/ou data de validade do titular do cartão são armazenados, processados ou transmitidos com o PAN ou, de outro modo, estão presentes no ambiente de dados do titular do cartão (CDE), eles devem ser protegidos de acordo com os requisitos aplicáveis do PCI DSS. Adiante analisaremos melhor o que o PCI entende por proteger estes dados.

Explorando o requisito 3

No escopo do requisito 3 do PCI é definido:

Métodos de proteção como criptografiatruncamentomascaramento e codificação HASH são componentes essenciais para proteção de dados do titular do cartão. Se um invasor burlar outros controles de segurança e obtiver acesso aos dados criptografados, sem as chaves criptográficas adequadas, os dados estarão ilegíveis e inutilizáveis para aquele indivíduo.”

É senso comum que “a segurança de um cofre é equivalente ao nível e proteção da sua senha”. Em outras palavras, a criptografia é tão segura quanto a segurança aplicada na proteção das suas chaves criptográficas. Portanto, armazenar as chaves criptográficas em bancos de dados e/ou em aplicações que manipulam as informações é reduzir potencialmente a capacidade de proteção da criptografia.

O requisito 3.4 define:

Torne o PAN ilegível em qualquer local onde ele esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) utilizando qualquer uma das seguintes abordagens:

* Hash de direção única com base na criptografia forte (o hash deve ser do PAN inteiro)

* Truncamento (a codificação hash não pode ser usada para substituir o segmento truncado do PAN)

* Tokens e blocos de índice (os blocos devem ser armazenados de forma segura)

* Criptografia forte com processos e procedimentos de gerenciamento-chave associados.

Os PANs armazenados no armazenamento principal (bancos de dados ou arquivos simples, como arquivos de texto e planilhas), além de armazenamento não principal (backup, logs de auditoria, logs de exceção ou de resolução de problemas) devem todos estar protegidos.”

Token do cartão Segundo o PCI DSS

Vários fatores concorrem para que os métodos de proteção aos dados sejam aprimorados e se tornem cada vez mais complexos:

Diante desse cenário, é recomendável que o primeiro nível de proteção  criptográfica seja nas próprias bases de dados, estejam elas em repouso, em uso ou em tráfego.

Demais recursos, como truncamento, mascaramento, hash e tokenização, são camadas suplementares de proteção e podem ser aplicados de acordo com a necessidade do processo.

Na sequencia, o item 3.4, o PCI define:

Se a criptografia de dados for utilizada (em vez da criptografia de bancos de dados no nível de arquivo ou coluna), o acesso lógico deve ser gerenciado separadamente e independentemente de mecanismos de controle de acesso e autenticação do sistema operacional nativo (por exemplo, não utilizando bancos de dados de contas de usuário locais ou credenciais gerais de logon da rede). Chaves de decodificação não devem estar associadas a contas de usuários.”

PCI-DSS

Em outras palavras, se a decisão for criptografar os dados, lembre-se de trancar a porta e não deixe a chave pendurada na fechadura.

O item 3.5 define:

Registre e implemente procedimentos para proteger as chaves utilizadas para armazenar os dados do titular do cartão de forma segura em relação a divulgações ou uso indevido.

Nem sempre o tratamento das chaves e dos processos criptográficos é adequadamente documentado e atualizado quando existem modificações, mas é importante que esta atividade seja criteriosamente executada para que o conhecimento possa ser transmitido a novos participantes e colaboradores e possa ser auditada com alguma periodicidade. Processos não documentados geram riscos de perda de conhecimento e abrem espaço para a ocorrência de erros.

As recomendações incluem:

Chaves que criptografam chaves

Chaves que criptografam chaves

Ao abordar a questão da proteção das chaves que criptografam chaves, o PCI recomenda:

Em resumo, deve existir uma política definida para a gestão das chaves criptografadas. Esta política deve estar alinhada com as boas práticas de segurança, as pessoas que operam estas políticas precisam ser treinadas para a sua aplicação e o processo deve ser auditado de tempos em tempos para garantir de evoluções necessárias sejam implementadas e que ao longo do tempo as políticas continuem sendo adequadamente aplicadas.

No senso comum, muitas vezes se resume a estratégia de segurança a utilizar hardware criptográfico (HSM – Hardware Security Module), deixando em segundo plano todos os processos de gestão do ciclo de vida dos dados e das chaves, que começam com a sua criação, mas que precisam considerar também a troca periódica e os procedimentos de destruição e descarte. 

Por este motivo, o PCI define em seu item 3.6:

Documente e implemente por completo todos os processos e procedimentos de gerenciamento de Requisito para que os responsáveis pela proteção das chaves criptográficas assinem um formulário declarando que eles compreendem e aceitam suas responsabilidades pela proteção das chave com relação às chaves criptográficas usadas para a criptografia dos dados do titular do cartão”

E os requisitos seguem com as seguintes recomendações:

Outros aspectos importantes do PCI no contexto da proteção dos dados serão apresentados em artigos futuros. Esperamos que sejam úteis.

Mande suas dúvidas e comentários!

Rolar para o topo