Entendendo o PCI DSS – Parte I

O objetivo deste artigo é explorar alguns aspectos de proteção criptográfica apresentados no requisito 3, do conjunto de requisitos do PCI DSS.

PCI DSS

O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) é uma referência indispensável quando se fala em oferecer confiança, segurança e proteção nas transações financeiras. Seu objetivo central é definir um conjunto de requisitos técnicos e operacionais para proteger os dados de contas utilizadas nas transações de pagamento.

Estas medidas são aplicadas a todos os participantes da cadeia de pagamentos, incluindo as lojas, os credenciadores, os emissores das contas, os processadores e demais fornecedores de serviços de pagamento.

O objetivo deste artigo é explorar alguns aspectos de proteção criptográfica apresentados no requisito 3, do conjunto de requisitos do PCI:

Proteger os dados armazenados do titular do cartão

Dados dos titulares e dados confidenciais

Em seu escopo, o PCI define como dados do titular do cartão:

  • Número da Conta – PAN 
  • Nome do titular do cartão
  • Data de Vencimento
  • Código de Serviço

O PCI também define um conjunto de dados de autenticação confidenciais que incluem:

  • Dados de rastreamento – aqueles obtidos na tarja magnética ou em campos equivalentes do Chip
  • Os códigos de Segurança ( CAV2/CVC2/CVV2/CID)
  • As senhas – PIN

O sequestro destas informações abre espaço para um grande conjunto de fraudes, utilizando os dados confidenciais do portador do cartão. Por este motivo, o PCI determina: “Se o nome, código de serviço e/ou data de validade do titular do cartão são armazenados, processados ou transmitidos com o PAN ou, de outro modo, estão presentes no ambiente de dados do titular do cartão (CDE), eles devem ser protegidos de acordo com os requisitos aplicáveis do PCI DSS. Adiante analisaremos melhor o que o PCI entende por proteger estes dados.

Explorando o requisito 3

No escopo do requisito 3 do PCI é definido:

Métodos de proteção como criptografiatruncamentomascaramento e codificação HASH são componentes essenciais para proteção de dados do titular do cartão. Se um invasor burlar outros controles de segurança e obtiver acesso aos dados criptografados, sem as chaves criptográficas adequadas, os dados estarão ilegíveis e inutilizáveis para aquele indivíduo.”

É senso comum que “a segurança de um cofre é equivalente ao nível e proteção da sua senha”. Em outras palavras, a criptografia é tão segura quanto a segurança aplicada na proteção das suas chaves criptográficas. Portanto, armazenar as chaves criptográficas em bancos de dados e/ou em aplicações que manipulam as informações é reduzir potencialmente a capacidade de proteção da criptografia.

O requisito 3.4 define:

Torne o PAN ilegível em qualquer local onde ele esteja armazenado (inclusive em mídia digital portátil, mídia de backup e em registros) utilizando qualquer uma das seguintes abordagens:

* Hash de direção única com base na criptografia forte (o hash deve ser do PAN inteiro)

* Truncamento (a codificação hash não pode ser usada para substituir o segmento truncado do PAN)

* Tokens e blocos de índice (os blocos devem ser armazenados de forma segura)

* Criptografia forte com processos e procedimentos de gerenciamento-chave associados.

Os PANs armazenados no armazenamento principal (bancos de dados ou arquivos simples, como arquivos de texto e planilhas), além de armazenamento não principal (backup, logs de auditoria, logs de exceção ou de resolução de problemas) devem todos estar protegidos.”

Token do cartão Segundo o PCI DSS

Vários fatores concorrem para que os métodos de proteção aos dados sejam aprimorados e se tornem cada vez mais complexos:

  • Ataques e invasões se tornam cada vez mais comuns e sofisticados;
  • Os “muros dos castelos” foram substituídos por conexões em tempo real com todo o ambiente (clientes, fornecedores, parceiros, colaboradores, redes sociais)
  • O processamento migra para as nuvens (proprietárias ou híbridas) que podem envolver uma ampla cadeia de fornecedores.
  • As informações precisam estar disponíveis, sob diversas formas, em múltiplos canais de relacionamento
  • Diretrizes legais de proteção de dados (LGPD/GRPD) reforçam e ampliam o escopo e a severidade dos requisitos quanto à privacidade das informações.

Diante desse cenário, é recomendável que o primeiro nível de proteção  criptográfica seja nas próprias bases de dados, estejam elas em repouso, em uso ou em tráfego.

Demais recursos, como truncamento, mascaramento, hash e tokenização, são camadas suplementares de proteção e podem ser aplicados de acordo com a necessidade do processo.

Na sequencia, o item 3.4, o PCI define:

Se a criptografia de dados for utilizada (em vez da criptografia de bancos de dados no nível de arquivo ou coluna), o acesso lógico deve ser gerenciado separadamente e independentemente de mecanismos de controle de acesso e autenticação do sistema operacional nativo (por exemplo, não utilizando bancos de dados de contas de usuário locais ou credenciais gerais de logon da rede). Chaves de decodificação não devem estar associadas a contas de usuários.”

PCI-DSS

Em outras palavras, se a decisão for criptografar os dados, lembre-se de trancar a porta e não deixe a chave pendurada na fechadura.

O item 3.5 define:

Registre e implemente procedimentos para proteger as chaves utilizadas para armazenar os dados do titular do cartão de forma segura em relação a divulgações ou uso indevido.

Nem sempre o tratamento das chaves e dos processos criptográficos é adequadamente documentado e atualizado quando existem modificações, mas é importante que esta atividade seja criteriosamente executada para que o conhecimento possa ser transmitido a novos participantes e colaboradores e possa ser auditada com alguma periodicidade. Processos não documentados geram riscos de perda de conhecimento e abrem espaço para a ocorrência de erros.

As recomendações incluem:

  • O acesso às chaves deve ser restrito ao menor número necessário de responsáveis pela proteção.
  • As chaves são armazenadas de forma segura no menor número possível de locais e formatos.

Chaves que criptografam chaves

Chaves que criptografam chaves

Ao abordar a questão da proteção das chaves que criptografam chaves, o PCI recomenda:

  • As chaves de criptografia de chaves, se utilizadas, deverão ser ao menos tão fortes quanto as chaves de criptografia de dados para garantir a proteção adequada da chave que criptografa os dados e dos dados criptografados por essa chave. 
  • As chaves de criptografia de chaves são armazenadas separadamente das chaves de criptografia.
  • As chaves de criptografia de chaves são tão fortes quanto as chaves de criptografia de dados que protegem.

Em resumo, deve existir uma política definida para a gestão das chaves criptografadas. Esta política deve estar alinhada com as boas práticas de segurança, as pessoas que operam estas políticas precisam ser treinadas para a sua aplicação e o processo deve ser auditado de tempos em tempos para garantir de evoluções necessárias sejam implementadas e que ao longo do tempo as políticas continuem sendo adequadamente aplicadas.

No senso comum, muitas vezes se resume a estratégia de segurança a utilizar hardware criptográfico (HSM – Hardware Security Module), deixando em segundo plano todos os processos de gestão do ciclo de vida dos dados e das chaves, que começam com a sua criação, mas que precisam considerar também a troca periódica e os procedimentos de destruição e descarte. 

Por este motivo, o PCI define em seu item 3.6:

Documente e implemente por completo todos os processos e procedimentos de gerenciamento de Requisito para que os responsáveis pela proteção das chaves criptográficas assinem um formulário declarando que eles compreendem e aceitam suas responsabilidades pela proteção das chave com relação às chaves criptográficas usadas para a criptografia dos dados do titular do cartão”

E os requisitos seguem com as seguintes recomendações:

  • Geração de chaves criptográficas fortes 
  • Distribuição segura da chave criptográfica
  • Armazenamento seguro de chaves criptográficas
  • Troca de chave criptográfica para as chaves que chegaram ao final de seu cripto-período (por exemplo, após ter passado determinado período de tempo e/ou após certa quantidade de texto cifrado ter sido produzido por dada chave), conforme definido pelo fornecedor associado do aplicativo ou o dono da chave e com base nas práticas recomendadas e orientações do setor (por exemplo, a Publicação Especial NIST 800-57).
  • Inutilização ou substituição (por exemplo, arquivamento, destruição e/ou revogação) de chaves consideradas necessárias quando a integridade da chave estiver enfraquecida (por exemplo, saída de um funcionário com conhecimento sobre um componente de chave de texto simples) ou quando houver suspeita de que a chave esteja comprometida.
  • Se forem usadas operações manuais de gerenciamento de chave criptográfica de texto simples, essas operações devem ser gerenciadas com o uso de conhecimento separado e de controle duplo.
  • Prevenção contra a substituição não autorizada de chaves criptográficas.
  • Requisito para que os responsáveis pela proteção das chaves criptográficas assinem um formulário declarando que eles compreendem e aceitam suas responsabilidades pela proteção das chaves

Outros aspectos importantes do PCI no contexto da proteção dos dados serão apresentados em artigos futuros. Esperamos que sejam úteis.

Mande suas dúvidas e comentários!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *