O objetivo deste artigo é explorar alguns aspectos de proteção criptográfica apresentados no requisito 3, do conjunto de requisitos do PCI DSS.
Cuidados na transmissão e dados
O requisito 4 do PCI se dedica aos cuidados com as transmissão dos dados do titular entre os participantes do ciclo de vida de um cartão.
As informações confidenciais devem ser criptografadas durante a transmissão nas redes que são facilmente acessadas por indivíduos mal-intencionados.
Redes sem fio configuradas de forma incorreta e vulnerabilidades na criptografia herdada e nos protocolos de autenticação permanecem como alvos contínuos de indivíduos mal-intencionados que exploram vulnerabilidades para obtenção de acesso privilegiado aos ambientes de dados do titular do cartão.
Dados confidenciais de um cartão são trocados entre diversos sistemas e ambientes, não só nos sistemas de autorização, mas em sistemas de personalização de cartões, cadastros em sites de compras, cadastros em arquivos para transações periódicas, atendimento aos clientes, sistemas de inteligência de dados e tantos outros.
O PCI define: Usar protocolos de segurança e criptografia robusta para proteger dados confidenciais do titular do cartão durante a transmissão em redes abertas e públicas e identifica como redes abertas ou públicas:
- A internet
- Tecnologias sem fio, incluindo 802.11 e Bluetooth
- Tecnologia celular, por exemplo, GSM, CDMA e GPRS
- Comunicações de satélite
O PCI inicia suas orientações indicando que comunicações que não suportem protocolo seguros de transmissão não devem ser usadas. As versões dos protocolos devem ser atualizadas para as mais recentes, para aumentar a segurança e evitar vulnerabilidades que tenham sido identificadas em versões anteriores.
A troca de dados de cartão também requer o uso de chaves/certificados confiáveis e criptografia robusta adequada para criptografar dados do titular do cartão.
Porém, talvez a simples criptografia do dado em trânsito não seja suficiente.
Um passo importante para a proteção destes dados passa por documentar as conexões existentes, identificando o objetivo da troca de informações e como elas serão consumidas pelas aplicações de destino. O entendimento do objetivo e da característica do uso permitirá identificar qual é a melhor estratégia de proteção adicional a utilizar. Cada caso é um caso e exigirá o uso de um ou mais métodos de proteção simultâneos:
- Criptografia do arquivo/registro
- Criptografia do dado
- Tokenização do dado
- Mascaramento
Para efeitos de exemplo, vamos utilizar a troca de arquivos entre um Emissor e os bureaus (em muitos casos, mais que um) que realizam as atividades de personalização dos cartões, geração das cartas-senha, envio de cartões e cartas-senha, controle das entregas, inventário e destruição dos cartões não entregues.
De imediato, se existe mais de um bureau, é aconselhável que as chaves criptográficas utilizadas para proteger os arquivos sejam diferentes para cada bureau.
Mas os dados constantes nesses arquivos vão precisar de proteções adicionais por criptografia para a senha e também para os dados de endereçamento do portador. Não podemos esquecer que segundo a LGPD, os dados que indentificam um indivíduo são considerados confidenciais.
A força das chaves criptográficas tem que ser proporcional à segurança que será atribuída a esses dados, criando então uma cadeia de segurança que torne impossível o acesso indevido à informação. Desta forma, a chave que protege cada componente deve ser tão robusta quanto as demais utilizadas.
É possível o controle das cadeias chaves criptográficas pelo Emissor, provocando a rotação e até mesmo a destruição de chaves quando necessário? Se pensarmos nos processos manuais tradicionais, é quase impossível a implementação de um processo com esse nível de segurança. Certamente será necessário implementar processos automatizados, baseados nos protocolos mias avançados de troca de chaves, utilizando blocos de chaves, KMIP etc.
Considerando que os protocolos utilizam certificados para assegurar a confiança nas comunicações, é possível verificar a importância central da gestão destes certificados, com seus respectivos vencimentos e processos de renovação. Ainda no cenário do exemplo utilizado, podemos verificar a quantidade de certificados envolvidos e a dificuldade gerenciar seu ciclo e vida sem recursos automatizados. Quem já não sofreu a parada de um processo produtivo porque um certificado venceu? Qual foi o impacto sobre a operação e a satisfação dos clientes?
O PCI alerta também para o envio do PAN e de outras informações do titular por email, SMS ou outras ferramentas similares de troca de informações. estes canais não são seguros e por este motivo devem ser evitados. Se usados, devem incluir recursos de criptografia para garantir a segurança nessa troca de informações.
Finalmente o PCI sugere “Consultar os padrões e as práticas recomendadas para o setor para obter informações sobre criptografia robusta e protocolos de segurança (por exemplo – , NIST SP 800-52 e SP 800-57, OWASP etc.)”.
