Para os provedores de serviços financeiros, habilitar um pagamento conveniente e contínuo, mantendo as informações confidenciais do cliente seguras, é fundamental. Em 2006, um grupo de provedores fundou o Payment Card Industry Security Standards Council, um fórum global destinado a desenvolver e manter diretrizes e padrões para proteger pagamentos e dados de titulares de cartões. O Payment Card Industry Data Security Standard (PCI DSS) do conselho coleta essas diretrizes e serve como uma referência importante para organizações de serviços financeiros que buscam estar em conformidade com o PCI DSS em meio a uma onda crescente de ameaças cibernéticas.
Em março de 2024, a versão 4.0 do PCI DSS entrou em vigor. Embora alguns requisitos da versão 4.0 tenham entrado em vigor imediatamente, a maioria não será aplicável até 31 de março de 2025. Isso significa que, para as empresas de serviços financeiros que ainda precisam de clareza sobre os requisitos e como alcançá-los, restam meses preciosos para fortalecer e modernizar sua infraestrutura de segurança.
Este blog tem como objetivo responder às maiores questões sobre o PCI DSS 4.0, incluindo:
- Quais são os objetivos desta atualização?
- Como os requisitos atualizados impactam a autenticação?
- Como uma solução de identidade moderna como a Okta pode ajudar a suportar os requisitos relacionados à identidade contidos no PCI DSS?
Quais são os objetivos da PCI DSS 4.0?
O PCI DSS 4.0 foi desenvolvido para promover o objetivo declarado do PCI Security Standards Council de manter as informações confidenciais do consumidor seguras no contexto do uso de cartões de pagamento em ambientes digitais. Embora as versões anteriores do PCI DSS estivessem repletas de padrões e regras rigorosas para a segurança de pagamentos, a mudança dramática para o comércio eletrônico durante e após a COVID-19 expôs vulnerabilidades remanescentes que precisavam ser abordadas, especialmente em um ambiente caracterizado por ataques cibernéticos crescentes.
Os objetivos do PCI DSS 4.0 se enquadram em quatro categorias amplas.
| OBJETIVOS DO PCI DSS 4.0 | |||
Atender às necessidades de segurança do setor de pagamentos | Promover a segurança como um processo contínuo | Aumentar a flexibilidade para diferentes métodos de alcançar a segurança | Aprimorar os métodos e procedimentos de validação |
O cenário de ameaças mudou drasticamente nos últimos anos, o que significa que o PCI DSS precisa se adaptar usando requisitos novos e/ou expandidos relativos à autenticação multifator (MFA), senhas, comércio eletrônico e resistência a phishing. | A segurança eficaz não é uma tarefa única; é uma prática contínua. A PCI DSS visa abordar isso por meio de requisitos detalhados (cada um com funções e responsabilidades claramente atribuídas) e orientações robustas sobre a implementação. | Permitir diferentes caminhos para uma segurança mais forte impulsiona a inovação e a adoção generalizada. O PCI DSS visa apoiar estes objetivos através de análises de risco direcionadas, abordagens personalizadas e opções adicionais para atingir os objetivos de segurança através de métodos inovadores. | Opções claras de validação e relatório garantem transparência e precisão granular dos provedores de serviços financeiros. O PCI DSS tem como objetivo aumentar o alinhamento entre a infraestrutura de segurança das organizações e o quadro completo dessa infraestrutura mantido pelas autoridades reguladoras. |
Como os requisitos de autenticação foram atualizados?
Uma área de mudança significativa dentro do PCI DSS 4.0 diz respeito à autenticação – garantindo que um determinado usuário seja quem diz ser e permitindo o acesso a materiais confidenciais de acordo. Este é um resumo de alto nível das principais alterações relacionadas à autenticação contidas no PCI DSS 4.0 atualizado.
- O MFA é agora um requisito para redes internas e externas.
- O comprimento m ínimo das senhas é agora 12 (em compara ção com o m ínimo anterior de 7).
- Na ausência de recursos de MFA, as senhas agora devem ser atualizadas a cada 90 dias para mitigar a ameaça de roubo de credenciais.
- Contas compartilhadas e genéricas agora são permitidas para organizações que implementaram o gerenciamento de acesso privilegiado.
Uma an lise mais detalhada: Requisito 8 e MFA
O PCI DSS 4.0 contém 13 requisitos abrangentes, um dos quais se concentra exclusivamente na identidade. O requisito nº 8 obriga as organizações a atribuir uma identidade única a cada “pessoa com acesso”, garantindo que as ações relacionadas a dados e sistemas críticos sejam executadas por usuários conhecidos e autorizados, e possam ser rastreadas até eles.
Salvo indicação em contrário, estes requisitos aplicam-se a todas as contas, incluindo as de ponto de venda, administrativas e todas as contas utilizadas para visualizar ou aceder a dados de contas de pagamento. Estes requisitos não se aplicam a contas utilizadas por consumidores (titulares de cartão).
A Okta suporta a conformidade com todos os aspetos do Requisito 8. De fato, para cada subseção, a Okta tem pelo menos uma capacidade que suporta uma autenticação mais forte e mais segura.
Subseção | Requisito | Recursos e benefícios da Okta |
8.1 | Os processos e mecanismos para identificar usuários e autenticar o acesso aos componentes do sistema são definidos e compreendidos. | O Okta Identity Governance fornece uma solução unificada que melhora a postura de segurança de uma organização e, ao mesmo tempo, melhora a governança de acesso, ajudando a garantir que os usuários certos possam acessar os recursos certos na hora certa. Muitas empresas não têm transparência em relação à expansão de identidade e acesso em sua organização. Isso dificulta para as equipes de segurança verificar se os controles são implementados corretamente porque carecem de visibilidade profunda e análise de risco nos complexos ambientes de nuvem e SaaS. É por isso que a Okta introduziu o Okta Identity Security Posture Management. |
8.2 | A identificação do usuário e as contas relacionadas para usuários e administradores são estritamente gerenciadas durante todo o ciclo de vida de uma conta. | O Okta Lifecycle Management automatiza o provisionamento/desprovisionamento de usuários em aplicativos e diretórios de nuvem para gerenciar a identidade e o acesso do usuário em um local central. |
8.3 | A autenticação forte para usuários e administradores é estabelecida e gerenciada. | O Adaptive MFA usa autenticação forte para proteger o acesso aos recursos com dois ou mais fatores de autenticação de alta segurança, incluindo fatores resistentes a phishing, permitindo que as organizações apliquem de forma flexível suas políticas de autenticação para atender às suas necessidades e requisitos. |
8.4 | A MFA é implementada para proteger o acesso ao ambiente de dados do titular do cartão (CDE). | |
8.5 | Os sistemas MFA são configurados para evitar o uso indevido. | |
8.6 | O uso de contas de aplicativos e sistemas e os fatores de autenticação associados são estritamente gerenciados. |
Destaque de capacidade: Okta Privileged Access Management
Para suportar os objetivos duplos de fortalecer a segurança e permitir métodos mais flexíveis para alcançar essa força, o PCI DSS 4.0 permite que as organizações construam contas genéricas e de grupo compartilhadas se e somente se implementarem o Privileged Access Management.
O Okta Privileged Access permite que os administradores de segurança controlem o acesso exclusivo a recursos privilegiados, como servidores. Ele também permite limitar o uso de contas compartilhadas, fornecer acesso elevado por um período específico e usar certificados efêmeros em vez de IDs de usuário e senhas. Além disso, você pode estender o MFA como parte da política para acessar esses recursos. Essa camada de segurança baseada em identidade possibilita determinar a responsabilidade individual dentro de contas privilegiadas compartilhadas, o que oferece suporte à segurança aprimorada para esses recursos privilegiados.
Destaque de capacidade: Okta Identity Security Posture Management
A expansão de identidade e acesso se tornou uma superfície de ataque expansiva e não gerenciada, repleta de usuários parcialmente desativados, identidades superprovisionadas e permissões não utilizadas e arriscadas.
Essa realidade precária expõe as organizações a acesso malicioso por meio de phishing, bem como credenciais roubadas e invasões de contas, esgotando o tempo e os recursos das equipes de segurança encarregadas de protegê-las.
A nossa solução é uma oferta única e simplificada que automatiza a visibilidade, a gestão e a remediação de identidades. Isto oferece um "balcão único" para identificar e priorizar o risco de identidade. Além disso, as capacidades de contextualização inigualáveis do produto ligam todas as contas de usuário aos seus privilégios, atividades e fases necessários no ciclo de vida do funcionário para mitigar ameaças e ajudar a garantir a conformidade. Isto inclui a identificação de contas que têm acesso elevado e daquelas que não têm a MFA configurada.
Okta: sua arma secreta para acompanhar as mudanças regulatórias
Os provedores de serviços financeiros têm até 31 de marçode 2025 para atender aos requisitos acima, o que significa que não resta muito tempo para avançar a maturidade de sua infraestrutura de segurança em todos os níveis. As soluções da Okta podem desempenhar um papel fundamental nesse avanço, protegendo e modernizando sua função de identidade para atender aos padrões do setor e manter as informações do cliente seguras.
Se você está procurando orientação sobre como melhorar sua maturidade de Identidade, entre em contato com nossa equipe para uma avaliação.
Aviso Legal: Estes materiais e quaisquer recomendaç ões contidas neles não constituem aconselhamento jurídico, de privacidade, de segurança, de conformidade ou de negócios. Estes materiais destinam-se apenas a fins informativos gerais e podem não refletir os desenvolvimentos jurídicos, de privacidade e de segurança mais atuais, nem todas as questões relevantes. Você é responsável por obter aconselhamento jurídico, de segurança, de privacidade, de conformidade ou de negócios do seu próprio advogado ou outro consultor profissional e não deve confiar nas recomendações aqui contidas. A Okta não é responsável perante você por quaisquer perdas ou danos que possam resultar da sua implementação de quaisquer recomendações nestes materiais. A Okta não faz representações, garantias ou outras garantias em relação ao conteúdo destes materiais. As informações relativas às garantias contratuais da Okta aos seus clientes podem ser encontradas em okta.com/agreements.
