No cenário atual de rápida digitalização de transações financeiras, a segurança das informações sensíveis dos titulares de cartões de crédito é uma prioridade para empresas que processam pagamentos eletrônicos. O PCI DSS (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento) versão 4.0 estabelece diretrizes rigorosas para proteger os dados do titular do cartão.
Neste artigo, iremos discutir a importância dos controles relacionados ao Requisito 7 (Restringir o acesso aos componentes do sistema e aos dados do titular do cartão por necessidade comercial) e Requisito 8 (Identificar usuários e autenticar o acesso aos componentes do sistema) para a Gestão de Identidades e Acesso.
Requisito 7: Restringir o acesso por necessidade comercial
O Requisito 7 do PCI DSS 4.0 foca a restrição de acesso com base na necessidade comercial. Ele exige que as organizações garantam que apenas pessoas autorizadas tenham acesso a componentes do sistema e dados do titular do cartão. Isso significa que os funcionários devem ter acesso apenas às informações e sistemas necessários para suas tarefas diárias. Essa restrição se aplica a várias contas, incluindo contas de usuário interativas, contas de aplicativos e sistemas. Além disso, a atribuição de privilégios deve ser baseada no mínimo necessário, com revisões periódicas para garantir a adequação do acesso.
Na versão 4.0 fica esclarecido que este requisito se aplica a contas interativas (associadas a um determinado usuário), acesso de funcionários, contratados, fornecedores internos e externos e outros terceiros e não se aplicam aos consumidores (portadores de cartão). Certos controles também se aplicam a contas de aplicativos e sistemas usadas pela entidade (também chamadas de " contas de serviço ", usadas para conexão entre aplicativos sem interação direta com uma pessoa).
Listamos as principais mudanças do requisito 7 da versão 3.2.1 para a 4.0.
PCI DSS Versão 3.2.1 | PCI DSS Versão 4.0 | Descrição do controle |
| 7.1.2 | Novo requisito: as funções e responsabilidades para a execução das atividades no requisito 7 devem ser documentadas, atribuídas e compreendidas |
7.1.1 | 7.2.1 | O requisito foi esclarecido sobre a definição de um modelo de controle de acesso. |
7.1.2 7.1.3 | 7.2.2 | Requisitos combinados para atribuição de acesso com base na classificação e função do trabalho e privilégios mínimos. |
7.1.4 | 7.2.3 | O requisito foi esclarecido sobre a aprovação dos privilégios necessários por pessoal autorizado. |
| 7.2.4 | Novo requisito: para revisão de todas as contas de usuário e privilégios de acessos relacionados. requisito aplicável a partir de 31 de março de 2025. |
| 7.2.5 | Novo requisito: para atribuição e gerenciamento de todas as contas de aplicativos e sistemas e privilégios de acesso relacionados. requisito aplicável a partir de 31 de março de 2025. |
| 7.2.5.1 | Novo requisito: para revisão de todos os acessos por contas de aplicativos e sistemas e privilégios de acessos relacionados. requisito aplicável a partir de 31 de março de 2025. |
Requisito 8: Identificar usuários e autenticar o acesso
O Requisito 8 trata da identificação de usuários e autenticação do acesso. Isso significa que as organizações devem ter mecanismos robustos para verificar a identidade de qualquer pessoa que tente acessar informações sensíveis. A autenticação multifatorial é incentivada sempre que possível.
A versão 4.0 permite o uso de contas compartilhadas, mas com restrições e justificativas rigorosas. Mudanças nas políticas de senha também foram introduzidas, incluindo maior comprimento e frequência de alteração. Essa mudança permite gerenciar certas limitações técnicas (como o uso da conta “root” em sistemas operacionais Unix), onde antes era necessário usar um controle compensatório como alternativa de imposição.
Listamos as principais mudanças do requisito 8 da versão 3.2.1 para a 4.0.
PCI DSS Versão 3.2.1 | PCI DSS Versão 4.0 | Descrição do controle |
Requisito 8 - Geral | Requisito 8 - Geral | Padronização nos termos “fator de autenticação” e “credenciais de autenticação”. Foi removido “usuários não consumidores” e esclarecido na visão geral que os requisitos não se aplicam a contas usadas para consumidores (titulares de cartão). Foi removida a nota na visão geral que listava requisitos que não se aplicam a contas de usuário com acesso apenas um número de cartão por vez para facilitar uma única transação e adicionada essa nota a cada requisito relacionado. |
| 8.1.2 | Novo requisito: as funções e responsabilidades para a execução das atividades no requisito 8 devem ser documentadas, atribuídas e compreendidas. |
8.5 | 8.2.2 | O foco do requisito foi alterado para permitir o uso de credenciais de autenticação compartilhadas, mas apenas em uma base de exceção. |
8.5 8.5.1 | 8.2.2 8.2.3 | Requisitos movidos para contas em grupo, compartilhadas ou genéricas e para prestadores de serviços com acesso remoto às instalações do cliente no requisito 8.2. |
8.1.6 8.1.7 | 8.3.4 | O número de tentativas de autenticação inválidas antes de bloquear um ID de usuário foi aumentado de 6 para 10 tentativas. |
8.2.6 | 8.3.5 | Foi esclarecido que este requisito só se aplica se as senhas/frases secretas forem usadas como um fator de autenticação para atender ao requisito 8.3.1. |
8.2.3 | 8.3.6 | Novo requisito: aumenta o comprimento da senha do mínimo de sete caracteres para 12 caracteres (ou, se o sistema não suportar 12 caracteres, um cumprimento mínimo de 8 caracteres). requisito aplicável a partir de 31 de março de 2025 |
8.2.4 | 8.3.9 | Foi adicionada a opção de determinar o acesso aos recursos automaticamente analisando dinamicamente a postura de segurança das contas, em vez de alterar as senhas/frases secretas pelo menos uma vez a cada 90 dias. |
| 8.3.10.1 | Novo requisito: se as senhas/frases secretas forem o único fator de autenticação para o acesso do usuário do cliente, as senhas/frases secretas serão alteradas pelo menos uma vez a cada 90 dias ou o acesso aos recursos será determinado automaticamente analisando dinamicamente a postura de segurança das contas. requisito aplicável a partir de 31 de março de 2025 |
| 8.4.2 | Novo requisito: para implementar autenticação multifator (MFA) para todos os acessos ao CDE - cardholder data environment. requisito aplicável a partir de 31 de março de 2025 |
| 8.5.1 | Novo requisito: implementação segura de sistemas de autenticação multifator. requisito aplicável a partir de 31 de março de 2025 |
| 8.6.3 | Novo requisito: proteger senhas/frases secretas para contas de aplicativos e sistemas contra uso indevido. requisito aplicável a partir de 31 de março de 2025 |
Conclusão
Em resumo, os Requisitos 7 e 8 do PCI DSS 4.0 são fundamentais para a proteção dos dados do titular do cartão e desempenham um papel crucial na Gestão de Identidades e Acesso. Eles garantem que apenas pessoas autorizadas tenham acesso às informações sensíveis, reduzindo os riscos de violações de segurança e garantindo a conformidade com regulamentos de privacidade. A identificação e autenticação dos usuários são essenciais para manter a segurança dos sistemas e dos dados, especialmente em um ambiente de ameaças cibernéticas em constante evolução. Portanto, as organizações que lidam com transações de cartão de pagamento devem implementar rigorosamente esses controles para proteger os dados do titular do cartão e a integridade de seus sistemas, com a Gestão de Identidades e Acesso desempenhando um papel central nesse processo.
Yorumlar