OpenPCI: Um toolkit para atender os requisitos técnicos do PCI DSS

Fábio Juliano Dapper, Leonardo Lemes Fagundes

Universidade do Vale do Rio dos Sinos (UNISINOS) 93.022-000 – São Leopoldo – RS – Brasilfjdapper@gmail.com, llemes@unisinos.br

2

Agenda

Contextualização Visão geral Motivação Objetivos

PCI DSS Toolkit Projetos relacionados Conclusão

3

Visão geral

Utilização de cartão de crédito como meio de pagamento teve início na década de 50 (Diners Club).

Alternativa aos meios tradicionais de pagamento (dinheiro e cheque). Indicadores comprovam seu crescimento e popularização.

Fonte: Livro Manual das Fraudes.

ABECS.

ABECS 2009 Janeiro Fevereiro Março Abril Maio Junho Julho

Cartões - Milhões 519 522 526 531 535 540 542Variação % ano anterior 14% 13% 13% 13% 12% 12% 12%

Transações - Milhões 459 438 471 472 498 482 515Variação % ano anterior 17% 14% 14% 17% 14% 14% 15%

Faturamento - Bilhões 32,7 30,3 33,2 33,6 36,1 35,3 36,8Variação % ano anterior 19% 17% 17% 20% 17% 19% 17%

4

Motivação – Comprometimento de sistemas

Costuma envolver um grande volume de dados de cartões.

Fonte: Bankinfo Security. U.S. Department of Justice Computer Crime and Intellectual Property Section.

5

Motivação – Fraudes, o que proteger ? Dados do portador do cartão

PAN Nome do portador do cartão Data de vencimento Código de serviço

Dados de autenticação Código de segurança PIN/PIN Block

Fonte: Adaptado de PCI Council.

6

Objetivos

Projetar e disponibilizar um toolkit que forneça ferramentas isentas de custo de aquisição para atender os requisitos técnicos exigidos pelo PCI DSS.

Auxiliar no processo de conformidade através de um instrumento para análise de aderência (SAQ - Self-Assessment Questionnaire) com o PCI DSS.

7

PCI DSS Padrão da indústria de cartões de pagamento que define requisitos de

segurança para proteção dos dados do portador do cartão. Mantido pelo PCI Security Standards Council.

Obrigatório para empresas que: Processam Transmitem Armazenam

Fonte: PCI Council.

8

PCI DSS – Requisitos

Fonte: PCI Council.

9

PCI DSS – Custo do compliance e penalidades Requisito 8: Atribuir um ID exclusivo para cada pessoa que tenha acesso a um

computador. Oracle Identity Management = US$270.000 OpenPCI Toolkit (OpenIAM/OpenLDAP/Samba)

Requisito 6.6: Proteger aplicações web contra ameaças e vulnerabilidades. Barracuda Web Application Firewall = US$20.000 OpenPCI Toolkit (ModSecurity)

Multas são definidas pelas bandeiras de cartão: US$500.000 por incidente US$25 por cartão comprometido

Fonte: Oracle Technology Global Price List.

Website Barracuda.

10

Toolkit

11

Toolkit – Informações gerais Auxiliar no processo de conformidade com o PCI DSS:

Economia com aquisição de softwares Automatizar o processo de conformidade (Análise de aderência)

Baseado na distribuição GNU/Linux Ubuntu Server. Ferramentas modo texto serão apresentadas via interface gráfica (zenity).

12

Toolkit – Seleção e organização das ferramentas Deverá atender dois critérios:

Ser isentas de custo de aquisição (GPL, BSD, etc) Atender a intenção de cada requisito

Ferramentas organizadas conforme cada exigência do PCI DSS (menus).

13

Toolkit – Como utilizar ?

14

Projetos relacionados

PCI Toolkit (CSRSI) - http://www.pcitoolkit.com Interface web para gerenciar SAQ, glossário, programa de treinamento.

PCI DSS v1.2 Documentation Compliance Toolkit (IT Governance UK) - http://www.itgovernance.co.uk Kit com documentações, livros e mapeamento com a ISO 27001.

PCI Toolkit (GoToBilling) - http://www.gotobilling.com Interface web para gerenciar SAQ e documentações relacionadas ao PCI DSS.

realPCI (Realiso Corp) - http://www.realiso.com/realpci Sistema de gestão para controlar o atendimento dos controles, relatórios, gerenciamento de risco.

15

Conclusão e trabalhos futuros

Não há registro de soluções sem custo de aquisição que organize as ferramentas conforme a intenção de cada requisito do PCI DSS.

O instrumento para análise de aderência (SAQ) facilita a procura por tais ferramentas.

Atender as exigências do PCI DSS pode custar caro, não atendê-las pode custar mais caro ainda.

Incluir novas ferramentas (em andamento). Disponibilizar imagem ISO (início de outubro). Desenvolver novos módulos para o SAQ (gráfico de conformidade). Desenvolver uma interface web para o SAQ.

16

Perguntas?

http://openpci.blogspot.com