SlideShare uma empresa Scribd logo

Be Aware Webinar - Se sua conformidade é temporária, então você não está conforme

Symantec Brasil
Symantec Brasil

[1] O documento discute os requisitos do PCI-DSS e como a Symantec pode ajudar clientes a atingirem a conformidade com esses requisitos. [2] Apresenta uma abordagem priorizada para a conformidade com o PCI-DSS, começando pela proteção de dados sensíveis e terminando com a garantia de que todos os controles estejam ativos. [3] Explica como produtos da Symantec como Symantec Data Center Security, Symantec Advanced Threat Protection e Symantec Messaging Gateway ajudam a atender vários requisitos do

1 de 32
Baixar para ler offline
Se sua conformidade é temporária, então você não está conforme Marcus Vinícius Cândido Sr. Solutions Specialist André Carraretto, PCIP, CISSP Security Strategist Daniel Niero Systems Engineer
Participantes Copyright © 2015 Symantec Corporation Daniel Niero Systems Engineer daniel_niero@symantec.com • 12 anos de experiência em SI, Riscos e Compliance • 7 meses na Symantec • Engenheiro responsável pelo atendimento a toda a regional Sul do Brasil. Marcus Candido Sr Solutions Specialist marcus_candido@symantec.com • 15 anos de experiência em TI • 3 anos na Symantec Especialista em Soluções de Segurança • Integrante do Time de Consultoria: • Atualmente Consultor Residente de DLP nos Ministérios da Educação e da Cultura em Brasília André Carraretto Security Strategist Andre_carraretto@symantec.com Participantes • 18 anos de experiência em SI • 11 anos na Symantec • Porta voz oficial • Estrategista responsável pelo atendimento dos principais clientes na América Latina
Agenda 1 Introdução ao PCI-DSS v3.1 2 Abordagem Priorizada 3 Matriz de Aderência do Portfolio Symantec 4 Q&A Copyright © 2015 Symantec Corporation 3
Payment Card Industry Data Security Standard Copyright © 2015 Symantec Corporation 4 • Manage endpoints – Discover, deploy, fix, recover – Secure devices • Secure data – Email, IM, structured, unstructured •Global & imposto pela indústria •Visa, MasterCard, AMEX, Discover, JCB •Proteger informações do titular do cartão (CHD) onde quer que sejam coletadas, armazenadas, processadas ou transmitidas •Crédito, débito & pré-pago •Eletrônico & físico •Internet, telefone, em lojas •12 requisitos, +200 controles técnicos •Requisitos de validação variam de acordo com o nível do comerciante •Assessment on-site assessment •Questinário de self-assessment •Conformidade imposta pelas marcas de cartões de pagamento •Multas e penalidades •Custo de reemissão de cartões •Redução de vendas •Perda de confiança de clientes e parceiros •Perdas com fraudes Payment Card Industry Data Security Standard (PCI DSS) Quem Guidance & Assessment Responsabilidades Potenciais Sumário de Requisitos •Todos que lidam com dados de cartões de pagamento •Todos os tamanhos de empresa: de 1 a +1Mi de transações •Varejo, bancos, telecomunicações, distribution, software & services rank top •Organizações Públicas e Privadas Para maiores detalhes, visite: https://www.pcisecuritystandards.org/
Que dados precisamos proteger? Copyright © 2014 Symantec Corporation 5 Fonte: PCI Council
Outros padrões associados ao PCI DSS Copyright © 2014 Symantec Corporation 6
Abordagem Priorizada – PCI-DSS • Baseado na experiência da indústria • Abordagem lógica e progressiva • Todos os itens devem ser alcançados • Tecnologias e Serviços Symantec em todos os itens Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
Abordagem Priorizada – PCI-DSS • Encontrar e remover dados sensíveis de Endpoints e amazená-los na rede ( e fora dela) • Definir e impor políticas de retenção e remoção de dados • Identificar riscos relacionados aos dados armazenados Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
Abordagem Priorizada – PCI-DSS • Proteger redes contra ameaças avançadas • Prover acesso de acordo com as políticas de segurança • Previnir transmissão de dados não criptografados via e-mail e mensagens instantâneas • Assegurar que endpoints, bancos de dados, aplicações e servidores estejam em conformidade com as políticas de segurança • Scans de vulnerabilidades externas trimestrais Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
Abordagem Priorizada – PCI-DSS • Assegurar que endpoints, bancos de dados, aplicações e servidores estejam em conformidade com as políticas de segurança • Realizar testes de vulnerabilidades em aplicações em com acesso público • Revisar códigos customizados antes da liberação • Assegurar que aplicações web sejam desenvolvidas de forma segura • Impedir uso de configurações padrão em equipamentos e softwares (senhas, acessos, etc.) • Manter-se atualizado com as vulnerabilidades de segurança Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
Abordagem Priorizada – PCI-DSS • Coletar, armazenar e analisar logs de segurança e dados de incidentes • Assegurar que endpoints, bancos de dados, aplicações e servidores estejam em conformidade com as políticas de segurança • Gravar logs de todas as mensagens que passarem pelos gateways de e-mail • Monitorar, revisae e impor conformidade com políticas de controle de acesso • Controlar Cadeia de Custódia para ativos críticos Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
Abordagem Priorizada – PCI-DSS • Avaliar controles físicos e não-técnicos • Proteger contra vazamento e roubo de informações • Isolar e remediar endpoints não conformes Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
Abordagem Priorizada – PCI-DSS • Pentests em redes e aplicações • Testes para confirmar existência de pontos de acesso wireless • Acompanhar contas de e-mail em risco e “logar”atividades que não estiverem em conformidade com as políticas de segurança • Monitorar e impor conformidade de ativos e processos • Restringir acesso a logs e registros de auditoria • Avaliar e modificar controles técnicos e processuais • Consolidar dados para revisão e auditoria Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
Requerimentos do PCI-DSS x Abordagem Priorizada 14 Controlar Dados Sensíveis Proteger Sistemas e Redes 1 2 • (Req. 1) Manter configurações de firewall que protejam os dados do titular do cartão • (Req. 3) Proteger os dados do titular do cartão • (Req. 9) Restringir acesso físico aos dados do titular do cartão • (Req.12) Manter políticas que aborde segurança da informação para todas as equipes • (Req. 1) Manter configurações de firewall que protejam os dados do titular do cartão • (Req. 2) Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares • (Req. 4) Criptografar a transmissão dos dados do titular do cartão através de redes abertas e públicas • (Req. 5) Utilizar solução de anti-virus e mantê-la atualizada • (Req. 8) Atribuir uma única identificação para cada pessoa que tem acesso a computadores • (Req. 9) Restringir acesso físico aos dados do titular do cartão • (Req.11) Testar regularmente os sistemas e processos • (Req.12) Manter políticas que aborde segurança da informação para todas as equipes
15 Requerimentos do PCI-DSS x Abordagem Priorizada Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 4 5 Assegurar que Controles estejam Ativos6 • (Req. 7) Restringir acesso aos dados do titular do cartão a somente quem ou o que necessita do acesso • (Req. 8) Atribuir uma única identificação para cada pessoa que tem acesso a computadores • (Req.10) Controlar e monitorar todos acessos a rede e aos dados do titular do cartão • (Req.11) Testar regularmente os sistemas e processos • (Req. 3) Proteger os dados do titular do cartão • (Req. 9) Restringir acesso físico aos dados do titular do cartão • (Req. 1) Manter configurações de firewall que protejam os dados do titular do cartão • (Req. 6) Desenvolver e manter sistemas e aplicações de forma segura • (Req.12) Manter políticas que aborde segurança da informação para todas as equipes Proteger Aplicações Críticas3 • (Req. 2) Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares • (Req. 6) Desenvolver e manter sistemas e aplicações de forma segura • (Req.A.1) Provedores de hospedagem compartilhada devem proteger o ambiente de dados do titular do cartão
16 Requerimentos do PCI-DSS Objetivos da Abordagem Priorizada 1 2 3 4 5 6 01 Manter configurações de firewall que protejam os dados do titular do cartão ✔ ✔ ✔ 02 Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares ✔ ✔ 03 Proteger os dados do titular do cartão ✔ ✔ 04 Criptografar a transmissão dos dados do titular do cartão através de redes abertas e públicas ✔ 05 Utilizar solução de anti-virus e mantê-la atualizada ✔ 06 Desenvolver e manter sistemas e aplicações de forma segura ✔ ✔ 07 Restringir acesso aos dados do titular do cartão a somente quem ou o que necessita do acesso ✔ 08 Atribuir uma única identificação para cada pessoa que tem acesso a computadores ✔ ✔ 09 Restringir acesso físico aos dados do titular do cartão ✔ ✔ ✔ 10 Controlar e monitorar todos acessos a rede e aos dados do titular do cartão ✔ 11 Testar regularmente os sistemas e processos ✔ ✔ 12 Manter políticas que aborde segurança da informação para todas as equipes ✔ ✔ ✔ A1 Provedores de hospedagem compartilhada devem proteger o ambiente de dados do titular do cartão ✔
Copyright © 2014 Symantec Corporation 17 Symantec: How to PCI! Produtos vs Requisitos
Symantec Data Center Security: Server Advanced Principais recursos • Detecção e proteção de ameaças com base na rede e sem agente (IPS de rede). • O Operations Director oferece informações de segurança prontas para uso e automatiza a organização da segurança baseada em políticas na família de produtos Symantec Data Center Security, habilita serviços de segurança centrados no aplicativo e integra-se perfeitamente ao VMware para estender a administração de políticas de segurança e incluir ferramentas de segurança de terceiros. • O Unified Management Console (UMC) permite um gerenciamento consistente em todos os produtos Data Center Security. Copyright © 2014 Symantec Corporation 18 REQUISITOS PCI ADERENTES REQ1: Install and maintain a firewall configuration to protect cardholder data. REQ2: Do not use vendor-supplied defaults for system passwords and other security parameters REQ3: Protect stored cardholder data REQ6: Develop and maintain secure systems and applications. REQ10: Track and monitor all access to network resources and cardholder data REQ11: Regularly test security systems and processes ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 4. Monitor and control access to your systems 6. Finalize remaining compliance efforts, and ensure all controls are in place.
Symantec Advanced Threat Protection (SATP) • Symantec™ Advanced Threat Protection é uma solução unificada que descobre, prioriza e repara ataques avançados, potencializando os investimentos existentes de uma organização no Symantec™ Endpoint Protection e Symantec™ Email Security.cloud. • Integração completa entre Endpoint, Email e Network em uma plataforma única que pode cobrir todo o escopo do PCI, cruzando informações para identificar Indicadores de Comprometimento em tempo real dentro todos os ativos envolvidos no processo e gerando dados. Copyright © 2014 Symantec Corporation 19 REQUISITOS PCI ADERENTES REQ1: Install and maintain a firewall configuration to protect cardholder data. REQ5: Use and regularly update anti-virus software or programs ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 6. Finalize remaining compliance efforts, and ensure all controls are in place.ENDPOINT + EMAIL + NETWORK
Symantec Messaging Gateway (SMG) Gateway Antispam e antimalware de tempo real, proteção contra ataques direcionados, filtragem de conteúdo avançada, prevenção contra a perda de dados e criptografia de e-mail. Principais recursos • O gateway antispam bloqueia mais de 99% de spams, com menos de 1 em 1 milhão de falsos positivos e atualizações automáticas em tempo real. • Mecanismo de filtragem antispam que identificam ameaças provenientes de e-mails, com base na reputação global e local. • Recursos de prevenção contra perda de dados garantem a conformidade regulamentar. • Regras especificadas pelo cliente permitem a criação fácil de regras pelos clientes com base nos e-mails que eles consideram spam ou em ataques potencialmente direcionados. • Integração de criptografia opcional com o Symantec Content Encryption ou o Symantec Gateway Email Encryption Copyright © 2014 Symantec Corporation 20 REQUISITOS PCI ADERENTES REQ5: Use and regularly update anti-virus software or programs ABORDAGEM PRIORIZADA 2. Protect systems and networks, and be prepared to respond to a system breach.
Symantec Control Compliance Suite (CSS) Control Compliance Suite (CCS) é uma solução modular, escalonável para a automação de avaliações de segurança e conformidade em datacenters físicos, virtuais e também em nuvens públicas. Principais recursos • Automatiza a avaliação de controles de segurança. • Disponível em 7 modulos independentes: Policy, Risk, Standards, Vulnerability, Security, Assessment e Vendor Risk Manager • Relatórios e painéis na Web personalizáveis e baseados em funções permitem que a empresa avalie os riscos e acompanhe o desempenho dos programas de segurança e conformidade. • Suporte a SCAP, OVAL, ISO27001, NIST CyberSecurity, PCI-DSS, etc. Copyright © 2014 Symantec Corporation 21 REQUISITOS PCI ADERENTES TODOS OS ITENS ABORDAGEM PRIORIZADA TODOS OS ITENS
Symantec IT Management Suite (ITSM) O Symantec™ IT Management Suite 7.6 com a tecnologia Altiris™ proporciona flexibilidade para a TI e liberdade para o usuário. A TI agora pode gerenciar usuários remotos de forma segura, implementar rapidamente novos dispositivos, plataformas e aplicativos. Permite controle e flexibilidade gerenciamento de ativos de TI com suporte a várias plataformas, gerenciamento remoto de usuários, gerenciamento de software, licenças, inventário, contratos, automatização de processos, gestão de tickets e muitos outros recursos. Copyright © 2014 Symantec Corporation 22 REQUISITOS PCI ADERENTES REQ6: Develop and maintain secure systems and applications ABORDAGEM PRIORIZADA 3. Secure payment card applications. 6. Finalize remaining compliance efforts, and ensure all controls are in place.
Symantec Managed Security Services (MSS) Fornecimento de serviços de monitoramento e gerenciamento de segurança 24x7. MSS correlaciona automaticamente a detecção de ameaças na rede e a proteção avançada da segurança de endpoints com informações sobre ameaças externas para ajudar a identificar ameaças críticas, aumentar a eficácia das investigações de ameaças e simplificar o trabalho de correção. • Monitoramento de desktops, servidores, switches, firewalls, ATP, sistemas operacionais, etc. • Log retention + monitoramento. • Time dedicado com alta experiência. • Sistemas que analisam mais de 275 bilhões de entradas de log • Identificam mais de 40.000 tipos de eventos de segurança. • Toma providências em relação a mais de 4.000 eventos graves já conhecidos. Copyright © 2014 Symantec Corporation 23 REQUISITOS PCI ADERENTES REQ1: Install and maintain a firewall configuration to protect cardholder data. REQ5: Use and regularly update anti-virus software or programs. REQ6: Develop and maintain secure systems and applications REQ10: Track and monitor all access to network resources and cardholder data. REQ11: Requirement 11: Regularly test security systems and processes ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 4. Monitor and control access to your systems 6. Finalize remaining compliance efforts, and ensure all controls are in place.
Symantec DeepSight™ Intelligence O DeepSight Intelligence coleta, analisa e fornece informações sobre ameaças cibernéticas através de um portal personalizável e datafeeds, promovendo medidas de defesa proativas e melhor resposta a incidentes. Entregue através de: Portal do DeepSight Intelligence – Portal Web intuitivo Datafeeds do DeepSight Intelligence – para automatizar o fornecimento de dados sobre ameaças à infraestrutura de segurança. Copyright © 2014 Symantec Corporation 24 REQUISITOS PCI ADERENTES REQ5: Protect all systems against malware and regularly update anti-virus software or programs. REQ6: Develop and maintain secure systems and applications. ABORDAGEM PRIORIZADA 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 6. Finalize remaining compliance efforts, and ensure all controls are in place.
Symantec Managed PKI (Cloud) / Certificados SSL Plataforma cloud para emissão, renovação, revogação e gestão ativa de Certificados Digitais privados. Principais recursos: • Sem necessidade de investimento em infraestrutura e pessoas. • Controle de autenticação de usuários e aplicações • Suporte a BYOD (Distribuição de certificados para mobile IOS e Android) • Assinatura de Conteúdos, documentos e aplicações • Gestão completa do Ciclo de Vida dos certificados. Copyright © 2014 Symantec Corporation 25 REQUISITOS PCI ADERENTES REQ3: Protect stored cardholder data REQ4: Encrypt transmission of cardholder data across open, public networks ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 6. Finalize remaining compliance efforts, and ensure all controls are in place.
Symantec Endpoint Protection (SEP) / ATP:Endpoint Principais benefícios • Proteção em camadas para manter os endpoints protegidos contra malware em massa, ataques direcionados e ataques persistentes avançados • Proteção superior contra ameaças com o suporte da maior rede de informações civis sobre ameaças do mundo • Desempenho tão rápido que não afeta a produtividade do usuário • Fácil de usar com um único cliente e console de gerenciamento em plataformas físicas e virtuais • Flexibilidade para ajustar políticas com base nos usuários e no local Copyright © 2014 Symantec Corporation 26 REQUISITOS PCI ADERENTES REQ1: Install and maintain a firewall configuration to protect cardholder data. REQ5: Use and regularly update anti-virus software or programs REQ6: Develop and maintain secure systems and applications. REQ10: Track and monitor all access to network resources and cardholder data. REQ11: Regularly test security systems and processes ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 6. Finalize remaining compliance efforts, and ensure all controls are in place.
Symantec Endpoint Encryption (Powered by PGP™) Combina a forte criptografia completa de discos ou mídias removíveis com uma plataforma de gerenciamento central, que visa proteger dados confidenciais contra perda ou roubo e ajuda os administradores a confirmar se um dispositivo foi criptografado, caso ele seja perdido ou roubado. • Automação no gerenciamento de chaves • Integração com Active Directory • Integração com o Data Loss Prevention • Relatórios customizados de conformidade. • Várias opções de recuperação (Local Self-Recovery e Tokens descartáveis) Copyright © 2014 Symantec Corporation 27 REQUISITOS PCI ADERENTES REQ3: Protect stored cardholder data ABORDAGEM PRIORIZADA 5. Protect stored cardholder data.
Symantec Validation and ID Protection Service (VIP) O VIP é um serviço de autenticação baseado na nuvem e líder de mercado que permite implementar com facilidade controles para proteger o acesso a redes e aplicativos contra acessos não autorizados. Principais recursos: • Autenticação multi-fator baseada em risco • Baseado em padrões abertos, SAML, OAth • Mobile Push • Recursos de biometria para substituição de senhas • Integração direta com o Symantec Identity Access Manager (SAM) para proteção de aplicativos baseados em nuvem. Copyright © 2014 Symantec Corporation 28 REQUISITOS PCI ATENDIDOS REQ8: Identify and authenticate access to system components ABORDAGEM PRIORIZADA 2. Protect systems and networks, and be prepared to respond to a system breach. 4. Monitor and control access to your systems.
Symantec Data Loss Prevention (DLP) O DLP é uma tecnologia de segurança com reconhecimento de conteúdo que lida com três questões importantes relacionadas às informações confidenciais da empresa. Disponível para Cloud, Endpoint, Mobile, Network, Storage e Email Copyright © 2014 Symantec Corporation 29 REQUISITOS PCI ADERENTES REQ3: Protect stored cardholder data REQ4: Encrypt transmission of cardholder data across open, public networks REQ6: Develop and maintain secure systems and applications. ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 6. Finalize remaining compliance efforts, and ensure all controls are in place.
30 PORTFOLIO SYMANTEC PCI-DSS X Soluções Symantec ControlComplianceSuite DataLossPrevention DataCenterSecurity EndpointEncryption AdvancedThreatProtection ManagedSecurityServices EndpointProtection ValidationandIDProtection Service MessagingGateway ITMS MPKI/SSLCertificate Deep-sight 1. Manter configurações de firewall que protejam os dados do titular do cartão o • • • 2. Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares • • 3. Proteger os dados do titular do cartão o • • • • 4. Criptografar a transmissão dos dados do titular do cartão através de redes abertas e públicas o • • 5. Utilizar solução de anti-virus e mantê-la atualizada o • • • • • 6. Desenvolver e manter sistemas e aplicações de forma segura • • o • • • • 7. estringir acesso aos dados do titular do cartão a somente quem ou o que necessita do acesso • • 8. Atribuir uma única identificação para cada pessoa que tem acesso a computadores • • 9. Restringir acesso físico aos dados do titular do cartão • o 10. Controlar e monitorar todos acessos a rede e aos dados do titular do cartão o • • • 11. Testar regularmente os sistemas e processos. o • • • 12. Manter políticas que aborde segurança da informação para todas as equipes •
Q&A
Thank you! Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. Obrigado! Próximo Webinar: 16/03 – Segurança de email: Ameaças, SPAM e Sequestros, uma máquina de dinheiro

Mais conteúdo relacionado

Be Aware Webinar - Se sua conformidade é temporária, então você não está conforme

  • 1. Se sua conformidade é temporária, então você não está conforme Marcus Vinícius Cândido Sr. Solutions Specialist André Carraretto, PCIP, CISSP Security Strategist Daniel Niero Systems Engineer
  • 2. Participantes Copyright © 2015 Symantec Corporation Daniel Niero Systems Engineer daniel_niero@symantec.com • 12 anos de experiência em SI, Riscos e Compliance • 7 meses na Symantec • Engenheiro responsável pelo atendimento a toda a regional Sul do Brasil. Marcus Candido Sr Solutions Specialist marcus_candido@symantec.com • 15 anos de experiência em TI • 3 anos na Symantec Especialista em Soluções de Segurança • Integrante do Time de Consultoria: • Atualmente Consultor Residente de DLP nos Ministérios da Educação e da Cultura em Brasília André Carraretto Security Strategist Andre_carraretto@symantec.com Participantes • 18 anos de experiência em SI • 11 anos na Symantec • Porta voz oficial • Estrategista responsável pelo atendimento dos principais clientes na América Latina
  • 3. Agenda 1 Introdução ao PCI-DSS v3.1 2 Abordagem Priorizada 3 Matriz de Aderência do Portfolio Symantec 4 Q&A Copyright © 2015 Symantec Corporation 3
  • 4. Payment Card Industry Data Security Standard Copyright © 2015 Symantec Corporation 4 • Manage endpoints – Discover, deploy, fix, recover – Secure devices • Secure data – Email, IM, structured, unstructured •Global & imposto pela indústria •Visa, MasterCard, AMEX, Discover, JCB •Proteger informações do titular do cartão (CHD) onde quer que sejam coletadas, armazenadas, processadas ou transmitidas •Crédito, débito & pré-pago •Eletrônico & físico •Internet, telefone, em lojas •12 requisitos, +200 controles técnicos •Requisitos de validação variam de acordo com o nível do comerciante •Assessment on-site assessment •Questinário de self-assessment •Conformidade imposta pelas marcas de cartões de pagamento •Multas e penalidades •Custo de reemissão de cartões •Redução de vendas •Perda de confiança de clientes e parceiros •Perdas com fraudes Payment Card Industry Data Security Standard (PCI DSS) Quem Guidance & Assessment Responsabilidades Potenciais Sumário de Requisitos •Todos que lidam com dados de cartões de pagamento •Todos os tamanhos de empresa: de 1 a +1Mi de transações •Varejo, bancos, telecomunicações, distribution, software & services rank top •Organizações Públicas e Privadas Para maiores detalhes, visite: https://www.pcisecuritystandards.org/
  • 5. Que dados precisamos proteger? Copyright © 2014 Symantec Corporation 5 Fonte: PCI Council
  • 6. Outros padrões associados ao PCI DSS Copyright © 2014 Symantec Corporation 6
  • 7. Abordagem Priorizada – PCI-DSS • Baseado na experiência da indústria • Abordagem lógica e progressiva • Todos os itens devem ser alcançados • Tecnologias e Serviços Symantec em todos os itens Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
  • 8. Abordagem Priorizada – PCI-DSS • Encontrar e remover dados sensíveis de Endpoints e amazená-los na rede ( e fora dela) • Definir e impor políticas de retenção e remoção de dados • Identificar riscos relacionados aos dados armazenados Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
  • 9. Abordagem Priorizada – PCI-DSS • Proteger redes contra ameaças avançadas • Prover acesso de acordo com as políticas de segurança • Previnir transmissão de dados não criptografados via e-mail e mensagens instantâneas • Assegurar que endpoints, bancos de dados, aplicações e servidores estejam em conformidade com as políticas de segurança • Scans de vulnerabilidades externas trimestrais Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
  • 10. Abordagem Priorizada – PCI-DSS • Assegurar que endpoints, bancos de dados, aplicações e servidores estejam em conformidade com as políticas de segurança • Realizar testes de vulnerabilidades em aplicações em com acesso público • Revisar códigos customizados antes da liberação • Assegurar que aplicações web sejam desenvolvidas de forma segura • Impedir uso de configurações padrão em equipamentos e softwares (senhas, acessos, etc.) • Manter-se atualizado com as vulnerabilidades de segurança Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
  • 11. Abordagem Priorizada – PCI-DSS • Coletar, armazenar e analisar logs de segurança e dados de incidentes • Assegurar que endpoints, bancos de dados, aplicações e servidores estejam em conformidade com as políticas de segurança • Gravar logs de todas as mensagens que passarem pelos gateways de e-mail • Monitorar, revisae e impor conformidade com políticas de controle de acesso • Controlar Cadeia de Custódia para ativos críticos Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
  • 12. Abordagem Priorizada – PCI-DSS • Avaliar controles físicos e não-técnicos • Proteger contra vazamento e roubo de informações • Isolar e remediar endpoints não conformes Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
  • 13. Abordagem Priorizada – PCI-DSS • Pentests em redes e aplicações • Testes para confirmar existência de pontos de acesso wireless • Acompanhar contas de e-mail em risco e “logar”atividades que não estiverem em conformidade com as políticas de segurança • Monitorar e impor conformidade de ativos e processos • Restringir acesso a logs e registros de auditoria • Avaliar e modificar controles técnicos e processuais • Consolidar dados para revisão e auditoria Controlar Dados Sensíveis Proteger Sistemas e Redes Proteger Aplicações Críticas Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 1 2 3 4 5 Assegurar que Controles estejam Ativos6
  • 14. Requerimentos do PCI-DSS x Abordagem Priorizada 14 Controlar Dados Sensíveis Proteger Sistemas e Redes 1 2 • (Req. 1) Manter configurações de firewall que protejam os dados do titular do cartão • (Req. 3) Proteger os dados do titular do cartão • (Req. 9) Restringir acesso físico aos dados do titular do cartão • (Req.12) Manter políticas que aborde segurança da informação para todas as equipes • (Req. 1) Manter configurações de firewall que protejam os dados do titular do cartão • (Req. 2) Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares • (Req. 4) Criptografar a transmissão dos dados do titular do cartão através de redes abertas e públicas • (Req. 5) Utilizar solução de anti-virus e mantê-la atualizada • (Req. 8) Atribuir uma única identificação para cada pessoa que tem acesso a computadores • (Req. 9) Restringir acesso físico aos dados do titular do cartão • (Req.11) Testar regularmente os sistemas e processos • (Req.12) Manter políticas que aborde segurança da informação para todas as equipes
  • 15. 15 Requerimentos do PCI-DSS x Abordagem Priorizada Monitorar e Controlar o Acesso aos Sistemas Proteger Dados Armazenados 4 5 Assegurar que Controles estejam Ativos6 • (Req. 7) Restringir acesso aos dados do titular do cartão a somente quem ou o que necessita do acesso • (Req. 8) Atribuir uma única identificação para cada pessoa que tem acesso a computadores • (Req.10) Controlar e monitorar todos acessos a rede e aos dados do titular do cartão • (Req.11) Testar regularmente os sistemas e processos • (Req. 3) Proteger os dados do titular do cartão • (Req. 9) Restringir acesso físico aos dados do titular do cartão • (Req. 1) Manter configurações de firewall que protejam os dados do titular do cartão • (Req. 6) Desenvolver e manter sistemas e aplicações de forma segura • (Req.12) Manter políticas que aborde segurança da informação para todas as equipes Proteger Aplicações Críticas3 • (Req. 2) Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares • (Req. 6) Desenvolver e manter sistemas e aplicações de forma segura • (Req.A.1) Provedores de hospedagem compartilhada devem proteger o ambiente de dados do titular do cartão
  • 16. 16 Requerimentos do PCI-DSS Objetivos da Abordagem Priorizada 1 2 3 4 5 6 01 Manter configurações de firewall que protejam os dados do titular do cartão ✔ ✔ ✔ 02 Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares ✔ ✔ 03 Proteger os dados do titular do cartão ✔ ✔ 04 Criptografar a transmissão dos dados do titular do cartão através de redes abertas e públicas ✔ 05 Utilizar solução de anti-virus e mantê-la atualizada ✔ 06 Desenvolver e manter sistemas e aplicações de forma segura ✔ ✔ 07 Restringir acesso aos dados do titular do cartão a somente quem ou o que necessita do acesso ✔ 08 Atribuir uma única identificação para cada pessoa que tem acesso a computadores ✔ ✔ 09 Restringir acesso físico aos dados do titular do cartão ✔ ✔ ✔ 10 Controlar e monitorar todos acessos a rede e aos dados do titular do cartão ✔ 11 Testar regularmente os sistemas e processos ✔ ✔ 12 Manter políticas que aborde segurança da informação para todas as equipes ✔ ✔ ✔ A1 Provedores de hospedagem compartilhada devem proteger o ambiente de dados do titular do cartão ✔
  • 17. Copyright © 2014 Symantec Corporation 17 Symantec: How to PCI! Produtos vs Requisitos
  • 18. Symantec Data Center Security: Server Advanced Principais recursos • Detecção e proteção de ameaças com base na rede e sem agente (IPS de rede). • O Operations Director oferece informações de segurança prontas para uso e automatiza a organização da segurança baseada em políticas na família de produtos Symantec Data Center Security, habilita serviços de segurança centrados no aplicativo e integra-se perfeitamente ao VMware para estender a administração de políticas de segurança e incluir ferramentas de segurança de terceiros. • O Unified Management Console (UMC) permite um gerenciamento consistente em todos os produtos Data Center Security. Copyright © 2014 Symantec Corporation 18 REQUISITOS PCI ADERENTES REQ1: Install and maintain a firewall configuration to protect cardholder data. REQ2: Do not use vendor-supplied defaults for system passwords and other security parameters REQ3: Protect stored cardholder data REQ6: Develop and maintain secure systems and applications. REQ10: Track and monitor all access to network resources and cardholder data REQ11: Regularly test security systems and processes ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 4. Monitor and control access to your systems 6. Finalize remaining compliance efforts, and ensure all controls are in place.
  • 19. Symantec Advanced Threat Protection (SATP) • Symantec™ Advanced Threat Protection é uma solução unificada que descobre, prioriza e repara ataques avançados, potencializando os investimentos existentes de uma organização no Symantec™ Endpoint Protection e Symantec™ Email Security.cloud. • Integração completa entre Endpoint, Email e Network em uma plataforma única que pode cobrir todo o escopo do PCI, cruzando informações para identificar Indicadores de Comprometimento em tempo real dentro todos os ativos envolvidos no processo e gerando dados. Copyright © 2014 Symantec Corporation 19 REQUISITOS PCI ADERENTES REQ1: Install and maintain a firewall configuration to protect cardholder data. REQ5: Use and regularly update anti-virus software or programs ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 6. Finalize remaining compliance efforts, and ensure all controls are in place.ENDPOINT + EMAIL + NETWORK
  • 20. Symantec Messaging Gateway (SMG) Gateway Antispam e antimalware de tempo real, proteção contra ataques direcionados, filtragem de conteúdo avançada, prevenção contra a perda de dados e criptografia de e-mail. Principais recursos • O gateway antispam bloqueia mais de 99% de spams, com menos de 1 em 1 milhão de falsos positivos e atualizações automáticas em tempo real. • Mecanismo de filtragem antispam que identificam ameaças provenientes de e-mails, com base na reputação global e local. • Recursos de prevenção contra perda de dados garantem a conformidade regulamentar. • Regras especificadas pelo cliente permitem a criação fácil de regras pelos clientes com base nos e-mails que eles consideram spam ou em ataques potencialmente direcionados. • Integração de criptografia opcional com o Symantec Content Encryption ou o Symantec Gateway Email Encryption Copyright © 2014 Symantec Corporation 20 REQUISITOS PCI ADERENTES REQ5: Use and regularly update anti-virus software or programs ABORDAGEM PRIORIZADA 2. Protect systems and networks, and be prepared to respond to a system breach.
  • 21. Symantec Control Compliance Suite (CSS) Control Compliance Suite (CCS) é uma solução modular, escalonável para a automação de avaliações de segurança e conformidade em datacenters físicos, virtuais e também em nuvens públicas. Principais recursos • Automatiza a avaliação de controles de segurança. • Disponível em 7 modulos independentes: Policy, Risk, Standards, Vulnerability, Security, Assessment e Vendor Risk Manager • Relatórios e painéis na Web personalizáveis e baseados em funções permitem que a empresa avalie os riscos e acompanhe o desempenho dos programas de segurança e conformidade. • Suporte a SCAP, OVAL, ISO27001, NIST CyberSecurity, PCI-DSS, etc. Copyright © 2014 Symantec Corporation 21 REQUISITOS PCI ADERENTES TODOS OS ITENS ABORDAGEM PRIORIZADA TODOS OS ITENS
  • 22. Symantec IT Management Suite (ITSM) O Symantec™ IT Management Suite 7.6 com a tecnologia Altiris™ proporciona flexibilidade para a TI e liberdade para o usuário. A TI agora pode gerenciar usuários remotos de forma segura, implementar rapidamente novos dispositivos, plataformas e aplicativos. Permite controle e flexibilidade gerenciamento de ativos de TI com suporte a várias plataformas, gerenciamento remoto de usuários, gerenciamento de software, licenças, inventário, contratos, automatização de processos, gestão de tickets e muitos outros recursos. Copyright © 2014 Symantec Corporation 22 REQUISITOS PCI ADERENTES REQ6: Develop and maintain secure systems and applications ABORDAGEM PRIORIZADA 3. Secure payment card applications. 6. Finalize remaining compliance efforts, and ensure all controls are in place.
  • 23. Symantec Managed Security Services (MSS) Fornecimento de serviços de monitoramento e gerenciamento de segurança 24x7. MSS correlaciona automaticamente a detecção de ameaças na rede e a proteção avançada da segurança de endpoints com informações sobre ameaças externas para ajudar a identificar ameaças críticas, aumentar a eficácia das investigações de ameaças e simplificar o trabalho de correção. • Monitoramento de desktops, servidores, switches, firewalls, ATP, sistemas operacionais, etc. • Log retention + monitoramento. • Time dedicado com alta experiência. • Sistemas que analisam mais de 275 bilhões de entradas de log • Identificam mais de 40.000 tipos de eventos de segurança. • Toma providências em relação a mais de 4.000 eventos graves já conhecidos. Copyright © 2014 Symantec Corporation 23 REQUISITOS PCI ADERENTES REQ1: Install and maintain a firewall configuration to protect cardholder data. REQ5: Use and regularly update anti-virus software or programs. REQ6: Develop and maintain secure systems and applications REQ10: Track and monitor all access to network resources and cardholder data. REQ11: Requirement 11: Regularly test security systems and processes ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 4. Monitor and control access to your systems 6. Finalize remaining compliance efforts, and ensure all controls are in place.
  • 24. Symantec DeepSight™ Intelligence O DeepSight Intelligence coleta, analisa e fornece informações sobre ameaças cibernéticas através de um portal personalizável e datafeeds, promovendo medidas de defesa proativas e melhor resposta a incidentes. Entregue através de: Portal do DeepSight Intelligence – Portal Web intuitivo Datafeeds do DeepSight Intelligence – para automatizar o fornecimento de dados sobre ameaças à infraestrutura de segurança. Copyright © 2014 Symantec Corporation 24 REQUISITOS PCI ADERENTES REQ5: Protect all systems against malware and regularly update anti-virus software or programs. REQ6: Develop and maintain secure systems and applications. ABORDAGEM PRIORIZADA 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 6. Finalize remaining compliance efforts, and ensure all controls are in place.
  • 25. Symantec Managed PKI (Cloud) / Certificados SSL Plataforma cloud para emissão, renovação, revogação e gestão ativa de Certificados Digitais privados. Principais recursos: • Sem necessidade de investimento em infraestrutura e pessoas. • Controle de autenticação de usuários e aplicações • Suporte a BYOD (Distribuição de certificados para mobile IOS e Android) • Assinatura de Conteúdos, documentos e aplicações • Gestão completa do Ciclo de Vida dos certificados. Copyright © 2014 Symantec Corporation 25 REQUISITOS PCI ADERENTES REQ3: Protect stored cardholder data REQ4: Encrypt transmission of cardholder data across open, public networks ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 6. Finalize remaining compliance efforts, and ensure all controls are in place.
  • 26. Symantec Endpoint Protection (SEP) / ATP:Endpoint Principais benefícios • Proteção em camadas para manter os endpoints protegidos contra malware em massa, ataques direcionados e ataques persistentes avançados • Proteção superior contra ameaças com o suporte da maior rede de informações civis sobre ameaças do mundo • Desempenho tão rápido que não afeta a produtividade do usuário • Fácil de usar com um único cliente e console de gerenciamento em plataformas físicas e virtuais • Flexibilidade para ajustar políticas com base nos usuários e no local Copyright © 2014 Symantec Corporation 26 REQUISITOS PCI ADERENTES REQ1: Install and maintain a firewall configuration to protect cardholder data. REQ5: Use and regularly update anti-virus software or programs REQ6: Develop and maintain secure systems and applications. REQ10: Track and monitor all access to network resources and cardholder data. REQ11: Regularly test security systems and processes ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 6. Finalize remaining compliance efforts, and ensure all controls are in place.
  • 27. Symantec Endpoint Encryption (Powered by PGP™) Combina a forte criptografia completa de discos ou mídias removíveis com uma plataforma de gerenciamento central, que visa proteger dados confidenciais contra perda ou roubo e ajuda os administradores a confirmar se um dispositivo foi criptografado, caso ele seja perdido ou roubado. • Automação no gerenciamento de chaves • Integração com Active Directory • Integração com o Data Loss Prevention • Relatórios customizados de conformidade. • Várias opções de recuperação (Local Self-Recovery e Tokens descartáveis) Copyright © 2014 Symantec Corporation 27 REQUISITOS PCI ADERENTES REQ3: Protect stored cardholder data ABORDAGEM PRIORIZADA 5. Protect stored cardholder data.
  • 28. Symantec Validation and ID Protection Service (VIP) O VIP é um serviço de autenticação baseado na nuvem e líder de mercado que permite implementar com facilidade controles para proteger o acesso a redes e aplicativos contra acessos não autorizados. Principais recursos: • Autenticação multi-fator baseada em risco • Baseado em padrões abertos, SAML, OAth • Mobile Push • Recursos de biometria para substituição de senhas • Integração direta com o Symantec Identity Access Manager (SAM) para proteção de aplicativos baseados em nuvem. Copyright © 2014 Symantec Corporation 28 REQUISITOS PCI ATENDIDOS REQ8: Identify and authenticate access to system components ABORDAGEM PRIORIZADA 2. Protect systems and networks, and be prepared to respond to a system breach. 4. Monitor and control access to your systems.
  • 29. Symantec Data Loss Prevention (DLP) O DLP é uma tecnologia de segurança com reconhecimento de conteúdo que lida com três questões importantes relacionadas às informações confidenciais da empresa. Disponível para Cloud, Endpoint, Mobile, Network, Storage e Email Copyright © 2014 Symantec Corporation 29 REQUISITOS PCI ADERENTES REQ3: Protect stored cardholder data REQ4: Encrypt transmission of cardholder data across open, public networks REQ6: Develop and maintain secure systems and applications. ABORDAGEM PRIORIZADA 1. Remove sensitive authentication data and limit data retention. 2. Protect systems and networks, and be prepared to respond to a system breach. 3. Secure payment card applications. 6. Finalize remaining compliance efforts, and ensure all controls are in place.
  • 30. 30 PORTFOLIO SYMANTEC PCI-DSS X Soluções Symantec ControlComplianceSuite DataLossPrevention DataCenterSecurity EndpointEncryption AdvancedThreatProtection ManagedSecurityServices EndpointProtection ValidationandIDProtection Service MessagingGateway ITMS MPKI/SSLCertificate Deep-sight 1. Manter configurações de firewall que protejam os dados do titular do cartão o • • • 2. Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares • • 3. Proteger os dados do titular do cartão o • • • • 4. Criptografar a transmissão dos dados do titular do cartão através de redes abertas e públicas o • • 5. Utilizar solução de anti-virus e mantê-la atualizada o • • • • • 6. Desenvolver e manter sistemas e aplicações de forma segura • • o • • • • 7. estringir acesso aos dados do titular do cartão a somente quem ou o que necessita do acesso • • 8. Atribuir uma única identificação para cada pessoa que tem acesso a computadores • • 9. Restringir acesso físico aos dados do titular do cartão • o 10. Controlar e monitorar todos acessos a rede e aos dados do titular do cartão o • • • 11. Testar regularmente os sistemas e processos. o • • • 12. Manter políticas que aborde segurança da informação para todas as equipes •
  • 31. Q&A
  • 32. Thank you! Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. Obrigado! Próximo Webinar: 16/03 – Segurança de email: Ameaças, SPAM e Sequestros, uma máquina de dinheiro