Segurança por arrumação de ideias

Lembra-se da última vez que fez ou ajudou a fazer uma limpeza e arrumação profunda em sua casa? Não? Então continue a ler que isto pode interessar-lhe.

Lembra-se da última vez que fez uma limpeza e deu uma arrumação aos ficheiros de trabalho no seu computador? Sim?

Então com certeza deve ter encontrado os planos e a documentação sobre os planos e o programa de gestão de segurança da sua empresa… Devem ter alguma “poeira” digital: uma parte continua a ser utilizada, a outra deve estar num canto à espera de ir para o Recycle Bin.

Chegou a oportunidade de voltar a dar uso a esse trabalho. Chama-se PCI-DSS e é a norma de segurança mais “quente” dos últimos doze meses. Trata-se, nada mais, nada menos, que um conjunto de regras de arrumação de “casa”, no campo da segurança informática, para empresas que processam ou transmitem informação de cartões de débito ou de crédito.

Haverá certamente quem lhes chame as “dirty dozen” – as doze regras de segurança da norma. Pensem antes em denominá-las como as “clean dozen” – uma vez que nos ajudam a arrumar a “casa”, as ideias, e a forma como tratamos a informação dos nossos clientes.

Payment Card Industry Data Security Standard é o seu nome por extenso e foi criado pelas principais marcas de cartões de crédito. Na sua essência o Standard define um conjunto de medidas de prevenção e de detecção de incidentes de segurança que possam levar ao comprometimento de informação de cartões de pagamento.

O conjunto de regras que actualmente constitui a norma começou como quatro normas separadas e independentes: o Visa Cardholder Information Security Program (CISP), o MasterCard Site Data Protection Program (SDP), o Discover Information Security Compliance Program (DISC) e o American Express Data Security Standard (DSS).

Nos últimos anos, é sabido, o roubo de dados de cartões de pagamento aumentou drasticamente. Um incidente de segurança em 2004, que conduziu à exposição de mais de quarenta milhões de cartões de crédito, foi o ponto de viragem determinante para a incorporação dos vários programas de segurança numa única norma. Outra exposição de 45 milhões de cartões, que veio a público no início de 2007, criou o seu actual momentum de implementação.

E esta implementação não é opcional – se a sua empresa lida com informação de cartões de pagamento está necessariamente obrigada a cumprir a norma. As consequências de um não cumprimento são variadas, indo de “simples” multas pecuniárias até à proibição da aceitação de cartões como meio de pagamento.

Pelo contrário, o cumprimento da norma imposta possibilita um controlo mais eficaz do fluxo electrónico de dinheiro na sua empresa e contribui para a sustentabilidade do negócio. Desta forma, certamente concordará, que os benefícios superam claramente os riscos.

Para quem está familiarizado com a definição de programas de segurança, a implementação do PCI-DSS não trará muitas novidades.

Caso já tenha um plano ou programa de segurança não vai ter de “reinventar a roda” – muitos dos controlos que já implementou, provavelmente a maioria aplicam-se e podem (e devem) ser reaproveitados.

Deixo-o com cinco passos preliminares a tomar para que não se veja obrigado “a arrumar a casa à pressa”:

1. Leia a norma (dependendo do número de transacções que processa com cartões de pagamento, poderá só ter que responder a um questionário);

2. Identifique e faça um diagrama do fluxo de informação de cartões de pagamento (por onde a informação passa, onde é processada e onde é armazenada);

3. Reflicta sobre como é que a norma se relaciona com o seu plano de gestão de segurança;

4. Faça um mapa entre as regras da norma e as áreas do seu plano de segurança: identifique onde está, e o que tem que fazer para alinhar o seu programa com a norma;

5. Implemente as acções necessárias para alinhar com a norma.

Uma dica para facilitar o processo: Faça download e preencha os questionários de auto-avaliação. É um exercício interessante que facilita a identificação do estado actual da empresa face aos requisitos do PCI-DSS.

Seguindo estes passos e começando agora a assegurar a implementação da norma, vai ver que a sua “casa” ficará bem mais arrumada, com muito menos esforço seu.

Pedro Galvão, Senior Managing Consultant, Security Services Leader, SPGIT (Spain, Portugal, Greece, Israel, Turkey), IBM Corporation