Insights > Blog

PCI-DSS em Data Center: importância e desafios

A integração da tecnologia vem crescendo no espaço do Data Center há vários anos, à medida que os operadores buscam soluções integradas modulares, que possam ser rapidamente implementadas, facilmente escaladas e eficientemente operadas.

A TI distribuída e a Internet das Coisas industrial (IoT) estão aproximando os recursos de TI dos usuários em localizações remotas e em plantas industriais. Embora o Data Center tradicional se mantenha fundamental para a distribuição de aplicações e serviços, cresce a cada dia a importância de micro Data Centers e network closets.

Network closet é o espaço onde equipamentos de rede gerenciáveis e operáveis remotamente são instalados. Essa tendência é confirmada pela crescente proliferação de sensores IoT e outros dispositivos que exigem acesso mais rápido à informação. Em resposta a essas mudanças, as corporações tendem a soluções pré-configuradas de micro Data Centers que suportam implementações rápidas. Outras respostas são a maior padronização e o gerenciamento remoto em localizações de TI distribuídas. Vale destacar que padronização e modularidade estão se tornando tão importantes nas localizações de TI distribuídas quanto são nos grandes Data Centers.

Somado a isto temos o fator da celeridade, a velocidade de entrada em operação é um dos principais impulsores das empresas que desenvolvem o grande volume da capacidade dos Data Centers. É nesse momento que entra a importância da Padronização tanto da Segurança da Informação quando da Infraestrutura em nível global, importância esta não somente para o PCI-DSS quanto para os diversos frameworks que temos no quesito “Conformidade” do GRC.

Frente a essa movimentação e celeridade, os clientes dos Data Centers têm sido cada vez mais exigentes no que tange a conformidade com padrões e práticas de mercado em relação à segurança da informação. Todo Data Center está interessado no desenvolvimento de negócios constante e atraindo os clientes corporativos das indústrias bancárias ou “retail industries”. Para atrair esses clientes, os Data Centers estão buscando pela certificação PCI-DSS anual.

Padrão de segurança de dados do setor de cartão de pagamento (PCI- DSS) é um padrão de segurança de informações para organizações que manipulam cartões de crédito de marca dos principais esquemas de cartão. Foi projetado para o benefício de sistemas de pagamento internacionais como Visa, MasterCard, American Express, JCB e Discover.

O padrão PCI DSS é um conjunto de requisitos de segurança para os dados do titular do cartão que são armazenados, transmitidos e processados nas infraestrutura de informação das organizações.

Explicando melhor a necessidade da conformidade e a padronização: atualmente, as grandes empresas tentam otimizar seus gastos com a manutenção e, assim, transferir seus servidores para os centros de dados externos. A maioria dessas grandes empresas deve atender aos requisitos padrão do PCI DSS pelo seu comércio. Portanto, eles devem armazenar seus dados em um centro que também está em conformidade com o padrão PCI DSS.

Com um certificado de conformidade com o padrão PCI DSS, aumentam sua atratividade e competitividade. E o mais importante é demonstrar sua preocupação com os clientes. Frequentemente os Data Centers são submetidos a inúmeras visitas anuais destes clientes e seus parceiros, realizando diligências e análise de fornecedores seguindo diversos checklists embasados nos inúmeros frameworks.

A certificação PCI-DSS atenua a necessidade das diligências, apresentando o certificado de conformidade para os clientes.

Entretanto, como dito mais acima, os Data Centers estão localizados em centros distribuídos e muitas vezes atendendo o mesmo cliente em diversas unidades (contingência), e esta distribuição traz a importância da padronização nas localizações distribuídas.

Os requisitos do PCI-DSS que são pertinentes ao Data Center que presta serviços de colocation pertencem a três principais grupos:

Requisito 9: Restringir o acesso físico aos dados do titular do cartão.
Requisito 11.1: Testar regularmente os sistemas e processos de segurança, no que tange a presença de pontos de acesso sem fio (802.11).
Requisito 12: Mantenha uma política que aborde a segurança da informação para todas as equipes.

Para o atendimento a estes requisitos, observa-se com frequência o desafio de integração entre as áreas envolvidas, principalmente: Processos, Segurança Física e Segurança da Informação. O projeto e a implementação do Data Center ganham integração e aceleração e muitas vezes a independência de gestão em cada localidade ganha frente à padronização.

Destaque para a Segurança Física, muitas vezes terceirizada – controles como CFTV, catracas e registros de visitantes obedecem diversos padrões culturais, inerentes á região a qual pertencem. E isto, acarreta na certificação como um todo.

Um Data Center global só obtém a certificação PCI-DSS se todos estes controles estiverem em conformidade em todas as unidades de Data Center. E nada melhor que uma boa padronização e integração, através de um comitê representado por estas áreas, para atender rapidamente à certificação e principalmente, mantê-la ao longo do ciclo anual.

*Por: Janaina Devus Creazzo – GRC manager LATAM – CIPHER.

Fonte: PCI Council e norma PCI-DSS.

0 Comments

Submit a Comment Cancel reply

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

• Whitepapers
• E-books
• Checklists
• Self-Assessments
• Webcasts
• Infographics

Cookie	Duração	Descrição
__hssrc	sessão	O Hubspot define este cookie cada vez que o cookie da sessão muda. O cookie __hssrc ajustado a 1 indica que o utilizador reiniciou o navegador, e se o cookie não existir, assume-se que se trata de uma nova sessão.
_GRECAPTCHA	5 meses 27 dias	Este cookie é definido pelo Google. Além de certos cookies padrão do Google, o reCAPTCHA define um cookie necessário (_GRECAPTCHA) quando executado com o objetivo de fornecer sua análise de risco.
viewed_cookie_policy	1 ano	Este cookie é definido pelo suplemento de consentimento de cookies da GDPR e é utilizado para armazenar se o utilizador consentiu ou não na utilização de cookies. Não armazena quaisquer dados pessoais.

Cookie	Duração	Descrição
AnalyticsSyncHistory	1 mês	Sem descrição
li_gc	2 anos	Não há descrição disponível.
UserMatchHistory	1 mês	Linkedin - Usado para localizar visitantes em múltiplos sítios web, a fim de apresentar anúncios relevantes com base nas preferências dos visitantes.

Cookie	Duração	Descrição
bscookie	2 anos	Este cookie é um cookie de identificação do navegador definido por Botões de partilha Linked e etiquetas de anúncios.
IDE	1 ano 24 dias	Os cookies IDE Google DoubleClick são utilizados para armazenar informação sobre a forma como o utilizador utiliza o sítio web a fim de apresentar ao utilizador anúncios relevantes e direccionados.
test_cookie	15 minutos	O cookie test_cookie é definido por doubleclick.net e é utilizado para determinar se o navegador do utilizador suporta cookies.
VISITOR_INFO1_LIVE	5 meses 27 dias	Um cookie definido pelo Youtube para medir a largura de banda que determina se o utilizador recebe a nova ou a antiga interface do leitor.
YSC	sessão	O cookie do YSC é definido pelo YouTube e é utilizado para acompanhar as visualizações de vídeos incorporados nas páginas do YouTube.
yt-remote-connected-devices	nunca expira	O YouTube define este cookie para armazenar as preferências de vídeo do utilizador que utiliza o vídeo do YouTube incorporado.
yt-remote-device-id	nunca expira	O YouTube define este cookie para armazenar as preferências de vídeo do utilizador utilizando o vídeo do YouTube incorporado.

Cookie	Duração	Descrição
__hstc	1 ano 24 dias	Este é o cookie principal criado pelo Hubspot, para rastreio de visitantes. Contém o domínio, o carimbo temporal inicial (primeira visita), o último carimbo temporal (última visita), o carimbo temporal actual (esta visita) e o número de sessão (incrementado para cada sessão subsequente).
_ga	2 anos	O cookie _ga, definido pelo Google Analytics, calcula os dados do visitante, da sessão e da campanha e também rastreia a utilização do site para relatórios de análise do site. O cookie armazena informação anonimamente e atribui um número gerado aleatoriamente para reconhecer visitantes únicos.
_gat_gtag_UA_86671402_1	1 minuto	Este cookie é definido pelo Google e é utilizado para distinguir os utilizadores.
_gcl_au	3 meses	Fornecido pelo Google Tag Manager para testar a eficácia da publicidade dos sítios web que utilizam os seus serviços.
_gid	1 dia	Definido pelo Google Analytics, o cookie _gid armazena informações sobre como os visitantes utilizam um sítio web, enquanto cria um relatório analítico do desempenho do sítio. Alguns dos dados recolhidos incluem o número de visitantes, de onde provêm e as páginas que visitam anonimamente.
CONSENT	16 anos 3 meses 14 dias 7 horas	Estes cookies são definidos através de vídeos YouTube incorporados. Gravam dados estatísticos anónimos sobre, por exemplo, o número de vezes que o vídeo é visto e as definições utilizadas para a reprodução. Os dados sensíveis não são recolhidos a menos que esteja ligado à sua conta Google, caso em que as suas escolhas estão ligadas à sua conta, por exemplo, se clicar em "gostar" num vídeo.
hubspotutk	1 ano 24 dias	Este cookie é utilizado pela HubSpot para localizar os visitantes do website. Este cookie é passado ao Hubspot em formulários e é utilizado quando se deduplicam contactos.

Cookie	Duração	Descrição
__cf_bm	30 minutos	Este cookie, definido pelo Cloudflare, é utilizado para apoiar a Gestão de Botões Cloudflare.
__hssc	30 minutos	HubSpot define este cookie para acompanhar as sessões e para determinar se o HubSpot deve aumentar o número de sessões e os carimbos temporais no cookie __hstc.
bcookie	2 anos	O LinkedIn define este cookie de botões de partilha e etiquetas de anúncios do LinkedIn para reconhecer o ID do navegador.
lang	sessão	Este cookie é utilizado para armazenar as preferências linguísticas de um utilizador, a fim de exibir o conteúdo nessa língua armazenada na próxima vez que o utilizador visitar o website.
lidc	1 dia	O cookie lidc é colocado pelo LinkedIn para facilitar a selecção do centro de dados.

Insights > Blog

PCI-DSS em Data Center: importância e desafios

0 Comments

Submit a Comment Cancel reply

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

Social Media

LinkedIn

Powered by Juicer

LinkedIn

Social Media

Twitter

Twitter feed is not available at the moment.

Social Media

Facebook

Insights

Whitepaper

Dig into the details of cybersecurity and regulations by reading our exclusive white papers. Each paper is written by an expert at Cipher and full of insight and advice.

Saber mais