Um tema que vem sendo cada vez mais discutido é o do padrão de segurança para empresas de cartão de crédito, o PCI-DSS, ou Payment Card Industry Data Security Standards. O PCI-DSS foi criado pelas cinco maiores bandeiras de cartões de pagamento do mundo: Visa, American Express, MasterCard, Discover e JCB International, visando o aperfeiçoamento das condições de segurança dos dados de cartão de crédito. O padrão é mantido pelo PCI Security Standards Council (https://www.pcisecuritystandards.org/), entidade criada pelas cinco empresas citadas acima justamente para esse fim.
O objetivo das cinco bandeiras de cartão é fazer com que todas as empresas que armazenam, usam, transmitam ou processam dados de cartão de crédito implementem o padrão de segurança. Esperam dessa forma acabar com casos como o da TJX, holding das lojas TJMAX e Marshalls, bastante populares nos Estados Unidos. Pois a TJX anunciou em janeiro de 2007 que mais de 45 milhões de dados de cartões de crédito foram roubados de seus sistemas, gerando enormes prejuizos. A não adoção do padrão pode levar a penalidades contratuais.
Para garantir a adoção, o PCI Council criou uma programa certificação anual, que inclui processos de auditoria, auto-avaliação e testes remotos, dependendo do volume de transações e papel da empresa no sistema de pagamentos por cartões. Estão obrigados a certificar-se os chamados acquirers banks (que administram o relacionamento com os estabelecimentos comerciais), bancos emissores, processadoras, provedores de serviço e o comércio em geral. O prazo para certificação no Brasil expira em 2009 e atinge as bandeiras Visa, Mastercard e American Express, já que a Discover e JCB não estão presentes no país.
O padrão de segurança, portanto, chegará cedo ou tarde às áreas de TI das empresas afetadas. O PCI-DSS é composto de doze requerimentos globais, que listam boas práticas para a transmissão, processamento e armezenamento dos dados de cartões de pagamento. Uma leitura atenta revela que todos os requerimentos são práticas que deveriam ser adotadas por todos, independente de obrigação, o que infelizmente não acontece, permitindo casos como o da TJX.
E quão dificil é tornar uma rede aderente ao PCI-DSS ? O que precisa ser mudado? Encontramos a maior parte das exigências para redes nos requerimentos de número 1 e 2, embora outros também as contenham.
O requerimento 1 – “Instalar e manter uma configuração de firewall para proteger dados dos usuários de cartão” – exige a instalação de sistemas de firewall cujas configurações sejam periodicamente testadas e restrinjam o acesso de redes e hosts não confiáveis, exceto os protocolos necessários para a operação da empresa, além de restringir por meios de DMZ as conexões entre servidores acessíveis publicamente e os servidores que armazenam dados de usuários de cartão, não permitir acesso direto entre redes externas e dispositivos que armazenam dados de cartão e a utilização de mascaramento de IPs e portas (NAT e PAT). O requerimento solicita ainda o uso de firewalls entre redes cabeadas e redes wireless e uso de personal firewalls em qualquer computador móvel ou de propriedade de funcionários que tenha acesso direto à Internet.
Na parte de administração estão exigências de documentação de rede, incluindo redes wireless, documentação das funções e responsabilidades da administração de rede, segregação de funções, documentação dos protocolos, serviços e portas necessários habilitados, e justificativa dos serviços autorizados além de HTTP, SSL, SSH e VPN e a revisão trimestral das configurações de routers e firewalls.
O requerimento 2 – “Não usar defaults para senhas de sistemas e outros parâmetros de segurança” – parece ser auto-explicativo. Em especial eles reforçam a configuração de redes wireless sem os defaults que muitos ainda teimam em deixar, a implementação de uma função primária por servidor e uso de criptografia para todo o acesso administrativo remoto, usando SSH por exemplo, além de outras boas práticas relacionadas a configuração de dispositivos. Podemos resumir estem requerimento como “troquem tudo que vem pré-definido pelo fabricante”. Há no item uma observação para as empresas que utilizam empresas de hosting para armazenar seus serviços.
As próximas exigências que se aplicam a redes estão no requerimento 4 – “Criptografar a transmissão de dados de usuários de cartão através de redes públicas e abertas”. Assim temos as exigências de uso de protocolos como SSL, TLS e IPSEC além de cuidados com a configuração de redes wireless, para as quais é recomendado o uso do WPA ou WPA2. O WEP é permitido, porém com uma série de recomendações. O requerimento 4 ainda traz alertas sobre o uso de correio eletrônico para envio de dados sem criptografia. Parece bobagem mas há ainda empresas que fazem tudo certo porém no final transmitem dados confidenciais via FTP ou correio eletrônico, em arquivos abertos de texto ou planilha.
Depois temos o requerimento 6 – “Desenvolver e manter sistemas e aplicações seguros”. Embora aqui o foco não seja dispositivos de redes, há instruções para processos de identificar e corrigir vulnerabilidades, além de processos de controle de mudanças que se aplicam a sistemas de redes. No requerimento 10 – “Rastrear e monitorar todo o acesso a recursos de rede e dados de usuários de cartão”, temos as exigências para coleta e manutenção do logs, além das medidas para proteger os próprios logs. Como exemplo das instruções está a da sincronização de relógios e horários.
Por fim, em se tratando de requerimentos para redes, temos o requerimento 11 – “Regularmente testar processos e sistemas de segurança”. Os principais ponto deste requerimento são as exigência de testes trimestrais internos e externos de vulnerabilidade testes periódicos de redes wireless contra dispositivos desconhecidos conectados, testes anuais de invasão e testes também anuais que possam aferir a capacidade de identificar e parar ataques. O requerimento deixa claro que esses testes também devem ser realizados após qualquer mudança significativa na rede. O requerimento ainda descreve a necessidade de se utilizar sistemas de detecção e prevenção de intrusos (IDS / IPS) em redes e também em servidores e computadores críticos (host-based IDS).
Por mais que os requerimentos acima pareçam óbvios, e talvez o sejam, os recorrentes vazamentos de dados de cartão de crédito mostram que as empresas ainda pecam em um ou outro item. Meu palpite é que os vazamentos ocorrem nos detalhes, como uma planilha aberta sendo enviada por email, um CD sem criptografia extraviado, um firewall não revisado com o passar do tempo, uma rede wireless instalada por um funcionário sem conhecimento da área de TI. Um detalhe pode passar desapercebido pelos administradores de rede e sistemas, mas com certeza não o será pelos criminosos de plantão.
