Prepare-se agora para o PCI DSS 4.0

Quanto custa e quanto tempo leva uma certificação PCI DSS?

Essa é uma pergunta frequente em nosso meio, mas a única reposta certa é a resposta amplamente atribuída como padrão para os advogados: Depende.
Apesar de existirem os pacotes certificação que envolvem GAP Analysis, consultoria, pré-auditoria, varredura de vulnerabilidades, Pen Test e auditoria, somente a própria organização conhece a sua estrutura e poderá dizer qual o esforço para entrar em conformidade.
A Certificação PCI DSS é fornecida com base em uma aparente conformidade, atestada pela documentação enviada pela empresa e pelo que o auditor consegue ver nos dias em que visita a organização, mas somente quando a empresa compreende o objetivo dos controles e os aplica de forma eficiente é que ela começa a realizar o retorno sob o investimento realizado em segurança da informação. Note que utilizei a palavra eficiente, compreendendo que a segurança tem que ter sempre o melhor custo/benefício aceitável.
Propositalmente destacamos o PCI DSS 4.0, que provavelmente só será liberado em 2019, para chamar sua atenção para as vantagens se adequar ao PCI em um processo longo e com menor impacto. Vamos enumerar algumas vantagens e alguns passos para a conformidade:
Vantagens:

  • Equipe capacitada, com maior independência de consultoriaMenor retrabalho, à medida que os novos projetos já nascem em conformidade com o PCI
  • Investimento menor em hardware/software, uma vez que sua equipe consegue atender os controles com soluções mais eficientes
  • Risco menor, uma vez que a cada controle implementado sua exposição cai um pouco

Ações:

  • Capacite sua equipe para que ela entenda os objetivos de controle, evitando gastos desnecessários com soluções superdimensionadas.
  • Faça um Gap Analysis para mapear tudo que precisa ser melhorado para atender ao PCI DSS, e use o conhecimento da equipe para priorizar a conformidade nos pontos de maior risco
  • Integre as ações de conformidade ao PCI com os outros projetos em andamento, reduzindo drasticamente o custo e evitando retrabalho.

Quanto ao próximo padrão do PCI, o conselho definiu na versão 3.1 que todas empresas deveriam migrar do SSL para o TLS até junho de 2016, mas posteriormente resolveu mudar essa data para junho de 2018. Como a data estabelecida na versão 3.1 é anterior à data onde o conselho liberaria a próxima versão (novembro 2016), e tudo indica que não haverá muitas modificações no padrão, o conselho antecipará a versão 3.2 para abril de 2016 e não lançará uma versão em novembro.

Comece agora a preparar a sua organização de uma forma mais eficiente e econômica para a conformidade com a versão 4.0. O retorno sob o investimento só acontece quando o ganho de segurança é real.

Fernando Fonseca

Founder at Antebellum Capacitação Profissional. PCI DSS – Instructor. Education Director of Cloud Security Alliance BR.

19 de abril de 2016

Segurança da Informação

Sem Tags

© 2009 - InfoChoice - Todos os direitos reservados

Marconi Fábio Vieira, PMP, MVP in Project
Principal Advocate/Chapter Leader

Parceiro Microsoft - Registered Member MUPG Brazil
Desenvolvido por Thiago Faleiro