ENTENDENDO O PCI DSS

PORQUE OS PADRES PROMOVIDOS PELO PAYMENT CARD INDUSTRY COUNCIL SO BEM MAIS DO QUE UM SIMPLES SNAKE OIL

por Eduardo Vianna de Camargo Neves, CISSP

eduardo@camargoneves.com

Muito mais que um padro Snake Oil

No meio da corrida pelo ouro que movimentou a Califrnia do Sculo XIX, muitos comerciantes aproveitaram a grande quantidade de moeda circulante para vender um elixir que curava tudo: o Snake Oil. De dedo inamado a dor de cabea, o remdio tinha propriedades milagrosas. Ou pelo menos era vendido assim. Com o passar do tempo, o termo entrou para o linguajar norte-americano como uma fraude que promete milagres mas incapaz de fazer mais que um placebo. O autor, pesquisador e prossional de IT Security, Bruce Schneier, usou o termo em seu blog ao se referir a forma como alguns produtos de criptograa estavam sendo vendidos. Belas palavras que impressionam um leigo mas ao serem analisadas por um prossional com um mnimo de conhecimento sobre o assunto no passam desta denio: belas palavras. Os padres de segurana estabelecidos pelo Payment Card Industry (PCI) Council so referenciados por muitas pessoas desta forma, como um conjunto de regras simplista criado para satisfazer a necessidade de mostrar aos clientes das operadoras de carto de crdito que seus dados esto sendo protegidos. Esta viso me parece primria e equivocada, pois a adoo de qualquer padro de segurana pode cair no mesmo erro. Durante a minha carreira j vi empresas de diversos setores implementarem Planos Diretores de Segurana da Informao que deixavam todos os auditores que tinham pouco pouco tempo para fazer o seu trabalho satisfeitos, mas no resistiam a uma anlise um pouco mais profunda. Independente de qual seja o padro de segurana que a sua empresa adote ou queira adotar a forma como o processo implementado e administrado, importa muito mais do que a quantidade de controles que sero colocados no seu ambiente. Os controles estabelecidos pelo PCI Council tem a vantagem de serem simples, ecazes dentro do escopo ao qual se prope a abordar e altamente escalonveis. Este artigo mostra em uma viso geral, como estes padres nasceram, quais controles so esperados e como a sua empresa pode se alinhar para um processo de certicao.
D ATA D E P U B L I C A O : 2 1 . 0 8 . 2 0 0 8

As origens do PCI DSS

A popularizao da Internet e o conseqente crescimento do e-commerce multiplicaram de forma exponencial a quantidade de transaes feitas pela Internet, gerando somente no Brasil, um crescimento anual que orbita entre 40% a 60%. Em valores mais palpveis, este mercado movimentou R$ 6,3 bilhes em 2007, com um ticket mdio de R$ 302. E apesar das opes de boleto bancrio e dbito em conta corrente, o carto de crdito a forma de pagamento escolhida pela maioria absoluta dos consumidores. Um cenrio impressionante que cria um motivador para o cyber crime em todas as partes do mundo. A fraude mais comum o furto de dados de um determinado portador de carto de crdito e o uso para compras e transferncia de valores entre contas. A mdia brasileira publica com freqncia a priso de quadrilhas envolvidas com este tipo de prtica, porm um cenrio muito mais amplo j est sendo mantido: o comrcio de nmeros de carto de crdito no mercado negro. Uma vez que muito mais ecaz concentrar a tentativa de furto de dados em um lugar onde exista uma grande quantidade de nmeros de carto de crdito, para que um cyber criminoso ir perder tempo com um nico consumidor se ele pode mirar na base de dados de uma empresa de e-commerce? Se cruzarmos esta premissa com a quantidade de vulnerabilidades que existem em web sites, est pronta a receita para uma avalanche de fraudes em todo o mundo. E elas esto ocorrendo h quase uma dcada com nmeros cada vez maiores, uma vez que o crime organizado aprendeu a usar crackers para suportar suas atividades. As fraudes envolvendo informaes de portadores de carto de crdito aumentaram de US$ 1,5 bilhes em 2000, para US$ 3,6 bilhes em 2007, e como mesmo perodo, o percentual de perdas com fraudes on line caiu de 3,6% para 1,4%, os nmeros deixam claro que j algum tempo era preciso fazer algo para interromper a crescente perda de rentabilidade frente as fraudes, uma vez que o comrcio on-line no para de crescer. Diante deste cenrio, as maiores empresas de cartes de crdito American Express, Discover, MasterCard e Visa decidiram criar regulamentos para evitar o furto de dados dos portadores de seus produtos e o uso destes em fraudes. O PCI Data Security Standard (DSS) foi criado em 2004 e implementado partir de 30 de junho de 2005.

Os controles do PCI DSS

Focado em implementar controles de segurana nos componentes da infra estrutura de TI que suportam o uxo de dados do portador de carto de crdito, o PCI DSS formado por um conjunto de prticas que esto presentes na maioria das normas e regulamentaes relacionadas Segurana da Informao. A grande diferena, que o PCI DSS focado na proteo de um ativo exclusivo, e foi desenvolvido para impedir a ocorrncia de fraudes e outros problemas oriundos do uso inadequado das informaes relacionadas ao carto de crdito. Composto de doze exigncias distribudas em seis linhas de controles, o PCI DSS apresenta controles de segurana tcnica bsicos, que devem ser entendidos como uma primeira etapa na construo de um ambiente protegido. Construa e Mantenha uma Rede Segura Por mais simples e bvia que parea esta prtica, uma das maiores portas de entrada para o cyber crime o uso de contas default e a explorao de parmetros de segurana fornecidos pelos prestadores de servios.

PGINA 2

Usando informaes que podem ser obtidas pela Internet, ou exploits de vulnerabilidades conhecidas, os crackers acessam as bases de dados das empresas, capturam a informao e apagam seus rastros. Nas duas exigncias relacionadas a esta linha de controle, o PCI DSS exige que as empresas tenham um rewall protegendo sua rede de dados e nunca caiam no erro apresentado no pargrafo anterior. Os controles se abrem em itens muito especcos descrevendo as conguraes mnimas e como proceder na administrao das mesmas no dia-a-dia. Proteja os Dados do Portador de Carto Uma vulnerabilidade largamente explorada em tentativas de acesso indevido, a presena de falhas em bancos de dados decorrentes de conguraes inadequadas e falta de cuidado com a modelagem do controle de acesso. A exigncia 3 do PCI DSS toca exatamente neste ponto, detalhando como as bases de dados com informaes sensveis dentro do escopo j citado devem ser protegidas quando armazenadas. A exigncia 4 completa o ponto, especicando como elas devem ser protegidas em trnsito. Nesta vale uma observao, alm do uxo comum pela Internet que deve ser protegido com Secure Socket Layers (SSL) e similares, a transmisso a ser cuidada inclui redes nem sempre consideradas, como WiFi e GPRS. Um bom trabalho de casa para as empresas que equipam suas foras de vendas com smartphones e similares. Mantenha um Programa de Administrao de Vulnerabilidade Apesar da exigncia 5 determinar algo relativamente comum s empresas, que o uso e a administrao de programas anti vrus, incluindo suas atualizaes de assinaturas e modo de implementao, a exigncia 6 toca em um aspecto constantemente ignorado: o cuidado no desenvolvimento e manuteno de sistemas operacionais e aplicaes. A instalao de patches de segurana no um processo usual, pois mudanas em um ambiente um pouco mais complexo que o padro considerado pelo fabricante pode simplesmente para um sistema crucial para a empresa. Como avaliar o que mais importante em janelas de tempo onde as vendas de uma empresa esto ocorrendo? Parar um servidor para executar a atualizao e interromper o processo comercial ou deixar para fazer quando puder? E torcer para esta data existir depois que o stress da situao passar? Indo alm no mesmo ponto, em quantas empresas existe um Secure Development Life Cycle (SDLC) integrado ao processo de desenvolvimento de aplicaes internas? So exigncias que devem considerar reas muito alm do escopo denido pelo PCI DSS e exigem investimentos em empresas de qualquer porte e por isso mesmo, esto entre as mais criticadas pelo mercado mas no passam de prticas de segurana que devem ser utilizadas em qualquer empresa que queira alcanar um nvel mnimo de proteo do seu ambiente de TI. Implemente Medidas Rgidas de Controle ao Acesso Estabelecer um processo de segregao de funes e o Princpio do Menor Privilgio, so prticas consagradas de administrao de empresas para evitar fraudes e abusos de privilgios como os que resultaram na criao da regulamentao Sarbanes-Oxley nos Estados Unidos. A exigncia 7 do PCI DSS segue esta linha, estabelecendo que o acesso aos dados do portador de carto deve ser concedido somente aqueles que necessitam conhec-lo para a execuo de seus trabalhos.

PGINA 3

A exigncia 8 estabelece a necessidade de atribuir um nico ID par cada pessoa que acesse os sistemas, um princpio consagrado de rastreabilidade. Vale olhar com mais cuidado o texto, pois a abertura dos critrios entra em vrios tpicos de controle de acesso, como bloqueio de contas, troca de senhas e autenticao de dois fatores. A exigncia 9 dene as medidas de controle de acesso fsico aos dados do portador de carto, dando uma pequena pincelada em administrao de mdias de backup e tratamento de descarte de mdias, ainda que no seja muito criteriosa neste ltimo aspecto. Acompanhe e Teste Regularmente Todas as Redes As exigncias 10 e 11 se completam em um processo de monitoramento contnuo da segurana estabelecida na rede de dados. Enquanto a primeira foca na obrigatoriedade de se acompanhar e monitorar o acesso aos recursos da rede e dados do portador de carto, a segunda segue na linha de testes regulares de segurana tcnica, onde scans de vulnerabilidade externa e penetration tests fazem a simulao de uma tentativa de cracking partir do ambiente externo. O monitoramento de acesso citado na exigncia 10 trata da existncia e administrao de vrios tipos de logs, tais como os que registram acessos privilegiados, alterao de objetos, processos de autenticao e outros eventos que podem ser utilizados posteriormente para rastrear uma tentativa de quebra de segurana. A exigncia 11 entra em um dos pontos onde a empresa precisa contar com os servios especializados de um Approved Scanning Vendor (ASV) para executar as atividades de anlise externa de vulnerabilidades. Alm de ser um ponto de controle onde muitas empresas erram por no manterem uma rotina de testes dessa natureza, fundamental entender que o processo de scans e pen-tests novamente focado no escopo do PCI DSS, e no deve ser entendido como um teste de vulnerabilidades baseado nestas prticas. Mantenha uma Poltica de Segurana da Informao A exigncia 12 a nica componente desta parte, mas desdobrada em dez tpicos complementares que especicam exatamente o que esperado pelo PCI DSS em uma Poltica de Segurana. Os controles so completamente voltados para Segurana Tcnica dentro do escopo pretendido pelo padro, e assim como a prtica anterior, no deve ser confundidos com o desenvolvimento e implementao de um Information Security Management System (ISMS) da ISO 27001. Um ponto extremamente relevante nesta exigncia, a obrigao dos prestadores de servios de hosting (ex. Data Center) em aderir a algumas das regras estabelecidas pelo PCI DSS. O texto do padro muito claro em informar que o prestador de servio de hosting deve atender a todas essas exigncias (citadas), assim como todas as outras sees relevantes do PCI DSS...., isto abre margem a interpretao de que o padro deve ser aplicado em qualquer local onde os dados do portador do carto estejam sendo armazenados e/ou transmitidos, e estende a responsabilidade pela proteo a todas as partes envolvidas.

Como Funciona a Aderncia ao PCI DSS

A primeira questo a ser respondida : o quo aderente a empresa precisa estar? O PCI DSS deve ser aplicado a qualquer organizao que armazene, processe ou transmita os dados do portador de carto, desde que o Primary Account Number (PAN) esteja dentro deste escopo. E ele normalmente est.

PGINA 4

 necessrio ento classicar em qual nvel de aderncia a empresa deve ser includa, o que ir determinar o tipo de trabalho de adequao necessrio e as medidas de manuteno da aderncia ao decorrer do tempo. O grco abaixo mostra o eco sistema estabelecido pelo PCI Council, onde irei abordar somente o processo de certicao com o PCI DSS.

A Classicao dos Comerciantes e Processadoras O PCI DSS dene cinco modelos de validao1 para a aderncia ao PCI DSS, baseados em como a empresa utiliza os dados do carto de crdito. Para cada modelo, um Self Assessment Questionnaire (SAQ) mantido e deve ser utilizado para a validao da necessidade de aderncia, onde os controles podem ser melhor entendidos, avaliados e sua aplicabilidade vericada. SAQ 1: Estabelecimentos de carto ausente (e-commerce ou transaes pelo correio ou telefone), todas as funes de dados de portador de carto executadas por terceiros. Esta categoria nunca se aplica a estabelecimentos com vendas frente a frente. SAQ 2: Estabelecimentos apenas com mquina de decalque e sem armazenamento dos dados do portador de carto. SAQ 3: Estabelecimentos de terminal independente tipo dial-up, sem armazenamento dos dados do portador de carto.

Conforme apresentado no documento Questionrio de Auto-avaliao, Instrues e Diretrizes, Verso 1.1, Fevereiro de 2008
PGINA 5

 SAQ 4: Estabelecimentos com sistemas de aplicativo de pagamento conectados Internet, sem armazenamento dos dados do portador de carto. SAQ 5: Todos os outros estabelecimentos e todos os prestadores de servio denidos por uma marca de pagamento como sujeitos a preencher um SAQ. Aps entender como a empresa deve avaliar sua necessidade de aderncia, o processo de validao de controles pode ser iniciado atravs da anlise de atendimento a cada um dos requerimentos estabelecidos pelo PCI DSS. Algo que interessante para as empresas neste cenrio, aproveitar este momento para entender o seu nvel de classicao dentro dos critrios de quantidade de transaes estabelecido pelo PCI Council, e estimar o custo de manuteno da aderncia para curto, mdio e longo prazo. Estes nveis seguem os critrios estabelecidos pela VISA e MasterCard na classicao de seus clientes pela quantidade de transaes efetuadas em um perodo de 12 meses, e tambm so aplicveis s Processadoras:
NVEL DEFINIO DO COMERCIANTE DEFINIO DA PROCESSADORA

Mais de 6 milhes de transaes anuais em todos os canais de vendas.

Todos as processadoras da VisaNet e payment gateways, que so as empresas que fazem a transmisso dos dados desde o comerciante at as operadoras de carto.

Entre 1.000.000 e 5.999.999 transaes anuais em todos os canais de vendas.

Todos as processadoras que no estejam classicados no Nvel 1 e transmitam mais de 1.000.000 de transaes anuais.

Entre 20.000 e 1.000.000 transaes anuais em todos os canais de vendas.

Todos as processadoras que no estejam classicados no Nvel 1 e transmitam menos de 1.000.000 de transaes anuais.

Menos de 20.000 transaes anuais em todos os canais de vendas.

N/A

Da Anlise de Aderncia ao ROC Aps avaliar em qual nvel de atendimento aos requerimentos a empresa est inclusa, o processo de aderncia pode ser iniciado. Existem diversas formas de comear este trabalho, e possivelmente uma empresa especializada poder ajudar. Neste ponto, comea a necessidade de estimar at onde uma empresa precisa de ajuda externa para estar aderente ao PCI DSS. As consultorias especializadas so autorizadas pelo PCI Council a atuarem em dois escopos diferentes: Qualied Security Assessor (QSA): So empresas autorizadas a prestar servios de auditoria na aderncia ao PCI DSS chamados no jargo relacionado de On-Site Data Security Assessments processos de Gap Analysis com o padro e demais servios de consultoria relacionados. Approved Scanning Vendor (ASV): So empresas autorizadas a prestar servios de application vulnerability scans e penetration tests no escopo do PCI.

PGINA 6

Ao considerar o suporte destes dois modelos de trabalho especializado na obteno da aderncia ao padro, as empresas devem avaliar alguns pontos de custo/benefcio que iro variar de acordo com cada mercado, tipo de empresa e tamanho do escopo onde o PCI DSS aplicvel. Primeiro Passo: A Anlise de Aderncia O processo de comparao dos controles existentes com os requerimentos do PCI DSS conhecido como gap analysis e pode ser feito por qualquer pessoa que tenha um conhecimento mnimo de segurana. O que deve ser feito fazer o download do PCI DSS, entender os controles estabelecidos e mapear o quo aderente a empresa est. Os prprios documentos disponveis no web site do PCI Council podem ser usados neste processo. Alm do padro estar disponvel em vrias lnguas, existe um FAQ bastante completo, e documentos de suporte para diversas atividades. Eu recomendo que ao fazer um gap analysis, a empresa use o mesmo documento considerado para o On-Site Data Security Assessment. Este documento apresenta os controles em uma matriz de aderncia bastante til, simplicando o processo e ajudando a no esquecer nenhum dos controles apresentados. Usar uma empresa especializada em Segurana da Informao seja um QSA ou no para ajudar neste processo uma questo de avaliar se a equipe da empresa tem as competncia, a experincia e o tempo para esta atividade. As maiores vantagens de ter o suporte de algum com experincia neste tipo de atividade, no repetir os erros ocorridos em outras empresas e poder contar com o conhecimento necessrio para fazer o que recomendado por todas as consultorias da rea: reduzir o uxo dos dados do portador do carto ao mnimo possvel. Isso permite que a aderncia ao PCI DSS seja menos custosa e a manuteno dos controles mais simples, barata e ecaz. Especialmente para empresas de mdio e pequeno porte, esta recomendao pode fazer uma grande diferena. Segundo Passo: Implementando os Controles Como defendi no incio deste artigo, o PCI DSS tem a vantagem de manter controles simples, ecazes dentro do escopo ao qual se prope a abordar e altamente escalonveis. Quando se tem o resultado do gap analysis, possvel analisar no s as necessidades de implementao de controles, como ainda ter uma boa perspectiva das decincias da empresa em relao Segurana da Informao. Como os controles estabelecidos pelo PCI DSS podem ser aplicados a toda a empresa, bem possvel que as atividades para atender a necessidade de aderncia caiam em uma das falhas mais comuns em qualquer empresa. A soluo recomendada corrigir as vulnerabilidades existentes e desenvolver os controles exigidos pelo padro em toda a organizao. Claro que isso custa dinheiro e requer um esforo que talvez no esteja disponvel, e a que a escalonabidade do PCI DSS pode ajudar. Quando a aderncia o motivador para o desenvolvimento dos controles, possvel trabalhar dentro do escopo requerido pelo PCI DSS e posteriormente ampliar a aplicabilidade para os demais componentes da empresa. Especialmente quando se fala de Controle de Acesso e Poltica de Segurana, muito provvel que seja necessrio implementar em quase toda a empresa para atender aos requerimentos do padro, o que pode ser usado para elevar o nvel de segurana de uma forma geral.

PGINA 7

Terceiro Passo: A Auditoria Depois de implementar os controles ausentes e atender aos requisitos do PCI DSS, necessrio fazer uma auditoria que ateste a presena e eccia dos mesmos na proteo dos dados do portador de carto. O processo novamente depende do posicionamento da empresa dentro das categorias denidas pelo PCI Council. Os Comerciantes classicados nos Nveis 2, 3 e 4 e as Processadoras classicadas no Nvel 3, podem fazer a auditoria atravs do PCI Self-Assessment Questionnaire, o que no requer nenhuma ajuda externa e pode ser feito pela equipe da prpria empresa nos mesmos moldes apresentados para o gap analysis. Os Comerciantes classicados no Nvel 1 e as Processadoras classicadas nos Nveis 1 e 2, precisam obrigatoriamente contratar um QSA para fazer a auditoria. Existem algumas discusses em andamento, na qual defendida a posio de um grupo de auditoria interna da empresa ter a autorizao para fazer o On-Site Data Security Assessment. Em caso de dvidas nesta questo, a melhor coisa questionar diretamente o PCI Council. Ao nal, tendo todos os controles presentes, necessrio enviar para a bandeira de carto de crdito ou o banco emissor varia caso a caso, pas a pas, mercado a mercado uma cpia do PCI Self-Assessment Questionnaire ou do Report on Compliance (ROC) para assegurar o atendimento aos requerimentos e a certicao de aderncia. Quarto Passo: A Manuteno Em qualquer processo de aderncia a um determinado padro seja de segurana, qualidade ou qualquer outro mercado a manuteno a parte mais complicada. Alm de ser necessrio inserir na rotina da empresa os controles requeridos, existe toda uma dinmica de negcios que pode ameaas a manuteno da aderncia em decises difceis de serem tomadas. No caso do PCI DSS, este processo me parece o mesmo independente do nvel de classicao do Comerciante ou Processadora, uma vez que a manuteno dos controles o desao, e provar para o PCI Council, bandeiras de carto e bancos emissores que a empresa est aderente, s mais um processo. Os modelos estabelecidos so: On-Site Data Security Assessment uma vez por ano e Network Scans a cada trimestre para os Comerciantes no Nvel 1 e Processadoras nos Nveis 1 e 2. PCI Self-Assessment Questionnaire uma vez por ano Network Scans a cada trimestre para os Comerciantes nos Nveis 2, 3 e 4 e as Processadoras no Nvel 3. A justicativa do PCI Council para os dois modelos, est no tamanho da estrutura dos Comerciantes e Processadoras, e na diviso da anlise dos controles em uma perspectiva interna (a auditoria ou o self-assessment) e externa (os network scans). comum ouvir crticas sobre a ecincia deste processo, e elas so muito relevantes. Certamente uma auditoria baseada em repostas a um questionrio e requisio de evidncias a um cliente, no mostra de forma completa como est a segurana dos controles e processos de um ambiente. Muito menos um network scan ou penetration test por si s so as ferramenta ideais para analisar as vulnerabilidades que podem ser exploradas partir de um acesso pela Internet.

PGINA 8

Como na aderncia a qualquer padro, a qualidade e ecincia dos controles vai depender de como a empresa se porta em relao Segurana da Informao como um todo. Existem motivadores nanceiros para isso, como os casos da TJX, Bank of America, Morgan Stanley e Citibank exaustivamente citados como exemplos de falta de aderncia ao PCI DSS com resultados desastrosos.

A Questo da Obrigatoriedade
O PCI Council estabelece alguns prazos para que os Comerciantes e Processadoras adotem o PCI DSS, porm a obrigatoriedade depende de como as bandeiras de carto tratam o assunto, o que tambm varia de acordo com cada mercado. Em alguns pases existem leis que estabelecem regras de proteo para os dados de consumidores e privacidade em geral, e o PCI DSS acaba sendo somente mais um padro a ser seguido. Em outros, as bandeiras de cartes e bancos obrigam os comerciantes a cumprirem os requerimentos ou serem multados e at perder o contrato comercial que garante o uso desta forma de pagamento. Tudo uma questo de como o mercado se comporta. Porm, manter a empresa aderente ao PCI DSS parte do bom senso de proteger as informaes dos portadores de carto e evitar todos os impactos decorrentes de um acesso e uso indevido destes dados. Pessoalmente, eu vejo no mnimo quatro motivos bsicos para uma empresa adotar este padro: Permite que as vulnerabilidades e possibilidades de melhoria mais simples sejam identicadas, um modelo bsico de segurana implementado partir deste resultado e posteriormente ampliado para estabelecer uma estratgia de proteo integrada aos demais dados e informaes considerados importantes; Permite proteger as informaes dos clientes, o que alm de evitar uma exposio desnecessria da empresa em caso de vazamentos e os consequentes processos que podem ser movidos na maioria dos pases pode ser usado como ferramenta de marketing para diferenciar a empresa de seus concorrentes, e simples e escalonvel, o que o torna muito mais fcil de ser vendido internamente em uma empresa que a aderncia a processos e padres mais complexos como os da famlia ISO 27000.

Concluso
Como citei no comeo deste artigo, a aderncia ao PCI DSS pode ser considerada um snake oil por alguns setores, mas se olhada com um ponto de vista mais otimista, o primeiro passo no aumento da proteo a qualquer ambiente. Os controles so simples, altamente escalonveis e podem ser usados por praticamente empresas de qualquer porte e mercado. O que sempre ir determinar o nvel de proteo o quanto a gerncia da empresa d importncia para isso. Sempre existir uma queda de brao entre a Segurana da Informao e o atendimento s necessidades de negcio da empresa, e o grande desao no muda: equilibrar como estes dois pontos devem ser tratados. O mesmo se aplica ao PCI DSS, a implementao deve ser equilibrada e atender ao que a empresa quer como produto nal dos seus negcios (lucro, correto?) ao invs de ser colocado como mais um custo que tem que ser endereado pois uma exigncia do mercado. A aderncia ao PCI DSS uma excelente escolha quando a empresa no tem um padro de segurana implementado e precisa de algo para comear a proteger seu ambiente. Para aquelas que j possuem aderncia a uma linha de controles, uma oportunidade de alinhar o que est implementado com o que pode ser melhorado. As empresas ganham das duas formas.

PGINA 9

Sites Relacionados
Alguns dos sites abaixo relacionados so mantidos por empresas que prestam servios relacionados aos requerimentos do PCI Council, e podem ter um forte apelo comercial. De qualquer forma, todos apresentam informao de qualidade sobre o padro e facilitam o entendimento do processo de uma forma geral. American Express Data Security Discover Information Security & Compliance JCB International Security MasterCard Site Data Protection Program PCI Standards Overview Visa Cardholder Information Security Program PCI Standard.com PCI Compliance Guide PCI Answers

Sobre o Autor
Eduardo Vianna de Camargo Neves, CISSP, est no mercado de Segurana da Informao desde 1997, onde trabalhou como auditor, consultor e gestor em uma empresa Fortune 500 do mercado de bens de consumo. fundador e scio da Conviso IT Security, onde atua como Gerente de Operaes, responsvel pela administrao da empresa, gesto de parcerias e desenvolvimento de negcios internacionais. Pode ser contatado atravs do e-mail eduardo@camargoneves.com.

P G I N A 10