O PCI SSC compartilha orientações para proteger os dados de pagamento e como trabalhar com segurança ao conectar e trabalhar remotamente.
Como a segurança pode ser mantida ao trabalhar remotamente?
É tudo sobre pessoas, processos e tecnologia. Os funcionários são a primeira linha de defesa e a equipe que trabalha remotamente pela primeira vez pode não estar familiarizada com as políticas e processos da organização que se aplicam a ambientes de trabalho remotos. Toda a equipe deve receber treinamento de conscientização sobre segurança que enfatize a importância da segurança dos dados e ter conhecimento das políticas e processos de segurança da organização que se aplicam ao trabalho remoto. Por exemplo, políticas e procedimentos devem proibir claramente qualquer cópia, movimentação, compartilhamento ou armazenamento não autorizado de dados de cartão de pagamento em ambientes remotos. Além disso, a equipe remota precisa estar ciente de seu ambiente físico, tomando cuidado para impedir que informações confidenciais sejam visualizadas por pessoas não autorizadas.
Os processos de segurança da organização devem ser mantidos atualizados e prontos para qualquer eventualidade causada por ameaças originadas em ambientes remotos. O uso de tecnologias que garantem que os dados de pagamento permaneçam protegidos e permitam que a equipe remota realize seu trabalho com segurança também é uma consideração vital ao oferecer suporte a ambientes de trabalho remoto.
Como o Padrão de Segurança de Dados do PCI (PCI DSS) suporta o trabalho remoto seguro?
O PCI DSS fornece vários requisitos de segurança que devem ser implementados para proteger os trabalhadores remotos e seus ambientes. Alguns exemplos incluem:
- Use autenticação de múltiplos fatores para todos os acessos remotos à rede originários de fora da rede da empresa.
- Onde as senhas são usadas, aplique uma política de senhas forte e não permita o uso de senhas compartilhadas. Informe o pessoal sobre a importância de proteger suas senhas e outras credenciais de autenticação contra acesso não autorizado.
- Verifique se todos os sistemas usados pela equipe que trabalha remotamente possuem patches atualizados, proteção anti-malware e funcionalidade de firewall para proteger contra ameaças baseadas na Internet.
- Desinstale ou desative aplicativos e softwares que não são necessários para reduzir a superfície de ataque de computadores e laptops.
- Implemente controles de acesso para garantir que apenas indivíduos cujo trabalho exija acesso ao CDE (ambiente de dados do titular do cartão) ou aos dados do titular do cartão tenham acesso a esses recursos.
- Use apenas comunicações seguras e criptografadas – por exemplo, uma VPN configurada corretamente – para proteger todas as transmissões de/para o dispositivo remoto que contêm informações confidenciais, como dados do titular do cartão.
- Desconecte automaticamente as sessões de acesso remoto após um período de inatividade para evitar que conexões abertas ociosas sejam usadas para acesso não autorizado.
- Limite o acesso aos componentes do sistema e aos dados do titular do cartão apenas àqueles indivíduos cujo trabalho exija esse acesso.
- Certifique-se de que os planos de resposta a incidentes estejam atualizados e inclua detalhes de contato precisos para o pessoal chave. Os procedimentos para detectar e responder a um possível comprometimento de dados podem ser diferentes para incidentes originados em ambientes de trabalho remoto.
Existem considerações sobre o processo de segurança de dados de pagamento que são diferentes entre os ambientes local e remoto?
Os métodos para manter e garantir a eficácia de processos e controles seguros podem precisar ser aplicados de maneira diferente entre ambientes locais e remotos. Por exemplo, verificar a identificação de um usuário que chama o suporte de TI pode envolver etapas diferentes das de quando o usuário e o departamento de TI estão fisicamente no mesmo local.
Toda a equipe deve ser treinada para estar ciente de possíveis chamadas de phishing. As equipes de TI devem estar preparadas para identificar chamadas não autorizadas de pessoas que afirmam ser usuários remotos e deve haver um processo para a equipe confirmar sua identidade ao ligar para o suporte de TI remotamente. Da mesma forma, a equipe remota deve saber como confirmar se uma pessoa que telefona alegando ser da TI corporativa é legítima antes de fornecer qualquer informação.
Todas as organizações devem avaliar os riscos adicionais associados ao processamento de dados de pagamento em locais não seguros e implementar controles de acordo. Toda a equipe deve estar ciente dos riscos relacionados ao trabalho remoto e do que é necessário para manter a segurança contínua dos sistemas, processos e equipamentos que dão suporte ao acesso e processamento seguros dos dados de cartão de pagamento.
Onde encontro mais informações?
Para obter mais informações sobre como proteger o acesso remoto, consulte os recursos do PCI SSC:
- Infográfico: Segurança dos dados de pagamento essencial: acesso remoto seguro
- Página Web: Recursos de segurança de pagamento para comerciantes
- Blog: Protegendo pagamentos enquanto trabalha remotamente
Carlos Caetano é Diretor Associado Regional – Brasil, Caetano, responsável por promover a conscientização e a adoção dos padrões PCI no Brasil e recentemente foi o responsável pela avaliação de segurança da informação dos projetos estratégicos, gerenciamento de riscos de segurança da informação e privacidade de dados e gerenciamento do programa de certificação PCI para a América Latina.
