Após quase seis anos com o PCI Security Standards Council (PCI SSC), Carlos Caetano, Diretor Associado da Região LA do Brasil, decidiu assumir um novo desafio com outra empresa. O Conselho gostaria de aproveitar esta oportunidade para agradecer a Carlos por seu excelente serviço à nossa organização. Sob sua liderança, o PCI SSC realizou fóruns latino-americanos bem-sucedidos, criou o Conselho Consultivo Regional do Brasil e estabeleceu relacionamentos com novas Organizações Participantes no Brasil. Carlos atuou como presidente do Comitê de Traduções do PCI SSC e tem sido um excelente porta-voz do Conselho. O PCI SSC deseja a ele tudo de melhor em seus empreendimentos futuros.
Listen or read in English here.
Carlos Caetano: Bem vindos à nossa série de podcast Coffee with the Council. Eu sou Carlos Caetano, Diretor Associado, região América Latina para o Brasil, do PCI Security Standards Council. Hoje falaremos sobre PCI DSS versão 4 com perspectivas regionais do Brasil. Meus convidados para esse episódio são Vanessa Kruger, Especialista em operações e compliance de Bandeiras Adyen, Fernando Bucelli, Especialista em Segurança da Informação na Cielo e Gabriel Carvalhal, Cyber Security Team Lead da CloudWalk. Sejam muito bem vindos.
Fernando Bucelli: Obrigado, Caetano! Muito bom estar com vocês aqui nesse podcast.
Vanessa Kruger: Muito obrigada pelo convite Carlos. Uma honra estar aqui com meus colegas do conselho, para falarmos um pouquinho mais sobre a nova versão 4.0.
Gabriel Carvalhal: Igualmente, obrigado pelo convite, um prazer estar aqui com vocês.
Carlos Caetano: Não, obrigado a vocês! Incrível ter membros do Conselho Consultivo Regional do Brasil como chamamos aqui o REB, para falar sobre o assunto do momento, que é o PCI DSS versão 4. Especialmente trazer ao nosso público global as perspectivas do Brasil. Vanessa, sei que a Adyen está analisando atentamente o PCI DSS versão 4, desde a primeira RFC que fizemos no Brasil em 2019, está trabalhando em um plano para aderir ao PCI DSS nessa nova versão. Você pode nos contar um pouco sobre esse plano e como os nossos ouvintes podem aprender com sua experiência até agora?
Vanessa Kruger: Claro Carlos, de fato, é como uma empresa global de pagamentos a Adyen leva questões relacionadas à segurança muito a sério. Desde que o RFC foi lançado em 2019, o nosso time de segurança, juntamente com a equipe focada em PCI, na nossa matriz, em Amsterdã tem trabalhado muito duro para analisar minuciosamente o novo padrão e entender quais seriam os impactos para a própria Adyen e para os nossos clientes e parceiros.
O nosso foco esse ano é informar os stakeholders envolvidos, tanto internos quanto externos sobre as principais mudanças. Em agosto do ano passado também, a gente criou um artigo público no nosso blog e ele é atualizado de acordo com o progresso da nova versão. A gente vai seguir com a publicação de conteúdos sobre a versão 4.0 durante todo o período de transição.
Em fevereiro deste ano, a gente também iniciou a comunicação interna da empresa através de sessões on-line, com todas as equipes que serão impactadas. E agora em maio, a gente também teve uma atualização a nível global durante uma conferência para toda a empresa. E em breve, os próximos passos, vamos também lançar alguns treinamentos on-line para os times que lidam diretamente com os clientes.
Por fim, em junho, o plano é iniciar a comunicação com os clientes, que será feita ao longo de todo o segundo semestre, por meio de diversos canais, como webinars, e-mail e mensagens automáticas via plataforma. Um grande trabalho aí feito para a nova versão.
Carlos Caetano: É certamente, grande trabalho, mas um excelente, plano. Fernando, se você me permite dizer, você é um veterano aqui no Brasil, quando o assunto é PCI DSS. Quer dizer, me lembro de você como antigo QSA avaliando PCI DSS na versão 2 e por muitos anos apoiando a Cielo e os comerciantes com a adesão ao padrão e vendo a evolução dele. além disso, você também contribuiu ativamente na RFC do PCI DSS versão 4. Quais são as suas impressões sobre o novo PCI DSS?
Fernando Bucelli: Oi Caetano, é verdade, a gente já está na estrada há bastante tempo e pudemos ver a evolução do padrão conforme as necessidades do mercado. Alguns tópicos me chamaram a atenção nessa nova versão do PCI, entre eles alguns controles que anteriormente eram tidos como boa prática e recomendados pelos QSAs. Um deles, estamos falando aqui da criptografia de dados pré-autorização.
Pode até parecer óbvio, mas muitas empresas acabaram deixando esse controle de lado e algumas violações de dados acabaram acontecendo por causa desse motivo, e ainda assim, falando em relação de dados, um importante controle abordado nessa nova versão do PCI DSS 4 é a revisão das credenciais administrativas e também de aplicações. A nossa superfície de ataque aumentou bastante nos últimos dois anos e nós temos muita gente trabalhando em casa e claro que precisamos incorporar novos requisitos de segurança, precisamos ser mais rígidos com todos esses controles. Esse é um tópico bem importante.
E um último tópico que acredito que pode trazer alguns impactos está relacionado aos controles compensatórios. Em um cenário com inúmeras vulnerabilidades sendo descobertas dia após dia, obter varreduras limpas de vulnerabilidades a cada três meses tem sido um desafio para as empresas. De acordo com o Anexo B do PCI DSS v4.0 para controles de compensação, tais controles não podem ser usados, por exemplo, onde as tarefas devem ser executadas com alguma recorrência. Se você perder o prazo para executar a verificação e corrigir os problemas, não estará em conformidade com o PCI DSS e não poderá usar seu controle de compensação. E acredito que isso trará dor de cabeça para algumas empresas. Estas são minhas impressões iniciais para o PCI DSS v4.0.
Carlos Caetano: Excelente, é você trouxe pontos importantes que aí é interessante fazer esse destaque deles para que o pessoal já comece a se familiarizar e se preparar. Gabriel, eu gostaria de pedir emprestado agora seu conhecimento técnico em segurança cibernética e falar sobre uma das metas que tivemos para desenvolver o PCI DSS na versão 4, que é garantir que o padrão continue atendendo as necessidades de segurança da indústria de pagamentos. Quais são as suas impressões sobre os novos requisitos para a proteção contra ataques de phishing e para gerenciar todos os scripts das páginas de pagamento?
Gabriel Carvalhal: Bom, Carlos, excelente que nós temos agora requisitos específicos em relação a esses dois tópicos. Isso vai tornar necessário um aprofundamento nesses dois temas, que no final das contas acredito que se conectam, você vai de dentro da empresa onde você tem mais controles, mais ferramentas disponíveis, até o lado do cliente, onde você tem menos ou, eventualmente nenhum controle, mas ainda assim tem uma responsabilidade compartilhada com a segurança.
Sobre phishing especificamente, sobre os dois requisitos, eu diria, comecem agora, se adaptem agora estejam em conformidade agora, mais especificamente em relação à phishing, tentar cobrir todas as técnicas, pois os ataques estão se tornando cada vez mais sofisticados.
Tenha pelo menos duas abordagens. Uma de testar ativamente, conduzir campanhas de phishing, aumentar a conscientização dos seus usuários e por outro lado tenha boas soluções de detecção e resposta a ameaças para quando essa primeira barreira falhar, e ela provavelmente vai falhar em algumas ocasiões.
Em relação aos scripts, também é um trabalho extenso que tem que ser feito de mapeamento, de estabelecer processos para que você os mantenha atualizados, com suas configurações seguras, incluindo scripts de terceiros que você eventualmente entregue com as suas aplicações.
Carlos Caetano: Excelente, a conversa está ótima e são pontos que eu concordo com você. Embora tenha um tempo de adequação ao padrão na versão nova, é importante o quanto antes se familiarizar com esses novos requisitos e já, aqueles que já aderirem, já né fazerem aplicá-los. Vanessa, vamos nos concentrar nos comerciantes não é. Como os comerciantes podem se envolver mais com o PCI DSS na versão 4 e obter o máximo de tempo de transição que vai aposentar o PCI DSS versão 3.2.1 e tornará o PCI DSS 4 a única versão a ser trabalhada em 31 de março de 2024?
Vanessa Kruger: Bom, Carlos eu diria que se manter informado e se preparar com antecedência é fundamental para garantir uma transição tranquila para a versão 4.0. Quanto mais nós como processadores de pagamento pudermos informar e auxiliar os nossos clientes, melhor e eu diria mais seguro para ambas as partes.
Alguns requisitos da nova versão podem levar mais tempo para serem implementados dependendo da configuração do estabelecimento, como cartão não presente, PDV, mobile, enfim etc. Então é importante que os estabelecimentos comecem a se preparar o quanto antes para garantir que em abril de 2024, eles estejam totalmente em conformidade com o novo padrão.
A título de exemplo, aqui na Adyen a gente tem um processo automatizado, para solicitar os documentos de validação de PCI anualmente. Então, a partir do próximo ano a gente já vai começar a solicitar a documentação da versão 4.0 e vamos continuar fornecendo diversos recursos para apoiar os nossos clientes e comerciantes durante essa transição.
Enfim como outro exemplo o desde que os SAQs foram publicados na semana passada, a gente também já começou a fazer uma análise dos documentos para entender mais a fundo as principais mudanças. E podemos aí podemos instruir melhor nossos clientes também. E vamos atualizando o nosso blog conforme os avanços aí de todas as nossas análises, então fiquem ligados aí nas próximas atualizações.
Carlos Caetano: Ótimo, são excelentes pontos e lembrando não é, pra nossa audiência que o DSS 4 a gente já tem ele traduzido para o português, junto com o resumo de alterações e publicado no site. A tradução dos SAQs elas já ela está em andamento, mas também ofereceremos os SAQs traduzidos, para ajudar aí também os comerciantes aqui do Brasil. Fernando e Gabriel, como o nosso tempo já está quase acabando, eu gostaria de ter suas impressões sobre duas novas ferramentas importantes, se posso chamá-las assim, que foram introduzidas no PCI DSS 4. Análise de Risco Direcionada e Abordagem Personalizada. Fernando, como você vê as empresas trabalhando com Análise de Risco Direcionada para apoiar a aderência ao PCI DSS versão 4 e Gabriel, a Abordagem Personalizada ela vai ajudar a CloudWalk na flexibilidade que a empresa procura?
Fernando Bucelli: Caetano, a Análise de Risco Direcionada certamente vai ser um desafio. o que eu vi durante todos esses anos foi um processo de Análise de Risco que ainda era pobre para lidar com esse tipo de controle. As empresas acabam se beneficiando normalmente de algum outro processo de análise de risco que não endereçam todos os requisitos necessários para a proteção do ambiente de pagamentos.
Um exemplo desse tipo de análise, é uma análise de risco financeiro que pode ter alguns controles de segurança, como por exemplo, o controle de acesso lógico que são pertinentes, mas que ainda assim não atendem a todas as necessidades do nosso ambiente de pagamentos.
Eu posso dizer que esse desafio não será fácil, mas na minha opinião a gente tem todo o apoio do PCI Council com as ferramentas como você acabou de citar, documentos para lidar com todas essas questões, e claramente a gente ainda tem o apoio dos nossos QSAs e um time de consultorias enorme aqui, que vão ajudar a adereçar esses tópicos.
Gabriel Carvalhal: Carlos em relação à abordagem personalizada, certamente vai nos ajudar. Eu acredito que a flexibilidade, ter espaço para pensar em novas soluções, é sempre positivo especialmente com a grande quantidade de tecnologias que nós temos à disposição hoje. Mas a abordagem personalizada, é importante que fique bem claro, não é um caminho mais fácil, definitivamente.
Você precisa ter um conhecimento muito profundo do seu ambiente, ter uma análise de risco extremamente bem embasada, porque no final o QSA vai ter a palavra final em relação a essa definição.
Carlos Caetano: É, certamente, e é muito bom que vocês trouxeram temas importantes, e será realmente um trabalho aí a quatro mãos não é, das organizações com os seus QSAs e um momento de aumento até da maturidade da gestão de riscos. Mas, como eu gosto de dizer, flexibilidade tem um custo, não é, então será uma opção aí, para as organizações que quiserem buscar essa flexibilidade. Bom. O tempo realmente passou rápido ou foi apenas eu que fiquei tão entretido que não senti o tempo passar. Bom para finalizar um lembrete ao nosso público de que todos vocês não é, aqui comigo hoje são membros ativos do Conselho Consultivo Regional do Brasil do PCI Council. Se vocês pudessem resumir em uma palavra ou frase o que isso significa para vocês e suas empresas, o que vocês diriam?
Vanessa Kruger: Bom, considerando o cenário aí de segurança de pagamentos do Brasil eu acredito que trabalhando juntos a gente pode definitivamente criar um ambiente de pagamentos mais seguro pra todos.
Fernando Bucelli: No meu caso Caetano, resumindo, acho que a gente precisa de trabalho em conjunto pra resolver problemas da nossa comunidade, a comunidade de segurança dos meios de pagamento.
Gabriel Carvalhal: Em uma palavra, comprometimento, com a segurança dos nossos clientes e de toda a indústria de pagamentos.
Carlos Caetano: Ótimo, então antes de encerrarmos, já que estamos no Coffee with the Council, gostaria de perguntar aos nossos convidados como eles tomam seu café, ou se você não gosta de café, o que prefere? Vanessa, começo com você.
Vanessa Kruger: Ai Carlos, eu sou viciada em café. um café puro, forte e sem açúcar é sempre um bom motivo pra fazer algumas pausas durante o dia e poder ativar o cérebro.
Fernando Bucelli: É, no meu caso Caetano eu também sou suspeito, eu adoro café então eu tomo aí café sem açúcar pelo menos umas seis vezes por dia, ou dependendo do que você tem pra resolver todas as suas atividades você pode tomar até mais. É, mas é sou também um apaixonado por café, e é isso aí.
Gabriel Carvalhal: Eu gosto de café também, pessoal. Eu gosto bastante do pingado, o clássico pingado, alguns podem dizer até que não é café eventualmente. Mas, eu prefiro cerveja na maioria das ocasiões.
Carlos Caetano: Excelente, ah, eu também curto uma cerveja, mas eu gosto de um duplo expresso pela manhã pra ligar o motor e as coisas começarem. Excelente pessoal, muito obrigado por participar comigo dessa edição do Coffee with the Council, foi um prazer tê-los aqui.
Vanessa Kruger: O prazer foi meu Carlos, de estar aqui com vocês e podermos ter uma discussão tão legal aí da nova versão, muito obrigada pelo convite mais uma vez.
Fernando Bucelli: Caetano, foi ótimo estar aqui com vocês, participando desse podcast. Revendo amigos, é bem importante todo esse relacionamento que a gente tem. Agradeço mais uma vez, foi muito bom. Um abraço a todos vocês.
Gabriel Carvalhal: Excelente oportunidade, obrigado pela por esse encontro, pelas discussões que tivemos. Até a próxima.
Gostou do que ouviu? Se inscreva ao podcast “Coffee with the Council” do PCI SSC visitando qualquer uma das seguintes plataformas: Spotify, Anchor, Pocket Casts ou Google Podcasts. Em breve, o podcast também estará disponível no Apple Podcasts e RadioPublic.
Mantenha-se atualizado com o PCI Security Standards Council! Siga-nos hoje.
