Be Aware Webinar - Se sua conformidade é temporária, então você não está conforme

Se sua conformidade é temporária, então você não estáconforme

Marcus Vinícius CândidoSr. Solutions Specialist

André Carraretto, PCIP, CISSPSecurity Strategist

Daniel NieroSystems Engineer

Participantes

Copyright © 2015 Symantec Corporation

Daniel NieroSystems Engineer

[email protected]

• 12 anos de experiência em SI, Riscos e Compliance

• 7 meses na Symantec• Engenheiro responsável pelo

atendimento a toda a regional Sul do Brasil.

Marcus CandidoSr Solutions [email protected]

• 15 anos de experiência em TI• 3 anos na Symantec

Especialista em Soluções de Segurança

• Integrante do Time de Consultoria:• Atualmente Consultor Residente de

DLP nos Ministérios da Educação e da Cultura em Brasília

André CarrarettoSecurity Strategist

[email protected]

Participantes

• 18 anos de experiência em SI• 11 anos na Symantec• Porta voz oficial• Estrategista responsável pelo

atendimento dos principais clientes na América Latina

Agenda

1 Introdução ao PCI-DSS v3.1

2 Abordagem Priorizada

3 Matriz de Aderência do Portfolio Symantec

4 Q&A

Copyright © 2015 Symantec Corporation3

Payment Card Industry Data Security Standard


• Manage endpoints

– Discover, deploy, fix, recover

– Secure devices

• Secure data

– Email, IM, structured, unstructured

•Global & imposto pela indústria

•Visa, MasterCard, AMEX, Discover, JCB

•Proteger informações do titular do cartão(CHD) onde quer que sejam coletadas, armazenadas, processadas ou transmitidas

•Crédito, débito & pré-pago

•Eletrônico & físico

• Internet, telefone, em lojas

•12 requisitos, +200 controlestécnicos

•Requisitos de validação variam de acordo com o nível do comerciante

•Assessment on-site assessment

•Questinário de self-assessment

•Conformidade imposta pelasmarcas de cartões de pagamento

•Multas e penalidades

•Custo de reemissão de cartões

•Redução de vendas

•Perda de confiança de clientes e parceiros

•Perdas com fraudes

Payment Card Industry Data Security Standard (PCI DSS)

Quem Guidance & Assessment Responsabilidades Potenciais

Sumário de Requisitos

•Todos que lidam com dados de cartõesde pagamento

•Todos os tamanhos de empresa: de 1 a +1Mi de transações

•Varejo, bancos, telecomunicações, distribution, software & services rank top

•Organizações Públicas e Privadas

Para maiores detalhes, visite: https://www.pcisecuritystandards.org/

https://www.pcisecuritystandards.org/

Que dados precisamos proteger?


Fonte: PCI Council

Outros padrões associados ao PCI DSS


Abordagem Priorizada – PCI-DSS

• Baseado na experiência da indústria

• Abordagem lógica e progressiva

• Todos os itens devem ser alcançados

• Tecnologias e Serviços Symantec em todos os itens

Controlar Dados Sensíveis

Proteger Sistemas e Redes

Proteger Aplicações Críticas

Monitorar e Controlar o Acessoaos Sistemas

Proteger Dados Armazenados

1

2

3

4

5

Assegurar que Controles estejamAtivos6


• Encontrar e remover dados sensíveis de Endpoints e amazená-los narede ( e fora dela)

• Definir e impor políticas de retenção e remoção de dados

• Identificar riscos relacionados aos dados armazenados




Monitorar e Controlar o Acesso aos Sistemas


1

2

3

4

5

Assegurar que Controlesestejam Ativos6


• Proteger redes contra ameaças avançadas

• Prover acesso de acordo com as políticas de segurança

• Previnir transmissão de dados não criptografados via e-mail e mensagens instantâneas

• Assegurar que endpoints, bancos de dados, aplicações e servidoresestejam em conformidade com as políticas de segurança

• Scans de vulnerabilidades externas trimestrais






1

2

3

4

5




• Realizar testes de vulnerabilidades em aplicações em com acessopúblico

• Revisar códigos customizados antes da liberação

• Assegurar que aplicações web sejam desenvolvidas de forma segura

• Impedir uso de configurações padrão em equipamentos e softwares(senhas, acessos, etc.)

• Manter-se atualizado com as vulnerabilidades de segurança






1

2

3

4

5



• Coletar, armazenar e analisar logs de segurança e dados de incidentes


• Gravar logs de todas as mensagens que passarem pelos gateways de e-mail

• Monitorar, revisae e impor conformidade com políticas de controlede acesso

• Controlar Cadeia de Custódia para ativos críticos






1

2

3

4

5



• Avaliar controles físicos e não-técnicos

• Proteger contra vazamento e roubo de informações

• Isolar e remediar endpoints não conformes






1

2

3

4

5



• Pentests em redes e aplicações

• Testes para confirmar existência de pontos de acesso wireless

• Acompanhar contas de e-mail em risco e “logar”atividades que nãoestiverem em conformidade com as políticas de segurança

• Monitorar e impor conformidade de ativos e processos

• Restringir acesso a logs e registros de auditoria

• Avaliar e modificar controles técnicos e processuais

• Consolidar dados para revisão e auditoria






1

2

3

4

5


Requerimentos do PCI-DSS x Abordagem Priorizada

14



1

2

• (Req. 1) Manter configurações de firewall que protejam os dados do titular do cartão

• (Req. 3) Proteger os dados do titular do cartão

• (Req. 9) Restringir acesso físico aos dados do titular do cartão

• (Req.12) Manter políticas que aborde segurança da informação para todas as equipes


• (Req. 2) Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares

• (Req. 4) Criptografar a transmissão dos dados do titular do cartão através de redesabertas e públicas

• (Req. 5) Utilizar solução de anti-virus e mantê-la atualizada

• (Req. 8) Atribuir uma única identificação para cada pessoa que tem acesso a computadores


• (Req.11) Testar regularmente os sistemas e processos


15

Requerimentos do PCI-DSS x Abordagem Priorizada

Monitorar e Controlar o Acessoaos Sistemas


4

5

Assegurar que Controles estejamAtivos6

• (Req. 7) Restringir acesso aos dados do titular do cartão a somente quem ou o quenecessita do acesso

• (Req. 8) Atribuir uma única identificação para cada pessoa que tem acesso a computadores

• (Req.10) Controlar e monitorar todos acessos a rede e aos dados do titular do cartão

• (Req.11) Testar regularmente os sistemas e processos

• (Req. 3) Proteger os dados do titular do cartão



• (Req. 6) Desenvolver e manter sistemas e aplicações de forma segura


Proteger Aplicações Críticas3

• (Req. 2) Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares

• (Req. 6) Desenvolver e manter sistemas e aplicações de forma segura

• (Req.A.1) Provedores de hospedagem compartilhada devem proteger o ambiente de dados do titular do cartão

16

Requerimentos do PCI-DSSObjetivos da

Abordagem Priorizada

1 2 3 4 5 6

01 Manter configurações de firewall que protejam os dados do titular do cartão ✔ ✔ ✔

02 Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares ✔ ✔

03 Proteger os dados do titular do cartão ✔ ✔

04 Criptografar a transmissão dos dados do titular do cartão através de redes abertas e públicas ✔

05 Utilizar solução de anti-virus e mantê-la atualizada ✔

06 Desenvolver e manter sistemas e aplicações de forma segura ✔ ✔

07 Restringir acesso aos dados do titular do cartão a somente quem ou o que necessita do acesso ✔

08 Atribuir uma única identificação para cada pessoa que tem acesso a computadores ✔ ✔

09 Restringir acesso físico aos dados do titular do cartão ✔ ✔ ✔

10 Controlar e monitorar todos acessos a rede e aos dados do titular do cartão ✔

11 Testar regularmente os sistemas e processos ✔ ✔

12 Manter políticas que aborde segurança da informação para todas as equipes ✔ ✔ ✔

A1 Provedores de hospedagem compartilhada devem proteger o ambiente de dados do titular do cartão ✔

Copyright © 2014 Symantec Corporation 17

Symantec: How to PCI!Produtos vs Requisitos

Symantec Data Center Security: Server Advanced

Principais recursos

• Detecção e proteção de ameaças com base na rede e sem agente (IPS de rede).

• O Operations Director oferece informações de segurança prontas para uso e automatiza a organização da segurança baseada em políticas na família de produtos Symantec Data Center Security, habilita serviços de segurança centrados no aplicativo e integra-se perfeitamente ao VMware para estender a administração de políticas de segurança e incluir ferramentas de segurança de terceiros.

• O Unified Management Console (UMC) permite um gerenciamento consistente em todos os produtos Data Center Security.


REQUISITOS PCI ADERENTES

REQ1: Install and maintain a firewall configuration to protect cardholder data.

REQ2: Do not use vendor-supplied defaults for system passwords and other security parameters

REQ3: Protect stored cardholder data

REQ6: Develop and maintain secure systems and applications.

REQ10: Track and monitor all access to network resources and cardholder data

REQ11: Regularly test security systems and processes

ABORDAGEM PRIORIZADA

1. Remove sensitive authentication data and limit data retention.

2. Protect systems and networks, and be prepared to respond to a system breach.

3. Secure payment card applications.

4. Monitor and control access to your systems

6. Finalize remaining compliance efforts, and ensure all controls are in place.

Symantec Advanced Threat Protection (SATP)

• Symantec™ Advanced Threat Protection é uma solução unificada que descobre, prioriza e repara ataques avançados, potencializando os investimentos existentes de uma organização no Symantec™ Endpoint Protection e Symantec™ Email Security.cloud.

• Integração completa entre Endpoint, Email e Network em uma plataforma única que pode cobrir todo o escopo do PCI, cruzando informações para identificar Indicadores de Comprometimento em tempo real dentro todos os ativos envolvidos no processo e gerando dados.




REQ5: Use and regularly update anti-virus software or programs




6. Finalize remaining compliance efforts, and ensure all controls are in place.ENDPOINT + EMAIL + NETWORK

Symantec Messaging Gateway (SMG)

Gateway Antispam e antimalware de tempo real, proteção contra ataques direcionados, filtragem de conteúdo avançada, prevenção contra a perda de dados e criptografia de e-mail.

Principais recursos

• O gateway antispam bloqueia mais de 99% de spams, com menos de 1 em 1 milhão de falsos positivos e atualizações automáticas em tempo real.

• Mecanismo de filtragem antispam que identificam ameaças provenientes de e-mails, com base na reputação global e local.

• Recursos de prevenção contra perda de dados garantem a conformidade regulamentar.

• Regras especificadas pelo cliente permitem a criação fácil de regras pelos clientes com base nos e-mails que eles consideram spam ou em ataques potencialmente direcionados.

• Integração de criptografia opcional com o Symantec Content Encryption ou o Symantec Gateway Email Encryption






Symantec Control Compliance Suite (CSS)

Control Compliance Suite (CCS) é uma solução modular, escalonável para a automação de avaliações de segurança e conformidade em datacenters físicos, virtuais e também em nuvens públicas.

Principais recursos

• Automatiza a avaliação de controles de segurança.

• Disponível em 7 modulos independentes: Policy, Risk, Standards, Vulnerability, Security, Assessment e Vendor Risk Manager

• Relatórios e painéis na Web personalizáveis e baseados em funções permitem que a empresa avalie os riscos e acompanhe o desempenho dos programas de segurança e conformidade.

• Suporte a SCAP, OVAL, ISO27001, NIST CyberSecurity, PCI-DSS, etc.



TODOS OS ITENS


TODOS OS ITENS

Symantec IT Management Suite (ITSM)

O Symantec™ IT Management Suite 7.6 com a tecnologia Altiris™ proporciona flexibilidade para a TI e liberdade para o usuário. A TI agora pode gerenciar usuários remotos de forma segura, implementar rapidamente novos dispositivos, plataformas e aplicativos.

Permite controle e flexibilidade gerenciamento de ativos de TI com suporte a várias plataformas, gerenciamento remoto de usuários, gerenciamento de software, licenças, inventário, contratos, automatização de processos, gestão de tickets e muitos outros recursos.



REQ6: Develop and maintain secure systems and applications




Symantec Managed Security Services (MSS)

Fornecimento de serviços de monitoramento e gerenciamento de segurança 24x7. MSS correlaciona automaticamente a detecção de ameaças na rede e a proteção avançada da segurança de endpoints com informações sobre ameaças externas para ajudar a identificar ameaças críticas, aumentar a eficácia das investigações de ameaças e simplificar o trabalho de correção.

• Monitoramento de desktops, servidores, switches, firewalls, ATP, sistemas operacionais, etc.

• Log retention + monitoramento.

• Time dedicado com alta experiência.

• Sistemas que analisam mais de 275 bilhões de entradas de log

• Identificam mais de 40.000 tipos de eventos de segurança.

• Toma providências em relação a mais de 4.000 eventos graves já conhecidos.




REQ5: Use and regularly update anti-virus software or programs.

REQ6: Develop and maintain secure systems and applications

REQ10: Track and monitor all access to network resources and cardholder data.

REQ11: Requirement 11: Regularly test security systems and processes





4. Monitor and control access to your systems


Symantec DeepSight™ Intelligence

O DeepSight Intelligence coleta, analisa e fornece informações sobre ameaças cibernéticas através de um portal personalizável e datafeeds, promovendo medidas de defesa proativas e melhor resposta a incidentes.

Entregue através de:

Portal do DeepSight Intelligence – Portal Web intuitivo

Datafeeds do DeepSight Intelligence – para automatizar o fornecimento de dados sobre ameaças à infraestrutura de segurança.



REQ5: Protect all systems against malware and regularly update anti-virus software or programs.






Symantec Managed PKI (Cloud) / Certificados SSL

Plataforma cloud para emissão, renovação, revogação e gestão ativa de Certificados Digitais privados.

Principais recursos:

• Sem necessidade de investimento em infraestrutura e pessoas.

• Controle de autenticação de usuários e aplicações

• Suporte a BYOD (Distribuição de certificados para mobile IOS e Android)

• Assinatura de Conteúdos, documentos e aplicações

• Gestão completa do Ciclo de Vida dos certificados.




REQ4: Encrypt transmission of cardholder data across open, public networks






Symantec Endpoint Protection (SEP) / ATP:Endpoint

Principais benefícios

• Proteção em camadas para manter os endpoints protegidos contra malware em massa, ataques direcionados e ataques persistentes avançados

• Proteção superior contra ameaças com o suporte da maior rede de informações civis sobre ameaças do mundo

• Desempenho tão rápido que não afeta a produtividade do usuário

• Fácil de usar com um único cliente e console de gerenciamento em plataformas físicas e virtuais

• Flexibilidade para ajustar políticas com base nos usuários e no local






REQ10: Track and monitor all access to network resources and cardholder data.

REQ11: Regularly test security systems and processes






Symantec Endpoint Encryption (Powered by PGP™)

Combina a forte criptografia completa de discos ou mídias removíveis com uma plataforma de gerenciamento central, que visa proteger dados confidenciais contra perda ou roubo e ajuda os administradores a confirmar se um dispositivo foi criptografado, caso ele seja perdido ou roubado.

• Automação no gerenciamento de chaves

• Integração com Active Directory

• Integração com o Data Loss Prevention

• Relatórios customizados de conformidade.

• Várias opções de recuperação (Local Self-Recovery e Tokens descartáveis)





5. Protect stored cardholder data.

Symantec Validation and ID Protection Service (VIP)

O VIP é um serviço de autenticação baseado na nuvem e líder de mercado que permite implementar com facilidade controles para proteger o acesso a redes e aplicativos contra acessos não autorizados.

Principais recursos:

• Autenticação multi-fator baseada em risco

• Baseado em padrões abertos, SAML, OAth

• Mobile Push

• Recursos de biometria para substituição de senhas

• Integração direta com o Symantec Identity Access Manager (SAM) para proteção de aplicativos baseados em nuvem.


REQUISITOS PCI ATENDIDOS

REQ8: Identify and authenticate access to system components



4. Monitor and control access to your systems.

Symantec Data Loss Prevention (DLP)

O DLP é uma tecnologia de segurança com reconhecimento de conteúdo que lida com três questões importantes relacionadas às informações confidenciais da empresa.

Disponível para Cloud, Endpoint, Mobile, Network, Storage e Email




REQ4: Encrypt transmission of cardholder data across open, public networks







30

PORTFOLIO SYMANTEC

PCI-DSS X Soluções Symantec

Co

ntr

ol C

om

plia

nce

Su

ite

Dat

a Lo

ss P

reve

nti

on

Dat

a C

ente

r Se

curi

ty

End

po

int

Encr

ypti

on

Ad

van

ced

Th

reat

Pro

tect

ion

Man

aged

Sec

uri

ty S

ervi

ces

End

po

int

Pro

tect

ion

Val

idat

ion

an

d ID

Pro

tect

ion

Se

rvic

e

Mes

sagi

ng

Gat

eway

ITM

S

MP

KI /

SSL

Cer

tifi

cate

Dee

p-s

igh

t

1. Manter configurações de firewall que protejam os dados do titular do cartão o • • •2. Não utilizar senhas e configurações padrão do fabricantes dos equipamentos e softwares • •3. Proteger os dados do titular do cartão o • • • •4. Criptografar a transmissão dos dados do titular do cartão através de redes abertas e públicas o • •5. Utilizar solução de anti-virus e mantê-la atualizada o • • • • •6. Desenvolver e manter sistemas e aplicações de forma segura • • o • • • •7. estringir acesso aos dados do titular do cartão a somente quem ou o que necessita do acesso • •8. Atribuir uma única identificação para cada pessoa que tem acesso a computadores • •9. Restringir acesso físico aos dados do titular do cartão • o

10. Controlar e monitorar todos acessos a rede e aos dados do titular do cartão o • • •11. Testar regularmente os sistemas e processos. o • • •12. Manter políticas que aborde segurança da informação para todas as equipes •

Thank you!

Copyright © 2015 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.

This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.

Obrigado!

Próximo Webinar:16/03 – Segurança de email: Ameaças, SPAM e Sequestros, uma máquina de dinheiro

Be Aware Webinar - Se sua conformidade é temporária, então você não está conforme

Software

Transcript of Be Aware Webinar - Se sua conformidade é temporária, então você não está conforme