Академический Документы
Профессиональный Документы
Культура Документы
Olá leitores,
Estou de volta após um longo período sem postagens. Essa ausência foi devido à festas
de fim de ano, projetos pessoais e um projeto longo em que estive envolvido e que me
consumiu quase que 16 horas por dia, 7 dias por semana. Enfim, cá estou de volta com
mais um artigo.
Vou falar um pouco sobre a norma PCI DSS, e suas implicações no desenvolvimento de
soluções para auto-atendimento em geral.
Essa norma descreve 12 requisitos que devem ser atendidos integralmente para garantir a
segurança, ou dirimir as chances de fraudes em qualquer sistema que lide com cartões de
crédito. Além disso, a PCI estabelece uma certificação a qual as empresas devem se
submeter, para serem reconhecidas como empresas aderentes ao PCI DSS.
Build and Maintain a Secure 1. Install and maintain a firewall configuration to protect cardholder
Network data
Maintain a Vulnerability 5. Use and regularly update anti-virus software on all systems
Management Program commonly affected by malware
6. Develop and maintain secure systems and applications
Regularly Monitor and Test 10. Track and monitor all access to network resources and cardholder
Networks data
Esses são os 12 principais requisitos, mas existem cerca de 220 sub-requisitos aplicáveis
a todas as áreas de um sistema que envolva pagamento com cartão de crédito.
Cardholder Data: diz respeito à todos os elementos de dados contidos no cartão (tanto no
chip quanto nas trilhas magnéticas), tais como: PAN (Primary Account Number), nome do
cliente, código de serviço (service code), data de expiração do cartão, além de dados
ainda mais sensíveis como PIN Block ou senha do cartão, e os dados completos das
trilhas magnéticas.
Todas essas informações são importantes para o acionamentos dos fluxos funcionais de
qualquer aplicação de auto-atendimento. O ponto é que, a manipulação desses dados
precisa ser realmente realizada com cautela, observando os requisitos da norma, e
embora os logs de algumas dessas informações seja realmente importante durante o
processo de desenvolvimento, os mesmo precisam ser suprimidos quando o sistema for
compilado em modo release, para envio á produção.
Note que essas coisas tem fortes implicações na parte de design e implementação quando
o sistema que está sendo desenvolvido pretende atender á norma. Portanto, se você se
deparar com algo como: "...o sistema precisa estar aderente à norma PCI DSS.". Bom,
então leve conta todos os 12 requisitos da norma, desde o processo de análise e
levantamento do esforço, pois o retrabalho depois poderá ser grande!
Conclusão
Embora controverso e muitas vezes alvo de críticas em função de seu alto custo de
implementação e pouca clareza em algum pontos, o PCI DSS é uma norma que, em pelo
menos seus 12 principais requisitos, estabelece um nível mínimo de segurança, a que
todos os desenvolvedores, projetistas e profissionais que lidam com sistemas de auto-
atendimento deveriam estar atentos.
Bem é isso :)
Autor
Meu nome é Fagner Souza, sou especialista em automação bancária e comercial com larga
experiência em sistemas de Auto-Atendimento. Meu website é http://www.fagnersouza.com.br/,
e nele você pode encontrar meus contatos.