Computação em nuvem traz novos desafios de segurança
para varejistas
Guia do PCI Security Standards Council aponta os requisitos
específicos a serem atendidos pelos usuários de serviços de cartão
de crédito que possuem ambientes virtualizados
Se por um lado é consenso que a computação em nuvem
oferece uma série de benefícios para as empresas usuárias - como
redução de investimentos, agilidade, flexibilidade e escalabilidade
-, também não há dúvidas de que ainda existem questões relacionadas
à segurança que não foram respondidas. E essas dúvidas podem se
tornar ainda mais relevantes quando estão envolvidos dados de
cartão de crédito de milhões de consumidores.
Com o objetivo de auxiliar as empresas da
cadeia de pagamentos eletrônicos a migrarem de forma segura para a
nuvem, o PCI Security Standards Council divulgou um documento
adicional ao PDI DSS (Payment Card Industry Data Security Standard)
que pretende orientar as corporações a criarem ambientes
virtualizados que atendam aos requisitos de segurança impostos à
indústria de cartão de crédito. “A partir de agora, os comerciantes
terão subsídios para saber quais perguntas deverão fazer a seus
fornecedores e, assim, descobrir quais são as soluções disponíveis
para mitigação dos riscos”, avalia Kurt Roemer, chairman do grupo
especial de virtualização do PCI SS Council.
Apesar de apontar que os ambientes
virtualizados e, em especial, a computação em nuvem abre novas
brechas de segurança e amplia os riscos aos quais os pagamentos
eletrônicos estão expostos, o estudo esclarece que não há uma
receita genérica para resolver a questão – e que os gestores de TIC
e de segurança da informação devem avaliar minuciosamente o cenário
para determinar a quais riscos estão expostos seus sistemas e as
informações pessoais de seus clientes.
Os pontos abordados no documento e as ações
para reduzir seu impacto tornam-se, então, desdobramentos das
diretrizes gerais aplicadas à indústria de cartões, as quais
incluem orientações como a construção e manutenção de uma rede
segura, a proteção dos dados do portador do cartão, a existência de
um programa de gerenciamento de vulnerabilidades, a implementação
de medidas rigorosas de controle de acesso, monitoramento e testes
regulares das redes e, finalmente, a existência de uma política
ativa de segurança da informação.
Essas diretrizes dão origem a doze requisitos
(veja box) que, por sua vez, resultam em mais de duas centenas de
sub-requisitos específicos, que podem ser atendidos por meio de
alterações de processos, implementações de soluções de hardware e
software ou mesmo revisão das configurações de sistemas já
instalados. “Não existe um pacote que atenda a todas as
recomendações do PCI DSS, seja em linhas gerais ou especificamente
nos ambientes de computação em nuvem. Mas a combinação de
tecnologias e processos disponíveis no mercado garante o
cumprimento das regras”, explica Alexandre Murakami, gerente de
tecnologia especializado em soluções de segurança da
PromonLogicalis.
Murakami destaca ainda que, mais do que estar
em conformidade com as regras do conselho da indústria de cartões,
seguir as recomendações do PCI DSS garante que os varejistas
estejam seguindo as melhores práticas de segurança do setor,
reduzindo perdas financeiras, diminuindo a exposição aos riscos
para a marca e melhorando o relacionamento com os clientes, seja
pela alta disponibilidade de serviços ou pelo aumento da
confiança.