PCI-DSS: Estratégias de redução de escopo

Uma das estratégias mais simples e fáceis de se implementar a conformidade com o padrão PCI-DSS é a redução do escopo de aplicação.

O escopo do PCI-DSS é definido como todos os sistemas que manipulem, ou seja, armazenam, processam ou transmitam dados de portador de cartão de crédito (ou débito) e sistemas adjacentes. Entende-se por dados de portador todos aqueles dados encontrados em um cartão plástico de crédito ou débito, com destaque para o número do cartão (ou PAN – Personal Account Number), a trilha magnética (qualquer uma delas) e o código de segurança ou o PIN block. Dessa forma, qualquer sistema, servidor, aplicativo, elemento de rede ou estação de trabalho que, em algum momento, manipule esses dados, fará parte do escopo, também chamado de ambiente de dados de portador de cartões, segundo o padrão de segurança PCI DSS. E o mesmo se dará com a rede em que se encontra este ativo.

Desta forma, uma boa maneira de facilitar a implementação dos controles exigidos pelo PCI-DSS é reduzir o escopo ao qual ele se aplica. Por se eliminar os dados de portador de cartão de sistemas ou processos, quando tais dados não são vitais para o negócio, pode-se assim reduzir significativamente o escopo considerado durante uma avaliação, além de facilitar a proteção dos próprios dados do portador de cartão. A segmentação de rede pode ser uma estratégia aplicável para alguns casos.

Segmentação de Rede

Quando se segmenta adequadamente uma porção da rede considerada parte do escopo de avaliação do PCI-DSS (por transmitir dados de portador de cartão, por exemplo) por meio de tecnologias de controle de acesso como Firewalls, pode-se fazer com que a parte isolada da rede, portanto sem transporte, armazenamento e processamento de dados de portador de cartão, seja considerada fora do escopo da avaliação PCI-DSS. No entanto, para esta estratégia ser efetiva, não deve ser permitido que nenhum ativo desta rede seja capaz de acessar os dados de portador de cartão ou algum outro ativo (parte do ambiente de cartões) que manipule dados de portador de cartão.

Da mesma forma, se o único dado manipulado for o PAN, pode-se produzir o mesmo efeito se, ao invés de se retirar completamente os dados, utilizar-se uma de duas técnicas: hashing seguro ou truncagem.

Hashing Seguro

Entende-se por hashing a utilização de uma função criptográfica de uma única via, que, a partir de uma entrada, produza um mesmo resultado, ou resumo, de tamanho fixo, de tal forma que, tendo-se apenas o resultado em mãos não seja possível voltar ao valor original. Esta situação é aplicável para os casos em que seja necessária a verificação ou confirmação de um valor, mas não a sua recuperação. Pode-se mencionar como exemplo de uma função de HASH o algoritmo SHA-1.

Apesar de muito eficiente, funções deste tipo se encontram vulneráveis a um tipo de ataque criptográfico conhecido como “ataque com valores pré-calculados”. Neste tipo de ataque, um atacante, de posse de um valor de HASH utiliza-se de uma tabela com valores pré-calculados para todas as entradas possíveis de forma a identificar o valor original, ou o PAN no nosso caso. Para se evitar esse tipo de ataque, utiliza-se uma implementação conhecida como HASH seguro. Nesta implementação, utiliza-se um segundo valor, preferencialmente variável e único, desconhecido do atacante, chamado salt. O HASH é então calculado tomando-se como valor de entrada a concatenação do PAN e deste salt, e para a verificação, o mesmo é feito novamente. Pode-se armazenar o salt em claro juntamente com o valor de HASH, pois a idéia desse salt é garantir que o atacante não tenha uma tabela pré-calculada com todos os valores possíveis de HASH. No caso específico do PAN, pode-se utilizar uma parte do próprio como valor de salt, algo como os 6 últimos dígitos do PAN.

Se manipulado apenas desta forma, como HASH seguro, pode-se considerar o PAN como descaracterizado e fora do escopo de avaliação – e de conformidade – do PCI-DSS.

Truncagem

A truncagem aceitável para o PAN, de forma que seja considerado como descaracterizado, exige a manipulação de não mais do que os seus 6 (seis) primeiros e os 4 (quatro) últimos dígitos. Se algo a mais do que isso for manipulado (como os últimos 5 dígitos, por exemplo), o PAN não pode ser considerado como truncado pelos padrões do PCI-DSS.

Esta técnica pode ser aplicável para os casos em que seja necessária apenas uma conferência dos valores do PAN juntamente com alguma outra informação, como identificação da conta ou do cliente, endereço, etc.

Desta forma, se qualquer uma das técnicas acima for empregada, grande parte do esforço de implementação dos controles exigidos pelo PCI-DSS pode ser poupado.

Patricia Horta Correia Gonzalez

Profissional com 11 anos em Segurança da Informação e a frente de grandes organizações, englobando forte experiência em projetos para grandes empresas globais: Revisão de Política de Segurança Corporativa Global, Planejamento Estratégico de TI, Contrato de SLA, Auditoria de Sistemas e Infraestrutura de TI, Implementação Seguindo Padrões PMI. Formada em Sistemas de Informação e Pós Graduada em Segurança da Informação.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *