Autenticação Multifator agora é obrigatório para todos os ambientes PCI… e é melhor se apressar

O “Payment Card Industry Data Security Standard” (PCI DSS) tem sido um driver de segurança e conformidade para comerciantes, bancos, hospitais, governos e qualquer outra pessoa que manipula informações de cartão de pagamento. Os padrões PCI DSS são muito prescritivos sobre o que é esperado para proteger os dados do cartão de pagamento em repouso e em movimento e também para exigir responsabilidade individual ao mesmo tempo limitando o acesso a apenas aqueles com uma necessidade de saber. Recentemente, o Conselho PCI anunciou a última versão do PCI DSS versão 3.2. Esta atualização inclui 47 esclarecimentos totais, oito requisitos em evolução e três itens adicionais de orientação. Dentre as exigências em desenvolvimento agora exige especificamente autenticação de múltiplos fatores (MFA) para o ambiente de armazenamento de dados do titular do cartão (CDE).

PCI Logo  Acontece que essa exigência número oito, “identificar e autenticar o acesso aos componentes do sistema,” na verdade exigiu MFA desde a versão 1.0, mas apenas para acesso remoto de redes externas para a CDE. No entanto o PCI DSS 3.2 seção 8.3 agora requer autenticação de múltiplos fatores para todo o pessoal com acesso administrativo, não só pessoal com acesso remoto para o CDE.

Troy Leach, Diretor de tecnologia do PCI – Security Standards Conselho esclarece ainda mais declarando,

[A] significativa mudança no PCI DSS 3.2 adiciona autenticação de múltiplos fatores como um requisito para qualquer pessoa com acesso administrativo para o ambiente de dados do titular do cartão, para que uma senha sozinha não seja suficiente para verificar a identidade do usuário e conceder acesso a informações confidenciais, mesmo se eles estão dentro de uma rede confiável… O ponto mais importante é que a mudança para a exigência destina todo o acesso administrativo para o ambiente de dados do titular do cartão, até mesmo de dentro de uma rede da empresa. Isso se aplica a qualquer administrador, terceiro ou interno que tem a capacidade de alterar sistemas e outras credenciais dentro dessa rede e que possa potencialmente comprometer a segurança do ambiente.

Esta é uma mudança significativa porque o Conselho PCI agora está refletindo os fatos do mundo real que mesmo em nossas redes internas os usuários precisam empregar camadas adicionais de proteção. Conforme discutido em posts anteriores, credenciais comprometidas são o principal vetor de ciber-ataques. É por isso que uma única senha por si só não pode mais ser considerada proteção adequada, tal como consta deste novo requisito PCI.

A Centrify tem ajudado inúmeras empresas a melhorarem a conformidade de PCI com recursos como:

  • Segurança de acesso privilegiado para restringir o acesso para o CDE àqueles com uma necessidade de acesso, gerenciando pro ativamente as senhas do sistema e eliminando os padrões entregues pelo fornecedor.
  • Consolidação da identidade para garantir a responsabilidade individual e atribuir uma ID exclusiva para cada pessoa com acesso.
  • Auditoria e conformidade para rastrear, monitorar e gravar todo o acesso a recursos de rede e dados de titulares de cartão.
  • Isolamento e criptografia para garantir a configuração de firewall para proteger os dados de titulares de cartão e para criptografar a transmissão de dados de titulares de cartão em redes abertas e públicas.

A Centrify também proporciona:

  • Autenticação de vários fatores para qualquer pessoa, local ou remoto, com acesso administrativo para o ambiente de dados do titular do cartão (CDE), mesmo se eles estão dentro de uma rede confiável.

Voce sabe e voce tem

Na verdade, a Centrify tem a solução ideal para fornecer MFA e alavancar o uso de dispositivos móveis. Escolha entre notificações push, OTP seguro, SMS, e-mail, voz e muito mais. Você pode até mesmo aumentar a solução com políticas de MFA adaptável e customizado por app.

Não só isso, mas os usuários adoram a experiencia MFA que a Centrify fornece. Acesso fácil a um clique para os usuários finais e acesso gerenciado em um único local.

Mas porque remediar o problema com o MFA para acessar somente seu CDE. Isso adiciona barreiras de produtividade para os usuários e deixa lacunas na sua postura de segurança. Em vez disso, porque nao olhar para seu ambiente como um todo e impoe uma política única de MFA em todos os seus usuários internos e externos, através de seus servidores, aplicativos e dispositivos, independentemente de eles estarem no local ou na nuvem? Só a Centrify protege o acesso a ambos, infra-estrutura de TI e aplicativos para todos os usuários em  nuvem.

A Centrify protege contra o principal ponto de ataque usado em violações de dados – credenciais comprometidas — protegendo usuários internos e externos de uma empresa, bem como seus usuários privilegiados. O Produto Centrify oferece maior segurança, conformidade contínua (incluindo o PCI DSS 3.2) e maior produtividade do usuário através de servidores locais, apps e redes, bem como seu dispositivo móvel, ambiente IaaS e SaaS, através de logon único (SSO), MFA, móvel, Gestão de Mac segurança de acesso privilegiado .

O tempo para adotar MFA em toda a empresa é agora.

Não apenas porque a nova exigência de multifatores PCI 8.3 deve estar pronta e rodando nos próximos 18 meses.

Mas, porque é a coisa certa a fazer para proteger o seu negócio, para proteger o seu trabalho e, mais importante, para proteger seus clientes.