• Introdução aos Cartões de Crédito

• Funcionamento dos Cartões de Crédito

• Conceitos

• Histórico da Conformidade

• Fraudes Bancárias

• Processo do PCI-DSS

• Aplicabilidade do PCI-DSS

• Por que gastar dinheiro com o PCI-DSS?

• Escopo do PCI-DSS

• Requisitos 1 e 2 do PCI-DSS

• Defesa em Profundidade

• Construindo e mantendo uma Rede Segura

• Instalando e mantendo uma configuração de Firewall

• Tipos de Firewall

• Arquitetura de Firewall

• Requerimentos de Firewall

• Implementação de configurações seguras em firewall

• IDS (Intrusivo Detection Systems)

• IPS (Intrusivo Prevention Systems)

• Soluções Antivírus

• Exercícios – Requisito 1 PCI-DSS

• Aspectos de segurança: Senhas padrão

• Aspectos de segurança: Padrões SNMP

• Aspectos de segurança: Wireless (Redes sem fio)

• Exercícios – Requisito 2 PCI-DSS

• Requisitos 3 e 4 do PCI-DSS

• Criptografia de pasta ou arquivo (Folder/File Encryption)

• Criptografia completa de disco (Whole Disk Encryption)

• Implicações da Criptografia

• Criptografia de Banco de Dados (Database Encryption)

• Considerações quanto à proteção de dados

• Exercícios – Requisito 3 PCI-DSS

• Criptografia na transmissão dos dados do portador do cartão em redes abertas e públicas

• Controles compensatórios

• Estratégias dos dados de portadores de cartão

• Essência da proteção de dados de portadores de cartão

• Exercícios – Requisito 4 PCI-DSS

• Requisitos 5 e 6 do PCI-DSS

• Uso e atualização regular de software ou programas antivírus

• Manutenção de um programa de gerenciamento de vulnerabilidades

• Gerenciamento de vulnerabilidades

• Exercícios – Requisito 5 PCI-DSS

• Desenvolvimento e manutenção de sistemas e aplicativos seguros

• Modelagem de Ameaças

• Boas práticas no desenvolvimento e manutenção de sistemas e aplicativos seguros

• Web Application Firewall

• Requisitos do PCI e Validação

• Exercícios – Requisito 6 PCI-DSS

• Requisitos 7, 8 e 9 do PCI-DSS

• Controle de Acesso

• Autenticação

• Senhas Fortes

• Autorização

• Exercícios – Requisito 7 PCI-DSS

• Processos para conformidade PCI-DSS em controle de acesso

• Autenticação Forte

• Manutenção de um programa de gerenciamento de vulnerabilidades

• Concedendo permissões de segurança – Windows

• Concedendo permissões de segurança – Cisco

• Exercícios – Requisito 8 PCI-DSS

• Segurança Física

• Problemas evitados com a segurança física

• Controles de entrada

• Segurança em áreas confidenciais

• Hardware e Comunicações

• Controle de visitantes

• Controle de mídias

• Soluções de Wipe

• Exercícios – Requisito 9 PCI-DSS

• Requisitos 10 e 11 do PCI-DSS

• Fronteiras de monitoramento

• Infraestrutura de monitoramento

• O que se deve monitorar

• Como realizar o monitoramento

• Infraestrutura de monitoramento -Tempo

• Infraestrutura de monitoramento – Proteção das trilhas de Auditoria

• Exercícios – Requisito 10 PCI-DSS

• Teste dos sistemas e processos de monitoramento – Redes Sem Fio

• Teste dos sistemas e processos de monitoramento – Análise de Vulnerabilidade

• Teste dos sistemas e processos de monitoramento – Testes de penetração

• O que se deve incluir na metodologia para testes de penetração

• Teste dos sistemas e processos de monitoramento – Observações

• Teste dos sistemas e processos de monitoramento – IDS e IPS

• Teste dos sistemas e processos de monitoramento – Monitoramento da Integridade

• Exercícios – Requisito 11 PCI-DSS

• Requisito 12 do PCI-DSS

• Política de Segurança da Informação

• Resposta a Incidentes – CSIRT

• Processo de Criação de um CSIRT

• Membros do CSIRT

• Fatores de sucesso para um CSIRT

• Ferramentas utilizadas em CSIRT

• Requisitos adicionais para um CSIRT

• Requisitos da Política de Segurança da Informação

• Requisitos de Resposta a Incidentes

• Exercícios – Requisito 12 PCI-DSS

• Necessidades adicionais

• Considerações – Requisito 12.8

• Considerações – Requisito 2.4

• Principais mudanças na versão 3.1, 3;2 e 4.01 do PCI-DSS

• PTS (PIN Transaction Security)

• POS – Point of Sale

• POI – Point of Interaction

• POI – Point of Interaction – Requisitos de segurança

• PED – PIN entry device

• EPP – Encrypting PIN Pads

• EPP – Encrypting PIN Pads – Requisitos Físicos

• EPP – Encrypting PIN Pads – Requisitos Lógicos

• EPP – Encrypting PIN Pads – Requisitos durante a fabricação

• UPT – Unattended Payment Terminal

• UPT – Unattended Payment Terminal – Composição

• UPT – Unattended Payment Terminal – Requisitos de Segurança

• Tecnologia NFC – Near Field Communication

• HSM – Hardware Security Module

• HSM – Hardware Security Module – Requisitos de Segurança

• Protocolo IP e Camadas

• Serviços (DNS, HTTP, FTP, entre outros)

• Protocolos de Segurança (IPsec, SSL, entre outros)

• Gerenciamento Seguro

• Leitura Segura e Troca de Dados (SRED)

• Controles Compensatórios

• Critérios que os controles de compensação devem atender

• Auditoria PCI

• Tarefas do Auditor

• Relatório de Conformidade – Informações contidas

• Etapas de Conclusão

• Plano de Ação referente ao status de não conformidade.

• Documentos de Suporte

• Ferramentas PCI-DSS

• Ferramentas PCI-DSS – Requisito 1

• Ferramentas PCI-DSS – Requisito 2

• Ferramentas PCI-DSS – Requisito 3

• Ferramentas PCI-DSS – Requisito 4

• Ferramentas PCI-DSS – Requisito 5

• Ferramentas PCI-DSS – Requisito 6

• Ferramentas PCI-DSS – Requisito 7

• Ferramentas PCI-DSS – Requisito 8

• Ferramentas PCI-DSS – Requisito 9

• Ferramentas PCI-DSS – Requisito 10

• Ferramentas PCI-DSS – Requisito 11

• Ferramentas PCI-DSS – Requisito 12

• Abordagem Priorizada

• Objetivos da abordagem priorizada

• A abordagem dos 6 marcos principais

• Detalhamento marcos principais

• Ferramenta de controle dos marcos principais

• PA-DSS

• Relação PCI-DSS e PA-DSS

• PA-DSS – Requisitos

• Referências

• Referências adicionais para estudo