Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Conformidade com PCI DSS

Se sua organização estiver sujeita aos requisitos do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), use essas informações para entender como a nuvem Juniper Mist™ oferece suporte a DSS PCI nos domínios com fio, sem fio e SD-WAN.

Introdução

O PCI DSS foi criado como um padrão comum para proteger contra fraudes de dados de cartão de crédito e pagamento no espaço do varejo e em outros setores, como os bancários, onde os pagamentos on-line são feitos. Ao fornecer políticas de segurança consistentes e melhores práticas, o PCI DSS permite que o pessoal de segurança e os administradores de rede frustram efetivamente várias ameaças aos dados de pagamento. O PCI DSS 4.0 entrou em vigor para avaliações em março de 2022.

A rede é um pilar fundamental da conformidade com PCI DSS porque é o principal canal para a transmissão de dados de pagamento. Os requisitos de PCI DSS são projetados para garantir que as operações e práticas de segurança de rede eliminem ou minimizem riscos conhecidos. Os requisitos de PCI DSS também garantem que a organização defina políticas, procedimentos e práticas bem estruturadas rastreáveis que possam ser auditadas.

A rede sem fio é especialmente importante para ambientes de varejo porque as operações de negócios e as tecnologias de engajamento digital dependem da conectividade móvel. Dispositivos de ponto de venda, scanners, leitores de código de barras, impressoras e computadores móveis, por exemplo, todos operam em LANs sem fio (WLAN) que servem como força vital das operações de varejo. A conformidade com PCI DSS para redes sem fio especifica dois tipos de requisitos:

  • Sem fio geralmente aplicável — esses requisitos se aplicam mesmo quando a rede sem fio não está no escopo do ambiente de dados do titular do cartão (CDE). Eles incluem uma forte segmentação de rede para proteger a rede CDE e a segurança contra ataques de pontos de acesso sem fio (APs) desonestos ou desconhecidos e clientes.
  • Proteger a rede sem fio em um CDE — esses requisitos são obrigatórios para sistemas que transmitem informações de cartões de pagamento pela tecnologia sem fio e com fio. Além dos requisitos sem fio geralmente aplicáveis, eles impõem requisitos de segurança adicionais para mudar senhas e configurações padrão, usando criptografia e autenticação fortes, atualizando regularmente o sistema com software compatível e monitorando o acesso.

Atestado de conformidade PCI DSS 4.0 (AOC)

A solução Juniper Mist foi avaliada por um assessor de segurança PCI DSS independente para atender ao PCI DSS 4.0 Attestation of Compliance (AOC).

Segurança de nuvem

A nuvem da Juniper Mist está fora do ambiente de CDE porque não transporta nenhum dados de pacotes sem fio. Independentemente disso, a Mist toma medidas adicionais para garantir o mais alto nível de segurança na Mist Cloud para garantir segurança, integridade de processamento e disponibilidade conforme listado aqui:

  • Usa dados de nuvem SOC2 Tipo 2/ISO 27001/PCI.
  • Mantém uma política de segurança da informação.
  • Usa firewalls de aplicativos de rede/ listas de controle de acesso.
  • Usa sistema de detecção de invasões (IDS) / Sistema de proteção contra invasões (IPS).
  • Usa criptografia padrão do setor em vários níveis.
  • Ofusca dados armazenados na nuvem.
  • Integra a segurança com ciclos de desenvolvimento e testes de caneta são realizados para detectar vulnerabilidades na rede e aplicativo.
  • Realiza verificações regulares de vulnerabilidades internas e externas agendadas.
  • Implementa treinamento anual de conscientização de segurança para todos os funcionários no escopo.
  • Realiza uma avaliação anual de risco.
  • Inclui plano de resposta a incidentes.
  • Assina um atestado de conformidade PCI DSS (AOC) anual por um assessor de segurança PCI DSS independente.

Os esquemas a seguir podem ser implementados em um ambiente Mist para garantir a segmentação da rede:

  • Segmentação física — Uma maneira de alcançar a segmentação da rede é conectar os APs sem fio em uma rede com fio que é fisicamente separada da rede CDE. Isso implicaria em ter uma infraestrutura com e sem fio overlay que não tenha nenhuma intersecção com a rede com fio para o ambiente de CDE. Nesse esquema, não há firewall ou conexão à Internet que seja compartilhada entre as redes CDE e não-CDE.

  • Segmentação lógica baseada em VLAN — é comum usar LANs virtuais (VLANs) para segmentar as redes em sub-redes lógicas. Embora seja possível alcançar a segmentação lógica tendo a rede sem fio e o CDE em diferentes VLANs, essa metodologia não é considerada segura sem políticas de controle de acesso entre VLANs.

  • Separação de firewall — se a WLAN estiver conectada ao CDE, instituir um firewall entre a rede sem fio e a rede CDE é uma forma aceitável de segmentação que está em conformidade com os requisitos de PCI DSS 4.0.

  • Mecanismo de política definido por software — o mecanismo de política WxLAN integrado da Mist pode ser usado para isolar qualquer tráfego sem fio no ambiente CDE. A Mist oferece uma plataforma poderosa quando se trata de criar políticas para o acesso de função, usuário, aplicativo e recursos baseados em recursos na rede por meio de seu mecanismo de política em linha, wxLAN. A infraestrutura sem fio mist permite que as políticas sejam aplicadas em qualquer rede com fio com acesso à LAN bloqueada para todas as WLANs configuradas no sistema.

Para garantir que a rede sem fio esteja em conformidade com os requisitos geralmente aplicáveis para PCI DSS, os varejistas precisam prestar atenção especial aos seguintes:

  • Dispositivos desonestos — Estes são APs acidentais ou maliciosos na rede com fio que podem ser usados para violar redes internas com acesso a todos os recursos de rede.
  • Dispositivos honeypot — Estes são APs acidentais ou maliciosos que se disfarçam de APs sancionados enviando o beacon AP do varejista.
  • APs não compatíveis e não autorizados — essa categoria inclui APs sancionados que estão fora de conformidade e executam firmware antigo sem segurança crítica. Ele também inclui APs que são vizinhos ou que causam interferências inadvertidas nas operações sem fio dentro de uma loja de varejo ou armazém.

O IDP sem fio é necessário para lidar com esses dispositivos externos para monitorar o ambiente de RF e isolar APs não usados para dados de titulares de cartão. Tradicionalmente, existem duas maneiras principais pelas quais os fornecedores de WLAN têm tratado os requisitos para conformidade com WIDS/WIPS:

  • Meio período — Quando não atendem aos clientes, os APs verificam o espectro em busca de dispositivos desonestos. Essa abordagem é semelhante a ter uma solução de segurança que só funciona algumas vezes, não 24x7.
  • APs dedicados — esses APs oferecem monitoramento de segurança 24x7 da rede sem fio. Embora essa abordagem garanta uma proteção contínua, ela explode o custo de implantação de APs adicionais, além do custo associado de instalação de cabos PoE no IDF/MDF para alimentar os sensores.

Alguns fornecedores usam rádios de banda dupla em APs e roubam um rádio dentro de um AP para implementação de sensores. Essa abordagem pode causar pesadelos no planejamento de canais e pode resultar em cobertura insuficiente. Alguns fornecedores, ao mesmo tempo em que oferecem uma solução de AP tri-rádio com um terceiro rádio dedicado, implantam soluções completas de monitoramento de overlay que são ortogonais para o resto da infraestrutura sem fio e solução de controlador. Eles usam ilhas isoladas de fontes de dados, bancos de dados, visualização e até controles separados para configuração, controle e provisionamento de rádio.

Os APs da Mist oferecem digitalização contínua de 24x7 do espectro ao lado de 2,4 GHz, 5 GHz e 6 GHz de acesso ao cliente. Com essa abordagem, a Mist verifica continuamente o espectro de desonestos, honeypots, interferências e anomalias, como tentativas de conexão mal sucedidas em um local (que pode ser uma fonte para um ataque DDoS).

A plataforma Mist mantém uma linha de base sobre as principais métricas para todos os APs, clientes, locais, locais e grupos de sites. A infraestrutura alimentada por IA da Mist identifica atividades incomuns em todos os níveis da rede. A plataforma Mist pode detectar ameaças existentes e de dia zero. Além disso, a tecnologia de localização da Mist pode ser usada para localizar com precisão dispositivos desonestos acidentais ou maliciosos e fornecer acesso baseado em localização aos recursos.

A estrutura de aprendizado de máquina da Mist pode ser estendida a análises comportamentais nas quais os recursos do dispositivo cliente podem ser verificados na linha de base "normal". Os alertas são gerados quando as posturas-chave mudam, como um dispositivo cliente 4x4 que aparece como um dispositivo 2x2 ou um dispositivo cliente sancionado para um local da Califórnia que acessa a rede a partir de Nova York.

Proteger a rede sem fio no ambiente de dados do titular do cartão (CDE)

O segundo conjunto de requisitos se aplica a dispositivos sem fio na mesma rede onde os dados do cartão de crédito são tratados. A Mist permite que você realize uma verificação de PCI para as VLANs e LANs sem fio no escopo. Ele ajuda você a corrigir as vulnerabilidades na rede sem fio e aplicar políticas no sistema de gerenciamento sem fio.

Tabela 1: Conformidade com PCI DSS da Juniper Mist
REQUISITOS DE PCI DSS V3.1 PARA WIRELESS MIST ESTÁ EM CONFORMIDADE COM A PROPOSTA DE VALOR DA MIST
Diagrama de rede atual de 1.1.2 que identifica todas as conexões entre o ambiente de dados do titular do cartão e outras redes, incluindo quaisquer redes sem fio. O relatório de verificação de PCI da Mist identifica a lista de SSIDs e APs sem fio que se conectam com o CDE.
2.1.1 Para ambientes sem fio conectados ao ambiente de dados do titular do cartão ou à transmissão de dados de titulares de cartões, altere todos os padrões de fornecedor sem fio na instalação, incluindo, mas não limitado a chaves de criptografia sem fio padrão, senhas e strings da comunidade SNMP. A Mist não tem senhas padrão, chaves de criptografia ou strings da comunidade SNMP.
2.4 Mantenha um inventário de componentes do sistema que estejam no escopo do PCI DSS. Mantenha um inventário de componentes do sistema que estejam no escopo do PCI DSS. A Mist oferece uma lista de redes sem fio e APs que estão no escopo do PCI DSS.
4.1.1 Garanta que as redes sem fio que transmitem dados do titular do cartão ou conectadas ao ambiente de dados do titular do cartão usem as melhores práticas do setor para implementar criptografia sólida para autenticação e transmissão. A Mist oferece suporte a padrões de criptografia fortes, incluindo WPA2-PSK e WPA2-Enterprise com criptografia AES. Como parte de seu relatório de verificação de PCI, a Mist chama a atenção para qualquer criptografia fraca usada no SSID no escopo do CDE.

6.2 Garanta que todos os componentes do sistema e software estejam protegidos contra vulnerabilidades conhecidas instalando patches de segurança fornecidos pelo fornecedor aplicáveis. Instale patches críticos de segurança dentro de um mês após o lançamento.

Observação: patches críticos de segurança devem ser identificados de acordo com o processo de classificação de risco definido no Requisito 6.1.

 A Mist disponibiliza o firmware lançado mais recente que inclui qualquer correção crítica necessária para a integridade da rede sem fio. A Mist identifica qualquer AP que ainda não tenha sido atualizado para o firmware mais recente.
7.1 Limite o acesso a componentes do sistema e dados do titular do cartão apenas para aqueles indivíduos cujo trabalho exija tal acesso. O acesso à rede sem fio é restrito a administradores autorizados. Todos os administradores autorizados estão listados no relatório de verificação do Mist PCI.
7.2 Estabeleça um(s) sistema de controle de acesso(s) para componentes de sistemas que restringem o acesso com base na necessidade de um usuário saber e está definido para "negar todos" a menos que especificamente permitido. Os administradores de rede da Mist são designados para funções com escopo limitado de acesso. A função de administrador padrão é Observer (somente visualização).
8.1.1 Atribua a todos os usuários uma ID única antes de permitir que eles acessem componentes do sistema ou dados do titular do cartão. O relatório de verificação de PCI da Mist identifica a lista de SSIDs e APs sem fio que se conectam com o CDE.

8.2 Além de atribuir uma ID única, garanta um gerenciamento adequado de autenticação de usuários para usuários não consumidores e administradores em todos os componentes do sistema, empregando pelo menos um dos seguintes métodos para autenticar todos os usuários:

• Algo que você conhece, como senha ou senha

• Algo que você tem, como um dispositivo de ficha ou uma placa inteligente

• Algo que você é, como uma biometria

 Todos os administradores da Mist são autenticados usando senhas complexas ou autenticação de dois fatores (2FA).
9.1.3 Restrinja o acesso físico a APs, gateways, dispositivos portátil, hardware de redes/comunicações e linhas de telecomunicações. Os APs da Mist podem ser fisicamente seguros com a ajuda de parafusos e suportes disponíveis como parte do kit AP. A segurança física adicional é suportada com o slot de bloqueio de Kensington no AP.
10.1 Implemente trilhas de auditoria para vincular todo o acesso aos componentes do sistema a cada usuário individual. Todos os acessos ao sistema, atualizações e alterações de configuração são rastreados em um log de auditoria.
10.5.4 Escreva logs para tecnologias voltadas para o exterior em um servidor de log ou dispositivo de mídia seguro, centralizado e interno. Todos os logs de eventos são armazenados em servidores centralizados na plataforma mist cloud que está hospedada em um data center SOC 2 Tipo 2.

11.1 Implementar processos para testar a presença de APs (802.11) e detectar e identificar todos os APs autorizados e não autorizados trimestralmente.

Observação: Os métodos que podem ser usados no processo incluem, mas não se limitam a exames de rede sem fio, inspeções físicas/lógicas de componentes e infraestrutura do sistema, controle de acesso à rede (NAC) ou IDS/IPS sem fio. Quaisquer que sejam os métodos usados, eles devem ser suficientes para detectar e identificar dispositivos autorizados e não autorizados.

 O Mist WIDS/WIPS permite a detecção de APs autorizados e não autorizados na rede, eliminando a necessidade de exames sem fio intensivos manualmente. Especificamente, a detecção e a contenção de AP desonestos protegem a rede de CDE de ser comprometida.

Conclusão

Como as organizações dependem mais das redes sem fio como um facilitador chave para serviços empresariais, o PCI DSS requer atenção cuidadosa à segurança da WLAN.

Felizmente, a Mist te cobriu. Ao proteger as redes sem fio contra ataques externos e garantir que os dados transferidos em redes CDE sejam sempre seguros, a Mist Learning WLAN é uma escolha segura para redes sem fio críticas em ambientes de PCI. A principal diferença na arquitetura Mist é como os fluxos de trabalho foram otimizados para proporcionar uma experiência coesa para a TI da rede, equipes de operações de segurança, marketing e outras linhas de negócios. Com a Mist, a conectividade da camada de acesso e os aplicativos associados agora se resumem a fornecer uma experiência abrangente, incrível e segura.