• (11) 3280-2683 (3280-ANTE)
  • cursos@antebellum.com.br
Estudo de Caso

Todo o treinamento se passa dentro de uma organização fictícia, onde os controles são implantados para suprir as mesmas necessidades da maioria das empresas

Exercícios

Durante o treinamento, várias questões são apresentadas para testar a assimilação do conhecimento pela turma

Casos Reais

O Material é recheado com histórias reais que ilustram os conceitos aprendidos durante o treinamento

Pré-requisitos

Conhecimentos básicos de Tecnologia da Informação

Objetivo

Capacitar o aluno a definir o escopo e aplicar os controles do PCI DSS no ambiente de dados de cartão.

Público Alvo

Todo o pessoal que gerencia ou executa serviços de TI relacionados com a transmissão ou manutenção dos dados de cartão de crédito.

  • Gestores, Consultores, Pessoal de Suporte, e gerentes de projeto de serviços de TI
  • Administradores de bancos de dados
  • Desenvolvedores,Integradores e arquitetos de sistemas
  • Engenheiros e especialistas de rede
  • Profissionais de segurança da informação

Características:

  • Carga Horária: 24 Horas
  • Valor parcelado: R$ 3.000,00 (10 vezes)
  • Valor à vista: R$ 2.400,00 (20% de desconto)

Valores especiais para turmas in-company

SOBRE O TREINAMENTO PCI 501

Da experiência da Antebellum em ministrar os treinamentos oficiais de certificação ISA (Internal Security Assessor) e da constatação da necessidade de um treinamento menos focado em auditoria e mais focado na implementação dos controles necessários para reforçar a segurança de dados de cartões de pagamento nasceu o treinamento de implementação do PCI DSS 3.1.

Este treinamento oferece a oportunidade de aumentar a expertise de seus colaboradores nos padrões de segurança do PCI Council e a eficiência de sua empresa na implementação dos controles necessários para atender aos requisitos e alcançar a conformidade com o PCI DSS 3.1.

Objetivos do Curso

Devido à escalado dos ataques a empresas que armazenam, processam ou transmitem dados de cartão de crédito, as bandeiras de cartão tem cada vez mais criado clausulas contratuais sobre a proteção de dados, assim como exigências de auditoria e certificação das empresas em relação à proteção de dados do portador de cartão


Em vista deste cenário, as maiores bandeiras de cartão de pagamento do mundo uniram-se para criar um padrão de segurança que pudesse garantir os requisitos mínimos de segurança para estes dados e juntamente a adquirentes, prestadores de serviço e comerciantes fundaram o PCI Council (PCI SSC), orgão responsável pela manutenção do padrão de segurança PCI DSS, que atualmente encontra-se na versão 3.1.

Juntamente com o padrão, criou-se um programa de auditoria e certicação em segurança da informação, tanto da empresa como dos profissionais que lidam com estes dados

Este treinamento fornece todo o conhecimento necessário para obter a certiicação PCI Professional e para certificar a sua emrpesa como PCI Compliant

O Treinamento leva o aluno a conhecer os controles de segurança utilizados na Evolveris, uma empresa fictícia cujo nome em Latim significa “Que está evoluindo”. A Evolveris líder em educação básica, média e universitária, além de oferecer dezenas de cursos de extensão e capacitação profissional.

Em 2010, a Evolveris foi adquirida pela Antebellum Group, um grupo internacional, proprietário de diversas universidades e centros de treinamento em todo o mundo. Desde então, a empresa tem realizando grandes esforços, em todos os sentidos, para se adaptar ao nível de exigência das regulamentações americanas e europeias, assim como atender aos anseios da governança corporativa da empresa

Dentro deste cenário, este curso apresenta passo a passo as ações tomadas para a implantação dos controles responsáveis pela conformidade da organização com os requisitos do PCI DSS 3.0, desde a conscientização da alta gestão até a implantação de cada um dos controles dentro de uma ordem sugerida pelo próprio PCI Council

A narrativa do curso se dá em forma de história, que começa com a chegada de uma nova CEO, com a missão de garantir a segurança de dados de cartão de pagamento na Evolveris.

O Curso é dividido em 7 partes com 28 capítulos, durante os quais as personagens apresentam as políticas e as tecnologias utilizadas para a proteção de dados críticos na organização.

Trata da Primeira parte da abordagem priorizada para implantação do PCI, onde os dados de portadores de cartão devem ser identificados e devidamente isolados do resto da rede

Introdução: A Evolveris e o grupo de colaboradores mais envolvido com a segurança da informação é apresentado aos alunos. Hilda solicita que o CIO da empresa (Willian) faça um levantamento de todos os tipos de dados que a empresa processa e armazena, e em seguida pede que Olívia (Jurídico) identifique as leis, normas e regulamentações relacionadas às atividades da empresa e a esses tipos de dados. Juntos, Olívia e Wallace (CISO) desenham as políticas de retenção de dados e diretrizes para comunicação com portadores de cartão de pagamento para atenderem ao PCI DSS.

Capítulo 1 - A Evolveris e o PCI Council: Allan, o CSO da Evolveris posiciona a segurança da informação no organograma da empresa, explana sobre o enquadramento da Evolveris nos programas de conformidades das bandeiras de cartões de pagamento e apresenta o PCI Council e seus padrões de segurança para os outros gestores da empresa. Wallace, o CISO, apresenta os componentes de SI (processos, pessoas e tecnologia), os conceitos de defesa em profundidade, o processo de criação de controles de segurança e os tipos e funções das medidas de segurança existentes.

Capítulo 2 - Análise de Riscos: Allan inicia um processo de análise de riscos baseado nas melhores metodologias de mercado, como a ISO 27005 e NIST SP 800-30 revision 1. Para atender ao requisito 12.2 Allan estabelece sistemas de gestão de riscos com um processo de revisão anual dos riscos.

Capítulo 3 - Localização dos Dados: Wallace desenha um diagrama de rede que identifica todos as conexões entre o ambiente de dados de portadores de cartão, ou CDE (Cardholder Data Environment), e demonstra o fluxo de dados de cartões dentro dos sistemas e redes. Adicionalmente, Willian se utiliza de ferramentas para identificar dados de cartões que possam estar em outras localidades além das documentadas.

Capítulo 4 - Retenção de Dados: Wallace apresenta os critérios utilizados para armazenamento de dados de cartões de pagamento na Evolveris.

Capítulo 5 - Descarte de Dados: Wallace apresenta os controles utilizados para a destruição de dados que não possuem mais uma necessidade legal ou de negócio para serem armazenados.

Este módulo introduz alguns conceitos fundamentais para estabelecer a conexão entre os objetivos da área de Segurança da Informação e os objetivos de negócio das empresas.

Capítulo 6 – Definição de Escopo: Wallace apresenta a Hilda as estratégias de segurança relacionadas à identificação do fluxo de dados de portadores de cartão dentro da Evolveris e de todos os componentes por onde estes dados trafegam, são armazenados ou processados.

Capítulo 7 – Configuração dos ativos de rede: Alex apresenta as políticas de configuração dos ativos de rede, incluindo as regras de firewall, NAT, técnicas anti-spoofing e sincronização dos arquivos de configuração. Alex especifica também os protocolos em uso e apresenta os mecanismos de detecção de intrusos nos diferentes segmentos de rede criados através de perímetros que separam diferentes zonas com diferentes níveis de confiança através de firewalls, switches e roteadores.

Capítulo 8 – Configuração padrão: Alex apresenta as políticas definidas para a substituição de senhas dos ativos de rede e dos softwares instalados na Evolveris antes da implantação dos mesmos na rede corporativa.

Capítulo 9 – Configuração de Endpoint: Wallace apresenta as políticas e configurações utilizadas pela Evolveris para a configuração do(s) software(s) em execução nos hosts. Que incluem o antivírus, firewall pessoal e monitor de integridade nos equipamentos dentro do ambiente de dados do portador de cartão.

Capítulo 10 – Criptografia Assimétrica: Samuel, o coordenador de infraestrutura apresenta os fundamentos da criptografia assimétrica, certificados digitais, autoridades certificadoras, Infraestrutura de chaves públicas e assinatura digital.

Capítulo 11 – Criptografia aplicada à transmissão de dados: Samuel continua sua explicação, demonstrando como a Evolveris utiliza a criptografia para atingir os objetivos de conformidade e aumentar a segurança ao transmitir dados de cartões de pagamentos de forma segura, utilizando VPN, SSL/TLS e WPA.

Capítulo 12 – Acesso Remoto: Samuel apresenta as políticas de acesso remoto, que incluem autenticação forte, baseada em mais de um fator, as características criptográficas para acesso administrativo.

Capítulo 13 – Controles Físicos: Allan apresenta os controles de segurança física como a proteção do perímetro físico, áreas sensíveis, controles de acesso ao ambiente, CFTV, pontos de rede, estações desbloqueadas, informações nas estações de trabalho, além das políticas de controle de dispositivos de pagamento com lista de dispositivos, e inspeção periódica dos mesmos.

Capítulo 14 – Testes de vulnerabilidades: Samuel apresenta as políticas e as metodologias utilizadas para realizar os testes trimestrais de vulnerabilidades e os testes anuais de invasão no ambiente de dados do portador de cartão.

Capítulo 15 – Provedores de Serviço e Plano de resposta a incidentes: Wallace apresenta as políticas para controle de provedores de serviço, os controles para resposta a incidentes de segurança e apresenta o plano de resposta a incidentes da Evolveris para o caso de vazamento de dados

Este módulo apresenta os cuidados exigidos para o desenvolvimento de aplicações e para a manutenção de sua segurança.

Capítulo 16 – Configuração: Samuel descreve os procedimentos para criação e manutenção de padrões de instalação e configuração segura (hardening) dos componentes do sistema, assim como os procedimentos criados para que estes sistemas permanecem sempre atualizados e com uma configuração segura em qualquer tipo de componente, incluindo sistemas operacionais, páginas WEB, e firmware de ativos como roteadores e firewalls.

Capítulo 17 - Desenvolvimento: Gabriel, o “Lenda”, explica como os princípios de segurança no design e segurança por default são aplicados nos desenvolvimentos internos da Evolveris. Apresenta também a separação entre os ambientes de desenvolvimento, teste e produção, os procedimentos para gestão de mudanças em software, treinamento de desenvolvedores e os cuidados tomados na validação das entradas dos sistemas para evitar falhas de Buffer overflow, SQL Injection

Este módulo apresenta os mecanismos utilizados para autenticar os usuários, fornecer acesso e monitorar o uso dos recursos tecnológicos que protegem os dados de cartão

Capítulo 18 – Controle de Acesso: Willian apresenta a política de controle de acesso da Evolveris, as regras para criação e manutenção de senhas seguras e os conceitos de gestão e identidades, identificação única, Need to Know, privilégio mínimo, segregação de funções.

Capítulo 19 – Reference Monitor: Wallace apresenta os conceitos de Reference Monitor, Trile A, DACL’s, SACL’s, Auditoria de eventos (Logs), assim como o processo e a política de auditoria e os cuidados para sincronização de hosts (NTP).

Capítulo 20 – Autenticação: Willian analisa as diferenças entre os processos de autenticação mais utilizados em sistemas operacionais, como o passwd, SAM, domínios e Kerberos. Discute também, as políticas de acesso a banco de dados e autenticação com Smatcards.

Capítulo 21 - Monitoramento: Alex apresenta as políticas e recursos de monitoramento do ambiente utilizados para detectar alterações em arquivos críticos, redes wireless não autorizadas. O Capítulo aborda tecnologias como Scanners de vulnerabilidades, IDS, IPS e NAC.

Este módulo apresenta os tipos de controles utilizados para proteger os dados do portador do cartão que venham a ser armazenados pela organização.

Capítulo 22 – Proteção de Dados Armazenados: Wallace apresenta as bases da criptografia simétrica, truncagem e hash de dados através da teoria e da demonstração da criptografia de arquivos, bancos de dados, discos e backups utilizada na Evolveris para a proteção dos dados armazenados.

Capítulo 23 – Gerenciamento de Chaves: Wallace apresenta os conceitos de Reference Monitor, Trile A, DACL’s, SACL’s, Auditoria de eventos (Logs), assim como o processo e a política de auditoria e os cuidados para sincronização de hosts (NTP).

Capítulo 24 – Tokenização: Samuel apresenta os conceitos de Tokenização e como essa metodologia vem sendo aplicada dentro da Evolveris para diminuir o impacto de um eventual vazamento de dados.

Neste módulo são apresentados os conceitos organizacionais necessários para sustentar os controles organizacionais dentro da organização

Capítulo 25 – Gestão de Mudanças: Wallace apresenta os controles utilizados para garantir uma gestão adequada das alterações realizadas nos componentes dos sistemas da Evolveris, dentre eles a documentação de impacto, aprovação da mudança, teste de funcionalidade e procedimentos de retorno.

Capítulo 26 – Política de Segurança: Allan apresenta o processo de criação e aprovação da política de segurança da Evolveris, assim como a sua divulgação e a capacitação da equipe nos assuntos referentes à segurança da informação.

Este módulo apresenta documentos fornecidos pelo PCI Council e os sites e foruns de apoio para a equipe responsável pelo PCI na organização

Capítulo 27 – Documentos de Apoio: Allan apresenta os documentos disponibilizados pelo PCI Council para auxiliar as empresas na obtenção da conformidade com os padrões vigentes.

Capítulo 28 – SAQ's, ROC's, AOC's e Planilhas de Controles Compensatórios: Allan explica as diferenças entre os Questionários de auto-avaliação (SAQ’s) e Relatórios de conformidade (ROC’s), e Atestados de Conformidade (AoC), além de demonstrar os requisitos e passos para preenchimento da planilha de controles compensatórios.

Nossos Clientes

A Antebellum mantem um relacionamento de qualidade e confiança com grandes clientes em todo o Brasil.