• (11) 3280-2683 (3280-ANTE)
  • cursos@antebellum.com.br
Estudo de Caso

Todo o treinamento se passa dentro de uma organização fictícia, onde os controles são implantados para suprir as mesmas necessidades da maioria das empresas

Exercícios

Durante o treinamento, várias questões são apresentadas para testar a assimilação do conhecimento pela turma

Casos Reais

O Material é recheado com histórias reais que ilustram os conceitos aprendidos durante o treinamento

Pré-requisitos

Conhecimentos básicos de Tecnologia da Informação e Desenvolvimento de aplicações

Objetivo

Capacitar o aluno a definir o escopo e aplicar os controles do PCI DSS no ambiente de dados de cartão.

Público Alvo

Todo o pessoal técnico envolvido com o manuseio de dados críticos, mais especificamente os custodiantes das informações, normalmente pertencentes à área de tecnologia da informação. Dentre esses profissionais destacamos:

  • Desenvolvedores, Integradores e arquitetos de sistemas
  • Profissionais de segurança da informação

Características:

  • Carga Horária: 24 Horas
  • Valor parcelado: R$ 3.000,00 (10 vezes)
  • Valor à vista: R$ 2.400,00 (20% de desconto)

Valores especiais para turmas in-company

SOBRE O TREINAMENTO PCI 505

Da experiência da Antebellum em ministrar os treinamentos oficiais de certificação ISA (Internal Security Assessor), o treinamento de implementação do PCI DSS 3.2 e o treinamento de Desenvolvimento Seguro, preparatório para a certificação Secure Programming do Exin, nasceu o treinamento PCI 505 – Desenvolvimento Seguro para o PA-DSS

Este treinamento oferece a oportunidade de aumentar a expertise de seus colaboradores nos padrões de segurança do PCI Council e a eficiência de sua empresa na implementação dos controles necessários para a criação de sistemas em conformidade com o padrão PA-DSS

Objetivos do Curso

A Evolveris e o grupo de colaboradores mais envolvido com a segurança da informação é apresentado aos alunos. Hilda solicita que o CIO da empresa (Willian) faça um levantamento de todos os tipos de dados que a empresa processa e armazena, e em seguida pede que Olívia (Jurídico) identifique as leis, normas e regulamentações relacionadas às atividades da empresa e a esses tipos de dados. Juntos, Olívia e Wallace (CISO) desenham as políticas de retenção de dados e diretrizes para comunicação com portadores de cartão de pagamento para atenderem ao PCI DSS.

Allan, o CSO da Evolveris posiciona a segurança da informação no organograma da empresa, explana sobre o enquadramento da Evolveris nos programas de conformidades das bandeiras de cartões de pagamento e apresenta o PCI Council e seus padrões de segurança para os outros gestores da empresa. Wallace, o CISO, apresenta os componentes de SI (processos, pessoas e tecnologia), os conceitos de defesa em profundidade, o processo de criação de controles de segurança e os tipos e funções das medidas de segurança existentes.

Apresenta os fatores que levam as empresas a exigir cada vez mais dos desenvolvedores o conhecimento de técnicas de desenvolvimento seguro, a necessidade de equilíbrio entre segurança, usabilidade e custo, e o papel estratégico da segurança no desenvolvimento para as empresas de software

Wallace apresenta os critérios utilizados para armazenamento de dados de cartões de pagamento nas aplicações desenvolvidas pela Evolveris, de acordo com o requerimento 1 do PA-DSS. Dentre os tópicos apresentados estão as trilhas de dados dos cartões, os dados nos chips EMV, as exigências de eliminação segura dos dados e os dados que podem e que não podem ser armazenados segundo o PCI SSC para emissores e demais empresas.

Neste capítulo os alunos são apresentados aos princípios de truncagem de dados de cartão, criptografia simétrica, Kerckhof, hash e as técnicas para gerenciamento e proteção de chaves.

Neste capítulo são analisados os conceitos de identificação, autenticação e autorização, as exigências de identificação exclusiva, a força das senhas de acordo com sua composição, as proteções para as senhas em trânsito, o uso de salt para salvar senhas e o uso de privilégio mínimo para contas de aplicações.

Neste capitulo são apresentados conceitos como o Triple A Reference monitor, autorização horizontal e vertical, TOC/TOU, condição de corrida, envenenamento de sessão, DACL, SACL, políticas de auditoria e centralização e monitoramento de logs.

Neste que é sem dúvida o mais importante e extenso tópico do curso discutimos o ciclo de vida do desenvolvimento de software, os requisitos de segurança, arquitetura e codificação segura, testes de segurança, gerenciamento de erro, falhas de injeção (SQL Injection), Buffer Overflow, o modelo de segurança dos navegadores, Cross-Site Scripting, referencia indireta a objetos, gerenciamento de sessão, CSRF (Cross Site Request Forgery), clickjacking, controle de mudanças e versionamento.

Neste capítulo Wallace apresenta o conceito de TCB (Trusted Computing Base), os cuidados de configuração de senhas e comunidades SNMP, autenticação e transmissão em redes Wireless, autenticação PSK e Enterprise.

Neste capítulo discute-se os testes de vulnerabilidades, a linha de tempo que qual os ataques acontecem, exploits, zero-days e o funcionamento do CVSS.

Este capítulo aborda o alinhamento dos sistemas PA-DSS com o PCI-DSS para que estes não interfiram na segurança do ambiente e trabalhe de forma segura com autenticação multifator,

Este capítulo estuda os firewalls, DMZ´s e a forma das aplicações trabalharem sem que os dados estejam armazenados em servidores conectados à Internet.

Este capítulo estuda a configuração das aplicações para que possam trabalhar facilmente com acesso remoto seguro e autenticação multifator.

Neste capítulo Samuel explica o funcionamento da criptografia assimétrica, dos certificados digitais e das ICP´s (PKI´s), demonstrando como a Evolveris utiliza a criptografia para atingir os objetivos de conformidade e aumentar a segurança ao transmitir dados de cartões de pagamentos de forma segura, utilizando VPN, TLS e WPA.

Este capítulo é focado em preparar a aplicação para facilitar o uso de ferramentas seguras para acesso administrativo.

Este capítulo apresenta os requerimentos do PCI PA-DSS para a confecção do guia de implementação do sistemas.

Este capítulo apresenta a necessidade de capacitação e as responsabilidades de cada colaborador para o PA-DSS

Apresenta os recursos disponíveis para obter mais informações sobre desenvolvimento seguro e PA-DSS

Nossos Clientes

A Antebellum mantem um relacionamento de qualidade e confiança com grandes clientes em todo o Brasil.