Autenticação de múltiplos fatores

Nos últimos anos, com o avanço da Tecnologia da Informação, tornou-se cada vez mais fácil realizar qualquer coisa através de aplicativos e dispositivos móveis.

Na mesma proporção tem aumentado drasticamente o número de fraudes relacionado a cartão de créditos, apesar de todos os esforços das empresas de proteger as informações privilegiadas de clientes. Em 2006, mais de US$ 4 milhões foram gastos em operações fraudulentas nos Estados Unidos, de acordo com o U.S Departament of Justice.

Pensando nisso, os governos estudam formas rígidas para combater esse tipo de crime, enquanto os bancos e as operadoras de cartão de crédito tomaram suas próprias iniciativas para criar normas para garantir boas práticas no uso, manuseio e armazenamento de dados de cartão de crédito: Payment Card Industry (PCI) – Data Security Standard (DSS).

 

O que é o PCI DSS?

O Payment Card Industry Security Standards Council (PCI-SSC) especifica recomendações mínimas de segurança obrigatórias para todas as empresas que participam da rede de captura de pagamento com cartões: como o comércio e prestadores de serviços que processam, armazenam e/ou transmitem eletronicamente dados do portador do cartão de crédito.

Os padrões PCI DSS são muito importantes para garantir a segurança esperada por empresas que movimentam e armazenam dados de cartões de créditos.

Em sua ultima versão, o PCI DSS 3.2 inclui, dentre as novas exigências, a obrigatoriedade do uso de autenticação de múltiplos fatores (MFA) para ambiente de armazenamento de dados do titular do cartão (CDE).

Esta nova exigência já havia sido estudada desde a versão 1.0 do PCI, mas, para apenas acessos remotos de redes externas para CDE. No entanto, nesta nova versão, o conselho PCI definiu a exigência de autenticação de múltiplos fatores para todos que possuem acesso administrativo, e não só somente para acesso remoto para o CDE.

Por que a Autenticação de múltiplos fatores agora é considerada obrigatória para PCI DSS?

 

Segundo Troy Leach, CTO do PCI, a autenticação de múltiplos fatores é essencial para tornar as medidas de segurança mais eficientes, para a realidade em que vivemos, sobre os acessos privilegiados. A cada dia que passa, atacantes possuem cada vez mais expertise para acessar de diversas formas uma organização e chegar aos dados privilegiados.

Sendo assim, a solução para a autenticação de múltiplos fatores se dá como uma forma de coibir e controlar ainda mais as credenciais privilegiadas, dificultando falhas humanas de possuir apenas uma senha comum em um acesso de risco.

A autenticação de múltiplos fatores pode ser realizada basicamente pela combinação de alguns desses três aspectos:

O que a pessoa sabe: nesse modelo a autorização é concebida através de uma informação que só o usuário possua. O mais comum é a utilização de usuário e senha.

Quem a pessoa é: essa autenticação pode ser implementada através de verificação de características físicas da pessoa, realizada com o apoio de aparelhos específicos. Como, por exemplo: biometria, retina, voz.

O que a pessoa tem: a autenticação é realizada através de dispositivos como cartões magnéticos, tokens, smartcards. Esses dispositivos são programados com os dados criptografados do usuário e posteriormente lidos por hardwares acoplados a um computador.

 

Quais as áreas da organização precisam realizar a autenticação de múltiplos fatores?

 

No blog da organização PCI DSS (https://blog.pcisecuritystandards.org/preparing-for-pci-dss-3-2-summary-of-changes), Troy Leach diz que o ponto mais importante é a exigência destinada a todos os acessos administrativos no ambiente de dados do titular do cartão, tanto de dentro quanto de terceiros que possuam a capacidade de alterar sistemas e outras credenciais de rede, e que possam comprometer a segurança do ambiente.

Para se prepararem para essa mudança, as organizações devem avaliar como eles estão atualmente, e gerir a autenticação em seu ambiente de dados do titular do cartão. Além de rever a atual função de administradores e acessos para identificar onde as mudanças devem ocorrer para a autenticação.

 

Sobre André L.R.Ferreira

Diretor da Netdeep Tecnologia.
Atua no desenvolvimento de produtos e tecnologias de Segurança da Informação. Possui mais de 15 anos de experiência em consultoria para instituições privadas e públicas.

Deixe o seu comentário

netdeep