Porque o PCI DSS não funciona

Carlos Cabral
Jan 29, 2015 · 9 min read

Já se contam seis anos em que dediquei muito do meu tempo e esforço no sentido de ajudar empresas a se certificarem em um padrão de segurança da informação. Em termos gerais esta atividade é muito objetiva, basta a organização entender os requisitos do padrão e aplicá-los à sua realidade. Simples não é? Pelo contrário, diversos fatores influenciam no resultado desta equação e ela nem sempre gera resultados matematicamente corretos. Gostaria de demonstrar aqui as contradições deste modelo. Algumas delas já permeiam o senso comum, mas penso que outras são mais profundas e envolvem personagens e estruturas obscuras as quais precisam ser desenterradas e e avaliadas à luz natural.

Fazer segurança da informação pode ser um trabalho indigesto porque embora esta atividade desperte um brilho nos olhos dos mais novos (como despertou nos meus, anos atrás), seu dia a dia demanda o trato com características comuns da operação de qualquer área: Orçamento, Estrutura e Recursos Humanos. Hoje vivemos o que chamam de “era da Inovação”. A palavra inovação é charmosa, mas o que se traduz em suas vísceras é que dificilmente é possível ter orçamento, estrutura e recursos humanos de primeira categoria.

Em primeiro lugar, o orçamento é direcionado para o motor que faz a roda da inovação girar e converter o trabalho de toda organização em dinheiro. Já pude presenciar e participar de debates acalorados a respeito dos baixos níveis de orçamento para a proteção da organização em contraste com os riscos de sua operação. Muitos podem usar o clichê de que segurança não pode engessar o negócio, pois caso contrário a empresa não lucra e não paga o seu salário. Este mantra está correto. No entanto, muitos usam esta premissa como disfarce para sua própria falta de capacidade em negociar orçamento, tratar riscos ou ser criativo no desenho de soluções.

Na vida do “faz o que pode” marcada pelos baixos orçamentos é consequentemente óbvio que não é possível adquirir ótimos profissionais no mercado. É necessário usar o que se tem à mão e seduzi-los para mantê-los ganhando aquilo que foi possível conseguir no orçamento. Neste baile, o “orçamento ruim” dança “cheek to cheek” com recursos humanos de má qualidade e o resultado se reflete na estrutura. Não é possível ter um ambiente organizado, padronizado e com elevado nível de segurança se o orçamento não permite o acesso a boas tecnologias e pessoas bem formadas.

Sendo assim é preciso achar uma saída. Ao se deparar com este cenário a elite pensante determinou que o único caminho é o de elaborar padrões com a receita universal do que “deveria ser” e inseri-los no cotidiano (para não dizer pela goela) das organizações. E é aí que eu entro, não porque faço parte da elite pensante, mas porque eu era um dos caras que checava se a organização que “faz o que pode” está OK ou Não OK com o que está escrito.

Trabalhei com um padrão de segurança desenvolvido pelas corporações de cartão de crédito para estancar perdas em fraudes. A disseminação da Internet e a popularização do comércio online criou um terreno fértil para o aumento das fraudes com cartões pois, por um lado o comércio não estava preparado para proteger esta informação pelos motivos que já disse acima e por outro a gigantesca indústria de cartões de pagamento que envolve bandeiras, bancos e diversos prestadores de serviços não se movimenta na mesma velocidade que fraudadores.

Desta maneira, as bandeiras MasterCard, Visa, American Express, JCB e Discover formaram um conselho (PCI Council) e juntaram insumos de padrões de segurança desenvolvidos isoladamente, mas que tinham tímida adesão pelo mercado em um documento chamado de Payment Card Industry Data Security Standard (PCI DSS). Este padrão tem a missão bíblica de determinar o que todas as empresas envolvidas na interação com dados de cartão devem fazer para proteger as informações em seus ambientes e assim garantir a saúde das receitas das grandes corporações de cartão e de outras menores que exploram esta indústria. Nesta era em que o ato de consumir é tão sagrado quanto frequentar a igreja, foram ali estabelecidos os mandamentos de salvação da alma da indústria de cartões de pagamento.

Uma indústria funciona como um ecossistema em que os mais adaptados sobrevivem e os mais fortes dominam a cadeia alimentar. Em uma transação de pagamento com cartões o consumidor compartilha os dados de seu cartão com um estabelecimento comercial que os envia para a bandeira do cartão por meio de uma rede adquirente. Ao receber os dados, a bandeira os redireciona para o banco que emitiu este cartão, pois é ele que concede ou não o crédito e após a sua avaliação sistêmica o pacote da transação (aprovada ou não) retorna pelo mesmo caminho. Podem existir diversas outras empresas neste fluxo, entretanto as entidades básicas desta Indústria são os estabelecimentos, os adquirentes, as bandeiras e os bancos. Todos, em tese deveriam respeitar o PCI DSS e outros padrões específicos desenvolvidos pelo PCI Council.

Vou poupar o leitor do tédio de ler vários parágrafos sobre as especificidades técnicas do PCI DSS e de diversos outros padrões posteriormente criados pelo conselho das corporações da Indústria de Cartões de Pagamento. Existem toneladas de documentos sobre isso publicados por aí.

De maneira geral os padrões determinam que a entidade que participa da industria implemente diversas medidas para se certificar tendo que adequar os seus processos e implementar tecnologias, algumas destas por meio da contratação de produtos e serviços aprovados pelo conselho.

Identificando aí uma oportunidade, diversos fabricantes de soluções de segurança desenvolveram ou alteraram os seus produtos para atender ao PCI DSS. O efeito disso foi que se criou uma outra indústria: A Indústria dos Padrões de Segurança da Indústria de Cartões de Pagamento.

Com o tempo o conselho foi aumentando de tamanho e empresas envolvidas em soluções de segurança foram cada vez mais se integrando ao intestino do conselho, de maneira que há ali um círculo retroalimentado em que entidades que lucram com soluções (lista aqui) participam da definição das regras que depois são introduzidas no cotidiano de todas as outras empresas. Algo muito parecido com a indústria da guerra que sustenta burocratas os quais jogam querosene em disputas alimentando a disseminação de conflitos em pontos distantes do globo e consequentemente gerando demanda por produtos.

Ou seja, assim como a indústria da guerra não existe para acabar com a guerra, a Indústria dos Padrões de Segurança da Indústria de Cartões de Pagamento não quer acabar com as fraudes. O sustento de ambas está na perpetuação do problema.

Felizmente nunca arrisquei a vida neste trabalho, mas a minha posição nesta ciranda também contemplava riscos. Na Indústria dos Padrões de Segurança da Indústria de Cartões de Pagamento aquele que assina um relatório dizendo que um ambiente está em conformidade divide com a entidade certificada a responsabilidade pela decisão em considerar aquele ambiente apto ou não. Desta maneira, a parte mais importante do meu trabalho era ter muito cuidado com o que validava, pois a qualquer momento eu poderia estar sendo enganado pelo meu cliente ou por minha interpretação.

Esta tensão da atividade se mistura com os problemas contextuais das empresas os quais já mencionei aqui (Orçamento, Estrutura e Recursos Humanos) e comportamentos tradicionais da humanidade como o egoísmo, ganância e desonestidade como já disse no artigo “PCI DSS: Não seja um babaca”.

Toda instituição seja ela governamental, religiosa ou do mercado possui neste momento um jogo de poder em curso. Se nem as regras que fazem parte do contato humano com o divino em religiões de milhares de anos são cumpridas ou são interpretadas das mais variadas maneiras, imagine um padrão de segurança da informação o qual desde a sua gestação tem em seus resultados os olhos gananciosos de diversas corporações. Dentre o grupo de profissionais que trabalham na elaboração destas regras pode haver gente realmente interessada na proteção das informações de cartão. Entretanto estes operam como pequenas engrenagens de uma máquina que é operada por entidades muito mais poderosas e que não se importam tanto em cumprir regras. Para explicar melhor isto preciso falar sobre a cadeia de poder desta indústria.

A missão do conselho é a de aplicar em seus documentos as melhores práticas de segurança, mas este não possui a autoridade para obrigar o mercado a cumprir os requisitos. Sua única influência é sobre as empresas que certificam ou treinam profissionais, das quais cobram taxas exorbitantes e obrigam a contratação de seguros milionários para operar.

A função de obrigar o mercado a se certificar é das bandeiras de cartão. Estas, conforme estipulado em seus contratos e livros de regras (MasterCard aqui, Visa aqui, American Express aqui, Discover aqui e JCB aqui) obrigam as demais empresas da cadeia a estarem em conformidade. Entretanto a posição contratual que uma entidade da indústria tem com a outra pode gerar um tremendo impacto na forma como a obrigatoriedade de certificação é aplicada. Explico:

O contrato dos adquirentes com os estabelecimentos é um típico contrato de adesão. Ou seja, dependendo do tamanho do estabelecimento comercial este possui pouca força em determinar cláusulas contratuais que atendam à sua realidade e tem que engolir o que estiver no contrato pois precisa vender com cartão. O mesmo ocorre com os adquirentes, por operarem em uma espécie de concessão em que as bandeiras permitem que seus cartões trafeguem em sua rede, os adquirentes precisam aplicar todas as regras e duas destas regras são: estar em conformidade com o PCI DSS e manter um programa que obrigue os estabelecimentos a estarem em conformidade também. Caso não cumpra com estas condições, as empresas devem pagar multas. No caso de problemas com o estabelecimento quem é multado é o adquirente (pois a bandeira não tem contrato direto com o comerciante) e este pode transferir a multa para o estabelecimento.

Vejam onde chega o poder das bandeiras: elas obrigam a conformidade do adquirente diretamente e a conformidade do estabelecimento indiretamente (por meio do adquirente).

Conceitualmente (no papel) o raciocínio está correto, mas como quase tudo no universo dos padrões PCI a prática pode deixar a desejar. Pois existem relações comerciais que entram em choque com estas premissas. O mercado de adquirência é marcado por uma concorrência brutal e nenhum adquirente pode se dar ao luxo de perder a exclusividade com um grande varejista por causa de um certificado. O que ocorre é que estas coisas vão sendo empurradas com a barriga até o momento crucial em que a multa chega. Nesta condição de anticlímax a situação comercial com o estabelecimento fará o adquirente decidir se vai transferir ou absorver a multa. Em toda minha história profissional neste mercado somente vi uma multa ser transferida pelo adquirente. Na maior parte do tempo reina a ameaça de que o estabelecimento será multado.

Mas e os bancos?

Quando determina as obrigações de cada tipo de estabelecimento para a conformidade ao PCI DSS, as bandeiras dividem os comerciantes em níveis, de maneira que aqueles que possuem o maior número de transações por ano devem atender a regras mais rígidas que os menores. Isto porque aqueles que manipulam maior volume de dados representam o maior risco.

No entanto, os bancos manipulam um volume de dados de cartão maior que qualquer estabelecimento e estes deveriam ser os primeiros a estarem certificados. No Brasil é possível contar nos dedos de uma só mão quais bancos estão nesta situação privilegiada. E porque as bandeiras não penalizam ou deixam de trabalhar com estas instituições?

Na relação de poder que os bancos possuem com as bandeiras estes são tratados por elas como clientes (ou até acionistas). Pois são eles que oferecem o crédito aos consumidores e podem escolher com qual bandeira irão operar. Ademais vamos ser francos, são os bancos que mandam no mundo e se os bancos gostassem mesmo de cumprir regras o mundo não teria mergulhado na crise da qual tenta se reerguer desde 2008.

A aderência ao PCI DSS é algo que precisa ser visto pelas entidades que operam nesta indústria como uma ferramenta que pode melhorar sensivelmente a segurança de sua estrutura e a maturidade de seus recursos humanos. No entanto, apostar todas as fichas na conformidade do mercado é um ato de ingenuidade e que somente favorece a Indústria dos Padrões de Segurança da Indústria de Cartões de Pagamento.

As bandeiras precisam considerar que este modelo de transações com cartão que depende do envio e recebimento de dados estáticos é algo obsoleto. Transferir a responsabilidade de proteger esta obsolescência da qual as bandeiras são mantenedoras para os que tem menor força na indústria (pois os bancos se safam disso), além de ser uma jogada irresponsável, é decretar a sua própria incompetência em modernizar o mercado.

É mais interessante investir tempo, esforço e dinheiro em soluções nas quais os dados enviados somente tenham a validade de uma transação e aplicando padrões rígidos somente nas empresas que cumpram funções mais críticas do sistema, sem depender da conformidade de todas as entidades da indústria. A função das bandeiras, mais do que chicotear os comerciantes e os adquirentes para fazer caixa com as multas, é estimular o desenvolvimento e propagação de "inovações" tecnológicas. Mas sabemos que estas não conseguiram nem disseminar o EMV (chip) nos Estados Unidos.

A maior evidência de que o PCI DSS é um paliativo superado são as recentes fraudes colossais em empresas de grande porte que já haviam sido certificadas.

É comum na "era da inovação" a corrida insana entre as empresas para, o quanto antes apresentar uma solução revolucionária ao mercado. Mas também é possível ver entre os grandes "players" uma anti-corrida em que cada corporação fica olhando para a sua concorrente para saber quem vai ter coragem de dar o primeiro passo e investir em uma solução revolucionária. Só quando um avança o outro abre mão de parte da sua receita para investir no mesmo sentido.

A lentidão de uns é a oportunidade para outros.

    Carlos Cabral

    Written by

    Head of Content Production na Tempest. Escrevo sobre hacking, ataques, vulnerabilidades e outros assuntos do universo da segurança da informação.