Atendendo requerimentos do PCI-DSS com o Elastic Stack
O que é o PCI-DSS?
O PCI-DSS um padrão de segurança para a proteção de dados de cartão de crédito (Payment Card Industry Data Security Standard) criado pelo PCI Council. O conselho foi criado em 2006 pela American Express, Discover, JCB International, MasterCard e Visa. Esse conselho ajuda comerciantes, e instituições financeiras e fornecedores a compreender e implementar políticas de segurança, tecnologia e processos que protejam os dados de cartão de crédito em seus sistemas financeiros.
O padrão está atualmente na versão 3.2 e possui 12 categorias que abordam desde de segurança de rede a segurança física do local onde os dados de cartão de crédito são transmitidos, processados ou armazenados.
De um modo geral, a definição de escopo é tudo que transmite, processa ou armazena dados de cartão de crédito. O PCI também tem uma definição para quais dados de cartão de crédito podem ou não ser armazenados e de que forma:
Fonte: PCI-DSS
A norma completa está disponível para download no site do PCI Council.
O Elastic Stack tem diversas ferramentas que podem ser usadas para cumprir vários requesitos do PCI-DSS e nós iremos conhecer um pouco melhor os casos de uso.
Utilizando o ELK para centralizaçāo de logs
O requisitos 10 do PCI-DSS fala sobre sobre acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão, e é mandatório neste requisito que você tenha um centralizador de Log onde todos os ativos que estão no escopo PCI devem enviar seus logs e trilhas de auditoria. Esses registros devem ser preservados, e portanto é imprescindível que você use autenticação. Sobre autenticação é importante lembrar que os usuários padrões devem ser desabilitados (Requerimento 2) e os usuários e senhas não devem ser compartilhados (Requisito 8).
O requisito 5 é sobre proteger o ambiente PCI com software antivírus e antimalware. Esses softwares precisam ser capazes de gerar logs onde seja possível auditar e monitorar as atividades de scan, e em caso de ambiente comprometido, quais foram as ações. Os logs precisam ser tratados conforme determina o requerimento 10.
Auditbeat e Winlogbeat para trilhas de auditoria
A lista de requerimentos que cobram trilha de auditoria é grande: no requerimento 3 você deve analisar os logs de auditoria, inclusive registros dos aplicativos de pagamento, para confirmar que o PAN seja processado de forma ilegível ou não esteja presente nos registros.
Para ambientes Linux recomendamos o Auditbeat. Já para ambientes Windows os eventos podem ser coletados com o Winlogbeat.
Nesse artigo eu explico um pouco mais sobre logs de auditoria e sua implementação.
File Integrity Monitor (FIM) com Auditbeat, Winlogbeat e Filebeat
No requerimento 1 temos um requisito mandatório para o PCI-DSS que é o FIM (File Integrity Monitor) monitorando suas aplicações de pagamentos e arquivos de sistema do escopo PCI. Dependendo do sistema operacional dos seus servidores você vai utilizar o Auditbeat e o Filebeat ou o Winlogbeat e o Filebeat.
O importante é monitorar a alteração dos arquivos de sistema operacional e aplicações de pagamento/transmitem, processam ou armazenam dados de cartão, e de preferencia enviado para o seu ELK (mais a frente você vai entender o porquê).
Atenção, se a sua empresa for categorizada como prestador de serviço no PCI-DSS você vai precisar revisar diariamente os alertas gerados, entre outras ferramentas, pelo FIM.
SIEM e alertas
Com o SIEM é possível correlacionar os eventos, gerar alertas e de fato ter um monitoramento ativo do seu ambiente. Ele também é um requisito mandatório utilizado em vários processos como por exemplo a Gestão de Vulnerabilidade e Resposta a Incidentes nos Requerimentos 11 e 12. Para saber mais SIEM, confere esse artigo aqui.
Tempo de retençāo dos logs
Mantenha um histórico da trilha de auditoria por pelo menos um ano, com um mínimo de três meses imediatamente disponível para análise (por exemplo, online, arquivado ou recuperável a partir do backup).
Seguindo essas dicas, você conseguirá atender boa parte dos requisitos solicitados para garantir a certificaçāo PCI da sua empresa! :)
