Craig Lusher, Continent 8 Technologies: abordagem dos desafios de Compliance no ecossistema de jogos

Craig Lusher

Craig Lusher, diretor de Produto de Soluções Seguras da Continent 8 Technologies, analisou para o SBC News, site-irmão do SBC Notícias Brasil, as implicações dos mais recentes desenvolvimentos do ecossistema global de jogos on-line à medida que ele se torna cada vez mais crítico.

O PCI Security Standards Council, que fornece a base de requisitos técnicos e operacionais criados para proteger os dados das contas, introduziu o mandato 4.0 com 60 novos requisitos, que substituirá o padrão existente até 31 de março de 2025.

Nesta primeira parte de um especial de duas, Lusher analisa os principais componentes da mudança, os desafios apresentados e os aspectos cruciais que precisam ser adotados à medida que o PCI DSS v4.0 substitui a versão 3.2.1.

Craig Lusher, diretor de Produto de Soluções Seguras

SBC News: Você poderia explicar as principais razões por trás da mudança do PCI Security Standards Council para o PCI DSS 4.0?

Craig Lusher: O principal motivador por trás da mudança do PCI Security Standards Council para o PCI DSS 4.0 é a evolução do cenário de ameaças cibernéticas e a necessidade de melhorar continuamente a segurança dos dados dos cartões de pagamento. Conforme a tecnologia avança e surgem novas vulnerabilidades, é crucial atualizar as normas para enfrentar esses desafios de maneira eficaz.

O PCI DSS 4.0 introduz diversas mudanças importantes destinadas a fortalecer as medidas de segurança, a promover a flexibilidade e a apoiar tecnologias inovadoras. A norma atualizada dá maior ênfase à análise de risco, permitindo que as organizações adaptem os controles de segurança com base no ambiente de risco único. A abordagem permite que as empresas priorizem e aloquem recursos de forma mais eficaz, ao mesmo tempo que mantém uma forte postura de segurança.

A nova norma reconhece a crescente adoção de tecnologias de nuvem e a necessidade de implantação segura dessas soluções. O PCI DSS 4.0 fornece orientações mais claras sobre como proteger ambientes em nuvem e garante que as organizações possam aproveitar os benefícios da computação em nuvem sem comprometer a segurança dos dados do titular do cartão.

À medida que os invasores tornam-se mais sofisticados, as organizações devem atualizar e fortalecer continuamente seus controles de segurança.

A Continent 8 construiu sua reputação ajudando empresas de jogos on-line a navegarem em mercados regulamentados e a cumprirem padrões de Compliance rigorosos. Compreendemos a importância de estar na vanguarda da evolução das regulamentações, assim como os benefícios que essa abordagem proativa traz aos nossos clientes.

O objetivo do PCI DSS 4.0 é fornecer uma estrutura mais completa, que se adapte a vários modelos de negócios e tecnologias. Também enfatiza a avaliação e a gestão contínua de riscos, incentivando as organizações a adotarem uma postura de segurança proativa. De acordo com um relatório da IBM, o custo médio de uma violação de dados em 2023 foi de US$ 4,45 milhões, ressaltando a necessidade de fortes medidas de segurança.

SBC News: Quais são os principais desafios que as organizações, especialmente as do setor de jogos on-line e de apostas esportivas, enfrentam para implementar essas regras atualizadas de processamento de pagamentos com cartão de crédito?

Craig Lusher: Um dos principais desafios enfrentados pelas organizações na indústria de jogos on-line e de apostas esportivas é a complexidade dos seus ambientes de TI. Essas empresas geralmente lidam com uma infinidade de sistemas interconectados, integrações de terceiros, APIs e uma grande quantidade de dados confidenciais, o que as torna alvos principais de ataques cibernéticos, sendo um desafio garantir segurança e Compliance de ponta a ponta com o PCI DSS 4.0.

Outro obstáculo importante é a constante evolução das ameaças cibernéticas. À medida que os criminosos tornam-se mais sofisticados, as organizações devem atualizar e fortalecer continuamente seus controles de segurança para evitar violações de dados. 

A natureza global da indústria de jogos on-line e de apostas esportivas acrescenta uma camada adicional de complexidade. 

O PCI DSS 4.0 requer a implementação de soluções de segurança robustas, como Web Application and API Protection (WAAP) ou Web Application Firewalls (WAF), para proteção contra ataques baseados na Web. Os sistemas de detecção/prevenção de intrusões (IDS/IPS) também são necessários para monitorar e responder a possíveis incidentes de segurança em tempo real.

As avaliações regulares de vulnerabilidade e os testes de penetração também fazem parte dos requisitos do PCI DSS, ajudando as organizações a identificar e resolver possíveis pontos fracos em sua postura de segurança.

Embora não seja um requisito explícito, o PCI Security Standards Council recomenda fortemente o uso dos recursos do Security Operations Center (SOC) e do Security Information and Event Management (SIEM). Essas ferramentas fornecem recursos centralizados de monitoramento, de análise e de resposta a incidentes, permitindo que as organizações detectem e respondam às ameaças de maneira mais eficaz.

A implementação e a manutenção dessas medidas de segurança proativas requerem frequentemente recursos humanos adicionais, com competências especializadas (dos quais existe uma grave escassez a nível mundial).

É possível que as organizações devam investir na contratação, na retenção e no treinamento de pessoal de segurança interna ou considerar a terceirização para provedores de Managed Security Service (MSSP), como a Continent 8. Ao fazer parceria com um MSSP experiente, as organizações podem acessar a experiência e as tecnologias necessárias para cumprir com os requisitos do PCI DSS e manter uma forte postura de segurança sólida, sem sobrecarregar suas equipes internas.

A natureza global da indústria de jogos on-line e de apostas esportivas acrescenta uma camada adicional de complexidade. As organizações devem navegar por vários regulamentos regionais e garantir que seus sistemas de processamento de pagamentos cumpram o PCI DSS 4.0 e os requisitos locais. Essa pode ser uma tarefa difícil, especialmente para empresas que operam em múltiplas jurisdições.

A Continent 8 acredita que uma abordagem de segurança integral e em camadas é essencial para alcançar e manter o Compliance com o PCI DSS. 

A Continent 8 compreende esses desafios e desenvolveu um conjunto integral de soluções para ajudar as organizações a superá-los. Nossos serviços de segurança gerenciados, incluindo VAPT, WAAP/WAF, M-SOC e SIEM, e IDS/IPS, são projetados para fornecer defesa robusta contra ameaças cibernéticas e, ao mesmo tempo, simplificar o Compliance com o PCI DSS 4.0. Nossa equipe de especialistas trabalha em estreita colaboração com os clientes para atender às necessidades específicas da indústria de jogos on-line e de apostas esportivas.

SBC News: Baseado em sua experiência, quais são as introduções críticas a serem adotadas no novo padrão global? Você diria que algum aspecto foi esquecido?

Craig Lusher: Uma das introduções críticas do PCI DSS 4.0 é o maior ênfase na análise de risco e na adoção de uma abordagem personalizada de segurança. Essa mudança permite que as organizações adaptem os seus controles de segurança com base no seu ambiente de risco único, permitindo-lhes alocar recursos de forma mais eficaz e concentrar-se nas áreas mais críticas da sua infraestrutura de TI.

Outro aspecto importante são os requisitos aprimorados de proteção contra ataques baseados na Web. O PCI DSS 4.0 requer o uso de soluções técnicas automatizadas, como a WAF, para detectar e prevenir continuamente ataques baseados na web. Esse requisito destaca a importância da defesa proativa contra a crescente ameaça de ataques à camada de aplicação, que podem levar a violações de dados devastadoras.

O padrão atualizado também dá maior ênfase ao monitoramento de segurança e à resposta a incidentes. As organizações devem implementar mecanismos robustos de registro, revisar periodicamente os registros em busca de atividades suspeitas e estabelecer planos formais de resposta a incidentes. Essas medidas são cruciais para detectar e responder a incidentes de segurança em tempo útil, minimizando o impacto de potenciais violações de dados.

Embora o PCI DSS 4.0 cubra uma ampla gama de aspectos de segurança, há algumas áreas de maior ênfase que poderiam se beneficiar. Por exemplo, a norma poderia fornecer orientações mais detalhadas sobre como proteger ambientes conteinerizados e arquiteturas de microsserviços, que são cada vez mais comuns nas infraestruturas de TI modernas. Além disso, poderia ter abordado ainda mais tecnologias emergentes, como blockchain e soluções de segurança baseadas em IA.

De acordo com o Gartner, até 2025, 60% das organizações considerarão os riscos de segurança cibernética associados aos seus parceiros de negócios e fornecedores terceirizados como um dos principais fatores ao decidir se devem realizar transações ou estabelecer relações comerciais com eles. A Continent 8 acredita que uma abordagem de segurança abrangente e em camadas é essencial para alcançar e manter o Compliance com o PCI DSS e para parcerias mais amplas.