sexta-feira, 9 de maio de 2008

O Impacto do PCI no Mercado

Para quem não conhece o PCI (Payment Card Industry) Standard, como o nome sugere é um padrão que a indústria que processa informações de cartões de crédito é obrigada a seguir. O padrão está organizado em 12 seções em um documento de 16 páginas (aqui). Para efeito da segurança de software, os itens seguintes são os mais relevantes:

6.5 Desenvolva todos os aplicativos de web baseados em diretrizes de codificação seguras tais como as diretrizes do Open Web Application Security Project. Revise o código dos aplicativos customizados para identificar as vulnerabilidades do código. Verifique a prevenção das vulnerabilidades mais comuns no processo de desenvolvimento dos códigos dos softwares para
incluir o seguinte:
6.5.1 Input não validado
6.5.2 Quebra do controle de acesso (por exemplo, uso desonesto dos IDs dos usuários)
6.5.3 Quebra da administração de autenticação/sessão (uso das credenciais da conta e
cookies da sessão)
6.5.4 Ataques ao cross-site scripting (XSS)
6.5.5 Overflow do buffer
6.5.6 Defeitos de injection (por exemplo, structured query language injection (SQL)
6.5.7 Administração incorreta dos erros
6.5.8 Armazenagem insegura
6.5.9 Recusa de serviço
6.5.10 Administração de configuração insegura.

6.6 Assegurar-se de que todos os aplicativos que funcionam por meio da web estejam protegidos
contra ataques conhecidos através dos seguintes métodos:
• Ter todos os códigos de aplicativos customizados revisados para vulnerabilidades comuns através de uma organização que se especialize em segurança de aplicativo
• Instalar uma camada de aplicativos (application layer) de firewall na frente dos aplicativos voltados para a web
Nota: Este método é considerado uma melhor prática até 30 de junho de 2008, e depois dessa data se tornará uma exigência.

Apesar da gama de preocupações abordada pelo modelo, o ponto de maior impacto neste momento vem na nota de duas linhas no final da seção 6.6. Pois a partir de junho próximo, toda entidade que ofereça software que trabalhe com informação de cartões será obrigada a utilizar as ferramentas especificadas por essa seção. Até agora o resultado mais evidente é a luta dos fornecedores para colocar seu produto no mercado (A Cicso é a última), ou se aliar com diferentes fornecedores para tentar oferecer a melhor solução (aqui). É provável que o resultado que mais nos interessa (software seguro) seja uma consequência natural disso e que outros negócios sejam influenciados pelos resultados dessa obrigação imposta pelo PCI. Veremos!

Um comentário:

Leonel Possidonio disse...

Fabricio Braz

Boas, gostaria de obter informações sobre especificações técnicas de ferramentas de analise de codigo fonte, estática e Dinâmica, para tomar a decisão de compra.
E clarro que também deverá ser analisado a segurança no código.
caso seja possivel sua contribuição aguardo retorno leonelpossidonio@gmail.com