Visa sugere melhores práticas para aplicações de pagamentos seguros

As orientações da empresa vêm complementar as normas de segurança já existentes.

A Visa anunciou esta semana um conjunto de melhores práticas de segurança destinadas a fabricantes de aplicações de pagamentos e a integradores de sistemas e retalhistas responsáveis pela sua implementação e gestão.
As orientações destinam-se a responder às contínuas vulnerabilidades na cadeia de pagamentos, resultantes de implementações não seguras das aplicações que são usadas em transacções com cartões de crédito e débito, de acordo com Eduardo Perez, responsável pela área da segurança de pagamentos da Visa.
O actual Payment Application Data Security Standard (PA-DSS) administrado pelo PCI Security Council, já exige aos fabricantes de aplicações de pagamento a implementação de controlos de segurança específicos no seu software. Por exemplo, a norma requer que os fabricantes de aplicações se certifiquem que o seu software não armazena dados proibidos acerca do proprietário dos cartões e de autenticação. Contudo, embora o software propriamente dito possa ser seguro, várias vulnerabilidades continuam a persistir devido a configurações impróprias e a outros erros de implementação, adianta Perez.
As melhores práticas agora emitidas pela Visa são uma extensão natural aos requisitos do PA-DSS, diz o responsável da empresa. “O que fizemos foi ir um pouco mais além nesses requisitos. O PA-DSS tem a ver com as aplicações de pagamentos seguros e não com a sua correcta implementação e gestão”, refere.
As orientações da Visa foram desenvolvidas em colaboração com o SANS Institute, uma organização especializada na formação e certificação em segurança. As melhores práticas abordam 10 áreas diferentes e incluem um conjunto de conselhos relacionados com tecnologia e processos.
Um exemplo: o documento apela aos fabricantes e integradores de sistemas que conduzam testes de detecção de vulnerabilidades às suas aplicações, bem como revisões periódica ao código do software em busca de fragilidades. Também lhes pede que adoptem práticas de desenvolvimento de software seguras e que trabalhem activamente no sentido de identificar e desactivar aplicações que armazenem dados proibidos sobre clientes e transacções.


Tags


Deixe um comentário

O seu email não será publicado