Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS

Transcrição

1 Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS Novembro de 2013

2 Introdução Este documento fornece um resumo de alterações da v2.0 para a v3.0 do PCI DSS. A Tabela 1 apresenta uma visão geral dos tipos de alterações incluídas na v3.0 do PCI DSS. A Tabela 2 apresenta um resumo das alterações substanciais encontradas na v3.0 do PCI DSS. Tabela 1: s de alterações de alteração Orientação adicional Definição Esclarece o propósito do requisito. Garante que um texto conciso nos padrões retrate o objetivo desejado dos requisitos. Explicações, definições e/ou instruções para melhorar a compreensão ou fornecer mais informações ou orientações sobre um tópico específico. Alterações para assegurar que os padrões estejam atualizados em relação às ameaças emergentes e às alterações no mercado. Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Página 2

3 Tabela 2: Resumo das alterações Seção Informações de aplicabilidade do PCI DSS Informações de aplicabilidade do PCI DSS Esclarecer que o SAD não deve ser armazenado após autorização mesmo se não houver PAN no ambiente. Relação entre PCI DSS e PA-DSS Relação entre PCI DSS e PA- DSS Esclarecer que todos os aplicativos que armazenam, processam ou transmitem dados do titular do cartão abrangem uma avaliação do PCI DSS da entidade, mesmo se o PA-DSS estiver validado. Esclarecer a aplicabilidade do PCI DSS aos fornecedores do aplicativo de pagamento. Exemplos adicionados de componentes do sistema e orientação adicional sobre como determinar precisamente o escopo da avaliação. Esclarecer o objetivo da segmentação. Esclarecer responsabilidades de terceiros e de seus clientes quanto ao escopo e abrangência dos requisitos do PCI DSS e esclarecer a evidência que terceiros devem fornecer aos seus clientes para que possam verificar o escopo da avaliação do PCI DSS do terceiro. Escopo da avaliação da conformidade com os requisitos do PCI DSS Escopo dos requisitos do PCI DSS Orientação adicional Implementar o PCI DSS nos processos de cenários de referência Nova seção para fornecer orientação sobre "cenários de referência" a fim de implementar segurança nas atividades do cenário de referência (BAU) para manter a conformidade do PCI DSS. Observe que esta seção inclui apenas recomendações e orientações e não novos requisitos do PCI DSS. Orientação adicional Processos de avaliação Adicionado novo título para separar a seção de escopo do PCI DSS da seção de amostra. Amostragem de áreas de negócios/componentes do sistema Para os assessores: Amostragem de áreas de negócios e componentes do sistema Orientação aprimorada de amostra para assessores. Orientação adicional Instruções e conteúdo para o relatório sobre conformidade Instruções e conteúdo para o relatório sobre conformidade Conteúdo antigo transferido para documentos separados Modelo de ROC do PCI DSS e Instruções para o relatório ROC do PCI DSS. Conformidade do PCI DSS Etapas para preenchimento Processo de avaliação do PCI DSS Seção atualizada para focar no processo de avaliação em vez do de documentação. Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Página 3

4 Detalhado s do PCI DSS e procedimentos da avaliação de segurança Detalhado s do PCI DSS e procedimentos da avaliação de segurança No início desta seção, linguagem adicionada para definir os títulos da coluna nesta seção e referências removidas para colunas "Implementado", "Não Implementado" e "Data-alvo/Comentários". Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Página 4

5 Alterações gerais implementadas nos requisitos do PCI DSS Nova coluna para descrever o objetivo de cada requisito, com o conteúdo derivado do antigo documento de orientação do PCI DSS. A orientação nesta coluna tem o objetivo de auxiliar na compreensão dos requisitos e não substitui ou expande os requisitos do PCI DSS e procedimentos de teste. Para as políticas de segurança e procedimentos operacionais diários (anteriormente requisitos e 12.2), atribuído um novo número de requisito e requisitos e procedimentos de teste alterados em cada um dos requisitos Linguagem atualizada nos requisitos e/ou procedimentos de teste correspondentes para alinhamento e consistência. s complexos/procedimentos de teste separados para esclarecimento e procedimentos de teste redundantes ou conflitantes removidos. Procedimentos de teste aprimorados para esclarecer o nível de validação esperado para cada requisito. Orientação adicional Outras alterações gerais de revisão incluem: Removidas as seguintes colunas: "Implementado", "Não Implementado" e "Data-alvo/Comentários". Renumerados os requisitos e procedimentos de teste para inserir as alterações Reformatados os requisitos e procedimentos de teste para fins de legibilidade, por exemplo, conteúdo do parágrafo reformatado com marcadores, etc. Realizadas pequenas alterações ao longo do texto para fins de legibilidade Corrigidos erros tipográficos x 1.1.x Esclarecido que os padrões do firewall e do roteador devem ser documentados e implementados Esclarecido qual diagrama da rede se deve incluir e adicionar novo requisito em para um diagrama atual que mostre o fluxo dos dados do titular do cartão Esclarecidos exemplos de serviços, protocolos e portas não seguros para especificar SNMP v1 e v2. Esclarecido que o objetivo de proteger os arquivos de configuração do roteador é protegê-los de acesso não autorizado. Esclarecido que o objetivo de controlar o tráfego entre redes sem fio e o CDE é "permitir apenas o tráfego autorizado". Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Página 5

6 Esclarecido que o objetivo do requisito é que medidas de proteção sejam implementadas para detectar e impedir que endereços IP de fonte forjada entrem na rede. Linguagem alinhada entre o requisito e os procedimentos de teste para consistência. Esclarecido que o requisito para alterar as senhas padrão do fornecedor se aplica a todas as senhas padrão, incluindo sistemas, aplicativos, software de segurança, terminais, etc. e que as contas padrão desnecessárias são removidas ou desativadas. Esclarecido que o objetivo do requisito é que todos os padrões sem fio do fornecedor sejam modificados na instalação. Esclarecido que os padrões da configuração do sistema incluem procedimentos para alterar todos os padrões informados pelo fornecedor e contas padrão desnecessárias Dividido requisito em dois requisitos para focar separadamente nos serviços, protocolos e portas necessários (2.2.2) e serviços, protocolos e portas seguros (2.2.3). 2.4 Novo requisito para manter um inventário dos componentes do sistema no escopo do PCI DSS para dar suporte ao desenvolvimento dos padrões da configuração Combinados requisito e os procedimentos de teste no requisito 3.1 para esclarecer e reduzir redundância Esclarecido que, se forem recebidos dados de autenticação confidenciais, eles são tornados irrecuperáveis ao concluir o processo de autorização. Esclarecido que os procedimentos de teste para empresas que dão suporte a serviços de emissão e armazenam dados de autenticação confidenciais. Esclarecido o objetivo do requisito de mascarar os PANs incluindo a observação anterior no corpo do requisito e aprimorando os procedimentos de teste. Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Página 6

7 Esclarecido que o acesso lógico à criptografia de dados deve ser gerenciado separada e independentemente da autenticação do sistema operacional nativo e dos mecanismos de controle de acesso e que as chaves de decodificação não devem ser associadas com contas de usuários. Esclarecido que os procedimentos de gerenciamento de chave devem ser implementados e documentados Dividido requisito em dois requisitos para focar separadamente no armazenamento de chaves criptográficas de forma segura (3.5.2) e no menor número possível de locais (3.5.3). O requisito também proporciona flexibilidade com mais opções para o armazenamento seguro de chaves criptográficas. 3.6.x 3.6.x Adicionados procedimentos de teste para verificar a implementação de procedimentos de gerenciamento de chave criptográfica Esclarecidos princípios de conhecimento compartilhado e controle duplo. Linguagem alinhada entre o requisito e os procedimentos de teste para consistência. Também s os exemplos de redes abertas e públicas. 5 5 Geral Título atualizado para refletir o objetivo do requisito (proteger todos os sistemas contra malware). Novo requisito para avaliar as ameaças de malware em evolução em qualquer sistema não comumente afetado por softwares mal-intencionados Linguagem alinhada entre o requisito e os procedimentos de teste para consistência. Novo requisito para assegurar que soluções de antivírus estejam funcionando ativamente (anteriormente em 5.2) e não possam ser desativadas ou alteradas pelos usuários, a menos que seja especificamente autorizado pelo gerenciamento baseado em cada caso. 6 Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Página 7

8 Trocada a ordem dos requisitos 6.1 e 6.2. O requisito 6.1 agora serve para identificar e classificar o risco de novas vulnerabilidades e o 6.2 para reparar vulnerabilidades críticas. Esclarecer como o processo de classificação de risco (6.1) se alinha ao processo de reparo (6.2). Veja acima a explicação para o 6.1. Também, esclarecido que este requisito se aplica aos "patches aplicáveis". Adicionada uma observação para esclarecer que o requisito para processos escritos de desenvolvimento do software se aplica a todos os softwares desenvolvidos internamente ou feitos sob medida. Alterado "pré-produção" para "desenvolvimento/teste" para esclarecer o objetivo do requisito Procedimentos de teste aprimorados para incluir revisões do documento para todos os requisitos do até o Linguagem alinhada entre o requisito e os procedimentos de teste para esclarecer que a separação dos ambientes de produção/desenvolvimento seja reforçada com controles de acesso. Treinamento atualizado do desenvolvedor para incluir como evitar vulnerabilidades comuns de codificação e para compreender como os dados confidenciais são controlados na memória. 6.5.x 6.5.x s atualizados para refletir as vulnerabilidades de codificação atuais e as que estejam surgindo e as diretrizes de codificação segura. Procedimentos de teste atualizados para esclarecer como as técnicas de codificação resolvem as vulnerabilidades Novo requisito de práticas de codificação para proteger contra autenticação quebrada e gerenciamento de sessão. Vigente em 01 de julho de Flexibilidade aumentada especificando a solução técnica automatizada que detecta e previne ataques baseados na Web ao invés de "firewall de aplicação na Web". Adicionada observação para esclarecer que esta avaliação não é o mesmo que varreduras de vulnerabilidades exigidas em Procedimento de teste reformulado para esclarecer o que a política inclui, com base nas alterações dos requisitos ao Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Página 8

9 Novo para abranger a definição das necessidades de acesso para cada função, para dar suporte aos requisitos ao redirecionado sobre a restrição de acesso a IDs de usuários privilegiados ao menor número de privilégios necessários e procedimentos de teste aprimorados. redirecionado sobre a concessão do acesso com base na classificação e na atribuição da função do indivíduo Removido o antigo requisito (tratado no requisito 7.2) 8 8 Geral Título atualizado para refletir o objetivo do requisito (identificar e autenticar todo o acesso aos componentes do sistema). s atualizados e reorganizados para proporcionar uma abordagem mais holística para a autenticação e identificação do usuário: 8.1 focado na identificação do usuário 8.2 focado na autenticação do usuário s atualizados para considerar outros métodos de autenticação que não sejam senhas Alterado "senhas" para "senhas/frases" onde o requisito se aplica apenas a senhas/frases Alterado "senhas" para "credenciais de autenticação" onde o requisito se aplica a qualquer tipo de credencial de autenticação Esclarecido que os requisitos de segurança de senha se aplicam às contas usadas por fornecedores terceirizados Esclarecido que o requisito de acesso remoto do fornecedor se aplica aos fornecedores que acessam, suportam ou mantêm os componentes do sistema e que deve ser desativado quando não estiver sendo utilizado. Esclarecido que a criptografia forte deve ser usada para tornar as credenciais de autenticação ilegíveis durante a transmissão e armazenamento. Esclarecido que a identificação do usuário deve ser verificada antes de modificar credenciais de autenticação e adicionadas provisão de novos tokens e geração de novas chaves como exemplos de modificações. Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Página 9

10 Combinados para um único requisito os requisitos de força e complexidade mínimos de senha e flexibilidade aumentada para alternativas de atender a complexidade e força equivalentes Esclarecido que o requisito de autenticação de dois fatores se aplica a usuários, administradores e todos os terceiros, incluindo acesso do fornecedor para suporte ou manutenção. aprimorado para incluir orientação de comunicação e documentação sobre como os usuários devem proteger suas credenciais de autenticação, incluindo reutilização de senha/frase e alteração de senha/frase se houver suspeita de que ela tenha sido comprometida. Novo requisito para os prestadores de serviços com acesso remoto às instalações do cliente, para usar credenciais de autenticação exclusivas para cada cliente. Vigente em 01 de julho de 2015 Novo requisito onde forem usados outros mecanismos de autenticação (por exemplo, tokens de segurança físicos ou virtuais, smart cards, certificados, etc.) para informar que os mecanismos devem ser vinculados a uma conta individual e assegurar que apenas o usuário pretendido possa ter acesso com aquele mecanismo. Linguagem alinhada entre o requisito e os procedimentos de teste para consistência. Esclarecido que o objetivo do requisito é implementar controles de acesso físico e/ou virtual para proteger as tomadas de rede acessíveis ao público. 9.2.x 9.2.x Esclarecido que o objetivo do requisito é identificar, distinguir e conceder o acesso para equipes e visitantes no local e que crachás são apenas uma opção (não exigidos). 9.3 Novo requisito para controlar o acesso físico às áreas confidenciais para a equipe no local, incluindo um processo para o acesso autorizado e cancelar o acesso imediatamente após o término. 9.3.x 9.4.x Linguagem alinhada entre o requisito e os procedimentos de teste para consistência e para esclarecer que os visitantes devem ser acompanhados em todos os momentos e que a trilha de auditoria da atividade do visitante deve incluir acesso às instalações, sala de computadores e/ou centro de dados. Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Página 10

11 x Antigo requisito 9.6 alterado e renumerado para 9.5 e antigo requisito 9.5 renumerado como sub-requerimento Antigo requisito 9.7 renumerado para 9.6 e antigo requisito 9.8 renumerado como sub-requerimento Antigo requisito 9.9 renumerado para 9.7 e antigo requisito 9.10 renumerado para 9.8. Novos requisitos para proteger contra falsificação e substituição dos dispositivos que capturam os dados do cartão de pagamento por meio de interação física direta com o cartão. Vigente em 01 de julho de x Esclarecido que as trilhas de auditoria devem ser implementadas para vincular o acesso aos componentes do sistema a cada usuário individual, ao invés de apenas estabelecer um processo. Esclarecido que o objetivo é que todos os acessos de usuários individuais aos dados do titular do cartão sejam incluídos nas trilhas de auditoria. aprimorado para incluir alterações dos mecanismos de identificação e autenticação (incluindo a criação de novas contas, aumento de privilégios) e todas as alterações, adições ou exclusões de contas com acesso raiz ou administrativos. aprimorado para incluir interrupção ou pausa dos logs de auditoria. Esclarecido que o objetivo das revisões de log é identificar irregularidades ou atividades suspeitas e fornecer mais orientações sobre o escopo das revisões de log diárias. Também permitida mais flexibilidade para revisar periodicamente as ocorrências de segurança e os logs críticos do sistema e outras ocorrências de logs, conforme definido pela estratégia de gerenciamento de risco da entidade. 11 Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Página 11

12 11.1.x 11.1.x aprimorado para incluir um inventário de pontos de acesso autorizados sem fio e uma justificativa comercial (11.1.1) para suportar varredura de dispositivos não autorizados sem fio e adicionado novo requisito para alinhamento com um procedimento de teste já existente para procedimentos de resposta se forem detectados pontos de acesso não autorizados sem fio Adicionada orientação sobre combinar vários relatórios de varredura a fim de atingir e documentar um resultado aprovado. Esclarecido que as varreduras trimestrais de vulnerabilidades internas incluem novas varreduras quando necessário até que todas as vulnerabilidades "altas" (conforme identificado pelo requisito 6.1 do PCI DSS) forem resolvidas e devem ser realizadas por pessoal qualificado. Esclarecido que as varreduras de vulnerabilidades externas incluem novas varreduras quando necessário até que se chegue a varreduras aprovadas e adicionada uma observação para consultar o Guia do Programa ASV. Esclarecido que as varreduras internas e externas realizadas após alterações significativas incluem novas varreduras quando necessário até que todas as vulnerabilidades "altas" (conforme identificado pelo requisito 6.1 do PCI DSS) forem resolvidas e devem ser realizadas por pessoal qualificado. Novo requisito para implementar uma metodologia para teste de penetração. Vigente em 01 de julho de Os requisitos do PCI DSS v2.0 para testes de penetração devem ser seguidos até que a v3.0 esteja vigente. Orientação adicional Dividido antigo requisito 11.3 em para requisitos de teste de penetração externo e para requisitos de teste de penetração interno Novo requisito criado a partir do procedimento de teste anterior (11.3.b) para corrigir vulnerabilidades exploráveis encontradas durante o teste de penetração e repetir o teste para verificar as correções. Novo requisito, se for utilizada a segmentação para isolar o CDE de outras redes, para realizar testes de penetração a fim de verificar se os métodos de segmentação são operacionais e eficazes. Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Página 12

13 Flexibilidade aumentada especificando técnicas de detecção de invasão e/ou prevenção contra invasões para detectar e/ou evitar invasões na rede ao invés de "sistemas de detecção de invasão e/ou prevenção contra invasões". Flexibilidade aumentada especificando o mecanismo de detecção de alterações ao invés de "monitoramento de integridade de dados". Novo requisito para implementar um processo para responder a qualquer alerta gerado pelo mecanismo de detecção de alterações (suporta o 11.5) , 2.5, 3.7, 4.3, 5.4, 6.7, 7.3, 8.8, 9.10, 10.8, 11.6 Combinados os antigos requisitos em (sobre a política de segurança da informação para atender a todos os requisitos do PCI DSS) e 12.2 (sobre procedimentos de segurança operacional) e transferidos para os requisitos do 1 ao 11, como um requisito em cada um Transferido o antigo requisito para o Antigo requisito sobre o processo de avaliação anual de risco transferido para o 12.2 e esclarecido que a avaliação de risco deve ser realizada pelo menos uma vez ao ano e após quaisquer mudanças significativas no ambiente. Esclarecido que "identificação" é um exemplo de um método a ser usado. Novo procedimento de teste para verificar se é implementada uma política para desconectar as sessões de acesso remoto depois de um período específico de inatividade. Linguagem alinhada entre o requisito e os procedimentos de teste para esclarecer que, onde houver uma necessidade comercial autorizada para que o funcionário acesse os dados do titular do cartão por meio de tecnologias de acesso remoto, os dados devem ser protegidos de acordo com todos os requisitos aplicáveis do PCI DSS. Esclarecido o objetivo de implementar e manter políticas e procedimentos para controlar os prestadores de serviços com quem os dados do titular são compartilhados ou que possam afetar a segurança dos dados. Esclarecidas as responsabilidades aplicáveis para o reconhecimento/acordo por escrito do prestador de serviços. Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Página 13

14 Novo requisito para manter informações sobre quais requisitos do PCI DSS são administrados por cada prestador de serviços e quais são administrados pela entidade. Novo requisito para prestadores de serviços a fim de fornecer o reconhecimento/acordo por escrito aos seus clientes conforme especificado no requisito Vigente em 01 de julho de x x renumerado e atualizado para esclarecer que o objetivo é relativo a alertas a partir dos sistemas de monitoramento de segurança para ser incluído um plano de resposta a incidentes. Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Página 14