Indústria de pagamento de cartão (PCI) Padrão de dados do aplicativo de pagamento
|
|
- Francisca de Lacerda Bentes
- 2 Há anos
- Visualizações:
Transcrição
1 Indústria de pag de cartão (PCI) Padrão de dados do aplicativo de pag Requisitos e procedimentos de avaliação de segurança Versão 2.0 Outubro de 2010
2 Alterações do documento Data Versão Descrição Páginas 1º de outubro de Julho de Outubro de Para alinhar o conteúdo com o novo PCI DSS v1.2 e para implementar alterações menores observadas desde o original v1.1. "Escopo do PA-DSS", alinhe o conteúdo com o Guia do programa PA-DSS, v para esclarecer em que casos o PA-DSS é aplicável. Sob o Requisito de laboratório 6, a escrita correta de "OWASP". 30 No atestado de validação, Parte 2a, atualize a alidade de aplicativo de pag para que esteja consistente com os tipos de aplicação listadas no Guia de programa PA-DSS e esclareça os procedimentos anuais de revalidação na Parte 3b. Atualize e implemente alterações menores da versão e alinhe-a com o novo PCI DSS versão 2.0. Para obter detalhes, consulte PA-DSS Resumo das alterações do PA-DSS Versão para 2.0. v, vi 32, 33 Procedimentos de avaliação de requisitos e segurança PCI PA-DSS, versão 2.0 Página 2
3 Índice Alterações do documento... 2 Introdução...4 Propósito deste documento... 4 Relação entre PCI DSS e PA-DSS... 4 Escopo do PA-DSS PA-DSS Aplicabilidade aos aplicativos de pag em terminais de hardware... 7 Funções e responsabilidades... 8 Guia de Implementação PA-DSS Requisitos do Avaliador de segurança qualificado do aplicativo de pag (PA-QSA) Laboratório de teste Informações de aplicabilidade PCI DSS Instruções e conteúdo do relatório de validação Etapas de conclusão PA-DSS Guia do programa PA-DSS Requisitos e procedimentos de avaliação de segurança PA-DSS Não possui faixa magnética total, código de verificação de cartão ou valor (CAV2, CID, CVC2, CVV2) ou dados de bloqueio de PIN Proteger os dados armazenados do titular do cartão Fornecer recursos de autenticação segura Registrar em log a atividade do aplicativo de pag Desenvolver aplicativos de pag seguros Proteger transmissões wireless Testar aplicativos de pag para solucionar vulnerabilidades Facilitar a Implementação de rede segura Os dados do portador do cartão nunca devem ser armazenados em servidores conectados à Internet Facilitar o acesso remoto seguro ao aplicativo de pag Criptografar tráfego sensível por redes públicas Criptografar todos os acessos administrativos não-console Manter documentação educativa e programas de trein para clientes, revendedores e integradores Anexo A: Resumo do conteúdo do Guia de Implementação do PA-DSS Apêndice B: Confirmação da configuração do laboratório de testes específico para a avaliação do PA-DSS Procedimentos de avaliação de requisitos e segurança PCI PA-DSS, versão 2.0 Página 3
4 Introdução Propósito deste documento Este documento deve ser usado pelos Avaliadores de segurança qualificados do aplicativo de pag (PA-QSAs) ao conduzir revisões no aplicativo de pag, para que os fornecedores do software possam validar que o aplicativo de pag está de acordo com o Padrão de segurança de dados do aplicativo de pag PCI (PA-DSS). Este documento também deve ser usado para os PA-QSAs como modelo para criar o Relatório na Validação. Recursos adicionais, incluindo Atestados de validação, Perguntas frequentes (FAQs) e o Glossário de termos, abreviações e acrônimos PCI DSS e PA-DSS estão disponíveis no site do Conselho de padrões de segurança PCI (PCI SSC) Relação entre PCI DSS e PA-DSS O uso de um aplicativo em conformidade com o PA-DSS por si só não torna a entidade compatível com PCI DSS, já que o aplicativo deve ser implementar em um ambiente compatível com PCI DSS e de acordo com o Guia de Implementação PA-DSS fornecido pelo fornecedor do aplicativo de pag (por Requisito do PA-DSS 13.1) Os requisitos do Padrão de segurança de dados do aplicativo de pag (PA-DSS) são derivados dos Procedimentos de avaliação de segurança e requisitos do padrão de segurança de dados da indústria de cartões de pag (PCI DSS). Este documento, que pode ser encontrado em detalha o que é necessário para estar de acordo com o PCI DSS (e, portanto, o que um aplicativo de pag devem apoiar para facilitar a conformidade do cliente com PCI DSS). A conformidade tradicional com o Padrão de segurança de dados PCI pode não aplicar-se diretamente aos fornecedores do aplicativo de pag, já que a maioria dos fornecedor não armazena, processa ou transmite dados do proprietário do cartão. No entanto, já que esses aplicativos de pag são usados pelos cliente para armazenar, processar e transmitir dados do proprietário do cartão e os clientes devem estar em conformidade com o Padrão de segurança de dados PCI, os aplicativos de pag devem facilitar, e não evitar, estar em conformidade com o Padrão de segurança de dados PC do cliente. Seguem apenas algumas maneiras de como é possível para os aplicativos de pag evitar a conformidade. 1. O armazen de dados na faixa magnética e/ou dados equivalentes no chip da rede do cliente após autorização; 2. Os aplicativos que necessitam de cliente devem desabilitar outros recursos requisitados pelo Padrão de segurança de dados PCI, como softwares antivírus ou firewalls, para fazer com que o aplicativo de pag e adequadamente; e 3. Os uso dos fornecedores de métodos inseguros para conectar-se ao aplicativo para fornecer suporte ao cliente. Os aplicativos de pag seguro, quando implementados em um ambiente em conformidade com PCI DSS, minimizará o potencial de brechas na segurança, o que leva ao comprometimento de dados em faixas magnéticos totais, códigos de verificação de cartão e valores (CAV2, CID, CVC2, CVV2), PINs e bloqueios de PIN e fraude, resultando em brechas. Procedimentos de avaliação de requisitos e segurança PCI PA-DSS, versão 2.0 Página 4
5 Escopo do PA-DSS. O PA-DSS aplica-se aos fornecedores de software e outro que desenvolvem aplicativos de pag que armazenam, processam ou transmitem dados do proprietário do cartão como parte da autorização ou determinação, casos em que os aplicativos de pag são vendidos, distribuídos ou licenciados a terceiros. O guia a seguir pode ser usado para determinar se o PA-DSS aplica-se a um determinado aplicativo do pag: O PA-DSS aplica-se aos aplicativos de pag que normalmente são vendidos e instalados do modo como vieram, sem muita personalização pelos fornecedores de software. O PA-DSS não aplica-se aos aplicativos de pag fornecidos em módulos, o que normalmente inclui um módulo de "linha de base" e outros módulos específicos dos tipos e funções do cliente ou personalizados por solicitação do cliente. O PA-DSS pode aplicar-se apenas ao módulo de linha de base se o módulo for o único realizando funções de pag (uma vez confirmado por PA-QSA). Se outros módulos também realizarem funções de pag, o PA-DSS aplica-se a esses módulos também. Observe que é considerado uma boa prática que os fornecedores do software isolem as funções de pag em uma quantidade pequena de módulos de linha de base, reservando outros módulos para funções de não pag. Esta boa prática (embora não seja um requisito) pode limitar o número de módulos sujeitos ao PA-DSS. O PA-DSS NÃO aplica-se aos aplicativos de pag oferecidos pelos fornecedores de aplicativos ou serviço apenas como serviço (a menos que tais aplicativos também sejam vendidos, licenciados ou distribuídos a terceiros) porque: 1) O aplicativo é um serviço oferecido aos clientes (normalmente comerciantes), que não têm a habilidade de gerenciar, instalar ou controlar o aplicativo ou seu ambiente; 2) O aplicativo é coberto pela revisão PCI DSS do próprio fornecedor do aplicativo ou do serviço (essa cobertura deve ser confirmada pelo cliente); e/ou 3) O aplicativo não é vendido, distribuído ou licenciado a terceiros. Exemplos destes aplicativos de pag de "software como serviço" incluem: Observação: Todos os produtos do aplicativo de pag validados não devem ser versão beta. 1) Os aplicativos oferecidos por Fornecedores de serviço de aplicativo (ASP) que hospedam um aplicativo de pag no site para uso do cliente. Observe que o PA-DSS pode aplicar-se, no entanto, se o aplicativo de pag do ASP for também vendido para um site de terceiros e implementado e o aplicativo não foi coberto pela revisão PCI DSS do ASP. 2) Os aplicativos terminais virtuais que estão no site do provedor de serviço e são usados pelos comerciantes para inserir as transações de pag. Observe que o PA-DSS se aplicaria se o aplicativo terminal virtual tivesse uma parte distribuída para o site do comerciante e fosse implementada nele e não fosse coberta pela revisão PCI DSS do fornecedor terminal virtual. O PA-DSS NÃO aplica-se a aplicativos que não sejam de pag que façam parte do conjunto de aplicativos de pag. Tais aplicativos (por exemplo, aplicativo de monitoração de fraude, pontuação ou detecção incluído no conjunto) podem ser, mas não é obrigatório, cobertos pelo PA-DSS se todo o conjunto for avaliado junto. No entanto, se o aplicativo de pag for parte de um conjunto que baseia-se nos requisitos do PA-DSS sendo atingidos pelos controles em outros aplicativos do conjunto, deve-se realizar uma única avaliação PA-DSS do aplicativo de pag e todos os outros aplicativos do conjunto no qual se baseia. Os aplicativos não Procedimentos de avaliação de requisitos e segurança PCI PA-DSS, versão 2.0 Página 5
6 devem ser avaliadas separadamente dos aplicativos em que se baseiam, já que todos os requisitos do PA-DSS não são preenchidos em um único aplicativo. O PA-DSS NÃO se aplica a aplicativos de pag desenvolvidos e vendidos para um único cliente para uso exclusivo dele, já que este aplicativo será coberto como parte da revisão de conformidade PCI DSS normal do cliente. Observe que o aplicativo (que pode ser referido como o aplicativo "já mencionado") é vendido para apenas um cliente (normalmente um comerciante grande ou provedor de serviço) e foi desenvolvido de acordo com as especificações fornecidas pelo cliente. O PA-DSS NÃO aplica-se a aplicativos de pag desenvolvidos por comerciantes e fornecedores de serviço se forem usados apenas internamente (não vendidos, distribuídos ou licenciados para terceiros), já que o aplicativo de pag desenvolvido internamente seria coberto como parte da conformidade PCI DSS normal do provedor de serviço. Por exemplo, para os últimos dois tópicos acima, se os lugares que vendem o aplicativo de pag desenvolvido internamente ou "já mencionado" proíbem a autenticação sensível de dados ou permitem senhas complexas, serão cobertos como parte dos esforços de conformidade PCI DSS normais do comerciante ou do provedor de serviço e não requerem uma avaliação PA-DSS separada. A lista a seguir, embora não inclua tudo, ilustra os aplicativos que NÃO são aplicativos de pag para fins de PA-DSS (e portanto não precisam passar por revisões PA-DSS): Sistemas operacionais em que o aplicativo de pag esteja instalado (por exemplo, Windows Unix) Sistemas de banco de dados que armazenam dados do proprietário do cartão (por exemplo, Oracle) Observação: O PCI SSC lista APENAS aplicativos de pag. Sistemas de back office que armazenam dados do proprietário do cartão (por exemplo, para fins de relatórios ou de serviço ao cliente) O escopo da revisão PA-DSS deve incluir o seguinte: Cobertura de todas as alidade do aplicativo de pag, incluindo, mas não limitando-se a 1) funções de pag de ponta a ponta (autorização e definição), 2) entrada e saída, 3) condições de erro, 4) interfaces e conexões com outros arquivos, sistemas e/ou aplicativos de pag ou componentes do aplicativo, 5) todos os fluxos de dados do proprietário do cartão, 6) mecanismos de criptografia e 7) mecanismos de autenticação. A cobertura da orientação do fornecedor do aplicativo de pag deve fornecer aos cliente e revendedores/integradores (consulte Guia de Implementação PA-DSS mais à frente neste documento) para garantir que 1) o cliente saiba como implementar o aplicativo de pag de uma maneira compatível com o PCI-DSS e que 2) o cliente seja avisado com clareza de que alguns aplicativos de pag e configurações de ambiente podem impedir a conformidade PCI DSS. Observe que o fornecedor do aplicativo de pag deve fornecer orientação para que mesmo quando a configuração específica 1) não possa ser controlada pelo fornecedor do aplicativo de pag, já que o aplicativo foi instalado pelo cliente ou 2) seja de responsabilidade do cliente, não do fornecedor de aplicativo de pag. Cobertura de todas as plataformas selecionada para a versão do aplicativo de pag revisado (as plataformas incluídas devem ser especificadas). Cobertura das ferramentas usadas pelo aplicativo de pag para acessar e/ou visualizar os dados do proprietário do cartão (ferramentas de relatório, ferramentas de registro, etc) Procedimentos de avaliação de requisitos e segurança PCI PA-DSS, versão 2.0 Página 6
7 PA-DSS Aplicabilidade aos aplicativos de pag em terminais de hardware Aplicativos de pag desenvolvidos para operar em terminais de hardware (também conhecidos como terminais independentes ou POS dedicados) podem passar por revisão PA-DSS se o fornecedor desejar alcançar a validação e se os requisitos de conformidade do PA-DSS puderem ser atendidos. As razões pelas quais o fornecedor pode desejar passar um aplicativo de pag pela validação PA-DSS no terminal de hardware incluem, mas não limitam-se a necessidades de negócios e obrigação de conformidade. Esta seção fornece orientação para os fornecedores que desejam obter validação PA-DSS para aplicações de pag residentes em terminais de hardware. Há duas maneiras de o aplicativo de pag residente no terminal de hardware alcançar a validação PA-DSS: 1. O aplicativo de pag residente atende diretamente todos os requisitos do PA-DSS e é validado de acordo com os procedimento PA-DSS. 2. O aplicativo de pag residente não atende todos os requisitos do PA-DSS, mas o hardware onde reside o aplicativo é listado na Lista de dispositivos de segurança de transação PIN aprovados (PTS) do PCI SSC como dispositivo de Ponto de interação (POI) atualmente aprovado pelo PCI PTS. Neste cenário, pode ser possível que o aplicativo satisfaça os requisitos do PA-DSS através de uma combinação dos controles validades PA-DSS e PTS. O resto dessa seção aplica-se apenas aos aplicativos de pag que residem em um dispositivo POI aprovado PCI PTS validado. Se um ou mais requisitos do PA-DSS não forem atendidos diretamente pelo aplicativo de pag, eles podem ser atendidos indiretamente pelos controles estados como parte da validação PCI PTS. Para que um dispositivo de hardware seja considerado para inclusão em uma revisão PA-DSS, o dispositivo de hardware DEVE ser validado como dispositivo POI aprovado PCI PTS e incluído na Lista de dispositivos PTS aprovados PCI SSC. O dispositivo POI validado PTS, que fornece um ambiente de computação confiável, se tornará uma dependência necessária para o aplicativo do pag e a combinação do aplicativo e do hardware será incluída na Lista de aplicativos de pag validados PA-DSS. Ao conduzir a avaliação PA-DSS, o PA-QSA deve testar totalmente o aplicativo de pag com seu hardware dependente em comparação com todos os requisitos do PA-DSS. Se o PA-QSA determina que um ou mais requisitos do PA-DSS não podem ser atendidos pelo aplicativo de pag residente, mas são atendidos por controles validados no PCI PTS, o PA-QSA deve: 1. Documentar claramente quais requisitos são atendidos conforme declarado pelo PA-DSS (como sempre); 2. Documentar claramente quais requisitos foram atendidos através do PCI PTS na caixa " " para este requisito; 3. Incluir uma explicação completa de por que o aplicativo de pag não pode atender o requisito do PA-DSS; 4. Documente os procedimentos conduzidos para determinar como o requisito foi totalmente atendido através do controle validado PCI PTS; 5. Liste o terminal de hardware validade PCI PTS como dependência requisitada na Resumo executivo do relatório de validação. Uma vez que a validação do PA-QSA do aplicativo de pag esteja concluída e, subsequentemente, aceita pelo PCI SSC, o o dispositivo de hardware validado PTS será listado como dependência para o aplicativo de pag na Lista de aplicativos validados PA-DSS. Os aplicativos de pag residentes em terminais de hardware que são validados através de uma combinação de controles PA-DSS e PCI PTS devem atender os seguintes critérios: Procedimentos de avaliação de requisitos e segurança PCI PA-DSS, versão 2.0 Página 7
8 1. Forneça juntamente para o cliente (terminal de hardwawre e aplicativo) OU, se fornecido separadamente, o fornecedor de aplicativo e/ou o revendedor/integrador deve empacotar o aplicativo para distribuição de forma que opere apenas no terminal de hardware em que foi validado para executar. 2. Ativado por padrão para suporte da conformidade PCI DSS do cliente. 3. Inclui suporte contínuo e atualizações para manter a conformidade PCI DSS. 4. Se o aplicativo for vendido separadamente, distribuído ou licenciado para clientes, o fornecedor deve fornecer detalhes do hardware dependente requisitado para o uso com o aplicativo, de acordo com a listagem de validação PA-DSS. Funções e responsabilidades Há várias partes interessadas na comunidade de aplicativos de pag. Algumas dessas partes interessadas têm uma participação mais direta no processo de avaliação PA-DSS - fornecedores, PA-QSAs e PSI SSC. Outras partes interessadas que não estão diretamente envolvidas com o processo de avaliação devem estar conscientes do processo geral para facilitar suas decisões de negócios associadas. A seguir, são definidas as funções e responsabilidades das partes interessadas na comunidade de aplicativos de pag. Estas partes interessadas envolvidas no processo de avaliação têm as responsabilidades relacionadas listadas. Marcas de pag American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc. são as marcas de pag que fundaram o PCI SSC. Essas marcas de pag são responsáveis pelo desenvolvimento e no reforço de programas relacionados com a conformidade PA-DSS, incluindo, mas não limitando-se, ao seguinte: Qualquer requisito, mandato ou data para uso dos aplicativos de pag em conformidade com PA-DSS. Qualquer multa ou penalidade relacionada ao uso de aplicativos de pag que não estão em conformidade. As marcas de pag podem definir os programas, mandatos, datas, etc. de conformidade, usando PA-DSS e os aplicativos de pag validados listados pelo PCI SSC. Através destes programas de conformidade, as marcas de pag promovem o uso dos aplicativos de pags validados da lista. Conselho dos padrões de segurança da indústria de cartões de pag (PCI SSC) O PCI SSC é o corpo padronizador que mantém os padrões da indústria de cartões de pag, incluindo o PCI DSS e o PA-DSS. relação com o PA-DSS, o PCI SSC: É o repositório centralizado dos Relatórios de validação PA-DSS (ROVs) Realize as revisões de Garantia de qualidade (QA) dos ROVs PA-DSS para confirmar a consistência e a qualidade do relatório Lista os aplicativos de pag validados PA-DSS no site Qualifica e treina os PA-QSAs para realizar revisões PA-DSS Procedimentos de avaliação de requisitos e segurança PCI PA-DSS, versão 2.0 Página 8
9 Mantém e atualiza o padrão e a documentação relacionada do PA-DSS de acordo com um processo de gerenci de ciclo de vida padrão Observe que o PCI SSC não aprova os relatórios de uma perspectiva de validação. A função do PA-QSA é documentar a conformidade do aplicativo de pag com o PA-DSS a partir da data da avaliação. Além disso, o PCI SSC realiza o QA para garantir que os PA-QSAs documentem as avaliações PA-DSS com precisão e totalmente. Fornecedores de software Os fornecedores do software ("fornecedores") desenvolvem aplicativos de pag que armazenam, processam ou transmitir dados do proprietário do cartão como parte da autorização ou do estabelecimento e, em seguida, vender, distribuir ou licenciar esses aplicativos de pag a terceiros (cliente ou revendedores/integradores). Os fornecedores são responsáveis: Pela criação de aplicativos de pag em conformidade com o PA-DSS que facilitem e não evitem que seus clientes estejam em conformidade com o PCI DSS (o aplicativo não necessita de implementações ou configurações que viole os requisitos do PCI DSS) Por seguir os requisitos sempre que o fornecedor armazenar, processar ou transmitir dados do proprietário do cartão (por exemplo, durante a solução de problemas do cliente) Pela criação do Guia de Implementação PA-DSS, específico para cada aplicativo de pag, de acordo com os requisitos deste documento Pela orientação dos clientes, revendedores e integradores sobre como instalar e configurar os aplicativos de pag de uma maneira compatível com o PCI DSS Por garantir que os aplicativos de pag estejam em conformidade com o PA-DSS ao garantir que passem com sucesso na revisão PA-DSS, conforme especificado neste documento PA-QSAs Os PA-QSAs são os QSAs que foram qualificados e treinados pelo PCI SSC para realizar as revisões PA-DSS. Os PA-QSAs são responsáveis: Pela realização de avaliações em aplicativos de pag de acordo com os Procedimentos de avaliação de segurança e com os Requisitos de validação PA-QSA Pelo fornecimento de uma opinião a respeito da conformidade do aplicativo de pag com os requisitos do PA-DSS Pelo fornecimento de documentação adequada no ROV para demonstrar que o aplicativo de pag está em conformidade com o PA-DSS Pelo envio do ROV para o PCI SSC, juntamente com o Atestado de validação (assinado pelo PA-QSA e pelo fornecedor) Pela manutenção de um processo de garantia de qualidade interno para alcançar o PA-QSA Observação: Nem todos os QSAs são PA-QSAs - há requisitos adicionais de qualificação que devem ser atendidos para que o QSA passe a ser um PA-QSA. É responsabilidade do PA-QSA declarar se o aplicativo de pag alcançou a conformidade. O PCI SSC não aprova os ROVs de uma perspectiva de conformidade técnica, mas realiza revisões de QA nos ROVs para garantir que os relatórios documentem adequadamente a demonstração de conformidade. Procedimentos de avaliação de requisitos e segurança PCI PA-DSS, versão 2.0 Página 9
10 Revendedores e integradores Os revendedores e integradores são as entidades que vendem, instalam e/ou prestam serviço de aplicativos de pag em nome dos fornecedores do software ou outros. Os revendedores e integradores são responsáveis: Pela Implementação de um aplicativo de pag em conformidade com o PA-DSS em um ambiente em conformidade com o PCI DSS (ou por instruir o comerciante a fazê-lo) Pela configuração do aplicativo de pag (onde são fornecidas as opções de configuração), de acordo com o Guia de Implementação PA-DSS do fornecedor Pela configuração do aplicativo de pag (ou por instruir o comerciante a fazê-lo) de um modo compatível com o PCI DSS Fornecer serviço de aplicativos de pag (por exemplo: solução de problemas, entrega de atualizações remotas e fornecimento de suporte remoto), de acordo com o Guia de Implementação PA-DSS e o PCI DSS Os revendedores e integradores não enviam os aplicativos de pag para avaliação. Os produtos apenas são enviados pelo fornecedor. Procedimentos de avaliação de requisitos e segurança PCI PA-DSS, versão 2.0 Página 10
11 Clientes Os clientes são comerciantes, fornecedores de serviço ou outros que compram ou recebem um aplicativo de pag de terceiros para armazenar, processar ou transmitir dados do proprietário do cartão como parte da autorização ou estabelecimento das transações de pag. Os cliente que quiserem usar os aplicativo que estão em conformidade com o PA-DSS são responsáveis: Pela Implementação de um aplicativo de pag em conformidade com o PA-DSS em um ambiente em conformidade com o PCI DSS Pela configuração do aplicativo de pag (onde são fornecidas as opções de configuração), de acordo com o Guia de Implementação PA-DSS do fornecedor Pela configuração do aplicativo de pag de um modo em conformidade com o PCI DSS Observação: Apenas um aplicativo de pag em conformidade com o PA- DSS não garante que esteja em conformidade com o PCI DSS. Pela manutenção do status de conformidade com o PCI DSS para o ambiente e para a configuração do aplicativo de pag Guia de Implementação PA-DSS Os aplicativos de pag validados devem ser capazes de ser implementados de um modo em conformidade com o PCI DSS. É necessário que os fornecedores do software forneçam um Guia de Implementação PA-DSS, que instruam seus clientes e revendedores/integradores sobre a Implementação segura do produto, que documentem as especificidades de configuração segura mencionadas no documento e que delineiem com clareza as responsabilidades do fornecedor, do revendedor/integrador e do cliente para estar em conformidade com os requisitos do PCI DSS. Ele deve detalhar como o cliente e/ou o revendedor/integrador deve ativar as configurações de segurança na rede do cliente. Por exemplo, o Guia de Implementação PA-DSS deve tratar das responsabilidade e dos recursos básicos de segurança de senha PCI DSS mesmo se isso não for controlado pelo aplicativo de pag, para que o cliente ou revendedor/integrador entenda como implementar senhas seguras para conformidade com o PCI DSS. Aplicativos de pags, quando implementados de acordo com o Guia de Implementação PA-DSS e quando implementados em um ambiente em conformidade com o PCI DSS devem facilitar e fornecer suporte à conformidade com o PCI DSS do cliente. Consulte o apêndice A: Resumo do conteúdo do Guia de Implementação do PA-DSS para comparação das responsabilidades para Implementação dos controles especificados no Guia de Implementação PA-DSS. Requisitos do Avaliador de segurança qualificado do aplicativo de pag (PA-QSA) Apenas os Avaliadores de segurança qualificados do aplicativo de pag (PA-QSAs) empregados pelas empresas Avaliadoras de segurança qualificadas (QSA) têm permissão para realizar avaliações PA-DSS. Consulte a lista de Avaliadores de segurança qualificados em para obter uma lista das empresas qualificadas para realizar as avaliações PA-DSS. O PA-QSA deve utilizar os procedimento de teste documentados neste documento padrão de segurança de dados do aplicativo de pag. O PA-QSA deve ter acesso a um laboratório onde o processo de validação deve ocorrer. Procedimentos de avaliação de requisitos e segurança PCI PA-DSS, versão 2.0 Página 11
12 Laboratório de teste Podem haver laboratórios de teste em dois locais: no local do PA-QSA ou no local do fornecedor do software. O laboratório de teste deve poder simular o uso do aplicativo de pag no mundo real. O PA-QSA deve validar a instalação simples do ambiente do laboratório para garantir que o ambiente simule com veracidade uma situação da vida real e que o fornecedor não tenha modificado ou falsificado o ambiente de qualquer maneira. Consulte o Apêndice B: Confirmação da Configuração do laboratório de testes específico para avaliação PA-DSS neste documento para requisitos detalhados para o laboratório e para os processos relacionados ao laboratório. O PA-QSA deve preencher e enviar o Apêndice B, preenchido para o laboratório específico usado pelo aplicativo de pag sob revisão, como parte do relatório PA-DSS completo. Procedimentos de avaliação de requisitos e segurança PCI PA-DSS, versão 2.0 Página 12
13 Informações de aplicabilidade PCI DSS (Retirada do PCI DSS) O Padrão de segurança de dados da indústria de cartões de pag (PCI DSS) aplica-se sempre que os dados da conta são armazenados, processados ou transmitidos. Os dados da conta são formados pordados do proprietário do cartão mais Dados de autenticação sensível, conforme segue. Os dados do proprietário do cartão incluem: O número primário da conta (PAN) Nome do proprietário de dados expiração Código de serviço Os dados de autenticação sensível incluem: Dados da faixa magnética totais ou equivalente em um chip CAV2/CVC2/CVV2/CID PINs/Bloqueios de PIN O número da conta primária (PAN) é um fator decisivo na aplicabilidade dos requisitos PCI DSS e do PA-DSS. Os requisitos do PCI DSS são aplicáveis se o número da conta primária (PAN) for armazenado, processado ou transmitido. Se o PAN não for armazenado, processado ou transmitido, o PCI DSS e o PA -DSS não se aplica. Se o nome do proprietário do cartão, o código do serviço e/ou a data de expiração forem armazenadas, processadas ou transmitidas com o PAN ou estiverem de qualquer outra forma presentes no ambiente dos dados do proprietário do cartão, eles devem estar protegidos de acordo com todos os requisitos do PCI DSS exceto os Requisitos 3.3 e 3.4, que aplicam-se apenas ao PAN. O PCI DSS representa um conjunto mínimo de objetivos de controle que podem ser alcançados por leis e reguls locais, regionais ou de setor. Além disso, os requisitos de legislação ou regulatórios podem solicitar proteção específica de informações identificáveis pessoalmente ou outros elementos de dados (por exemplo, nome do proprietário do cartão) ou definir as práticas de divulgação relacionadas às informações do cliente da entidade. Os exemplos incluem legislação relacionada à proteção de dados do consumidor, privacidade, roubo de identidade ou segurança de dados. O PCI DSS não substitui leis locais ou regionais, reguls do governo ou outros requisitos legais. A tabela a seguir do Padrão de segurança de dados da indústria de cartões de pag (PCI DSS) ilustra elementos comumente utilizados de dados do proprietário do cartão e dados de autenticação sensível, se o armazen desses dados for permitido ou proibido e se os dados precisam ser protegidos. Esta tabela não tem a intenção de ser completa, mas é apresentada para ilustrar o tipo diferente de requisito que aplica-se a cada elemento de dados; Procedimentos de avaliação de requisitos e segurança PCI PA-DSS, versão 2.0 Página 13
14 Dados da conta Dados do proprietário do cartão Dados de autenticação sensível 1 Elemento de dados O número primário da conta (PAN) Armazen permitido Sim Processar dados da conta armazenados ilegíveis pelo Requisito 3.4 do PCI DSS Sim Nome do proprietário de dados Sim Não Código de serviço Sim Não expiração Sim Não Dados da faixa magnética totais 2 Não CAV2/CVC2/CVV2/CID PINs/Bloqueio de PIN Não Não Não é possível armazenar pelo Requisito 3.2 Não é possível armazenar pelo Requisito 3.2 Não é possível armazenar pelo Requisito 3.2 Os Requisitos 3.3 e 3.4 do PCI DSS aplicam-se apenas ao PAN. Se o PAN for armazenado com outros elementos dos dados do proprietário do cartão, apenas o PAN deve ser processado como ilegível de acordo com o Requisito 3.4 do PCI DSS. O PCI DSS aplica-se apenas se os PANs forem armazenados, processados e/ou transmitidos. 1 2 Os dados de autenticação sensível não devem ser armazenados após a autorização (mesmo se estiverem criptografados). Os dados de rastre totais da faixa magnética, dados equivalentes do chip ou em qualquer outro lugar. Procedimentos de avaliação de requisitos e segurança PCI PA-DSS, versão 2.0 Página 14
15 Instruções e conteúdo do relatório de validação Este documento deve ser usado para os PA-QSAs como modelo para criar o Relatório de Validação. Todos os PA-QSAs devem seguir as instruções deste documento a respeito do conteúdo e formato do relatório ao concluir um relatório de validação. O Relatório de validação deve conter as seguintes informações como prefácio para os Procedimentos de avaliação de segurança e requisitos: 1. Descrição do escopo de revisão Descrever o escopo da cobertura da revisão, pelo escopo da seção PA-DSS acima Intervalo de tempo de validação Versão do PA-DSS usada para a avaliação Lista da documentação revisada 2. Resumo executivo Inclui o seguinte: Nome do produto Versão do produto e plataforma relacionada cobertas Lista de revendedores e/ou integradores deste produto O(s) sistema(s) operacional(is) com os quais o aplicativo de pag foi testado Software de banco de dados usado ou suportado pelo aplicativo de pag Descrição breve do aplicativo de pag/família de produtos (2-3 frases) Diagrama de rede de uma Implementação típica do aplicativo de pag (não necessariamente uma Implementação específica do site do cliente) que inclui, em alto nível: - Conexões dentro e fora da rede do cliente - Componentes da rede do cliente, incluindo dispositivos POS, sistemas, bancos de dados e servidores web conforme aplicável - Outro aplicativo de pag/componente necessário, conforme aplicável Descrição ou diagrama de cada parte do link de comunicação, incluindo (1) LAN, WAN ou Internet, (2) hospedagem da comunicação do software e (3) no host onde o software é implantado (por exemplo, como dois processos diferentes comunicam-se entre si no mesmo host) Um diagrama de fluxo de dados que mostra todos os fluxos dos dados do proprietário do cartão, incluindo os fluxos de autorização, captura, ajuste e de cobrança retroativa, conforme aplicável Procedimentos de avaliação de requisitos e segurança PCI PA-DSS, versão 2.0 Página 15
16 Descrição breve dos arquivos e tabelas que armazenam os dados do proprietário do cartão, suportado por um inventário criado (ou obtido do fornecedor do software) e pertencente ao PA-QSA nos papeis de trabalho - este inventário deve incluir, para cada armazen de dados do proprietário do cartão (arquivo, tabela, etc.): - Lista de todos os elementos dos dados do proprietário do cartão armazenados - Como o armazen de dados é mantido em segurança - Como o acesso ao armazen de dados é registrado Liste todos os aplicativos de pag relacionado aos componentes do software, incluindo requisitos de software de terceiros e dependências Descrição dos métodos de autenticação de ponta a ponta do aplicativo, incluindo o mecanismo de autenticação do aplicativo, o banco de dados de autenticação e a segurança do armazen de dados Descrição da função do aplicativo de pag em uma Implementação típica e de quais outros tipos de aplicativos de pag são necessários para uma Implementação de pag completa Descrição do cliente típico para quem este produto é vendido (por exemplo, pequenos, grandes, específicos para um ramo, Internet ou lojas físicas) e a base do cliente do fornecer (por exemplo, segmento de mercado, nomes de grandes clientes). Definição da metodologia de versão do fornecedor, para descrever/ilustrar como o fornecedor indica alterações de versão maiores ou menores através dos número de versão e para definir quais tipo de alterações o fornecedor inclui nas alterações de versão maiores ou menores. 3. Descobertas e observações Todos os PA-QSAs devem usar o modelo a seguir para fornecer descrições e descobertas de relatório detalhadas Descreve os testes realizados além daqueles incluídos na coluna de procedimentos de teste. Se o avaliador determina que o requerimento não é aplicável para um determinado aplicativo de pag, deve-se incluir uma explicação na coluna " " do requisito. 4. Informações de contato e data do relatório Observação: Apêndice B: A confirmação da Configuração de laboratório de testes específica para avaliação PA-DSS também deve ser concluída e enviada com o relatório PA-DSS concluído. Informações de contato do fornecedor de software (inclui URL, número de telefone e endereço de ) Informações de contato do PA-QSA (inclui nome, número de telefone e endereço de ) Informações de contato primárias de Garantia de qualidade (QA) do PA-QSA (inclui nome do contato de QA primário, número de telefone e endereço de ) Data do relatório Procedimentos de avaliação de requisitos e segurança PCI PA-DSS, versão 2.0 Página 16
17 Etapas de conclusão PA-DSS Este documento contém a tabela de Procedimentos de avaliação de segurança e requisitos, assim como no Apêndice B: Confirmação da Configuração de laboratório de testes específico para avaliação PA-DSS. Os Procedimentos de avaliação de segurança e requisitos detalham os procedimento que devem ser realizados pelo PA-QSA. O Apêndice B: A confirmação da Configuração de laboratório de testes específica para avaliação PA-DSS deve ser concluída pelo PA-QSA para confirmar o status e as capacidades do laboratório de testes usado para conduzir esta avaliação. O PA-QSA deve realizar as seguintes etapas: 1. Conclua o relatório de validação usando este documento como modelo: a. Conclua o prefácio do relatório de validação, de acordo com a seção intitulada "Instruções e conteúdo dos relatórios de validação" b. Conclua e documente todas as etapas detalhadas nos Procedimentos de avaliação de segurança e requisitos, incluindo descrições breves dos controles observados na coluna " " e anotando comentários. Observe que o relatório com qualquer opinião " " não deve ser enviado para o PCI SSC até que todos os itens sejam anotados como " ". 2. Apêndice B completo : Confirmação da Configuração de laboratório de testes específico para avaliação PA-DSS. 3. Conclua e assine um Atestado de validação (PA-QSA e fornecedor do software). O Atestado de validação está disponível no site do PCI SSC (www.pcisecuritystandards.org). 4. Após a conclusão, envie todos os documentos acima para o PCI SSC de acordo com o Guia do programa PA-DSS. Guia do programa PA-DSS Consulte o Guia do programa PA-DSS para obter informações sobre o gerenci de programa PA-DSS, incluindo os tópicos: Processos de aceitação e envio de relatório PA-DSS Processo de renovação anual para aplicativos de pag incluídos na lista de aplicativos PA-DSS validados Transição de aplicativos validados para PABP para a lista de aplicativos de pag PA-DSS validados As responsabilidades de notificação do evento um aplicativo de pag listado é determinado para ser falha no compromisso. O PCI SSC reserva-se o direito de requisitar a revalidação devido a mudanças significativas no Padrão de segurança de dados de aplicativo de pag e/ou devido a vulnerabilidades especificamente identificadas em um aplicativo de pag listado. Procedimentos de avaliação de requisitos e segurança PCI PA-DSS, versão 2.0 Página 17
18 Requisitos e procedimentos de avaliação de segurança PA-DSS Requisitos do PA-DSS a mento 1. Não possui faixa magnética total, código de verificação de cartão ou valor (CAV2, CID, CVC2, CVV2) ou dados de bloqueio de PIN 1.1 Não armazene dados de autenticação sensível após a autorização (mesmo se estiverem criptografados): Os dados de autenticação sensível incluem os dados, conforme citado nos Requisitos até Observações: Ao proibir o armazen dos dados de autenticação sensível após a autorização, assume-se que a transação tenha concluído o processo de autorização e que o cliente tenha recebido a aprovação da transação final. Após a conclusão da autorização, estes dados de autenticação sensível não podem ser armazenados. É permissível para os emissores e empresas que suportam os serviços de emissão para armazenar dados de autenticação sensível se houver justificação de negócios e se os dados forem armazenados com segurança. 1.1.a Se este aplicativo de pag armazena dados de autenticação sensível, verifique se o aplicativo foi desenvolvido apenas para emissores e/ou empresas que suportam serviços de emissão. 1.1.b Para todos os outros aplicativos de pag, se os dados de autenticação sensível (consulte , abaixo) tiverem sido armazenados anteriormente à autorização e depois excluídos, obtiver e revisar a metodologia para excluir os dados para determinar que os dados sejam irrecuperáveis. 1.1.c Para cada item dos dados de autenticação sensível abaixo, realize as etapas a seguir após concluir diversas transações de teste que simulam todas as funções do aplicativo de pag, para incluir geração de condições de erro e de entradas de log. Alinha-se com o Requisito 3.2 PCI DSS Procedimentos de avaliação de requisitos e segurança PCI PA-DSS, versão 2.0 Página 18
19 Requisitos do PA-DSS Após a autorização, não armazene todo o conteúdo de qualquer rastre da faixa magnética (localizada na parte de trás do cartão, dados equivalentes contidos no chip ou em qualquer outro lugar). Esses dados são alternativamente chamados de rastre total, rastre, rastre 1, rastre 2 e dados de faixa magnética. Observação: No curso normal dos negócios, os seguintes elementos de dados da faixa magnética podem necessitar de retenção: O nome do titular da conta, O número da conta primária (PAN), expiração e Código de serviço Para minimizar os riscos, armazene apenas os elementos de dados necessários para os negócios Use as ferramentas e/ou métodos (ferramentas comercial, scripts, etc.) 3 a examina todas as saídas criadas pelo aplicativo de pag e verifica se todos os conteúdos de qualquer rastre da faixa magnética da parte de trás do cartão ou dados equivalentes no chip não estão armazenados após a autorização. Inclui pelo menos os seguintes tipos de arquivos (assim como qualquer outra entrada gerada pelo aplicativo de pag): Dados de transação de entrada Todos os registros (por exemplo, transação, histórico, depuração, erro) Arquivos do histórico Arquivos de rastre Memória não-volátil, incluindo cache não volátil Esquemas de banco de dados Conteúdos do banco de dados a mento Alinha-se com o Requisito do PCI DSS 3 Ferramenta ou método forense: Ferramenta ou método para descoberta, análise e apresentação de dados forenses, que fornece uma maneira robusta de autenticar, buscar e recuperar evidências do computador rápida e totalmente. No caso de ferramentas ou métodos forenses usados pelos PA-QSAs, essas ferramentas ou método devem localizar com precisão quaisquer dados de autenticação sensível gravados pelo aplicativo de pag. Essas ferramentas podem ser comerciais, de fonte aberta ou desenvolvidas internamente pelo PA-QSA. Procedimentos de avaliação de requisitos e segurança PCI PA-DSS, versão 2.0 Página 19
20 Requisitos do PA-DSS Após a autorização, não armazene o valor de verificação ou o código do cartão (número de três ou quatro dígitos impresso na parte frontal ou de trás do cartão de pag) usado para verificar transações em que o cartão não estava presente. Alinha-se com o Requisito do PCI DSS Após a autorização, não armazene o número de identificação pessoal (PIN) ou o bloqueio de PIN criptografado. Alinha-se com o Requisito do PCI DSS Use as ferramentas e/ou métodos (ferramentas comercial, scripts, etc.) para examinar todas as saídas criadas pelo aplicativo de pag e verifique se o código de verificação de três ou quatro dígitos impresso na frente do cartão ou no painel de assinaturas (dados CVV2, CVC2, CID, CAV2) não estejam armazenados após a autorização. Inclui pelo menos os seguintes tipos de arquivos (assim como qualquer outra entrada gerada pelo aplicativo de pag): Dados de transação de entrada Todos os registros (por exemplo, transação, histórico, depuração, erro) Arquivos do histórico Arquivos de rastre Memória não-volátil, incluindo cache não volátil Esquemas de banco de dados Conteúdos do banco de dados Use as ferramentas e/ou métodos (ferramentas comercial, scripts, etc.) para examinar todas as saídas criadas pelo aplicativo de pag e verifique se os PINs e os bloqueios de PIN criptografados não são armazenados após a autorização. Inclui pelo menos os seguintes tipos de arquivos (assim como qualquer outra entrada gerada pelo aplicativo de pag). Dados de transação de entrada Todos os registros (por exemplo, transação, histórico, depuração, erro) Arquivos do histórico Arquivos de rastre Memória não-volátil, incluindo cache não volátil Esquemas de banco de dados Conteúdos do banco de dados a mento Procedimentos de avaliação de requisitos e segurança PCI PA-DSS, versão 2.0 Página 20
Indústria de pagamento de cartão (PCI) Padrão de dados do aplicativo de pagamento
Indústria de pag de cartão (PCI) Padrão de dados do aplicativo de pag Requisitos e procedimentos de avaliação de segurança Versão 2.0 Outubro de 2010 Alterações do documento Data Versão Descrição Páginas
Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados
Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Atestado de conformidade para Avaliações in loco Prestadores de serviços Versão 3.0 Fevereiro de 2014 Seção 1: Informações de Avaliação
Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados
Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Atestado de Conformidade para Avaliações in loco Comerciantes Versão 3.0 Fevereiro de 2014 Seção 1: Informações de Avaliação Instruções
Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados
Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Atestado de Conformidade para Questionário de Autoavaliação C Versão 3.0 Fevereiro de 2014 Seção 1: Informações de Avaliação Instruções
Indústria de cartões de pagamento (PCI) Padrão de Segurança de Dados
Indústria de cartões de pagamento (PCI) Padrão de Segurança de Dados Atestado de conformidade para questionário de autoavaliação P2PE-HW Versão 3.0 Fevereiro de 2014 Seção 1: Informações de avaliação Instruções
Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS
Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS Novembro de 2013 Introdução Este documento fornece um resumo de alterações
Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação
Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação Diretrizes e instruções Versão 2.0 Outubro de 2010 Alterações no documento Data Versão Descrição 1º de outubro
Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados
Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Atestado de Conformidade para Questionário de Autoavaliação A Versão 3.0 Fevereiro de 2014 Seção 1: Informações de avaliação Instruções
Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados
Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Atestado de Conformidade para Questionário de Autoavaliação B Versão 3.0 Fevereiro de 2014 Seção 1: Informações de Avaliação Instruções
Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação C e Atestado de conformidade
Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação C e Atestado de conformidade Aplicativo de pagamento conectado à Internet, sem armazenamento eletrônico dos
Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação B e Atestado de conformidade
Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação B e Atestado de conformidade Somente máquinas de carbono ou terminais de discagem independentes, sem armazenamento
Resumo de alterações da versão 2.0 para a 3.0 do PA-DSS
Indústria de cartões de pagamento (PCI) Padrão de segurança de dados de formulário de pagamento Resumo de alterações da versão 2.0 para a 3.0 do PA-DSS Novembro de 2013 Introdução Este documento fornece
Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação A e Atestado de conformidade
Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação A e Atestado de conformidade Todas as outras funções dos dados do titular do cartão terceirizadas Sem armazenamento
Indústria de cartões de pagamento (PCI) Requisitos e procedimentos da avaliação de segurança Versão 3.0
Indústria de cartões de pagamento (PCI) Padrão de Segurança de Dados Requisitos e procedimentos da avaliação de segurança Versão 3.0 Novembro de 2013 Alterações no documento Data Versão Descrição Páginas
O Que Fazer Se Houver Comprometimento Programa de Segurança da Informação da Conta (AIS) Fevereiro de 2006
Programa de Segurança da Informação da Conta (AIS) Fevereiro de 2006 Região Introdução...3 Reportando a Quebra de Segurança...4 Passos e Exigências para as Entidades Comprometidas...5 Passos e Exigências
Descrição de Serviço Serviço de controle e recuperação de notebook e Serviço de exclusão remota de dados
Descrição de Serviço Serviço de controle e recuperação de notebook e Serviço de exclusão remota de dados Visão geral do Serviço A Dell tem a satisfação de oferecer o Serviço de controle e recuperação de
Questionário de Auto-avaliação
Payment Card Industry (PCI) Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Questionário de Auto-avaliação Instruções e Diretrizes Versão 1.1 Fevereiro de 2008 Índice Sobre este Documento...
Setor de cartões de pagamento (PCI) Padrão de segurança de dados
Setor de cartões de pagamento (PCI) Padrão de segurança de dados Requisitos e procedimentos de avaliação da segurança Versão 1.2 Outubro de 2008 Índice Introdução e visão geral do padrão de segurança de
ESET CYBER SECURITY PRO para Mac Guia de Inicialização Rápida. Clique aqui para fazer o download da versão mais recente deste documento
ESET CYBER SECURITY PRO para Mac Guia de Inicialização Rápida Clique aqui para fazer o download da versão mais recente deste documento ESET Cyber Security Pro fornece proteção de última geração para seu
Google Cloud Print. Guia do administrador
Google Cloud Print Guia do administrador Março de 2015 www.lexmark.com Conteúdo 2 Conteúdo Visão geral... 3 Configuração do aplicativo...4 Adquirindo uma conta do Google...4 Acessando a página de configuração
Descrição do Serviço Serviços Dell System Track
Visão geral dos Termos e Condições Descrição do Serviço Serviços Dell System Track Este contrato ( Contrato ou Descrição do Serviço ) é firmado entre o cliente ( você ou Cliente ) e a entidade Dell identificada
MANUAL DO USUÁRIO SUMÁRIO
SUMÁRIO 1. Home -------------------------------------------------------------------------------------------------------- 7 2. Cadastros -------------------------------------------------------------------------------------------------
PARA MAC. Guia de Inicialização Rápida. Clique aqui para fazer o download da versão mais recente deste documento
PARA MAC Guia de Inicialização Rápida Clique aqui para fazer o download da versão mais recente deste documento ESET Cyber Security fornece proteção de última geração para seu computador contra código mal-intencionado.
Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação C-VT e Atestado de conformidade
Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação C-VT e Atestado de conformidade Comerciantes com terminais virtuais de pagamento baseados na Web Sem armazenamento
Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade
Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade Todos os outros SAQs - Comerciantes e prestadores de serviços qualificados Versão
ADOBE FLASH PLAYER 10.3 Gerenciador de configurações locais
ADOBE FLASH PLAYER 10.3 Gerenciador de configurações locais PRERELEASE 03/07/2011 Avisos legais Avisos legais Para consultar avisos legais, acesse o site http://help.adobe.com/pt_br/legalnotices/index.html.
Aplicativo da Manifestação do Destinatário. Manual
Aplicativo da Manifestação do Destinatário Manual Novembro de 2012 1 Sumário 1 Aplicativo de Manifestação do Destinatário...4 2 Iniciando o aplicativo...4 3 Menus...5 3.1 Manifestação Destinatário...5
Que informações nós coletamos, e de que maneira?
Política de Privacidade Vivertz Esta é a política de privacidade da Affinion International Serviços de Fidelidade e Corretora de Seguros Ltda que dispõe as práticas de proteção à privacidade do serviço
Contato: Kaspersky Lab ZAO 39A/3 Leningradskoe Shosse, Moscou 125212, Rússia E-mail: info@kaspersky.com
Contato: Kaspersky Lab ZAO 39A/3 Leningradskoe Shosse, Moscou 125212, Rússia E-mail: info@kaspersky.com Suporte: http://support.kaspersky.com Informações gerais: www.kaspersky.com www.securelist.com 2013
Especificações da oferta Gerenciamento de dispositivos distribuídos: Gerenciamento de ativos
Visão geral do Serviço Especificações da oferta Gerenciamento de dispositivos distribuídos: Gerenciamento de ativos Os Serviços de gerenciamento de dispositivos distribuídos ajudam você a controlar ativos
GOOGLE.COM.BR - PRIVACY POLICY
Última modificação: 27 de julho de 2012 ( visualizar versões arquivadas) Existem muitas maneiras diferentes pelas quais você pode usar nossos serviços pesquisar e compartilhar informações, comunicar-se
Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade
Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade Todos os outros comerciantes e prestadores de serviço qualificados pelo SAQ
Solução de gerenciamento de sistemas Dell KACE K1000 Versão 5.5. Guia de gerenciamento de ativos. Julho de 2013
Solução de gerenciamento de sistemas Dell KACE K1000 Versão 5.5 Guia de gerenciamento de ativos Julho de 2013 2004-2013 Dell, Inc. Todos os direitos reservados. Qualquer forma de reprodução deste material
Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade
Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade Todos os outros SAQs - Comerciantes e prestadores de serviços qualificados Versão
Instalação do IBM SPSS Modeler Server Adapter
Instalação do IBM SPSS Modeler Server Adapter Índice Instalação do IBM SPSS Modeler Server Adapter............... 1 Sobre a Instalação do IBM SPSS Modeler Server Adapter................ 1 Requisitos de
CA Nimsoft Monitor. Guia do Probe Monitoramento do servidor Tomcat. tomcat série 1.2
CA Nimsoft Monitor Guia do Probe Monitoramento do servidor Tomcat tomcat série 1.2 Aviso de copyright do CA Nimsoft Monitor Este sistema de ajuda online (o Sistema ) destina-se somente para fins informativos
FileMaker Pro 12. Utilização de uma Conexão de Área de Trabalho Remota com o
FileMaker Pro 12 Utilização de uma Conexão de Área de Trabalho Remota com o FileMaker Pro 12 2007 2012 FileMaker Inc. Todos os direitos reservados. FileMaker Inc. 5201 Patrick Henry Drive Santa Clara,
Registro de Alterações da Política de Privacidade da UPS Vigência: 28 de abril de 2005
Proteção dos dados sobre o cliente, parágrafo 1º Nós da UPS estamos cientes da importância da privacidade para os nossos clientes e visitantes do web site. Há vários anos nossa política tem sido a de tratar
Certificado Digital e-cpf
Certificado Digital e-cpf Parabéns! Ao ter em mãos esse manual, significa que você adquiriu um certificado digital AC Link. Manual do Usuário 1 Índice Apresentação... 03 O que é um Certificado Digital?...
FLEXPAG - Política de Privacidade
FLEXPAG - Política de Privacidade A infocusweb/flexpag tem um compromisso com o respeito à sua privacidade. Política de Privacidade Nós reconhecemos que ao optar por nos informar alguns de seus dados pessoais,
Política de uso de dados
Política de uso de dados A política de dados ajudará você a entender como funciona as informações completadas na sua área Minhas Festas. I. Informações que recebemos e como são usadas Suas informações
Guia de Atualização PROJURIS WEB 4.5. Manual do Técnico Atualização - ProJuris Web 4.5. Manual do Técnico Atualização - ProJuris Web 4.
Guia de Atualização PROJURIS WEB 4.5 Por: Fabio Pozzebon Soares Página 1 de 11 Sistema ProJuris é um conjunto de componentes 100% Web, nativamente integrados, e que possuem interface com vários idiomas,
CA Nimsoft Monitor. Guia do Probe Monitoramento de resposta de JDBC. jdbc_response série 1.1
CA Nimsoft Monitor Guia do Probe Monitoramento de resposta de JDBC jdbc_response série 1.1 Aviso de copyright do CA Nimsoft Monitor Este sistema de ajuda online (o Sistema ) destina-se somente para fins
ADENDO DE TREINAMENTO DE CLOUD SERVICES DA ORACLE ao CONTRATO DA ORACLE PARTNERNETWORK
ADENDO DE TREINAMENTO DE CLOUD SERVICES DA ORACLE ao CONTRATO DA ORACLE PARTNERNETWORK Este Adendo de Treinamento de Cloud Services da Oracle (o "adendo") é firmado entre você e a entidade da Oracle com
Norton 360 Online Guia do Usuário
Guia do Usuário Norton 360 Online Guia do Usuário Documentação versão 1.0 Copyright 2007 Symantec Corporation. Todos os direitos reservados. O software licenciado e a documentação são considerados software
Certificado Digital A1
Abril/ Certificado Digital A1 Geração Página 1 de 32 Abril/ Pré requisitos para a geração Dispositivos de Certificação Digital Para que o processo de instalação tenha sucesso, é necessário obedecer aos
Google Drive Print. Guia do administrador
Google Drive Print Guia do administrador Março de 2015 www.lexmark.com Conteúdo 2 Conteúdo Visão geral...3 Configuração do aplicativo...4 Adquirindo uma conta do Google...4 Acessando a página de configuração
G UIA DE I NSTALAÇÃO. Módulo ipagare para Magento - versão 3.3
G UIA DE I NSTALAÇÃO Módulo ipagare para Magento - versão 3.3 De 27/10/2011 ÍNDICE 1. PREFÁCIO... 3 Este documento... 3 Confidencialidade... 3 Histórico de atualizações... 3 2. APRESENTAÇÃO... 4 Novidades...
Serviço HP Carregamento de Imagem e Aplicações
Especificações técnicas Serviço HP Carregamento de Imagem e Aplicações Serviços HP de Configuração Deixe a HP gerenciar sua imagem de PC para que você possa se concentrar nos negócios Visão geral dos serviços
Prestadores de serviço elegíveis a SAQ. Versão 3.0
Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação de A de conformidade para Prestadores de serviço Prestadores de serviço elegíveis a SAQ Versão 3.0 Fevereiro
Manual de Instalação. SafeNet Authentication Client 8.2 SP1. (Para MAC OS 10.7)
SafeNet Authentication Client 8.2 SP1 (Para MAC OS 10.7) 2/28 Sumário 1 Introdução... 3 2 Pré-Requisitos Para Instalação... 3 3 Ambientes Homologados... 4 4 Tokens Homologados... 4 5 Instruções de Instalação...
Software de gerenciamento do sistema Intel. Guia do usuário do Pacote de gerenciamento do servidor modular Intel
Software de gerenciamento do sistema Intel do servidor modular Intel Declarações de Caráter Legal AS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO SÃO RELACIONADAS AOS PRODUTOS INTEL, PARA FINS DE SUPORTE ÀS PLACAS
StorageTek Tape Analytics
StorageTek Tape Analytics Guia de Segurança Versão 2.1 E60953-01 Janeiro de 2015 StorageTek Tape Analytics Guia de Segurança E60953-01 Copyright 2012, 2015, Oracle e/ou suas empresas afiliadas. Todos os
ESET NOD32 ANTIVIRUS 9
ESET NOD32 ANTIVIRUS 9 Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / XP Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento O ESET NOD32 Antivirus fornece
CA Nimsoft Monitor Snap
CA Nimsoft Monitor Snap Guia de Configuração do Monitoramento de resposta do servidor DHCP dhcp_response série 3.2 Aviso de copyright do CA Nimsoft Monitor Snap Este sistema de ajuda online (o Sistema
IREasy Manual do Usuário Versão do manual - 0.0.9
OBJETIVOS DO PROGRAMA DE COMPUTADOR IREasy Permitir a apuração do Imposto de Renda dos resultados das operações em bolsa de valores (mercado à vista, a termo e futuros). REQUISITOS MÍNIMOS DO COMPUTADOR
Política de privacidade do Movimento Certo Ginástica Laboral Online Última atualização: 17 de março de 2015
Política de privacidade do Movimento Certo Ginástica Laboral Online Última atualização: 17 de março de 2015 Esta Política de privacidade estabelece nossas políticas e procedimentos para coletar, usar e
ESET NOD32 ANTIVIRUS 6
ESET NOD32 ANTIVIRUS 6 Microsoft Windows 8 / 7 / Vista / XP / Home Server Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento O ESET NOD32 Antivirus fornece
Introdução... 1. Instalação... 2
ONTE DO Introdução... 1 O que é IPP?... 1 Qual é a função de um software Samsung IPP?... 1 Instalação... 2 Requisitos do sistema... 2 Instalar o software Samsung IPP... 2 Desinstalar o software Samsung
Inicialização Rápida do Novell Vibe Mobile
Inicialização Rápida do Novell Vibe Mobile Março de 2015 Introdução O acesso móvel ao site do Novell Vibe pode ser desativado por seu administrador do Vibe. Se não conseguir acessar a interface móvel do
Manual do usuário Certificado Digital e-cpf. Parabéns! Ao ter em mãos este manual, significa que você adquiriu um Certificado Digital DOCCLOUD
Manual do usuário Certificado Digital e-cpf Parabéns! Ao ter em mãos este manual, significa que você adquiriu um Certificado Digital DOCCLOUD Índice Apresentação 03 O que é um Certificado Digital? 04 Instalando
2 de maio de 2014. Remote Scan
2 de maio de 2014 Remote Scan 2014 Electronics For Imaging. As informações nesta publicação estão cobertas pelos termos dos Avisos de caráter legal deste produto. Conteúdo 3 Conteúdo...5 Acesso ao...5
Histórico da Revisão. Versão Descrição Autor. 1.0 Versão Inicial
1 of 14 27/01/2014 17:33 Sistema de Paginação de Esportes Universitários Documento de Arquitetura de Software Versão 1.0 Histórico da Revisão Data 30 de novembro de 1999 Versão Descrição Autor 1.0 Versão
FileMaker Pro 14. Utilização de uma Conexão de Área de Trabalho Remota com o FileMaker Pro 14
FileMaker Pro 14 Utilização de uma Conexão de Área de Trabalho Remota com o FileMaker Pro 14 2007-2015 FileMaker, Inc. Todos os direitos reservados. FileMaker Inc. 5201 Patrick Henry Drive Santa Clara,
Seu manual do usuário BLACKBERRY INTERNET SERVICE http://pt.yourpdfguides.com/dref/1117388
Você pode ler as recomendações contidas no guia do usuário, no guia de técnico ou no guia de instalação para BLACKBERRY INTERNET SERVICE. Você vai encontrar as respostas a todas suas perguntas sobre a
POLÍTICA GLOBAL DE PRIVACIDADE NA INTERNET
POLÍTICA GLOBAL DE NA INTERNET A política da PayU Latam é cumprir com todas as leis aplicáveis referentes à proteção de dados e privacidade. Este compromisso reflete o valor que conferimos à conquista
Instruções de Instalação do IBM SPSS Modeler (Licença de Usuário Autorizado)
Instruções de Instalação do IBM SPSS Modeler (Licença de Usuário Autorizado) Índice Instruções de Instalação....... 1 Requisitos do sistema........... 1 Código de autorização.......... 1 Instalando...............
Introdução. Disciplina: Suporte Remoto Prof. Etelvira Leite
Introdução Disciplina: Suporte Remoto Prof. Etelvira Leite Os Benefícios do Trabalho Remoto O mundo assiste hoje à integração e à implementação de novos meios que permitem uma maior rapidez e eficácia
Certificado Digital e-cpf
Página1 Certificado Digital e-cpf Manual do Usuário Página2 Índice Apresentação... 03 O que é um Certificado Digital?... 03 Instalando o Certificado... 04 Conteúdo do Certificado... 07 Utilização, guarda
FileMaker Pro 13. Utilização de uma Conexão de Área de Trabalho Remota com o FileMaker Pro 13
FileMaker Pro 13 Utilização de uma Conexão de Área de Trabalho Remota com o FileMaker Pro 13 2007-2013 FileMaker Inc. Todos os direitos reservados. FileMaker Inc. 5201 Patrick Henry Drive Santa Clara,
ESET NOD32 ANTIVIRUS 8
ESET NOD32 ANTIVIRUS 8 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento
Tableau Online Segurança na nuvem
Tableau Online Segurança na nuvem Autor(a): Ellie Fields Diretora Sênior de Marketing de Produtos, Tableau Software Junho de 2013 p2 A Tableau Software entende que os dados são um dos ativos mais estratégicos
Aula 12 Lista de verificação de segurança para o Windows 7
Aula 12 Lista de verificação de segurança para o Windows 7 Use esta lista de verificação para ter certeza de que você está aproveitando todas as formas oferecidas pelo Windows para ajudar a manter o seu
Versão Liberada. www.gerpos.com.br. Gerpos Sistemas Ltda. info@gerpos.com.br. Av. Jones dos Santos Neves, nº 160/174
Versão Liberada A Gerpos comunica a seus clientes que nova versão do aplicativo Gerpos Retaguarda, contendo as rotinas para emissão da Nota Fiscal Eletrônica, já está disponível. A atualização da versão
Guia do Usuário do Cisco Unified MeetingPlace para Outlook versão 7.1
Guia do Usuário do Cisco Unified MeetingPlace para Outlook versão 7.1 Sede das Américas Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 EUA http://www.cisco.com Tel.: +1 408 526-4000
CA Nimsoft Monitor. Guia do Probe Monitoramento de resposta de DNS. dns_response série 1.6
CA Nimsoft Monitor Guia do Probe Monitoramento de resposta de DNS dns_response série 1.6 Aviso de copyright do CA Nimsoft Monitor Este sistema de ajuda online (o Sistema ) destina-se somente para fins
GERENCIAMENTO CENTRALIZADO DELL POWERVAULT DL 2000 BASEADO EM TECNOLOGIA SYMANTEC
GERENCIAMENTO CENTRALIZADO DELL POWERVAULT DL 2000 BASEADO EM TECNOLOGIA SYMANTEC RESUMO EXECUTIVO O PowerVault DL2000, baseado na tecnologia Symantec Backup Exec, oferece a única solução de backup em
Backup e restauração do Active Directory com o Acronis Backup & Recovery 11 White paper técnico
Backup e restauração do Active Directory com o Acronis Backup & Recovery 11 White paper técnico Aplica-se às seguintes edições: Advanced Server Virtual Edition Advanced Server SBS Edition Advanced Workstation
Sistema de Cancelamento Eletrônico Manual do Usuário
Sistema de Cancelamento Eletrônico Manual do Usuário IEPTB-MG Belo Horizonte, 2014 Índice Sumário I. Uso do sistema pelo credor... 4 1. Acesso ao sistema... 5 1.1 Uso da assinatura digital... 5 2. Criação
Rational Quality Manager. Nome: Raphael Castellano Campus: AKXE Matrícula: 200601124831
Rational Quality Manager Nome: Raphael Castellano Campus: AKXE Matrícula: 200601124831 1 Informações Gerais Informações Gerais sobre o RQM http://www-01.ibm.com/software/awdtools/rqm/ Link para o RQM https://rqmtreina.mvrec.local:9443/jazz/web/console
Renovação Online de Certificados Digitais A1 (Com cartão de Crédito)
Renovação Online de Certificados Digitais A1 (Com cartão de Crédito) Guia de Orientação Todos os direitos reservados. Imprensa Oficial do Estado S.A. 2013 Página 1 de 40 Índice PRÉ-REQUISITOS PARA INSTALAÇÃO...
GERENCIADOR DE DOWNLOAD SEGURO Guia de referência 2013-07-30 Confidencial Versão 2.2
GERENCIADOR DE DOWNLOAD SEGURO Guia de referência 2013-07-30 Confidencial Versão 2.2 SUMÁRIO Gerenciador de Download Seguro... 2 Principais recursos incluídos no SDM... 3 Sistemas operacionais suportados...
Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589
Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups
Manual do aplicativo Conexão ao telefone
Manual do aplicativo Conexão ao telefone Copyright 2003 Palm, Inc. Todos os direitos reservados. O logotipo da Palm e HotSync são marcas registradas da Palm, Inc. O logotipo da HotSync e Palm são marcas
Manual do Usuário DENATRAN
Manual do Usuário DENATRAN Confidencial Portal SISCSV - 2007 Página 1 Índice Analítico 1. INTRODUÇÃO 5 2. ACESSANDO O SISCSV 2.0 6 2.1 Configurando o Bloqueador de Pop-Ups 6 3. AUTENTICAÇÃO DO USUÁRIO
Certificado Digital A1
Certificado Digital A1 Geração Todos os direitos reservados. Imprensa Oficial do Estado S.A. - 2012 Página 1 de 41 Pré-requisitos para a geração Dispositivos de Certificação Digital Para que o processo
Manual de Treinamento. Área do Membro
Manual de Treinamento Área do Membro 0 Contents Geral... 2 Transações... 3 Negociação e Estoque... 10 Licenças... 15 Mercado... 19 Finanças... 22 Fazer uma Declaração de Venda... 27 Fazer uma Declaração
Renovação Online de Certificados Digitais A3 (Com Boleto Bancário)
Renovação Online de Certificados Digitais A3 (Com Boleto Bancário) Guia de Orientação Todos os direitos reservados. Imprensa Oficial do Estado S.A. 2013 Página 1 de 47 Índice PRÉ-REQUISITOS PARA INSTALAÇÃO...
Última atualização em 16 de junho de 2016. Substitui a versão anterior na sua totalidade.
Termos Adicionais de Uso do Document Cloud (incluindo Adobe Sign) Última atualização em 16 de junho de 2016. Substitui a versão anterior na sua totalidade. Os termos em letras maiúsculas usados nestes
Renovação Online de certificados digitais A1 (Voucher)
Renovação Online de certificados digitais A1 (Voucher) Todos os direitos reservados. Imprensa Oficial do Estado S.A. 2012 página 1 de 18 Renovação Online Renovação Online de certificados digitais A1 (Voucher)
para Mac Guia de Inicialização Rápida
para Mac Guia de Inicialização Rápida O ESET Cybersecurity fornece proteção de última geração para o seu computador contra código malicioso. Com base no ThreatSense, o primeiro mecanismo de verificação
Centro de Agricultura Alternativa CAA Manual do Usuário do Portal Ypadê Balaio Digital Tecnologia em Gestão Ltda ME. Manual do Usuário Portal Ypadê
Centro de Agricultura Alternativa CAA Manual do Usuário Portal Ypadê Montes Claros, 16 de Julho de 2011 Revisão 3 Sumário 1. Apresentação do portal e escopo deste documento... 2 2. Acessando o Portal Ypadê...
POLÍTICA DE PRIVACIDADE DA DIXCURSOS (ANEXO AOS TERMOS E CONDIÇÕES GERAIS DE USO DO SITE E CONTRATAÇÃO DOS SERVIÇOS)
POLÍTICA DE PRIVACIDADE DA DIXCURSOS (ANEXO AOS TERMOS E CONDIÇÕES GERAIS DE USO DO SITE E CONTRATAÇÃO DOS SERVIÇOS) 1. A aceitação a esta Política de Privacidade se dará com o clique no botão Eu aceito
Manual. ID REP Config Versão 1.0
Manual ID REP Config Versão 1.0 Sumário 1. Introdução... 3 2. Pré-Requisitos... 3 3. Instalação do ID REP Config... 4 4. Visão Geral do Programa... 8 4.1. Tela Principal... 8 4.2. Tela de Pesquisa... 12
Manual do Usuário ZKPatrol1.0
Manual do Usuário ZKPatrol1.0 SOFTWARE Sumário 1 Introdução de Funções... 3 1.2 Operação Básica... 4 1.3 Seleção de idioma... 4 2 Gerenciamento do Sistema... 5 2.1 Entrar no sistema... 5 2.2 Sair do Sistema...
Guia de utilização do gerenciador de Token e Smart Card
Guia de utilização do gerenciador de Token e Smart Card Todos os direitos reservados. Imprensa Oficial do Estado S.A. 2011 página 1 de 13 Pré-requisitos para a instalação Software de Certificação Digital
Setor de cartões de pagamento (PCI) Padrão de segurança de dados do PCI Navegando pelo PCI DSS
Setor de cartões de pagamento (PCI) Padrão de segurança de dados do PCI Navegando pelo PCI DSS Alterações no documento Data Versão Descrição 1 de outubro de 2008 1.2 Alinhar o conteúdo com o novo PCI DSS
Versão 1.0 09/10. Xerox ColorQube 9301/9302/9303 Serviços de Internet
Versão 1.0 09/10 Xerox 2010 Xerox Corporation. Todos os direitos reservados. Direitos reservados de não publicação sob as leis de direitos autorais dos Estados Unidos. O conteúdo desta publicação não pode
Módulo e-rede VirtueMart v1.0. Manual de. Instalação do Módulo. estamos todos ligados
Módulo e-rede VirtueMart v1.0 Manual de Instalação do Módulo estamos todos ligados ÍNDICE 01 02 03 04 Introdução 3 Versão 3 Requerimentos 3 Manual de instalação 4 05 06 4.1 Permissões 4 4.2 Instalação