Conhecer a intenção dos requisitos

Tamanho: px
Começar a partir da página:

Download "Conhecer a intenção dos requisitos"

Transcrição

1 Indústria de cartões de débito (PCI - Payment Card Industry) Padrão de segurança dos dados Navegando pelo PCI DSS Conhecer a intenção dos requisitos Versão 2.0 Outubro de 2010

2 Alterações no documento Data Version Description 1 de outubro de de outubro de Alinhar o conteúdo com o novo PCI DSS v1.2 e implementar pequenas alterações observadas desde o original v Alinhar o conteúdo com o novo PCI DSS v2.0. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 2

3 Índice Alterações no documento...2 Prefácio...4 Virtualização... 5 Elementos dos dados do titular do cartão e de autenticação confidenciais...6 Localização dos dados do titular do cartão e dos dados de autenticação confidenciais... 8 Dados do rastro 1 vs. rastro relacionada para o Padrão de segurança de dados do PCI...10 para os Requisitos 1 e 2: Construa e mantenha uma rede segura...11 Requisito 1: Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão Requisito 2: Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança para os Requisitos 3 e 4: Proteger os dados do titular do cartão...20 Requisito 3: Proteger os dados armazenados do titular do cartão Requisito 4: Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas para os Requisitos 5 e 6: Manter um programa de gerenciamento de vulnerabilidades...30 Requisito 5: Usar e atualizar regularmente o software ou programas antivírus Requisito 6: Desenvolver e manter sistemas e aplicativos seguros para os Requisitos 7, 8 e 9: Implementar medidas de controle de acesso rigorosas...40 Requisito 7: Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio Requisito 8: Atribuir uma identidade exclusiva para cada pessoa que tenha acesso ao computador Requisito 9: Restringir o acesso físico aos dados do titular do cartão para os Requisitos 10 e 11: Monitorar e Testar as Redes Regularmente...51 Requisito 10: Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão Requisito 11: Testar regularmente os sistemas e processos de segurança para o Requisito 12: Manter uma Política de Segurança de Informações...61 Requisito 12: Manter uma política que aborde a segurança das informações para todas as equipes para o Requisito A.1: Requisitos adicionais do PCI DSS para provedores de hospedagem compartilhada Anexo A: Padrão de segurança de dados do PCI: documentos relacionados...69 Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 3

4 Prefácio Este documento descreve os 12 requisitos do Padrão de segurança de dados do Setor de cartões de pagamento (PCI DSS), junto com uma orientação para explicar o propósito de cada um deles. A finalidade deste documento é auxiliar comerciantes, prestadores de serviço e instituições financeiras que desejem conhecer mais a respeito do padrão de segurança de dados do setor de cartões de débito, bem como o significado específico e as intenções por trás dos requisitos detalhados para proteger os componentes do sistema (servidores, rede, aplicativos, etc). compatíveis com os ambientes de dados do titular do cartão. OBSERVAÇÃO: Navegando pelo PCI DSS: Conhecer a intenção dos requerimentos servirá apenas como orientação. Ao preencher uma avaliação on-site do PCI DSS ou um questionário de auto-avaliação (SAQ - Self Assessment Questionnaire), os Requisitos do PCI DSS dos Padrões de Segurança de Dados e os Questionários de auto-avaliação do PCI DSS 2.0 serão os documentos de registro. Os requisitos de segurança do PCI DSS se aplicam a todos os componentes do sistema. No contexto do PCI DSS, os "componentes do sistema" são definidos como qualquer componente de rede, servidor ou aplicativo que esteja incluído ou vinculado ao ambiente de dados do titular do cartão. Os componentes do sistema incluem também qualquer componente de virtualização, como máquinas virtuais, roteadores e comutadores virtuais, ferramentas virtuais, aplicativos e desktops virtuais e hipervisores. O ambiente de dados do titular do cartão compreende pessoas, processos e tecnologia que lidam com os dados do titular do cartão ou dados de autenticação confidenciais. Os componentes de rede podem incluir, mas não de forma exclusiva, firewalls, chaves, roteadores, pontos de acesso wireless, mecanismos de rede e outros mecanismos de segurança. Os tipos de servidor incluem, mas não se limitam a: web, aplicativo, banco de dados, autenticação, , proxy, NTP (network time protocol) e DNS (domain name server). Os aplicativos incluem todos os aplicativos adquiridos e personalizados, incluindo os aplicativos internos e externos (Internet, por exemplo). A primeira etapa de uma avaliação do PCI DSS é determinar precisamente o escopo da revisão. Ao menos anualmente e antes da avaliação anual, a entidade deve confirmar a precisão de seu escopo do PCI DSS ao identificar todos os locais e fluxos de dados do titular do cartão e assegurar que estejam incluídos no escopo do PCI DSS. Para confirmar a precisão e a adequação do escopo do PCI DSS, execute o seguinte: A entidade avaliada identifica e documenta a existência de todos os dados do titular do cartão em seu ambiente, para verificar que nenhum dado de titular do cartão existe fora do ambiente de dados do titular do cartão definido no momento (CDE). Assim que todos os locais dos dados do titular do cartão forem identificados e documentados, a entidade usa os resultados para verificar se o escopo do PCI DSS é adequado (por exemplo, os resultados podem ser um diagrama ou um inventário de locais de dados do titular de cartão). A entidade considera que qualquer dado do titular do cartão esteja no escopo da avaliação do PCI DSS e parte do CDE, a não ser que tal dado seja excluído ou migrado/consolidado no CDE definido atualmente. A entidade retém a documentação que mostra como o escopo do PCI DSS foi confirmado e os resultados, para a revisão da assessoria e/ou para referência durante a próxima atividade anual de confirmação do escopo do PCI SCC. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 4

5 A segmentação da rede ou o isolamento (separação) do ambiente de dados do titular do cartão do restante da rede corporativa não é um requisito do PCI DSS. Entretanto, é altamente recomendável como um método que reduzirá o escopo do ambiente de dados do titular do cartão. Um Assessor de Segurança Qualificado (QSA) pode auxiliar na determinação do escopo dentro do ambiente dos dados do titular do cartão, junto com orientação sobre como estreitar o escopo de uma avaliação do PCI DSS ao implementar uma segmentação de rede adequada. Se houver dúvidas quanto à consonância de uma determinada implantação em relação ao padrão ou a um requerimento específico, o PCI SSC recomenda às empresas que consultem o QSA para validar a implantação da tecnologia e dos processos e atender ao padrão de segurança de dados do PCI. A experiência dos QSAs em trabalhar com ambientes de rede complexos é boa para proporcionar melhores práticas e orientação ao comerciante ou prestador de serviços na tentativa de conquistar conformidade. A lista dos assessores de segurança qualificados do PCI SSC poderá ser encontrada em: https://www.pcisecuritystandards.org. Virtualização Se uma virtualização for implantada, todos os componentes que estiverem no ambiente virtual deverão ser identificados e considerados dentro do escopo para a revisão, incluindo os hosts individuais virtuais ou dispositivos, máquinas visitantes, aplicativos, interfaces de gerenciamento, consoles de gerenciamento centrais, hipervisores, etc. Todas as comunicações e fluxos de dados trocados entre os hosts deverão ser identificados e documentados, bem como aqueles trocados entre o componente virtual e os componentes do sistema. A implantação de um ambiente virtualizado deverá atender às inteções de todos os requerimentos de forma que os sistemas virtualizados possam de fato ser considerados hardwares separados. Por exemplo: deverá haver uma segmentação clara das funções e segregação de redes com níveis de segurança diferentes. A segmentação deverá evitar o compartilhamento dos ambientes de produção e de teste e desenvolvimento. A configuração virtual deverá ser protegida de forma que as vulnerabilidades em uma função não interfiram na segurança de outras. E dispositivos como USB ou em série não possam ser acessados por todas as instâncias virtuais. Além disso, todos os protocolos de interface de gerenciamento virtuais deverão ser incluídos na documentação do sistema, e deverão ser definidas funções e permissões para gerenciamento das redes virtuais e dos componentes virtuais do sistema. As plataformas de virtualização deverão ter a capacidade de aplicar a separação de tarefas e de privilégios menores, de forma a separar o gerenciamento de rede virtual do gerenciamento de servidor virtual. Deve-se ter atenção especial ao implantar os controles de autenticação, de forma a garantir que a autenticação dos usuários seja realizada nos componentes de sistema virtual adequados e que haja distinção entre as máquinas virtuais (VMs - virtual machines) do visitante e o hipervisor. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 5

6 Elementos dos dados do titular do cartão e de autenticação confidenciais O PCI DSS se aplica onde quer que os dados da conta sejam armazenados, processados ou transmitidos. Os Dados da Conta consistem em Dados do titular do cartão mais Dados de autenticação confidenciais, como segue: Os Dados do titular do cartão incluem: O número da conta principal (PAN) O nome do titular do cartão Data de vencimento Código de serviço Os Dados de autenticação confidenciais incluem: Dados em tarja magnética ou equivalentes em chip CAV2/CVC2/CVV2/CID PINs/Bloqueios de PIN O número da conta principal é o fator decisivo na aplicabilidade dos requisitos do PCI DSS. Os requisitos do PCI DSS são aplicáveis se um número de conta principal (PAN) for armazenado, processado ou transmitido. Caso o PAN não seja armazenado, processado ou transmitido, não serão aplicados os requisitos do sistema. Se o nome, código de serviço e/ou data de validade de um titular do cartão são armazenados processados ou transmitidos com o PAN ou, de outro modo, estão presentes no ambiente de dados do titular do cartão, eles devem ser protegidos de acordo com os Requisitos 3.3 e 3.4 que se aplicam somente ao PAN. O PCI DSS representa um conjunto mínimo de objetivos de controle que podem ser aperfeiçoados por leis e normas locais, regionais e do setor. Além disso, os requisitos legais ou regulatórios podem exigir proteção específica de informações pessoalmente identificáveis ou outros elementos de dados (por exemplo, o nome do titular do cartão) ou definir práticas de divulgação de uma entidade ligadas a informações de clientes. Os exemplos incluem a legislação relacionada à proteção de dados de clientes, privacidade, roubo de identidade ou segurança de dados. O PCI DSS não substitui leis locais ou regionais, regulamentos do governo ou outros requisitos legais. A tabela a seguir ilustra os elementos comumente usados do titular do cartão e dados de autenticação confidenciais; se o armazenamento de cada elemento de dados é permitido ou proibido; e se cada elemento de dados deve ser protegido. Esta tabela não tem a intenção de ser completa, mas é apresentada para ilustrar o tipo diferente de requisito que aplica-se a cada elemento de dados; Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 6

7 Dados da conta Dados do titular do cartão Dados de autenticação confidenciais 1 Elemento de dados O número da conta principal (PAN) Armazenamento permitido Sim Converte dados de conta armazenados ilegíveis pelo Requisito 3.4 Sim O nome do titular do cartão Sim Não Código de serviço Sim Não Data de vencimento Sim Não Dados completos da tarja magnética 2 Não Não armazenável pelo Requisito 3.2 CAV2/CVC2/CVV2/CID PIN/Bloco de PIN Não Não Não armazenável pelo Requisito 3.2 Não armazenável pelo Requisito 3.2 Os Requisitos 3.3 e 3.4 do PCI DSS aplicam-se apenas ao PAN. Se o PAN for armazenado com outros elementos dos dados do titular do cartão, somente o PAN deverá ser convertido como ilegível de acordo com o Requisito 3.4 do PCI DSS. O PCI DSS se aplica somente se os PANs são armazenados, processados e/ ou transmitidos. 1 2 Dados de autenticação confidenciais não devem ser armazenados após a autorização (mesmo se forem criptografados). Dados completos de rastreamento da tarja magnética, dados equivalentes no chip, ou em outro lugar. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 7

8 Localização dos dados do titular do cartão e dos dados de autenticação confidenciais Os dados confidenciais de autenticação consistem em dados de tarja magnética (ou trilha) 3, código de validação do cartão ou valor 4, e dados de PIN 5. O armazenamento de dados de autenticação confidenciais é proibido! Esses dados são muito valiosos para indivíduos malintencionados, pois permitem gerar cartões de pagamento falsos e criar transações fraudulentas. Consulte o Glossário de termos, abreviações e acrônimos utilizados no PCI DSS e no PA-DSS para obter a definição completa dos "dados confidenciais de autenticação". As imagens da frente e do verso do cartão exibidas a seguir mostram o local dos dados do titular do cartão e dos dados confidenciais de autenticação. Observação: O chip contém dados de trilha equivalentes, bem como outros dados confidenciais, incluindo o valor de verificação de chip de circuito integrado (IC - integrated circuit), também chamado de CVC, icvv, CAV3 ou icsc do chip. 3 Dados codificados na tarja magnética utilizados para autorização durante a transação com o cartão. Estes dados também poderão ser encontrados em um chip ou em outra parte do cartão. As entidades não podem reter esses dados após a autorização da transação. Os únicos elementos dos dados da tarja que podem ser retidos são o número da conta principal, o nome do titular do cartão, a data de vencimento e o código de serviço. 4 O valor de três ou quatro dígitos impresso à direita do painel de assinatura ou na frente do cartão de pagamento usado para verificar transações com cartão não presente. 5 Número de Identificação Pessoal inserido pelo titular do cartão durante uma transação com o cartão e/ou bloqueio de PIN criptografado dentro da mensagem da transação. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 8

9 Dados do rastro 1 vs. rastro 2 Se os dados completos de uma tarja (seja Rastro 1 ou Rastro 2, da tarja magnética, imagem da tarja magnética no chip ou outro local) forem armazenados, indivíduos mal-intencionados que obterem esses dados poderão reproduzir e vender cartões de pagamento no mundo inteiro. O armazenamento de dados completos da tarja também viola as regras operacionais das bandeiras, podendo ocasionar multas e penalidades. A ilustração abaixo fornece informações sobre os dados das Tarjas 1 e 2, descrevendo as diferenças e mostrando o layout dos dados conforme eles são armazenados na tarja magnética. Rastro 1 Rastro 2 Contém todos os campos do rastro 1 e do rastro 2 Comprimento de até 79 caracteres Tempo de processamento menor para transmissões discadas mais antigas Comprimento de até 40 caracteres Observação: Os campos de dados opcionais são definidos pelo emissor do cartão pela marca do cartão de débito. Os campos definidos pelo emissor que contêm dados que o emissor ou a bandeira do cartão de débito não consideram como dados confidenciais de autenticação poderão ser incluídos na porção de dados opcionais da tarja, e terão permissão para armazenar estes dados específicos em situações e condições específicas da forma definida pelo emissor ou pela bandeira do cartão de débito. Entretanto, todos os dados considerados confidenciais de autenticação, contidos ou não em um campo de dados opcionais, não deverão ser armazenados após a autorização. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 9

10 relacionada para o Padrão de segurança de dados do PCI Construa e mantenha uma rede segura Requisito 1: Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão Requisito 2: Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança Proteger os dados do titular do cartão Requisito 3: Proteger os dados armazenados do titular do cartão Requisito 4: Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas Manter um programa de gerenciamento de vulnerabilidades Requisito 5: Usar e atualizar regularmente o software ou programas antivírus Requisito 6: Desenvolver e manter sistemas e aplicativos seguros Implementar medidas de controle de acesso rigorosas Requisito 7: Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de divulgação dos negócios Requisito 8: Atribuir uma identidade exclusiva para cada pessoa que tenha acesso ao computador Requisito 9: Restringir o acesso físico aos dados do titular do cartão Monitorar e Testar as Redes Regularmente Requisito 10: Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão Requisito 11: Testar regularmente os sistemas e processos de segurança Manter uma Política de Segurança de Informações Requisito 12: Manter uma política que aborde a segurança das informações para todas as equipes. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 10

11 para os Requisitos 1 e 2: Construa e mantenha uma rede segura Requisito 1: Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão Firewalls são dispositivos do computador que controlam o tráfego do computador permitido entre a rede de uma empresa (interna) e redes não confiáveis (externa), assim como o tráfego dentro e fora de muitas áreas confidenciais na rede confiável interna de uma empresa. O ambiente de dados do titular do cartão é um exemplo de uma área mais sensível dentro da rede confiável de uma empresa. Um firewall examina todo o tráfego da rede e bloqueia aquelas transmissões que não atendem aos critérios de segurança específicos. Todos os sistemas devem ser protegidos do acesso não autorizado de redes não confiáveis, seja acessando o sistema por meio da Internet como e-commerce, acesso à Internet através dos navegadores na área de trabalho por parte dos funcionários, acesso via dos funcionários, conexão dedicada como conexões entre negócios, por meio de redes sem fio ou de outras fontes. Com freqüência, trajetos aparentemente insignificantes que direcionam ou partem de redes não confiáveis podem fornecer caminhos não protegidos aos sistemas principais. Os firewalls são um mecanismo de proteção essencial para qualquer rede de computador. Outros componentes do sistema podem oferecer a funcionalidade de filirena, contanto que atendam aos requisitos mínimos para firewalls, conforme o Requisito 1. Onde outros componentes do sistema forem usados no ambiente dos dados do titular do cartão para oferecer a funcionalidade do firewall, esses dispositivos deverão ser incluídos no escopo e na avaliação do Requisito 1. Requisito 1.1 Definir os padrões de configuração do firewall e do roteador que incluam o seguinte: Firewalls e roteadores são os principais componentes da arquitetura que controlam a entrada e a saída da rede. Esses dispositivos são software ou hardware que bloqueiam acesso indesejado e gerenciam acesso autorizado de e para a rede. Sem políticas e procedimentos para documentar como a equipe deve configurar firewalls e roteadores, fica fácil uma empresa perder sua primeira linha de defesa na proteção de dados. As políticas e os procedimentos ajudarão a garantir que a primeira linha de defesa da organização na proteção de seus dados continue forte. Os ambientes virtuais onde os fluxos de dados não transitarem por uma rede física deverão ser avaliados de forma a garantir que se obtenha a segmentação da rede Um processo formal para aprovar e testar todas as conexões de rede e alterações às configurações do firewall e do roteador Uma política e um processo para aprovar e testar todas as conexões e alterações nos firewalls e roteadores ajudará a evitar problemas de segurança causados pela má configuração da rede, do roteador ou do firewall. Os fluxos de dados entre máquinas virtuais deverão ser incluídos nas políticas e processos. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 11

12 1.1.2 Diagrama da rede atual com todas as conexões com relação aos dados do titular do cartão, incluindo quaisquer redes sem fio Os diagramas de rede permitem que a organização identifique o local de todos os dispositivos de rede. Além disso, o diagrama de rede pode ser usado para mapear o fluxo de dados dos dados do titular do cartão por toda a rede e entre cada dispositivo, a fim de entender totalmente o escopo do ambiente dos dados do titular do cartão. Sem os diagramas da rede atual e do fluxo de dados, os dispositivos com dados do titular do cartão podem ser ignorados e sem querer deixados de fora dos controles de segurança em camadas implementados para PCI DSS e, assim, vulneráveis ao comprometimento. Os diagramas de rede e fluxo de dados deverão incluir componentes do sistema virtual e fluxos de dados trocados entre os hosts Requisitos para um firewall em cada conexão da Internet e entre qualquer zona desmilitarizada (DMZ) e a zona da rede interna 1.1.4Descrição de grupos, funções e responsabilidades quanto ao gerenciamento lógico dos componentes da rede Documentação e justificativa comercial para o uso de todos os serviços, protocolos e portas permitidas, incluindo a documentação dos recursos de segurança implementados para os protocolos considerados inseguros. Exemplos de serviços, protocolos ou portas inseguros incluem mas não são limitados a FTP, Telnet, POP3, IMAP e SNMP. Usar um firewall e todas as conexões que entram e saem da rede permite que a organização monitore e controle a entrada e saída de acesso, e minimize as chances de um indivíduo mal-intencionado de obter acesso à rede interna. Essa descrição de funções e a atribuição da responsabilidade garante que alguém seja claramente responsável pela segurança de todos os componentes e esteja ciente da responsabilidade, e também que nenhum dispositivo fique sem gerenciamento. Muitas vezes ocorrem comprometimentos decorrentes de serviços e portas não utilizados ou inseguros, visto que é freqüente eles possuírem vulnerabilidades conhecidas e muitas organizações estão vulneráveis a esses tipos de comprometimentos, pois não aplicam patches nas vulnerabilidades de segurança para serviços, protocolos e portas que não utilizam (ainda que as vulnerabilidades ainda estejam presentes). Cada organização deve decidir claramente quais serviços, protocolos e portas são necessários para seus negócios, documentá-los nos registros e garantir que todos os outros serviços, protocolos e portas sejam desabilitados ou removidos. Além disso, as organizações devem pensar em bloquear todo o tráfego e somente reabrir essas portas depois de ser determinada e documentada uma necessidade. Além disso, existem muitos serviços, protocolos ou portas de que uma empresa pode precisar (ou estarem ativados por padrão) que normalmente sejam usados por indivíduos mal-intencionados para comprometer uma rede. Se esses serviços, protocolos e portas inseguros forem necessários para a empresa, o risco apresentado pelo uso desses protocolos deve ser claramente entendido e aceito pela organização, o uso do protocolo deve ser justificado e os recursos de segurança que permitem que esses protocolos sejam usados com segurança deverão ser documentados e implementados. Se esses serviços, protocolos ou portas inseguros não forem necessários para a empresa, eles deverão ser desativados ou removidos. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 12

13 1.1.6 Requisito para analisar os conjuntos de regras do firewall e do roteador pelo menos a cada seis meses 1.2 Elaborar uma configuração de firewall e do roteador que restrinja as conexões entre redes não confiáveis e quaisquer componentes do sistema no ambiente de dados do titular do cartão. Observação: Uma rede não confiável é qualquer rede que seja externa às redes que pertencem à entidade em análise e/ou que esteja além da capacidade da entidade de controlar ou gerenciar Restringir o tráfego de entrada e saída para aquele que é necessário para o ambiente de dados do titular do cartão Proteger e sincronizar os arquivos de configuração do roteador. Essa análise dá à organização a oportunidade de, pelo menos a cada seis meses, limpar todas as regras desnecessárias, obsoletas ou incorretas, e garantir que todos os conjuntos de regras só permitam que serviços e portas não autorizados correspondam às justificativas de negócios. É aconselhável fazer essas análises com mais freqüência, como mensalmente, para garantir que os conjuntos de regras estejam atualizados e correspondam às necessidades da empresa, sem abrir furos na segurança e correr riscos desnecessários. É essencial instalar a proteção de rede, principalmente um componente do sistema com (pelo menos) a função de firewall de inspeção com status, entre a rede interna confiável e outra rede não confiável externa ou que esteja fora do poder de controle e administração da empresa. A não-implementação dessa medida corretamente significa que a entidade estará vulnerável ao acesso não autorizado de indivíduos ou softwares mal-intencionados. Se o firewall estiver instalado, mas não tiver regras que controlam ou limitam determinado tráfego, indivíduos mal-intencionados ainda poderão explorar os protocolos e portas vulneráveis para atacar sua rede. Esse requisito destina-se a evitar que indivíduos mal-intencionados acessem a rede da empresa por meio de endereços IP não autorizados ou usem serviços, protocolos ou portas de forma não autorizada (por exemplo, enviando dados obtidos dentro da sua rede para um servidor não confiável). Todos os firewalls devem incluir uma regra que negue todo tráfego de entrada e saída não especificamente necessário. Isso evita o surgimento de buracos inadvertidos que permitam a entrada ou saída de outros tráfegos indesejados e potencialmente prejudiciais. Apesar de os arquivos de configuração de execução normalmente serem implementados com configurações seguras, os arquivos de inicialização (os roteadores só executam esses arquivos na reinicialização) podem não ser implementados com as mesmas configurações seguras, pois eles só são executados ocasionalmente. Quando o roteador for reinicializado sem as mesmas configurações seguras que as dos arquivos de configuração de execução, o resultado pode ser regras mais fracas que permitam que indivíduos malintencionados entrem na rede, pois os arquivos de inicialização podem não ter sido implementados com as mesmas configurações de segurança que os arquivos de configuração de execução. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 13

14 1.2.3 Instalar firewalls de perímetro entre quaisquer redes sem fio e o ambiente de dados do titular do cartão, e configurar esses firewalls para recusar ou controlar (se esse tráfego for necessário para fins comerciais) qualquer tráfego a partir do ambiente sem fio no ambiente de dados do titular do cartão. 1.3 Proibir o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão Implemente uma DMZ para limitar o tráfego somente para componentes do sistema que oferece serviços, protocolos e portas acessíveis publicamente Limitar o tráfego de entrada da Internet a endereços IP na DMZ Não permitir a entrada ou saída de nenhuma rota direta com relação ao tráfego entre a Internet e o ambiente de dados do titular do cartão. A implementação conhecida (ou desconhecida) e a exploração da tecnologia wireless dentro de uma rede é um caminho comum para indivíduos malintencionados ganharem acesso à rede e aos dados do titular do cartão. Se um dispositivo wireless ou uma rede forem instalados sem o conhecimento da empresa, um indivíduo mal-intencionado pode fácil e invisivelmente entrar na rede. Se os firewalls não restringirem o acesso das redes wireless no ambiente do cartão de pagamento, indivíduos mal-intencionados que tiverem acesso não autorizado à rede wireless poderão se conectar facilmente ao ambiente do cartão de pagamento e comprometer as informações da conta. Deverão ser instalados firewalls entre as redes sem fio e o CDE, independente da finalidade do ambiente a que a rede sem fio estiver conectada. Isto deverá incluir, ao menos, redes corporativas, revendedores, ambientes de armazenamento, etc. O objetivo do firewall é gerenciar e controlar todas as conexões entre os sistemas públicos e os internos (especialmente aqueles que armazenam os dados do titular do cartão). Se for permitido o acesso direto entre sistemas públicos e aqueles que armazenam os dados do titular do cartão, as proteções oferecidas pelo firewall serão ignoradas e os componentes do sistema que armazenam os dados do titular do cartão poderão ser comprometidos. O DMZ é a parte da rede responsável pelo gerenciamento das conexões entre a Internet (ou redes não confiáveis) e os serviços internos de que a empresa precisa disponibilizar para o público (como servidor web). Essa é a primeira linha de defesa ao isolar e separar o tráfego que precisa se comunicar com a rede interna daquele que não precisa. Este recurso será utilizado para evitar que indivíduos mal-intencionados acessem a rede da empresa através de endereços de IP não autorizados ou por meio de serviços, protocolos ou portas de forma não autorizada. A interrupção das conexões de IP oferecem uma oportunidade para inspeção e restrição de fontes/destinos, ou inspeção/bloqueio do contúdo, evitando assim o acesso não filtrado entre pessoas não confiáveis e ambientes confiáveis. A interrupção das conexões de IP oferecem uma oportunidade para inspeção e restrição de fontes/destinos, ou inspeção/bloqueio do contúdo, evitando assim o acesso não filtrado entre pessoas não confiáveis e ambientes confiáveis. Isto ajudará a evitar, por exemplo, que indivídos mal-intencionados enviem dados obtidos na rede para um servidor externo não confiável em uma rede não confiável Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 14

15 1.3.4 Não permitir que endereços internos sejam transmitidos via Internet na DMZ Não permitir o tráfego de saída não autorizado do ambiente de dados do titular do cartão para a Internet Implementar inspeção com status, também conhecida como filtragem de pacote dinâmico. (Ou seja, somente conexões "estabelecidas" são permitidas na rede.) Implementar os componentes do sistema que armazenam dados do titular do cartão (como banco de dados) em uma zona da rede interna, separada da DMZ e de outras redes não confiáveis. Normalmente um pacote contém os endereços de IP do computador que originalmente o enviou, permitindo que os outros computadores da rede saibam de onde ele vem. Em certos casos, esse endereço de IP de envio sofrerá spoofing por indivíduos mal-intencionados. Por exemplo: indivíduos mal-intencionados enviam um pacote com um endereço spoof, para que (a menos que seu firewall proíba) o pacote consiga entrar na sua rede pela Internet, parecendo que se trata de um tráfego interno e, portanto, legítimo. Quando o indivíduo mal-intencionado estiver dentro da sua rede, ele poderá começar a comprometer seus sistemas. A filtragem ingressa é uma técnica que você pode usar no seu firewall para filtrar pacotes que entram na sua rede, como, entre outras coisas, garantindo que os pacotes não sofram spoofing, parecendo que vêm de sua própria rede interna. Para obter mais informações sobre a filtragem de pacotes, pense em obter informações sobre uma técnica complementar chamada filtragem egressa. Todo tráfego que sair do ambiente de dados do titular do cartão deverá ser avaliado para garantir que o tráfego de saída esteja de acordo com as regras autorizadas preestabelecidas. As conexões deverão ser inspecionadas para retringir o tráfego de forma a permitir apenas as comunicações autorizadas (por exemplo restringindo portas/endereços de origem/destino ou bloqueando o conteúdo). Onde não forem permitidas conexões de entrada, as conexões de saída poderão ser alcançadas através de arquiteturas ou componentes de sistema que interrompam e inspecionem a conexão de IP. Um firewall que executa inspeção de pacotes com status mantém o status (ou estado) de cada conexão para o firewall. Ao manter o "status, o firewall sabe se o que parece ser uma resposta a uma conexão anterior é de fato uma resposta (visto que isso lembra a conexão anterior) ou se trata-se de um indivíduo ou software mal-intencionado tentando fazer spoofing ou enganar o firewall para permitir a conexão. Os dados do titular do cartão exigem o mais alto nível de proteção de informações. Se os dados do titular do cartão estiverem localizados dentro da DMZ, o acesso a essas informações será mais fácil para um atacante externo, pois há poucas camadas a serem penetradas. Observação: a intenção deste requisito não inclui armazenamento em memória volátil. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 15

16 1.3.8 Não divulgar endereços de IP privados e informações de roteamento a partes não autorizadas. Observação: Métodos para camuflar o endereço de IP podem incluir, mas não se limitam a: Network Address Translation (NAT) Implementação de servidores contendo dados do titular do cartão atrás dos servidores de proxy/firewalls ou caches de conteúdo, Remoção ou filtragem das propagandas de rota para redes privadas que empregam endereçamento registrado. Uso interno do espaço de endereço RFC1918 em vez de endereço registrado. É importante restringir a transmissão de endereços IP de forma a evitar que os hackers "descubram" os endereços IP da rede interna e utilizem essas informações para acessar a rede. Os meios eficazes de atender à inteção deste requisito podem variar de acordo com a tecnologia de rede específica utilizada em seu ambiente. Por exemplo: os controles utilizados para atender a estes requisitos em redes IPv4 poderão ser diferentes daqueles utilizados em redes IPv6. Uma técnica para evitar que as informações de endereço IP sejam descobertas em uma rede IPv4 é implantar a tradução do endereço de rede (NAT - Network Address Translation). A NAT, que normalmente é gerada firewall, permite que a organização tenha endereços internos que só sejam visíveis dentro da rede, e um endereço externo que seja visível externamente. Se o firewall não ocultar (ou mascarar) os endereços de IP da rede interna, um indivíduo mal-intencionado pode descobrir os endereços de IP internos e tentar acessar a rede com um endereço de IP obtido por spoofing. Em redes IPv4 o espaço de endereços RFC1918 é reservado para endereçamentos internos e não poderá ser roteado pela Internet. Dessa forma, é o preferido para endereçamento de IP de redes internas. Entretanto, as empresas poderão ter suas razões para utilizar em suas redes internas outros espaços de endereços que não sejam o RFC1918. Neste caso, deverá ser utilizada uma forma de prevenção de propagandas de rota para evitar que o espaço de endereços interno seja transmitido pela Internet ou divulgado a pessoas não autorizadas. 1.4Instalar o software de firewall pessoal em quaisquer computadores móveis e/ou de propriedade do funcionário com conectividade direta à Internet (por exemplo, laptops usados pelos funcionários), que são usados para acessar a rede da empresa. Se o computador não tiver instalado em si um firewall ou programa antivírus, spyware, Trojans, vírus, worms e rootkits (malware) poderão ser baixados e/ou instalados sem conhecimento. O computador fica ainda mais vulnerável quando estiver diretamente conectado à Internet, e não estiver por trás do firewall corporativo, caso em que o malware carregado em um computador poderá buscar com más intenções nas informações dentro da rede quando o computador for reconectado à rede corporativa. Observação: A intenção deste requisito se aplica a computadores de acesso remoto, sejam eles de propriedade do funcionário ou da empresa. Os sistemas que não podem ser gerenciados pelas políticas empresariais introduzem fraquezas ao perímetro e oferecem oportunidades a pessoas mal-intencionadas. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 16

17 2: Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança Indivíduos mal-intencionados (dentro e fora de uma empresa) com frequência usam senhas padrão do fornecedor e outras configurações padrão do fornecedor para comprometer os sistemas. Essas senhas e configurações são bastante conhecidas pelas comunidades de hackers e facilmente determinadas por meio de informações públicas. Requisito 2.1 Sempre alterar os padrões disponibilizados pelo fornecedor antes de instalar um sistema na rede por exemplo, incluir senhas, strings de comunidade de SNMP (simple network management protocol) e a eliminação de contas desnecessárias Em ambientes sem fio conectados ao ambiente de dados do titular do cartão ou que transmitam dados do titular do cartão, alterar os padrões do fornecedor sem fio, incluindo, mas não se limitando a, chaves de criptografia sem fio padrão, senhas e strings de comunidades de SNMP. 2.2 Desenvolver padrões de configuração para todos os componentes do sistema. Certificar-se de que esses padrões abrangem todas as vulnerabilidades de segurança conhecidas e estão em conformidade com os padrões de fortalecimento do sistema aceitos pelo setor. As fontes dos padrões de proteção do sistema aceitos pelo setor podem incluir, mas não se limitam a: Center for Internet Security (CIS) International Organization for Standardization (ISO) SysAdmin Audit Network Security (SANS) National Institute of Standards and Technology (NIST) Indivíduos mal-intencionados (dentro e fora de uma empresa) com freqüência usam senhas padrão do fornecedor e outras configurações padrão do fornecedor para comprometer os sistemas. Essas configurações são conhecidas nas comunidades de hackers e deixam seu sistema altamente vulnerável a ataques. Muitos usuários instalam esses dispositivos sem aprovação da gerência e não alteram as configurações-padrão nem fazem as configurações de segurança. Se as redes wireless não forem implementadas com configurações de segurança suficientes (incluindo a alteração das configurações-padrão), os sniffers da rede wireless conseguem espreitar o tráfego, capturar dados e senhas e entrar e atacar sua rede com facilidade. Além disso, o protocolo de troca de chaves para a versão antiga da criptografia o x (WEP) foi quebrado e pode tornar a criptografia inútil. Verifique se o firmware dos dispositivos está atualizado para suportar protocolos mais seguros (por exemplo, WPA2). Existem pontos fracos conhecidos em vários sistemas operacionais, bancos de dados e aplicativos empresariais, e existem também formas conhecidas de configurar esses sistemas para corrigir as vulnerabilidades de segurança. Para ajudar quem não é especialista nisso, as organizações de segurança criaram recomendações para proteção do sistema que aconselham como corrigir esses pontos fracos. Se os sistemas forem deixados com esses pontos fracos, como por exemplo configurações de arquivo fracas ou serviços e protocolos com falhas (para aqueles serviços e protocolos que não são necessários com freqüência), um transgressor poderá usar várias e conhecidas explorações para atacar serviços e protocolos vulneráveis e, assim, ganhar acesso à rede da organização. Websites de origem onde você poderá aprender sobre as melhores práticas da indústria que poderão ajudá-lo a implantar padrões de configuração incluindo, mas não apenas: Os padrões de configuração do sistema também deverão ser mantidos atualizados para garantir que as deficiências recentemente identificadas sejam corrigidas antes de o sistema ser instalado na rede. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 17

18 2.2.1Implementar somente uma função principal por servidor para evitar funções que exigem diferentes níveis de segurança coexistindo no mesmo servidor. (Por exemplo, servidores da Web, servidores do banco de dados e DNS devem ser implementados em servidores separados.) Observação: Onde tecnologias de virtualização estiverem em uso, implemente somente uma função principal por componente do sistema virtual. Isso serve para garantir que os padrões de configuração do sistema da sua organização e os processos relacionados abordem funções do servidor que precisem ter níveis de segurança diferentes ou que possam introduzir pontos fracos de segurança em outras funções do mesmo servidor. Por exemplo: 1. Um banco de dados que precise ter medidas de segurança robustas estaria arriscado a compartilhar um servidor com um aplicativo da Web, que precisa ser aberto e interagir diretamente com a Internet. 2. A não-aplicação de um patch em uma função aparentemente pequena pode resultar em comprometimento que cause impacto em outras funções mais importantes (como um banco de dados) no mesmo servidor. Este requisito poderá ser utilizado em todos os servidores do ambiente de dados do titular do cartão (geralmente com base em Unix, Linux ou Windows). Este requisito não deverá ser aplicado em sistemas que originalmente implantem níveis de segurança em um único servidor (ex.: mainframe). Onde forem utilizadas tecnologias de virtualização, cada componente virtual (ex.: máquina virtual, comutador virtual, aplicativo de segurança virtual, etc) deverá ser considerado delimitador "de sistema". Os hipervisores individuais poderão ser compatíveis com diversas funções, mas uma única máquina virtual deveria aderir à regra "uma função primária". Nestas circunstâncias, o comprometimento do hipervisor poderá levar ao comprometimento de todas as funções do sistema. Consequentemente, o nível de risco também deverá ser considerado ao localizar diversas funções ou componentes em um único sistema físico Ativar somente serviços, protocolos, daemons, etc. necessários e seguros, conforme exigido para a função do sistema. Implantar recursos de segurança para todos os serviços, protocolos ou daemons exigidos que forem considerados não seguros. Por exemplo: utilizar tecnologias como SSH, S-FTP, SSL ou IPSec VPN para proteger sistemas como NetBIOS, compartilhamento de arquivos, Telnet, FTP, etc Configurar os parâmetros de segurança do sistema para impedir o uso incorreto. Conforme informado no item 1.1.5, existem muitos protocolos de que uma empresa pode precisar (ou estarem ativados por padrão) que normalmente sejam usados por indivíduos mal-intencionados para comprometer uma rede. Para garantir que apenas os serviços e protocolos necessários sejam ativados e que todos os serviços e protocolos não seguros sejam protegidos adequadamente antes da implantação de novos servidores, este requisito deverá fazer parte dos padrões de configuração da empresa e dos processos relacionados. Isso serve para garantir que os padrões de configuração do sistema de sua organização e os processos relacionados abordem especificamente as configurações e os parâmetros de segurança que tenham implicações de segurança conhecidas. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 18

19 2.2.4 Remover todas as funcionalidades desnecessárias, como scripts, drivers, recursos, subsistemas, sistemas de arquivo e servidores da Web desnecessários. 2.3 Criptografar todo o acesso administrativo não console durante a criptografia robusta. Usar tecnologias como SSH, VPN ou SSL/TLS para o gerenciamento baseado na Web e outros acessos administrativos não-console. 2..4Os provedores de hospedagem compartilhada devem proteger cada ambiente hospedado da entidade e os dados do titular do cartão. Esses provedores devem atender a requisitos específicos, conforme detalhado no Apêndice A: Requisitos adicionais do PCI DSS para provedores de hospedagem compartilhada. Os padrões de proteção do servidor devem incluir processos para resolver funcionalidades desnecessárias com implicações de segurança específicas (como remover/desativar FTP ou o servidor da Web, caso o servidor não execute essas funções). Se a administração remota não for feita com autenticação segura e comunicações criptografadas, informações confidenciais de nível administrativo ou operacional (como as senhas do administrador) poderão ser reveladas a um espião. Um indivíduo mal-intencionado pode usar essas informações para acessar a rede, tornar-se administrador e roubar os dados. Isso serve para provedores de hospedagem que oferecem ambientes de hospedagem compartilhada para vários clientes no mesmo servidor. Quando todos os dados estiverem no mesmo servidor e sob controle de um único ambiente, muitas vezes essas configurações nesses servidores compartilhados não serão gerenciáveis por clientes individuais, permitindo que os clientes adicionem funções e scripts inseguros que causam impacto na segurança de todos os outros ambientes de clientes e, assim, facilitando para um indivíduo malintencionado comprometer os dados de um cliente, obtendo acesso a todos os dados dos outros clientes. Veja o Anexo A. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 19

20 para os Requisitos 3 e 4: Proteger os dados do titular do cartão Requisito 3: Proteger os dados armazenados do titular do cartão Métodos de proteção como criptografia, truncamento, mascaramento e referenciamento são componentes essenciais da proteção de dados do titular do cartão. Se um invasor burlar outros controles de segurança e obtiver acesso aos dados criptografados, sem as chaves criptográficas adequadas, os dados estarão ilegíveis e inutilizáveis para aquele indivíduo. Outros métodos eficientes de proteção dos dados armazenados devem ser considerados como oportunidades potenciais de minimização dos riscos. Por exemplo, os métodos para minimizar os riscos incluem não armazenar os dados do titular do cartão a menos que seja absolutamente necessário, truncar os dados do titular do cartão se um PAN completo não for necessário e não enviar o PAN em s não criptografados. Consulte a seção Glossário de termos, abreviações e acrônimos do PCI DSS para obter definições de "criptografia robusta" e outros termos do PCI DSS. Requisito 3.1Manter a armazenagem dos dados do titular do cartão o mínimo possível, implementar políticas, processos e procedimentos de retenção e descarte de dados Implementar uma política de retenção e descarte de dados que inclua: Limite da quantia de dados armazenados e do tempo de retenção ao que é exigido pelos requisitos legais, regulatórios e comerciais Processos para exclusão segura de dados quando não mais necessários Requisitos de retenção específicos para dados de titular do cartão Processos trimestrais manuais ou automáticos para identificar e excluir com segurança os dados do titular do cartão que excederem os requisitos de retenção definidos Políticas formais de retenção de dados identificam quais dados precisam ser retidos e onde ficam, de forma a serem excluídos ou destruídos com segurança assim que não forem mais necessários. Para definir os requisitos de retenção adequados, a empresa deverá primeiro conhecer suas necessidades de negócios, bem como as responsabilidades legais e regulamentares que se aplicam à indústria ou ao tipo dos dados que serão retidos. O armazenamento prolongado dos dados do titular do cartão além das necessidades da empresa cria um risco desnecessário. Os únicos dados do titular do cartão que podem ser armazenados são o número da conta principal, ou PAN (desde que ilegível), data de vencimento, nome e código de serviço. Implementar métodos de exclusão seguros garante que os dados não poderão ser recuperados quando não forem mais necessários. Lembre-se: se você não precisar, não os armazene! Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 20

Setor de cartões de pagamento (PCI) Padrão de segurança de dados do PCI Navegando pelo PCI DSS

Setor de cartões de pagamento (PCI) Padrão de segurança de dados do PCI Navegando pelo PCI DSS Setor de cartões de pagamento (PCI) Padrão de segurança de dados do PCI Navegando pelo PCI DSS Alterações no documento Data Versão Descrição 1 de outubro de 2008 1.2 Alinhar o conteúdo com o novo PCI DSS

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Setor de cartões de pagamento (PCI) Padrão de segurança de dados Requisitos e procedimentos de avaliação da segurança Versão 1.2 Outubro de 2008 Índice Introdução e visão geral do padrão de segurança de

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade Todos os outros SAQs - Comerciantes e prestadores de serviços qualificados Versão

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade Todos os outros SAQs - Comerciantes e prestadores de serviços qualificados Versão

Leia mais

Prestadores de serviço elegíveis a SAQ. Versão 3.0

Prestadores de serviço elegíveis a SAQ. Versão 3.0 Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação de A de conformidade para Prestadores de serviço Prestadores de serviço elegíveis a SAQ Versão 3.0 Fevereiro

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação C e Atestado de conformidade

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação C e Atestado de conformidade Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação C e Atestado de conformidade Aplicativo de pagamento conectado à Internet, sem armazenamento eletrônico dos

Leia mais

Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação C-VT e Atestado de conformidade

Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação C-VT e Atestado de conformidade Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação C-VT e Atestado de conformidade Comerciantes com terminais virtuais de pagamento baseados na Web Sem armazenamento

Leia mais

Indústria de cartões de pagamento (PCI) Requisitos e procedimentos da avaliação de segurança Versão 3.0

Indústria de cartões de pagamento (PCI) Requisitos e procedimentos da avaliação de segurança Versão 3.0 Indústria de cartões de pagamento (PCI) Padrão de Segurança de Dados Requisitos e procedimentos da avaliação de segurança Versão 3.0 Novembro de 2013 Alterações no documento Data Versão Descrição Páginas

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação B e Atestado de conformidade

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação B e Atestado de conformidade Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação B e Atestado de conformidade Somente máquinas de carbono ou terminais de discagem independentes, sem armazenamento

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação Diretrizes e instruções Versão 2.0 Outubro de 2010 Alterações no documento Data Versão Descrição 1º de outubro

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade Todos os outros comerciantes e prestadores de serviço qualificados pelo SAQ

Leia mais

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Atestado de Conformidade para Avaliações in loco Comerciantes Versão 3.0 Fevereiro de 2014 Seção 1: Informações de Avaliação Instruções

Leia mais

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Atestado de conformidade para Avaliações in loco Prestadores de serviços Versão 3.0 Fevereiro de 2014 Seção 1: Informações de Avaliação

Leia mais

Indústria de cartões de pagamento (PCI) Padrão de Segurança de Dados

Indústria de cartões de pagamento (PCI) Padrão de Segurança de Dados Indústria de cartões de pagamento (PCI) Padrão de Segurança de Dados Atestado de conformidade para questionário de autoavaliação P2PE-HW Versão 3.0 Fevereiro de 2014 Seção 1: Informações de avaliação Instruções

Leia mais

Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação B-IP e Atestado de conformidade

Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação B-IP e Atestado de conformidade Indústria de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de autoavaliação B-IP e Atestado de conformidade Comerciantes com terminais independentes de ponto de interação (POI) PTS

Leia mais

Indústria de pagamento de cartão (PCI) Padrão de dados do aplicativo de pagamento

Indústria de pagamento de cartão (PCI) Padrão de dados do aplicativo de pagamento Indústria de pag de cartão (PCI) Padrão de dados do aplicativo de pag Requisitos e procedimentos de avaliação de segurança Versão 2.0 Outubro de 2010 Alterações do documento Data Versão Descrição Páginas

Leia mais

Navegando o PCI DSS. Entendendo as Razões das Exigências

Navegando o PCI DSS. Entendendo as Razões das Exigências Payment Card Industry (PCI) Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Navegando o PCI DSS Entendendo as Razões das Exigências Versão 1.1 Fevereiro de 2008 Índice Introdução...

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação A e Atestado de conformidade

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação A e Atestado de conformidade Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação A e Atestado de conformidade Todas as outras funções dos dados do titular do cartão terceirizadas Sem armazenamento

Leia mais

Setor de cartões de pagamento (PCI) Padrão de segurança de dados

Setor de cartões de pagamento (PCI) Padrão de segurança de dados Setor de cartões de pagamento (PCI) Padrão de segurança de ds Requisitos e procedimentos de avaliação da segurança Versão 2.0 Outubro de 2010 Alterações no documento Versão Descrição Páginas Outubro de

Leia mais

Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados

Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Atestado de Conformidade para Questionário de Autoavaliação C Versão 3.0 Fevereiro de 2014 Seção 1: Informações de Avaliação Instruções

Leia mais

ANEXO C (Requisitos PCI DSS)

ANEXO C (Requisitos PCI DSS) ANEXO C (Requisitos ) O Cliente obriga-se a respeitar e a fazer respeitar as normas que lhes sejam aplicáveis, emanadas do Payment Card Industry Security Standards Council (organização fundada pelas marcas

Leia mais

Payment Card Industry (PCI)

Payment Card Industry (PCI) Payment Card Industry (PCI) Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Procedimentos para o Scanning de Segurança Version 1.1 Portuguese Distribuição: Setembro de 2006 Índice

Leia mais

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com /

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / andre.belini@ifsp.edu.br MATÉRIA: SEGURANÇA DA INFORMAÇÃO Aula N : 09 Tema:

Leia mais

Indústria de pagamento de cartão (PCI) Padrão de dados do aplicativo de pagamento

Indústria de pagamento de cartão (PCI) Padrão de dados do aplicativo de pagamento Indústria de pag de cartão (PCI) Padrão de dados do aplicativo de pag Requisitos e procedimentos de avaliação de segurança Versão 2.0 Outubro de 2010 Alterações do documento Data Versão Descrição Páginas

Leia mais

Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados

Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Atestado de Conformidade para Questionário de Autoavaliação A Versão 3.0 Fevereiro de 2014 Seção 1: Informações de avaliação Instruções

Leia mais

Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados

Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Atestado de Conformidade para Questionário de Autoavaliação B Versão 3.0 Fevereiro de 2014 Seção 1: Informações de Avaliação Instruções

Leia mais

Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo

Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo Conectando-se à Internet com Segurança Soluções mais simples. Sistemas de Segurança de Perímetro Zona Desmilitarizada (DMZ) Roteador de

Leia mais

Questionário de Auto-avaliação

Questionário de Auto-avaliação Payment Card Industry (PCI) Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Questionário de Auto-avaliação Instruções e Diretrizes Versão 1.1 Fevereiro de 2008 Índice Sobre este Documento...

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados

Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Procedimentos de Auditoria de Segurança Versão 1.1 Distribuição: Setembro de 2006 Índice Procedimentos de Auditoria de Segurança...

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

O Que Fazer Se Houver Comprometimento Programa de Segurança da Informação da Conta (AIS) Fevereiro de 2006

O Que Fazer Se Houver Comprometimento Programa de Segurança da Informação da Conta (AIS) Fevereiro de 2006 Programa de Segurança da Informação da Conta (AIS) Fevereiro de 2006 Região Introdução...3 Reportando a Quebra de Segurança...4 Passos e Exigências para as Entidades Comprometidas...5 Passos e Exigências

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício O que é Firewall Um Firewall é um sistema para controlar o aceso às redes de computadores, desenvolvido para evitar acessos

Leia mais

Boas Práticas de Segurança da Informação. Regras para proteção de dados de cartões para a pequena e média empresa.

Boas Práticas de Segurança da Informação. Regras para proteção de dados de cartões para a pequena e média empresa. Boas Práticas de Segurança da Informação Regras para proteção de dados de cartões para a pequena e média empresa. Prezado Cliente, A constante evolução da tecnologia está sempre rompendo paradigmas, tornando

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

ESET SMART SECURITY 8

ESET SMART SECURITY 8 ESET SMART SECURITY 8 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Indústria de Cartão de Pagamento (PCI)

Indústria de Cartão de Pagamento (PCI) Indústria de Cartão de Pagamento (PCI) Procedimentos para Scanning de Segurança Administração de Risco Região América Latina e Caribe Indústria de Cartão de Pagamento Procedimentos para Scanning de Segurança

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

FACSENAC. Versão:1.5. Identificador do documento: Projeto Lógico de Redes. Versão do Template Utilizada na Confecção: 1.0. Histórico de revisões

FACSENAC. Versão:1.5. Identificador do documento: Projeto Lógico de Redes. Versão do Template Utilizada na Confecção: 1.0. Histórico de revisões FACSENAC ECOFROTA Documento de Projeto Lógico de Rede Versão:1.5 Data: 21/11/2013 Identificador do documento: Projeto Lógico de Redes Versão do Template Utilizada na Confecção: 1.0 Localização: FacSenac

Leia mais

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente.

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente. Noções básicas sobre segurança e computação segura Se você se conecta à Internet, permite que outras pessoas usem seu computador ou compartilha arquivos com outros, deve tomar algumas medidas para proteger

Leia mais

Cartilha de Segurança para Internet Checklist

Cartilha de Segurança para Internet Checklist Cartilha de Segurança para Internet Checklist NIC BR Security Office nbso@nic.br Versão 2.0 11 de março de 2003 Este checklist resume as principais recomendações contidas no documento intitulado Cartilha

Leia mais

Capítulo 2: Introdução às redes comutadas (configuração switch)

Capítulo 2: Introdução às redes comutadas (configuração switch) Unisul Sistemas de Informação Redes de Computadores Capítulo 2: Introdução às redes comutadas (configuração switch) Roteamento e Switching Academia Local Cisco UNISUL Instrutora Ana Lúcia Rodrigues Wiggers

Leia mais

ESET SMART SECURITY 9

ESET SMART SECURITY 9 ESET SMART SECURITY 9 Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / XP Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento o ESET Smart Security é um software

Leia mais

ESET SMART SECURITY 7

ESET SMART SECURITY 7 ESET SMART SECURITY 7 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento

Leia mais

Hardening de Servidores

Hardening de Servidores Hardening de Servidores O que é Mitm? O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes, por exemplo

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Firewalls Prof. João Henrique Kleinschmidt Middleboxes RFC 3234: Middleboxes: Taxonomy and Issues Middlebox Dispositivo (box) intermediário que está no meio do caminho dos

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Cap. 2: Políticas de Segurança e Respostas Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Estar derrotado é sempre uma condição temporária. Desistir é o que o torna

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Roubo de identidade Hackers e cibervandalismo Roubo de informações pessoais (número de identificação da Previdência Social, número da

Leia mais

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS Novembro de 2013 Introdução Este documento fornece um resumo de alterações

Leia mais

Componentes de um sistema de firewall - I

Componentes de um sistema de firewall - I Componentes de um sistema de firewall - I O que são Firewalls? Os firewalls são sistemas de segurança que podem ser baseados em: um único elemento de hardware; um único elemento de software instalado num

Leia mais

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática Firewall Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes Campus Cachoeiro Curso Técnico em Informática Firewall (definições) Por que do nome firewall? Antigamente, quando as casas

Leia mais

Guia de administração. BlackBerry Professional Software para Microsoft Exchange. Versão: 4.1 Service pack: 4B

Guia de administração. BlackBerry Professional Software para Microsoft Exchange. Versão: 4.1 Service pack: 4B BlackBerry Professional Software para Microsoft Exchange Versão: 4.1 Service pack: 4B SWD-313211-0911044452-012 Conteúdo 1 Gerenciando contas de usuários... 7 Adicionar uma conta de usuário... 7 Adicionar

Leia mais

FIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza

FIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza FIREWALL Prof. Fabio de Jesus Souza fabiojsouza@gmail.com Professor Fabio Souza O que são Firewalls? Os firewalls são sistemas de segurança que podem ser baseados em: um único elemento de hardware; um

Leia mais

A IMPORTÂNCIA DE SE ADEQUAR AO PCI DSS 3.0 PARA PROCESSAMENTE DE PAGAMENTOS POR CARTÕES

A IMPORTÂNCIA DE SE ADEQUAR AO PCI DSS 3.0 PARA PROCESSAMENTE DE PAGAMENTOS POR CARTÕES A IMPORTÂNCIA DE SE ADEQUAR AO PCI DSS 3.0 PARA PROCESSAMENTE DE PAGAMENTOS POR CARTÕES Weslley Ribeiro da Silva ¹, Jaime William Dias¹ ¹ Universidade Paranaense (Unipar) Paranavaí PR Brasil weslley_mid@hotmail.com,

Leia mais

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guia de Inicialização Rápida

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guia de Inicialização Rápida Microsoft Windows 7 / Vista / XP / 2000 / Home Server Guia de Inicialização Rápida O ESET Smart Security fornece proteção de última geração para o seu computador contra código malicioso. Com base no ThreatSense,

Leia mais

Controlando o tráfego de saída no firewall Netdeep

Controlando o tráfego de saída no firewall Netdeep Controlando o tráfego de saída no firewall Netdeep 1. Introdução Firewall é um quesito de segurança com cada vez mais importância no mundo da computação. À medida que o uso de informações e sistemas é

Leia mais

PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS

PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS PARA EMPRESAS COM MAIS DE 25 EQUIPAMENTOS ESET Business Solutions 1/7 Vamos supor que você tenha iniciado uma empresa ou que já tenha uma empresa bem estabelecida, há certas coisas que deveria esperar

Leia mais

FIREWALL, PROXY & VPN

FIREWALL, PROXY & VPN 1 de 5 Firewall-Proxy D O C U M E N T A Ç Ã O C O M E R C I A L FIREWALL, PROXY & VPN :: MANTENDO O FOCO NO SEU NEGÓCIO :: Se o foco do seu negócio não é tecnologia, instalar e manter por conta própria

Leia mais

Avaliação de riscos em fornecedores. Manual de controles de segurança da informação para Fábricas de Software

Avaliação de riscos em fornecedores. Manual de controles de segurança da informação para Fábricas de Software Avaliação de riscos em fornecedores Manual de controles de segurança da informação para Fábricas de Software DSC Diretoria de segurança corporativa SSI Superintendência de Segurança da Informação 1 Índice

Leia mais

SISTEMAS OPERACIONAIS LIVRES GERENCIAMENTO DE SERVIÇOS NO WINDOWS. Professor Carlos Muniz

SISTEMAS OPERACIONAIS LIVRES GERENCIAMENTO DE SERVIÇOS NO WINDOWS. Professor Carlos Muniz SISTEMAS OPERACIONAIS LIVRES GERENCIAMENTO DE SERVIÇOS NO WINDOWS Se todos os computadores da sua rede doméstica estiverem executando o Windows 7, crie um grupo doméstico Definitivamente, a forma mais

Leia mais

LANDesk Security Suite

LANDesk Security Suite LANDesk Security Suite Proporcione aos seus ativos proteção integrada a partir de uma console única e intuitiva que integra múltiplas camadas de segurança. Aplique políticas de segurança à usuários e dispositivos

Leia mais

GUIA DE BOAS PRÁTICAS DE SEGURANÇA PARA E-COMMERCE

GUIA DE BOAS PRÁTICAS DE SEGURANÇA PARA E-COMMERCE GUIA DE BOAS PRÁTICAS DE SEGURANÇA PARA E-COMMERCE PREZADO CLIENTE Realizar negócios através da Internet é uma alternativa de alto valor estratégico para os empresários que optaram por investir neste segmento.

Leia mais

Manual do Produto TIM Protect Família MANUAL DO PRODUTO. TIM Protect Família Versão 10.7

Manual do Produto TIM Protect Família MANUAL DO PRODUTO. TIM Protect Família Versão 10.7 MANUAL DO PRODUTO TIM Protect Família Versão 10.7 1 1 Índice 1 Índice... 2 2 TIM Protect Família... 4 2.1 Instalação do TIM Protect Família... 5 2.1.1 TIM Protect Família instalado... 7 2.2 Ativação do

Leia mais

Guia do funcionário seguro

Guia do funcionário seguro Guia do funcionário seguro INTRODUÇÃO A Segurança da informação em uma empresa é responsabilidade do departamento de T.I. (tecnologia da informação) ou da própria área de Segurança da Informação (geralmente,

Leia mais

1 de 5 Firewall-Proxy-V4 :: MANTENDO O FOCO NO SEU NEGÓCIO ::

1 de 5 Firewall-Proxy-V4 :: MANTENDO O FOCO NO SEU NEGÓCIO :: 1 de 5 Firewall-Proxy-V4 D O C U M E N T A Ç Ã O C O M E R C I A L FIREWALL, PROXY, MSN :: MANTENDO O FOCO NO SEU NEGÓCIO :: Se o foco do seu negócio não é tecnologia, instalar e manter por conta própria

Leia mais

Shavlik Protect. Guia de Atualização

Shavlik Protect. Guia de Atualização Shavlik Protect Guia de Atualização Copyright e Marcas comerciais Copyright Copyright 2009 2014 LANDESK Software, Inc. Todos os direitos reservados. Este produto está protegido por copyright e leis de

Leia mais

administração Guia de BlackBerry Internet Service Versão: 4.5.1

administração Guia de BlackBerry Internet Service Versão: 4.5.1 BlackBerry Internet Service Versão: 4.5.1 Guia de administração Publicado: 16/01/2014 SWD-20140116140606218 Conteúdo 1 Primeiros passos... 6 Disponibilidade de recursos administrativos... 6 Disponibilidade

Leia mais

REDES ESAF. leitejuniorbr@yahoo.com.br 1 Redes - ESAF

REDES ESAF. leitejuniorbr@yahoo.com.br 1 Redes - ESAF REDES ESAF 01 - (ESAF - Auditor-Fiscal da Previdência Social - AFPS - 2002) Um protocolo é um conjunto de regras e convenções precisamente definidas que possibilitam a comunicação através de uma rede.

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

UNIVERSIDADE FEDERAL DE PELOTAS

UNIVERSIDADE FEDERAL DE PELOTAS Usando um firewall para ajudar a proteger o computador A conexão à Internet pode representar um perigo para o usuário de computador desatento. Um firewall ajuda a proteger o computador impedindo que usuários

Leia mais

Conformidade com PCI-DSS

Conformidade com PCI-DSS Conformidade com PCI-DSS - Lições Práticas Alexandre Correia Pinto CISSP-ISSAP, CISA, CISM, PCI QSA Agenda PCI Data Security Standard Mobilize e Conscientize Aproxime-se de um QSA Conheça seu Escopo Reduza

Leia mais

Professor(es): Fernando Pirkel. Descrição da(s) atividade(s):

Professor(es): Fernando Pirkel. Descrição da(s) atividade(s): Professor(es): Fernando Pirkel Descrição da(s) atividade(s): Definir as tecnologias de redes necessárias e adequadas para conexão e compartilhamento dos dados que fazem parte da automatização dos procedimentos

Leia mais

arquitetura do join.me

arquitetura do join.me Uma visão geral técnica da arquitetura confiável e segura do join.me. 1 Introdução 2 Visão geral da arquitetura 3 Segurança de dados 4 Segurança de sessão e site 5 Visão geral de hospedagem 6 Conclusão

Leia mais

Visão geral do printeract, Serviços Remotos Xerox

Visão geral do printeract, Serviços Remotos Xerox Visão geral do printeract, Serviços Remotos Xerox 701P28680 Visão geral do printeract, Serviços Remotos Xerox Um passo na direção certa Diagnósticos de problemas Avaliação dos dados da máquina Pesquisa

Leia mais

Indústria de cartões de pagamento (PCI) Padrão de segurança de dados (DSS) e Padrão de segurança de dados de aplicativos de pagamento (PA-DSS)

Indústria de cartões de pagamento (PCI) Padrão de segurança de dados (DSS) e Padrão de segurança de dados de aplicativos de pagamento (PA-DSS) Indústria de cartões de pagamento (PCI) Padrão de segurança de dados (DSS) e Padrão de segurança de dados de aplicativos de pagamento (PA-DSS) Glossário de termos, abreviações e acrônimos Versão 2.0 Outubro

Leia mais

Características de Firewalls

Características de Firewalls Firewall Firewall é um sistema de proteção de redes internas contra acessos não autorizados originados de uma rede não confiável (Internet), ao mesmo tempo que permite o acesso controlado da rede interna

Leia mais

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC

UTILIZAÇÃO DE RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO - TIC Código: NO01 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia da Informação Núcleo de Segurança da Informação Revisão: 00 Vigência:20/04/2012 Classificação:

Leia mais

Serviços Remotos Xerox Um passo na direção certa

Serviços Remotos Xerox Um passo na direção certa Serviços Remotos Xerox Um passo na direção certa Diagnóstico de problemas Avaliação dos dados da máquina Pesquisa de defeitos Segurança garantida do cliente 701P41699 Visão geral dos Serviços Remotos Sobre

Leia mais

Aula 12 Lista de verificação de segurança para o Windows 7

Aula 12 Lista de verificação de segurança para o Windows 7 Aula 12 Lista de verificação de segurança para o Windows 7 Use esta lista de verificação para ter certeza de que você está aproveitando todas as formas oferecidas pelo Windows para ajudar a manter o seu

Leia mais

CONTROLE DE REDE. Prof. José Augusto Suruagy Monteiro

CONTROLE DE REDE. Prof. José Augusto Suruagy Monteiro CONTROLE DE REDE Prof. José Augusto Suruagy Monteiro 2 Capítulo 3 de William Stallings. SNMP, SNMPv2, SNMPv3, and RMON 1 and 2, 3rd. Edition. Addison-Wesley, 1999. Baseado em slides do Prof. Chu-Sing Yang

Leia mais

ESET NOD32 ANTIVIRUS 8

ESET NOD32 ANTIVIRUS 8 ESET NOD32 ANTIVIRUS 8 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento

Leia mais

ESET NOD32 ANTIVIRUS 6

ESET NOD32 ANTIVIRUS 6 ESET NOD32 ANTIVIRUS 6 Microsoft Windows 8 / 7 / Vista / XP / Home Server Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento O ESET NOD32 Antivirus fornece

Leia mais

ESET NOD32 ANTIVIRUS 9

ESET NOD32 ANTIVIRUS 9 ESET NOD32 ANTIVIRUS 9 Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / XP Guia de Inicialização Rápida Clique aqui para fazer download da versão mais recente deste documento O ESET NOD32 Antivirus fornece

Leia mais

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

Tableau Online Segurança na nuvem

Tableau Online Segurança na nuvem Tableau Online Segurança na nuvem Autor(a): Ellie Fields Diretora Sênior de Marketing de Produtos, Tableau Software Junho de 2013 p2 A Tableau Software entende que os dados são um dos ativos mais estratégicos

Leia mais

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso:

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso: MALWARE Spyware É o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Seguem

Leia mais

Requisitos de proteção de dados do fornecedor Critérios de avaliação

Requisitos de proteção de dados do fornecedor Critérios de avaliação Requisitos de proteção de dados do fornecedor Critérios de avaliação Aplicabilidade Os requisitos de proteção de dados do fornecedor da (DPR) são aplicáveis a todos os fornecedores da que coletam, usam,

Leia mais

para que quando a resposta que provenha da Internet pudesse ser permitida, ou seja, pudesse acessar o computador do usuário. Em outras palavras, o

para que quando a resposta que provenha da Internet pudesse ser permitida, ou seja, pudesse acessar o computador do usuário. Em outras palavras, o FIREWALL É utilizado para impedir que informações indesejadas entrem em uma rede ou em um computador doméstico. Em uma grande rede não é um método substituto à segurança de um servidor, mas complementar,

Leia mais

Curso de Tecnologia em Redes de Computadores

Curso de Tecnologia em Redes de Computadores Curso de Tecnologia em Redes de Computadores Disciplina: Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 2: Segurança Física e Segurança Lógica Segurança

Leia mais

CPE Soft Manual. 125/400mW 2.4GHz. CPE Soft

CPE Soft Manual. 125/400mW 2.4GHz. CPE Soft CPE Soft Manual 125/400mW 2.4GHz CPE Soft Campinas - SP 2010 Indice 1.1 Acessando as configurações. 2 1.2 Opções de configuração... 3 1.3 Wireless... 4 1.4 TCP/IP 5 1.5 Firewall 6 7 1.6 Sistema 8 1.7 Assistente...

Leia mais

Grid e Gerenciamento Multi-Grid

Grid e Gerenciamento Multi-Grid Principais Benefícios Alta disponibilidade, Escalabilidade Massiva Infoblox Oferece serviços de rede sempre ligados através de uma arquitetura escalável, redundante, confiável e tolerante a falhas Garante

Leia mais

Wi-Fi: como solucionar problemas com a conectividade Wi-Fi

Wi-Fi: como solucionar problemas com a conectividade Wi-Fi Wi-Fi: como solucionar problemas com a conectividade Wi-Fi Saiba como solucionar problemas de conectividade da rede Wi-Fi no seu Mac. OS X Mountain Lion 10.8.4 ou versões posteriores Use o aplicativo Diagnóstico

Leia mais

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções.

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Esse box destina-se ao cliente que já efetuou o seu primeiro acesso e cadastrou um login e senha. Após

Leia mais

Capítulo 1: Introdução...3

Capítulo 1: Introdução...3 F-Secure Anti-Virus for Mac 2014 Conteúdo 2 Conteúdo Capítulo 1: Introdução...3 1.1 O que fazer após a instalação...4 1.1.1 Gerenciar assinatura...4 1.1.2 Abrir o produto...4 1.2 Como me certificar de

Leia mais

Manual do Produto TIM Protect Família MANUAL DO PRODUTO. TIM Protect Família Versão 9.4 (Symbian)

Manual do Produto TIM Protect Família MANUAL DO PRODUTO. TIM Protect Família Versão 9.4 (Symbian) MANUAL DO PRODUTO TIM Protect Família Versão 9.4 (Symbian) 1 1 Índice 1 Índice... 2 2 Protect... 4 3 Instalação do Protect... 4 3.1 Instalação da Central de Serviços... 5 3.2 Instalação automática do Protect...

Leia mais

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI)

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) André Gustavo Assessor Técnico de Informática MARÇO/2012 Sumário Contextualização Definições Princípios Básicos de Segurança da Informação Ameaças

Leia mais