Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI) Resumo de Alterações da Versão para a 2.0 do PCI-DSS

Transcrição

1 Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI) Resumo de Alterações da Versão para a 2.0 do PCI-DSS Outubro de 2010

2 Geral Geral Completamente Removidas as referências específicas ao glossário uma vez que não são fornecidas referências a outros termos do glossário. Geral Geral Atestado de conformidade Atestados de conformidade removidos dos apêndices e documentos separados criados. Títulos de referências e apêndices atualizados adequadamente em todo o documento. Geral Geral Introdução e visão geral do padrão de segurança de dados do PCI Adicionadas informações sobre a função do PCI DSS na proteção dos dados do titular do cartão. Atualizado o gráfico 'visão geral de alto nível' para refletir os títulos de requisitos. Esclarecido que o PCI DSS é uma ferramenta de avaliação para o uso durante avaliações de conformidade. Adicionadas informações sobre recursos disponíveis no site do PCI SSC. Geral Geral Informações de aplicabilidade do PCI DSS Adicionado o termo "dados da conta" para se alinhar ao módulo PTS de Troca e Leitura de Dados Segura (SRED). Fornecidos mais detalhes sobre "dados do titular do cartão" e "dados confidenciais de autenticação" Esclarecido que os dados da conta primária (PAN) é o fator determinante para a aplicabilidade do PCI DSS. Removida a nota de rodapé abordando outra legislação e substituída por texto atualizado no parágrafo. Atualizados o texto do parágrafo e tabela de aplicabilidade para esclarecer quais elementos de dados devem ser convertidos como ilegíveis de acordo com o Requisito 3.4 do PCI DSS. N/D Geral Relação entre PCI DSS e PA-DSS Adicionada nova seção para refletir o conteúdo no PA-DSS. Esclarecido que o uso de um aplicativo em conformidade com o PA-DSS sozinho não atribui conformidade com o PCI DSS a uma entidade. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 2 de 21

3 Geral Geral Escopo da avaliação quanto à conformidade com os requisitos do PCI DSS Adicionado "componentes de virtualização"à definição de "componentes do sistema". Esclarecido que o ambiente de dados do titular do cartão compreende "pessoas, processos e tecnologia que armazenam, processam e transmitem os dados do titular do cartão ou dados de autenticação confidenciais". Geral Geral Escopo da avaliação quanto à conformidade com os requisitos do PCI DSS Adicionado um parágrafo detalhado para esclarecer que o primeiro passo de uma revisão do PCI DSS é determinar precisamente o escopo da avaliação, identificado todos os locais e fluxos de dados do titular do cartão e assegurando que todos esses locais sejam incluídos na avaliação. Geral Geral Segmentação da rede Adicionados esclarecimentos, inclusive de que a segmentação deve ser atingida por meios físicos ou lógicos. Pequenas substituições de algumas terminologias para esclarecer seu significado. Geral Geral Sem fio Esclarecido o foco na presença de uma WLAN em vez de uma LAN. Geral Geral Terceiros/Terceirização Pequenas alterações de terminologia para obter consistência. Geral Geral Exemplos de áreas de negócios e componentes do sistema Esclarecido que a amostragem é conduzida independentemente pelo avaliador e que a amostragem deve ser realizada primeiramente para as áreas de negócios e depois para os componentes do sistema em cada área selecionada. Esclarecido que a amostragem não reduz o escopo do ambiente de dados do titular do cartão ou a aplicabilidade do PCI DSS e a amostragem de requisitos PCI DSS individuais não é permitida. Esclarecidos os critérios específicos que os avaliadores devem registrar ao usar a amostragem. Adicionados os critérios que avaliadores devem revalidar o argumento da amostragem para cada avaliação Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 3 de 21

4 Geral Geral Instruções e conteúdo para o relatório sobre conformidade Adicionados critérios para o avaliador relatar como a precisão do escopo do PCI DSS foi validada para a avaliação na parte 2. Atualizados os detalhes do relatório para o argumento da amostragem e a validação do tamanho da amostra na parte 2, para se alinhar ao conteúdo esclarecido na seção de amostragem. Esclarecido na parte 3 que a lista de indivíduos entrevistados deve incluir suas empresas e os tópicos abordados. Movida a "programação da revisão" da parte 2 para a parte 4 e adicionado que a programação deve indicar a duração e especificar o período de tempo em que a avaliação ocorreu. Alterado "Procedimentos de varredura de segurança do PCI DSS" para "Guia do programa de fornecedores de varredura aprovados" na parte 5. Adicionada explicação para as respostas N/D na parte 6. Pequenas alterações de terminologia para obter consistência. Geral Geral Conformidade do PCI DSS Etapas de conclusão Atualizada a referência aos Atestados de conformidade no site do PCI SSC. Geral Geral Requisitos detalhados do PCI DSS e procedimentos da avaliação de segurança Adicionado esclarecimento de que as respostas N/D devem ser relatadas na coluna "Implementado". 1 1 Parágrafo introdutório Pequenas alterações de terminologia para obter consistência. Adicionada explicação de que componentes de outro sistema que oferecem a funcionalidade de firewall devem ser tratados de acordo com o requisito a, b Procedimentos de teste Separado o procedimento de teste nos procedimentos de teste individuais a até b. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 4 de 21

5 Requisito Adicionados exemplos de serviços inseguros, protocolos ou portas Requisito Adicionado o requisito para se alinhar ao procedimento Procedimento de teste Reestruturado para esclarecer a intenção do procedimento Esclarecida a intenção do requisito para que a DMZ restringisse o tráfego de entrada aos componentes do sistema que oferecem serviços autorizados, protocolos e portas Esclarecido que as conexões diretas não devem ser permitidas entre a internet e as redes internas Esclarecida a intenção de que somente o tráfego de saída seja permitido Procedimento de teste Permitida maior flexibilidade no procedimento de teste ao remover a especificação do uso do varredor de porta Esclarecido que o requisito se aplica a qualquer tipo de armazenagem de dados do titular do cartão, a b Esclarecida a intenção de evitar a divulgação de endereços IP privados na Internet e garantir que qualquer divulgação a entidade. Removidas as referências específicas ao mascaramento de IP e ao uso de tecnologias de tradução do endereço de rede e adicionados exemplos de métodos para evitar a divulgação de endereço de IP Separado o procedimento de teste em dois subprojetos. 1.4.b 1.4.b Procedimento de teste Esclarecido que o software do firewall pessoal não deve ser alterável pelos usuários do computador de propriedade do funcionário para se alinhar o procedimento de teste com o requisito. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 5 de 21

6 Requisito Pequenas alterações para esclarecimento a e Removido o conteúdo sobreposto pelo Requisito 4.1.1, para esclarecer que a intenção desse requisito é garantir que os padrões do fornecedor sarjem alterados. Separado o procedimento de teste nos procedimentos de teste individuais 2.1.1a até e. Removida a referência ao WPA, uma vez que não é mais considerado uma criptografia robusta por si só Movidos os exemplos de padrões de proteção do sistema dos procedimentos de teste para o requisito e adicionado o ISO como origem para os padrões de proteção. 6.2.b 2.2.b Procedimento de teste Movido o conteúdo do procedimento de teste 6.2.b ao 2.2.b para assegurar que os padrões de configuração do sistema estejam atualizados com as vulnerabilidades identificadas no Requisito b 2.2.d Procedimento de teste Renumerado o procedimento de teste 2.2.b para 2.2.d Requisito Atualizado o requisito para esclarecer a tentativa de "uma função primária por servidor" e uso de virtualização. N/D b Procedimentos de teste procedimento de teste opcional para tecnologias de virtualização. Renumerado o procedimento de teste para a , a b Esclarecido que somente serviços, protocolos, daemons, etc. seguros e necessários devem ser ativados, e recursos de segurança devem ser implementados para quaisquer desses serviços, etc. inseguros. Separado o procedimento de teste nos procedimentos individuais a e b. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 6 de 21

7 a Procedimentos de teste Separado o procedimento de teste nos procedimentos individuais a e c , 2.3.a 2.3.c Esclarecido que é necessária a criptografia robusta. Separado o procedimento de teste 2.3 nos procedimentos individuais 2.3.a até o 2.3.c. 3 3 Parágrafo introdutório Esclarecido que "PANs desprotegidos não devem ser enviados usando tecnologias de mensagem de usuário final como e mensagem instantânea." Transformado em um requisito mais geral e movidos os procedimentos de teste no 3.1 para o novo requisito e procedimento de teste (veja abaixo). N/D 3.1.1, a e Renumerado e separado o procedimento de teste 3.1 em procedimentos individuais a até d. Adicionado detalhe ao requisito para se alinhar aos procedimentos de teste. procedimento de teste para esclarecer que o avaliador deve verificar se os dados armazenados não excedem os requisitos de retenção definidos na política Adicionada observação para esclarecer que é permitido a emissores e empresas que suportam o processo de emissão armazenar dados confidenciais quando houver uma justificativa comercial dos dados armazenados em segurança. procedimento de teste 3.2.a adicionado para que emissoras e empresas que suportam serviços de emissão verifiquem se há justificativa comercial, caso haja SAD armazenado. Renumerado o procedimento de teste 3.2 para 3.2.b, e recebeu o prefácio "Para todas as outras entidades" Substituido "em um chip" para "dados equivalentes em um chip" para obter consistência. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 7 de 21

8 Procedimentos de teste Esclarecidos os procedimentos de teste para "analisar as fontes dos dados inclusive mas não limitado ao que segue" Requisito Esclarecido que o requisito se aplica somente ao PAN. Removida a observação sobre o mínimo de informações da conta uma vez que isso tenha sido esclarecido no requisito e na Tabela de Aplicabilidade do PCI DSS. Esclarecido os requisitos caso hash ou truncamento sejam usados para converter o PAN em ilegível. Adicionada uma observação para identificar o risco de PANs com hash ou truncamento no mesmo ambiente e que os controles de segurança são exigidos para assegurar que o PAN original não pode ser recuperado. Excluída a observação sobre o uso de controles de compensação (desde que controles de compensação possam ser aplicados para a maioria dos requisitos do PCI DSS. 3.4.d 3.4.d Procedimento de teste Esclarecido que o PAN deve ser "convertido para ilegível ou excluído" em vez de "transformado ou removido" c c Procedimento de teste Esclarecida a nota para verificar que se a criptografia do disco não for usada para criptografar as mídias removíveis Requisito Esclarecido que qualquer chave usada para tornar os dados do titular do cartão seguros deve ser protegida contra divulgação e mal uso. Adicionada uma observação para esclarecer como esse requisito se aplica a chaves de criptografia de chaves, se usadas Procedimento de teste Atualizado o procedimento de teste para se alinhar ao requisito , a b Adicionado o procedimento de teste para se alinhar ao requisito. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 8 de 21

9 Movida a nota de um procedimento de teste para o requisito. Esclarecido no procedimento de teste 3.6.b que os fornecedores de serviço devem fornecer orientação de gerenciamento de chaves aos clientes, abordando a transmissão, o armazenamento e a atualização das chaves do cliente (não apenas armazenamento), de acordo com o Sub-requisito até Excluída a nota sobre a transmissão de tais chaves conforme abordado nos subrequisitos Esclarecido que as trocas de chave são exigidas quando as chaves atingem o final de seu criptoperíodo, em vez de "pelo menos anualmente." Adicionada orientação para as melhores práticas do setor Alterada a terminologia para esclarecer que as chaves devem ser inutilizadas ou substituídas quando sua integridade estiver enfraquecida, e fornecidos exemplos. Adicionada uma observação de que se as chaves inutilizadas ou substituídas forem mantidas, elas deverão ser arquivadas em segurança e mantidas somente para fins de decodificação ou verificação. Adicionado procedimento de teste para verificar que, se as chaves inutilizadas ou substituídas são mantidas, elas não são usadas em operações de codificação Esclarecido que "conhecimento compartilhado e controle duplo" se aplicam somente a operações de gerenciamento de chaves criptográficas em texto simples. Adicionada uma observação para fornecer exemplos de operações de gerenciamento de chaves Esclarecido que os responsáveis pela proteção das chaves devem "confirmar formalmente" suas responsabilidades de proteção das chaves em vez de "assinar um formulário". Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 9 de 21

10 , 4.1.a 4.1.e Incluído o SSH como exemplo de protocolo de segurança, removidos exemplos de procedimentos de teste. Separado o procedimento de teste 4.1 nos procedimentos de teste individuais 4.1.a até 4.1.e. Esclarecido no procedimento de teste 4.1.b que chaves e/ou certificados confiáveis são necessários para todos os tipos de transmissão, não apenas SSL/TLS. Esclarecido no procedimento 4.1.c que o protocolo deve ser implementados para usar configurações seguras Requisito Atualizada observação acerca do uso de WEP de 30 de junho de Alterada a terminologia para esclarecer que os PANs desprotegidos (em vez de não criptografados) não devem nunca ser enviados por tecnologias de mensagem do usuário final Esclarecido que mecanismos antivírus devem gerar logs de auditoria, em vez de apenas serem "capazes de gerar" tais logs Requisitos Esclarecida a intenção de proteger os componentes e os softwares do sistema de vulnerabilidades conhecidas Adicionado que além de identificar vulnerabilidades, os processos devem incluir o ranqueamento das vulnerabilidades de acordo com o risco. Fornecida orientação sobre como atribuir o ranqueamento do risco. Observação: O ranqueamento de vulnerabilidades conforme definido em 6.2.a é considerado uma das melhores práticas até 30 de junho de 2012 quando passará a ser um requisito. Requisito envolvido Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 10 de 21

11 , 6.3.a 6.3.d Adicionados os tipos de aplicativos de software a que as práticas de desenvolvimento seguro se aplicariam. Separado o procedimento de teste 6.3 nos procedimentos de teste individuais 6.3.a até 6.3.d N/D Removidos os requisitos e procedimentos de teste uma vez que os testes de vulnerabilidade no são abordados do até o Movidos os requerimentos e procedimentos de teste para o 6.4, para esclarecer a intenção de aplicar os requisitos aos ambientes de desenvolvimento e de teste, não apenas os de desenvolvimento Renumerados os requisitos e procedimentos de teste devido a uniões ou mudanças de requisitos anteriores Removida a referência circular da observação. Consolidados os procedimentos de teste (antes a e b) em um único procedimento a, para combinar aplicativos "internos" e "da Web" em um único procedimento. Removida a referência específica aos aplicativos da Web e ao Guia OWASP para consolidar os requisitos de codificação segura para os aplicativos no escopo, inclusive aplicativos fora da Web. Renumerado o procedimento de teste c para b Esclarecido que os requisitos e procedimentos de teste se aplicam a processos e procedimentos de controle de alterações. Importado o conteúdo do procedimento de teste 6.3. para se alinhar aos procedimentos de teste que eram do a Procedimento de teste Removido o texto "nem são sanitizados antes do uso" para esclarecer a intenção. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 11 de 21

12 6.4, 6.4.a 6.4.b 6.4.5, a b Atualizado o requisito 6.4 para se alinhar aos procedimentos de teste 6.4.a até 6.4.b, para abordar os caminhos de segurança e modificações de software Renumerados para se alinharem aos requisitos e procedimentos de teste importados (antes a 6.3.5) Procedimento de teste Esclarecido que a documentação do impacto é necessária no procedimento de teste, para se alinhar ao requisito existente Esclarecido no requisito e no procedimento de teste que é necessária uma aprovação pelas "partes autorizadas" não apenas o "gerenciamento" , a b Esclarecida a intenção do requisito e do procedimento de teste do "teste de funcionalidade para verificar se alterações não têm impacto adverso na segurança do sistema." O requisito uniu-se ao novo procedimento de teste b, para abordar o teste de alterações com referência ao de que a codificação segura e a prevenção de vulnerabilidades se aplicam a todos os tipos de aplicativos personalizados no escopo, não apenas aos aplicativos da Web. Removida a dependência do OWASP e incluídos outros exemplos do setor: SANS CWE e CERT Vulnerabilidades a atualizadas e combinadas com os requisitos para refletirem a orientação atual sobre CWE, CERT e OWASP a identificados como vulnerabilidades específicas para os aplicativos da web. N/D Adicionado um novo requisito para abordar vulnerabilidades de alto-risco identificadas em 6.2. Requisito envolvido Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 12 de 21

13 Observação: O ranqueamento de vulnerabilidades conforme definido no Requisito 6.2.a é considerado uma das melhores práticas até 30 de junho de 2012 quando passará a ser um requisito Esclarecido o requisito para aprovação documentada por parte autorizadas, em vez de "um formulário assinado pela gerência" Observação movida de um procedimento de teste para o requisito. 8 8 Parágrafo introdutório Adicionada observação para se alinhar ao Requisito 3.2 do PA-DSS referente à aplicabilidade do ID de usuário único e os controles da autenticação segura para "contas de usuário com aplicativo de pagamento de um ponto de venda que possua acesso somente a um número de cartão por vez para facilitar a transação única (como contas de caixa)." Requisito Adicionado esclarecimento e métodos de autenticação de exemplos Esclarecidos os exemplos da autenticação de dois fatores para incluir o Radius "com tokens" e "outras tecnologias que suportam autenticação robusta." A nota adicionada esclarece a intenção da autenticação de dois fatores Adicionado o termo identificação , 8.5.7, 8.5.8, , 8.5.7, 8.5.8, Adicionada a autenticação para permitir maior flexibilidade às empresas outros mecanismos de autenticação além de senhas Incluídas as redefinições de senha como exigência de valor único e alteração imediata após o primeiro uso. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 13 de 21

14 , a b Esclarecido o "acesso" por fornecedores. Adicionado o requisito para se alinhar ao procedimento. Separado o procedimento de teste nos procedimentos individuais a até o b Procedimentos de teste Esclarecer os requisitos do gerenciamento de senhas para "usuários que não sejam clientes" sob uma perspectiva de um fornecedor de serviços. Separado o procedimento de teste único para distinguir o procedimento para fornecedores de serviço, para cada requisito , a , a d Esclarecido que restrições de acesso direto ou de consultas aos bancos de dados se aplicam ao acesso do usuário. Separado o procedimento de teste a nos procedimentos de teste individuais a.a até d. 9 9 Parágrafo introdutório Adicionados os termos e definições para "funcionário", "visitante" e "mídia" para serem usados ao longo do requisito. A nova definição de "funcionário" substitui a antiga para esclarecer a intenção de abrangência a c Procedimentos de teste Separado o procedimento de teste nos procedimentos de teste individuais a até c. Alterado para "câmeras de vídeo e/ou mecanismos de controle de acesso" nos procedimentos de teste, uma vez que câmeras de vídeo são mecanismos de monitoramento de acesso que podem ser usados com mecanismo de controle de acesso Substituída a definição de "funcionário". Adicionado exemplo de áreas fisicamente acessíveis Adicionado "hardwares de rede/comunicação e linhas de telecomunicação" à lista de itens para restringir o acesso físico. Esses estavam incluídos antes no Requisito 9.6. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 14 de 21

15 9.2, 9.2.a 9.2, 9.2.a 9.2.b Substituída a definição de "funcionário". Separado o procedimento de teste 9.2.a nos procedimentos individuais 9.2.a até o 9.2.b. 9.2.b 9.2.c Procedimentos de teste Esclarecido para verificar se os crachás de visitante são facilmente distinguíveis dos de funcionário Procedimento de teste Esclarecido que o procedimento de teste se aplica aos controles do visitante para se alinhar ao requisito Procedimentos de teste Esclarecido o procedimento de tentativa de obter acesso para assegurar que não seja permitido aos visitantes acessar fisicamente aquelas áreas desacompanhados , a b Substituída a definição de "funcionário". Separado o procedimento de teste nos procedimentos individuais a até o b. Esclarecido que o procedimento de teste é para verificar se os crachás de identificação de visitante são usados e se eles são distinguíveis dos funcionários Substituída a definição de "funcionário" a 9.5.b Procedimentos de teste Separado o procedimento de teste 9.5 nos procedimentos individuais 9.5.a até o 9.5.b. Esclarecido que o procedimento de teste 9.5.a é para observar a segurança física do local de armazenamento Substituído "documentos impressos e as mídias eletrônicas" por "todas as mídias" conforme definido no parágrafo introdutório. Movido "sistemas de redes e hardwares de comunicação, linhas de telecomunicação" para o procedimento de teste Substituídas as referências para "mídia que contenha dados do titular do cartão" por "mídia" conforme já foi definido no parágrafo introdutório. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 15 de 21

16 Esclarecida a intenção de ser capaz de determinar a confidencialidade dos dados na mídia , Esclarecido que a intenção é usar a tecnologia de sincronização de horário para sincronizar os relógios e os horários do sistema e assegurar que o horário seja adequadamente adquirido, distribuído e armazenado. Alterados "sincronização de horário" e "NTP" para "tecnologia de sincronização de horário" ao longo do 10.4 e esclarecido que "NTP" é um exemplo de tecnologia de sincronização de horário. Separados os procedimentos de teste 10.4.a até 10.4.c em novos subrequisitos e nos procedimentos de teste até (veja abaixo) subrequisito do procedimento de teste 10.4.b, para assegurar que sistemas críticos tenham o horáriocorreto e consistente. Reestruturado o procedimento b nos novos procedimentos a e b, para abordar como o horário é adquirido e distribuído s subrequisitos e procedimentos de teste a e b para esclarecer que os dados de horário são protegidos e as alterações de horário são autorizadas c Reestruturado o 10.4.c em nogos subrequisitos para assegurar que o horário seja recebido de origens aceitas pelo setor b 10.7.b Procedimentos de teste Esclarecido que o teste deve confirmar que os processos de registro de auditoria estejam implementados para "restaurar imediatamente" os dados de log, em vez de os dados de log estarem "imediatamente disponíveis" para análise. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 16 de 21

17 Esclarecido que o processo deve estar implementado para "detectar trimestralmente pontos de acesso sem fio não autorizados". Adicionada flexibilidade para que os métodos usados possam incluir varreduras de rede sem fio, inspeções lógicas/físicas dos componentes e da infraestrutura do sistema, controle de acesso à rede (NAC) ou IDS/IPS sem fio e que qualquer método que seja usado, deve ser suficiente para detectar e identificar qualquer dispositivo não autorizado a 11.1.c 11.1.a 11.1.e Procedimentos de teste Separado o procedimento de teste 11.1.a em procedimentos individuais 11.1.a até 11.1.c. Adicionado o novo procedimento de teste 11.1.b para testar se a metodologia é adequada para detectar pontos de acesso sem fio não autorizados. Renumerados os procedimentos de teste 11.1.b até 11.1.d e esclarecido que a configuração para gerar alertas aos funcionários se aplicarão se o monitoramento automático for usado. Renumerado o procedimento de teste 11.1.c para 11.1.e , a a c Separados e renumerados os requerimentos de varredura interna e externa 11.2 para subrequisitos e procedimentos de teste até Movida a observação do procedimento de teste 11.2.b para o Requisito 11.2 para esclarecer que quatro varreduras internas e externas devem ser verificadas. Procedimento de teste Esclarecido que o processo de varredura inclui novas varreduras até que os resultados aprovados sejam obtidos ou todas as vulnerabilidades definidas como "Alto", conforme definido no Requisito 6.2 do PCI DSS, estejam solucionadas. Esclarecido que varreduras internas devem ser realizadas por partes qualificadas. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 17 de 21

18 11.2.b a b 11.2.c a c Procedimentos de teste Substituído "Procedimentos de varredura de segurança do PCI DSS" por "Requisitos do guia do programa ASV". Esclarecido que os ASVs são selecionados pelo PCI Security Standards Council (PCE SSC). Procedimentos de teste Esclarecidos os requisitos para que as varreduras internas e externas incluam novas varreduras até que as vulnerabilidades de alto risco sejam abordadas e sejam realizadas por partes qualificadas Esclarecido que vulnerabilidades exploráveis devem ser abordadas. Separado o procedimento de teste 11.3.a nos procedimentos de teste individuais 11.3.a até 11.3.b Esclarecido que o teste de penetração do aplicativo deve testar as vulnerabilidades relevantes e abranger todos os tipos de aplicativo no escopo Esclarecido que IDS/IPS monitoram o tráfego no perímetro e nos pontos principais no CDE, em vez de todo o tráfego no CDE , 11.5.a 11.5.b Substituído "software" por "ferramentas" para esclarecer a intenção de que o software comercial não é o único meio de atender ao requisito. Adicionado o procedimento de teste 11.5.b para se alinhar ao requisito existente para alertar os funcionários sobre modificações não autorizadas e para executar comparações críticas pelo menos semanalmente Título do Requisito Substituído "funcionários e prestadores de serviços" por "todas as equipes" Parágrafo introdutório Substituído "funcionários" por "equipes" com uma definição revisada em alguns aspectos Procedimentos de teste Substituído "funcionários" por "equipes". Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 18 de 21

19 Adicionados exemplos de metodologias de avaliação. Esclarecido que o teste deve verificar a documentação da avaliação de risco Requisito Substituído "uma vez por ano" por "anualmente" Removido "voltadas aos funcionários" para esclarecer. Adicionado "tablet" como exemplo de tecnologias Substituído "gerência" por "partes autorizadas." Esclarecido para permitir a identificação lógica Adicionado "parceiros comerciais" ao requisito juntamente a "fornecedores" , a b Fornecida flexibilidade para limitar proibições às equipes sem autorização. Renumerado o procedimento de teste para a. Adicionado o novo procedimento de teste b para verificar se as equipes com autorização adequada estão protegendo os dados do titular do cartão de acordo com os requisitos PCI DSS Substituído "funcionários e prestadores de serviços" por "todas as equipes" Substituído "funcionários" por "equipes" Substituído "funcionários" por "equipes". Adicionada observação para fornecer orientações sobre métodos variáveis dependendo da função da equipe Substituído "funcionários" por "equipes". Substituído "empresa" por "entidade". Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 19 de 21

20 Substituído "funcionários" por "equipes". Movido o exemplo de um procedimento de teste para o requisito. Esclarecida a nota no Requisito 12.7 para aplicar a "potenciais equipes a serem contratadas para certas funções" Procedimento de teste Substituído "entidade que estiver sendo avaliada" por "entidade" para obter consistência Esclarecido o requisito para monitorar a conformidade dos fornecedores de serviço da PCI DSS. Substituir "entidade avaliada" por "entidade" , a b Procedimento de teste Adicionado o procedimento de teste b para esclarecer se o teste deve incluir a verificação do seguimento dos procedimentos documentados. Renumerado o procedimento de teste para a Procedimento de teste Esclarecido que as equipes designadas devem estar disponíveis para atender a incidentes 24 hs, 7 dias na semana, para se alinhar ao requerimento. Apêndice D Atestado de conformidade Comerciantes Atestado de conformidade Removido do Apêndice como um documento separado. Reorganizadas as informações de contato do avaliador e do comerciante. Apêndice E Atestado de conformidade Prestadores de serviços Atestado de conformidade Removido do Apêndice como um documento separado. Reorganizadas as informações de contato do avaliador e do fornecedor de serviço. Opções adicionais fornecidas na lista de "serviços que estavam incluídos no escopo da avaliação do PCI DSS" e adicionada lista de serviços não abordados pela avaliação do PCI DSS. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 20 de 21

21 Apêndice F Apêndice D Segmentação e amostragem de áreas de negócios/componentes do sistema Renomeado para esclarecer o fluxo de processo para segmentação e amostragem. Criados títulos separados de seção para segmentação e amostragem. Atualizados para se alinharem com a seção de amostragem da introdução. i Explicações do "Tipo": Tipo novo Tipo antigo Definição Esclarece o propósito do requisito. Garante que um texto conciso nos padrões retratem a intenção desejada dos requisitos. Explicativo Explicações e/ou definições para melhorar a compreensão ou fornecer mais informações sobre um tópico específico. Requisito envolvido Aperfeiçoamentos Alterações para assegurar que os padrões estejam atualizados em relação às ameaças emergentes e às alterações no mercado. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 21 de 21