Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de alterações da Versão 3.0 para a 3.1 do PCI DSS

Tamanho: px

Começar a partir da página:

Download "Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de alterações da Versão 3.0 para a 3.1 do PCI DSS"

João Carvalho Laranjeira
6 Há anos
Visualizações:

1 Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Resumo de alterações da Versão 3.0 para a 3.1 do Abril de 2015

2 Introdução Este documento fornece um resumo de alterações da v3.0 para a v3.1 do. A Tabela 1 apresenta uma visão geral dos tipos de alterações. A Tabela 2 apresenta um resumo das alterações substanciais encontradas na v3.1 do. Tabela 1: Tipos de alterações 1 Tipo de alteração Definição Esclarece o propósito do requisito. Garante que um texto conciso nos padrões retrate o objetivo desejado dos requisitos. Explicações, definições e/ou instruções para melhorar a compreensão ou fornecer mais informações ou orientações sobre um tópico específico. Alterações para assegurar que os padrões estejam atualizados em relação às ameaças emergentes e às alterações no mercado PCI Security Standards Council, LLC. Todos os direitos reservados. Página 2

3 Tabela 2: Resumo das alterações Seção v3.0 v3.1 Alteração Todas Todas Corrigidos pequenos erros tipográficos (gramática, pontuação, formatação, etc.) e incorporadas pequenas atualizações para maior legibilidade ao longo do documento. Introdução Introdução Alterada a referência de proteger os dados do titular do cartão para proteger os dados da conta. Introdução Introdução Esclarecido que o se aplica a qualquer entidade que armazene, processe ou transmita dados de contas. Introdução Introdução Alterada a referência de informações de identificação pessoal para informações pessoais. Escopo dos requisitos do Uso dos prestadores de serviços terceirizados/ terceirização Processo de avaliação do Escopo dos requisitos do Uso dos prestadores de serviços terceirizados/ terceirização Processo de avaliação do Alterada a referência de instituições financeiras para adquirentes, emissores. Removida a referência a ambientes para esclarecer a aplicabilidade a nível de organização ao invés de a nível do sistema. Alinhado com o idioma usado anteriormente na mesma seção com referência às etapas para confirmar a precisão do CDE definido. Esclarecido que os processos de validação para prestadores de serviço incluem passar por suas próprias avaliações anuais ou passar por várias avaliações a pedido. Reordenação das etapas de avaliação para esclarecer que um ROC, SAQ ou AOC pode ser enviado sem que todos os requisitos estejam em vigor. Geral Geral Linguagem atualizada nos requisitos e/ou procedimentos de teste para consistência SSL removido como exemplo de tecnologia de segurança. Adicionada nota de que o SSL e o anterior TLS não são mais considerados criptografias fortes e não podem ser usados como controle de segurança depois de 30 de junho de fornecida na coluna. Também impacta os s 2.3 e SSL removido como exemplo de tecnologia de segurança e adicionada uma nota ao requisito. Consulte a explicação acima em Tipo PCI Security Standards Council, LLC. Todos os direitos reservados. Página 3

4 Esclarecido nos requisitos que o armazenamento de dados de autenticação confidenciais não é permitido após autorização Esclarecido na nota do requisito que controles adicionais são exigidos se versões truncadas e hash do mesmo PAN estiverem presentes em um ambiente. Adicionado o procedimento de teste 3.4.e para auxiliar a validação da nota. Esclarecido objetivo de truncamento na Coluna Esclarecido que HSM pode se referir a um Módulo de Segurança de Hardware ou Host. Alinhado com o idioma no PCI PTS Esclarecido que o Procedimento de teste 3.6.a se aplica apenas se a entidade que está sendo avaliada for um prestador de serviços SSL removido como exemplo de tecnologia de segurança e adicionada uma nota ao requisito. Consulte a explicação acima em Atualizado o procedimento de teste para reconhecer todas as versões de SSL como exemplos de criptografia fraca SMS incluído como exemplo de tecnologia de mensagens do usuário final e adicionada orientação Adicionado esclarecimento para o procedimento de teste e na coluna de que uma solução técnica automatizada é configurada para alertar (ao invés de bloquear) ataques baseados na web, também deve haver um processo para garantir reação em tempo hábil Esclarecido que as contas inativas de usuários devem ser removidas/desativadas dentro de 90 dias b d e b b b b d e b b b Esclarecido que o Procedimento de teste se aplica apenas se a entidade que está sendo avaliada for um prestador de serviços, e para contas de clientes que não são consumidores Esclarecido que as senhas devem ser alteradas pelo menos uma veza cada 90 dias Esclarecido que este requisito se aplica se a entidade que está sendo avaliada for um prestador de serviços Esclarecido que o requisito se aplica a todos os funcionários e visitantes no local. Combinados os Procedimentos de teste 9.2.b e 9.2.d para remover redundância PCI Security Standards Council, LLC. Todos os direitos reservados. Página 4

5 9.9.1.b b Atualizado o procedimento de teste para esclarecer que tanto os dispositivos quanto as localizações dos dispositivos precisam ser observados Removido idioma redundante na coluna orientação atualizado para diferenciar mais claramente o objetivo do c 11.1.c Esclarecido que o Procedimento de teste se aplica quando o escaneamento sem fio é utilizado Esclarecido na coluna que um escaneamento de vulnerabilidade pode ser uma combinação de ferramentas, técnicas ou outros métodos automatizados e manuais a a Removido idioma redundante do procedimento de teste Esclarecido que o objetivo do teste de penetração é verificar se todos os sistemas fora do escopo estão segmentados (isolados) dos sistemas no CDE Esclarecido que as modificações não autorizadas incluem alterações, adições e exclusões de arquivos críticos do sistema, etc Esclarecido que os processos de avaliação de risco devem resultar em uma análise de risco documentada e formal Esclarecido que este requisito se aplica se a entidade que está sendo avaliada for um prestador de serviços e adicionada orientação relacionada. Anexo C: Planilha dos controles de compensação Exemplo completo Anexo C: Planilha dos controles de compensação Exemplo completo Descrição atualizada do exemplo de controle de compensação para refletir o uso de sudo ao invés de SU para precisão técnica aprimorada PCI Security Standards Council, LLC. Todos os direitos reservados. Página 5

Documentos relacionados

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados

Indústria de Cartões de Pagame (PCI) Padrão de segurança de dados Resumo de alterações da Versão 3.1 para a 3.2 do PCI DSS Abril de 2016 Introdução Este docume fornece um resumo de alterações da versão