Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação C e Atestado de conformidade

Transcrição

1 Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação C e Atestado de conformidade Aplicativo de pagamento conectado à Internet, sem armazenamento eletrônico dos dados do titular do cartão Versão 2.0 Outubro de 2010

2 Alterações no documento Data Versão Descrição 1º de outubro de de outubro de Para alinhar o conteúdo com o novo PCI DSS v1.2 e para implementar alterações menores observadas desde o original v1.1. Para alinhar o conteúdo com os novos requisitos e procedimentos de teste do PCI DSS v2.0. SAQ C do PCI DSS, v2.0, Alterações no documento Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página i

3 Índice Alterações no documento... i Padrão de segurança de dados do PCI: Documentos relacionados... iii Antes de você começar... iv Preenchendo o questionário de auto-avaliação...iv Conformidade do PCI DSS Etapas para preenchimento...v Orientação para não aplicabilidade de determinados requisitos específicos...v Atestado de conformidade, SAQ C... 1 Questionário de auto-avaliação C... 7 Construir e manter uma rede segura...7 Requisito 1: Instalar e manter uma configuração de firewall para proteger os dados...7 Requisito 2: Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança...8 Proteger os dados do titular do cartão...10 Requisito 3: Proteger os dados armazenados do titular do cartão...10 Requisito 4: Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas...11 Manter um programa de gerenciamento de vulnerabilidades...12 Requisito 5: Usar e atualizar regularmente o software ou programas antivírus...12 Requisito 6: Desenvolver e manter sistemas e aplicativos seguros...12 Implementar medidas de controle de acesso rigorosas...13 Requisito 7: Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio...13 Requisito 8: Atribuir uma identidade exclusiva para cada pessoa que tenha acesso ao computador...13 Requisito 9: Restringir o acesso físico aos dados do titular do cartão...13 Monitorar e testar as redes regularmente...15 Requisito 11: Testar regularmente os sistemas e processos de segurança...15 Manter uma política de segurança de informações...17 Requisito 12: Manter uma política que aborde a segurança das informações para todas as equipes...17 Anexo A: (não utilizado) Anexo B: Controles de compensação Anexo C: Planilha dos controles de compensação Planilha dos controles de compensação Exemplo completo...23 Anexo D: Explicação de não aplicabilidade SAQ C do PCI DSS, v2.0, Índice Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página ii

4 Padrão de segurança de dados do PCI: Documentos relacionados Os documentos a seguir foram criados para auxiliar comerciantes e prestadores de serviços a entenderem o Padrão de segurança de dados do PCI e o SAQ do PCI DSS. Documento Padrão de segurança de dados do PCI: Requisitos e procedimentos da avaliação de segurança Navegando pelo PCI DSS: Entendendo o porquê dos requisitos Padrão de segurança de dados do PCI: Diretrizes e instruções de auto-avaliação Padrão de segurança de dados do PCI: Questionário A de auto-avaliação e atestado Padrão de segurança de dados do PCI: Questionário B de auto-avaliação e atestado Padrão de segurança de dados do PCI: Questionário C-VT de auto-avaliação e atestado Padrão de segurança de dados do PCI: Questionário C de auto-avaliação e atestado Padrão de segurança de dados do PCI: Questionário D de auto-avaliação e atestado Padrão de segurança de dados do PCI e Padrão de segurança de dados de aplicativos de pagamento: Glossário de termos, abreviações e acrônimos Público Todos os comerciantes e prestadores de serviços Todos os comerciantes e prestadores de serviços Todos os comerciantes e prestadores de serviços Comerciantes qualificados 1 Comerciantes qualificados 1 Comerciantes qualificados 1 Comerciantes qualificados 1 Comerciantes e prestadores de serviços qualificados 1 Todos os comerciantes e prestadores de serviços 1 Para determinar o Questionário de auto-avaliação adequado, consulte o Padrão de segurança de dados do PCI: Diretrizes e instruções de auto-avaliação, "Selecionando o SAQ e o Atestado que melhor se aplicam à sua organização". SAQ C do PCI DSS, v2.0, Padrão de segurança de dados do PCI: Documentos relacionados Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página iii

5 Antes de você começar Preenchendo o questionário de auto-avaliação O SAQ C foi desenvolvido para resolver as exigências aplicáveis aos comerciantes que processam dados do titular do cartão por meio de aplicativos de pagamento (como sistemas de POS) conectados à Internet (via conexão DSL, modem a cabo, etc.), mas que não armazenam os dados do titular do cartão em nenhum sistema de computadores. Esses aplicativos de pagamento estão conectados à Internet porque: 1. O aplicativo de pagamento está em um computador pessoal conectado à Internet, ou 2. O aplicativo de pagamento está conectado à Internet para transmitir os dados do titular do cartão. Os comerciantes do SAQ C são definidos aqui e no documento Diretrizes e instruções do Questionário de auto-avaliação do PCI DSS. Os comerciantes do SAQ C processam os dados do titular do cartão por meio de máquinas de POS ou outros sistemas de aplicativo de pagamento conectados à Internet e não armazenam os dados do titular do cartão em nenhum sistema de computadores, podendo ser do tipo real (cartão presente) ou comércio eletrônico ou pedidos por correio/telefone (cartão não presente). Esses comerciantes validam a conformidade ao preencherem o SAQ C e o Atestado de conformidade associado, confirmando que: Sua empresa possui um sistema de aplicativo de pagamento e uma conexão com à Internet no mesmo dispositivo e/ou na mesma rede local (LAN); O aplicativo de pagamento/dispositivo de Internet não está conectado a nenhum outro sistema no ambiente (isso pode ser feito através de segmentação da rede para isolar o sistema de aplicativo de pagamento/dispositivo de Internet de todos os outros sistemas); O armazenamento da empresa não está conectado a nenhum outro local de armazenamento e todas as LANs são somente para armazenamento exclusivo; Sua empresa retém somente relatórios ou cópias em papel dos recibos; Sua empresa não armazena dados do titular do cartão em formato eletrônico; e O fornecedor do aplicativo de pagamento da sua empresa usa técnicas seguras para fornecer suporte remoto ao seu sistema de pagamento. Cada seção deste questionário se concentra em uma área específica de segurança, com base nas exigências dos Requisitos do PCI DSS e procedimentos da avaliação de segurança. Esta versão reduzida do SAQ inclui perguntas que se aplicam a um tipo específico de ambiente de pequeno comerciante, conforme definido nos critérios de qualificação acima. Caso haja requisitos do PCI DSS aplicáveis ao seu ambiente que não estejam cobertos por este SAQ, pode ser um indício de que este SAQ não é adequado ao seu ambiente. Além disso, é necessário cumprir com todos os requisitos aplicáveis do PCI DSS para estar em conformidade com o PCI DSS. SAQ C do PCI DSS, v2.0, Antes de você começar Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página iv

6 Conformidade do PCI DSS Etapas para preenchimento 1. Avalie seu ambiente quanto à conformidade com o PCI DSS. 2. Preencha o Questionário de auto-avaliação (SAQ C) segundo as instruções do arquivo Diretrizes e instruções do Questionário de auto-avaliação do PCI DSS. 3. Faça uma varredura de vulnerabilidade aprovada com um Fornecedor de varredura aprovado (ASV) do PCI SSC e obtenha a comprovação de uma varredura aprovada com o ASV. 4. Preencha integralmente o Atestado de conformidade. 5. Envie o SAQ, uma evidência de uma varredura aprovada e o Atestado de conformidade, junto com as outras documentações solicitadas, para seu adquirente. Orientação para não aplicabilidade de determinados requisitos específicos Exclusão: Se você precisar responder o SAQ C para validar sua conformidade com o PCI DSS, as seguintes exceções podem ser consideradas. Consulte a seção "Não aplicabilidade" abaixo para obter uma resposta adequada do SAQ. As perguntas específicas relacionadas a dispositivos sem fio só precisarão ser respondidas se houver dispositivos sem fio em algum lugar da sua rede (por exemplo: os Requisitos 1.2.3, e 4.1.1). Observe que o Requisito 11.1 (uso de um processo para identificar pontos de acesso sem fio não autorizados) deverá ser respondido, mesmo que o dispositivo sem fio não esteja na sua rede, pois o processo detecta intrusos ou dispositivos não autorizados que possam ter sido adicionados sem seu conhecimento. Não aplicabilidade: Este e outros requisitos considerados não aplicáveis ao seu ambiente deverão ser indicados com "N/A" na coluna "Especial" do SAQ. Da mesma forma, preencha a planilha "Explicação de não aplicabilidade" no Anexo D para cada entrada "N/A". SAQ C do PCI DSS, v2.0, Antes de você começar Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página v

7 Atestado de conformidade, SAQ C Instruções para envio O comerciante deve preencher este Atestado de Conformidade como uma declaração do status de conformidade dele com os Requisitos do padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) e procedimentos da avaliação de segurança. Preencha todas as seções aplicáveis e consulte as instruções de envio em Conformidade do PCI DSS Etapas para preenchimento, neste documento. Parte 1. Informações sobre o comerciante e o avaliador de segurança qualificado Parte 1a. Informações sobre a organização do comerciante Nome da empresa: Contato: Telefone: Endereço comercial: DBA(s): Forma de tratamento: Cidade: Estado/Província: País: CEP: URL: Parte 1b. Informações sobre a empresa do assessor de segurança qualificado (se aplicável) Nome da empresa: Nome do contato principal do QSA: Telefone: Endereço comercial: Forma de tratamento: Cidade: Estado/Província: País: CEP: URL: Parte 2. Tipo de negócio do comerciante (assinale todas as alternativas que se aplicam): Varejo Telecomunicações Gêneros alimentícios e supermercados Petróleo Comércio eletrônico Pedidos por correio/telefone Outros (especifique): Listar as instalações e locais incluídos na análise do PCI DSS: Parte 2a. Relações Sua empresa se relaciona com um ou mais agentes de terceiros (por exemplo: gateways, empresas de hospedagem na Web, agentes de passagens aéreas, agentes de programas de fidelidade, etc.)? Sua empresa se relaciona com mais de um adquirente? Sim Não Sim Não SAQ C do PCI DSS, v2.0, Atestado de conformidade Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 1

8 SAQ C do PCI DSS, v2.0, Atestado de conformidade Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 2

9 Parte 2b. Processamento das transações Como e em qual capacidade seu negócio armazena, processa e/ou transmite dados do titular do cartão? Forneça as seguintes informações relacionadas aos aplicativos de pagamentos usados pela sua organização: Aplicativo de pagamento em uso Número da versão Última validação de acordo com o PABP/PA-DSS Parte 2c. Qualificação para preencher o SAQ C O comerciante certifica a sua qualificação para preencher esta versão abreviada do Questionário de autoavaliação porque: O comerciante possui um sistema de aplicativo de pagamento e uma conexão com à Internet ou com a rede pública no mesmo dispositivo e/ou na mesma rede local (LAN); O sistema de aplicativo de pagamento/dispositivo ligado à Internet não está conectado a nenhum outro sistema dentro do ambiente do comerciante; O armazenamento do comerciante não está conectado a nenhum outro local de armazenamento e todas as LANs são somente para armazenamento exclusivo; O comerciante não armazena dados do titular do cartão em formato eletrônico; Se o Comerciante armazenar os dados do titular do cartão, esses dados só estarão em relatórios ou cópias em papel dos recibos e não serão recebidos eletronicamente; e O software de aplicativo de pagamento do comerciante usa técnicas seguras para fornecer suporte remoto ao seu sistema seguro de aplicativos de pagamento. Parte 3. Validação do PCI DSS Com base nos resultados anotados no SAQ C datados de (data do preenchimento), a (Nome da empresa do comerciante) declara o seguinte status de conformidade (marque um): Em conformidade: Todas as seções do PCI SAQ estão preenchidas, todas as perguntas foram respondidas afirmativamente, resultando em uma classificação geral de CONFORMIDADE, e uma varredura de verificação aprovada foi preenchida por um Fornecedor de varredura aprovado do PCI SSC, de forma que a (Nome da empresa do comerciante) demonstrou conformidade integral com o PCI DSS. SAQ C do PCI DSS, v2.0, Atestado de conformidade Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 3

10 Não conformidade: Nem todas as seções do PCI SAQ estão preenchidas ou algumas perguntas foram respondidas negativamente, resultando em uma classificação geral de NÃO CONFORMIDADE, ou uma varredura de verificação aprovada não foi preenchida por um Fornecedor de varredura aprovado do PCI SSC, de forma que a (Nome da empresa do comerciante) não demonstrou conformidade integral com o PCI DSS. Data prevista para conformidade: A entidade que estiver enviando este formulário com um status de Não conformidade talvez tenha de preencher o Plano de ação na Parte 4 deste documento. Verifique junto ao seu adquirente ou às bandeiras de pagamento antes de preencher a Parte 4, já que nem todas as bandeiras de pagamento exigem essa seção. SAQ C do PCI DSS, v2.0, Atestado de conformidade Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 4

11 Parte 3a. Confirmação do status de conformidade O comerciante confirma que: O Questionário de auto-avaliação C do PCI DSS, versão (versão do SAQ), foi preenchido segundo as instruções nele contidas. Todas as informações contidas no SAQ mencionado anteriormente e neste atestado representam adequadamente os resultados de minha avaliação em todos os aspectos materiais. Eu confirmei com meu fornecedor do aplicativo de pagamento que o aplicativo não armazena dados de autenticação confidenciais após a autorização. Eu li o PCI DSS e reconheço que sempre devo manter a conformidade total com o PCI DSS. Não há evidência de armazenamento de dados de tarja magnética (ou seja, rastros) 2, dados CAV2, CVC2, CID ou CVV2 3, ou dados de PIN 4 após a autorização da transação em NENHUM sistema revisto durante esta avaliação. Parte 3b. Reconhecimento do comerciante Assinatura do responsável executivo pelo comerciante Data Nome do responsável executivo pelo comerciante Forma de tratamento Empresa comerciante representada Dados codificados na tarja magnética ou dados equivalentes em um chip usados para autorização durante a transação com o cartão. As entidades não podem manter todos os dados da tarja magnética após a autorização da transação. Os únicos elementos dos dados de rastro que podem ser retidos são o número da conta, a data de vencimento e o nome. O valor de três ou quatro dígitos impresso à direita do painel de assinatura ou na frente do cartão de pagamento usado para verificar transações virtuais com o cartão. Número de identificação pessoal inserido pelo titular do cartão durante uma transação com o cartão e/ou bloqueio de PIN criptografado dentro da mensagem da transação. SAQ C do PCI DSS, v2.0, Atestado de conformidade Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 5

12 Parte 4. Plano de ação para status de não conformidade Selecione o "Status de conformidade" adequado para cada requisito. Se você responder "NÃO" a qualquer um dos requisitos, será necessário informar a data na qual a empresa estará em conformidade com o requisito e uma descrição resumida das ações que estão sendo realizadas para atender ao requisito. Verifique junto ao seu adquirente ou às bandeiras de pagamento antes de preencher a Parte 4, já que nem todas as bandeiras de pagamento exigem essa seção. Status de conformidade (selecione um) Requisito do PCI DSS Descrição do requisito SIM NÃO 1 Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão 2 Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança Data e ações de correção (se o Status de conformidade for "Não") 3 Proteger os dados armazenados do titular do cartão 4 Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas 5 Usar e atualizar regularmente o software ou programas antivírus 6 Desenvolver e manter sistemas e aplicativos seguros 7 8 Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio Atribuir uma identidade exclusiva para cada pessoa que tenha acesso ao computador 9 Restringir o acesso físico aos dados do titular do cartão 11 Testar regularmente os sistemas e processos de segurança 12 Manter uma política que aborde a segurança das informações para todas as equipes SAQ C do PCI DSS, v2.0, Atestado de conformidade Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 6

13 Questionário de auto-avaliação C Observação: As perguntas a seguir estão numeradas de acordo com os requisitos e procedimentos de teste do PCI DSS, conforme definido no documento Requisitos do PCI DSS e procedimentos da avaliação de segurança. Construir e manter uma rede segura Data de preenchimento: Requisito 1: Instalar e manter uma configuração de firewall para proteger os dados Pergunta do PCI DSS Resposta: Sim Não Especial * 1.2 As configurações do firewall e do router restringem as conexões entre redes não confiáveis e qualquer sistema no ambiente de dados do titular do cartão, da seguinte forma: Observação: Uma "rede não confiável" é qualquer rede externa às redes que pertencem à entidade em análise e/ou qualquer rede que não seja controlada ou gerenciada pela entidade (a) O tráfego de entrada e saída está limitado para o tráfego necessário para o ambiente de dados do titular do cartão e as restrições estão documentadas? (b) Todos os outros tráfegos de entrada e saída são recusados de forma específica (como ao usar a opção explícita "recusar todos" ou uma recusa implícita após a declaração de permissão)? Existem firewalls de perímetro instalados entre quaisquer redes sem fio e o ambiente de dados do titular do cartão e esses firewalls estão configurados para recusar ou controlar (se esse tráfego for necessário para fins comerciais) qualquer tráfego a partir do ambiente sem fio no ambiente de dados do titular do cartão? 1.3 A configuração do firewall proíbe o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão, da seguinte forma: As conexões diretas estão proibidas para tráfego de entrada ou saída entre a Internet e o ambiente dos dados do titular do cartão? O tráfego de saída do ambiente de dados do titular do cartão para a Internet está explicitamente autorizado? A inspeção com status, também conhecida como filtragem de pacote dinâmico, está implementada (ou seja, somente conexões estabelecidas podem entrar na rede)? SAQ C do PCI DSS, v2.0, Questionário de auto-avaliação Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 7

14 Requisito 2: Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança Pergunta do PCI DSS Resposta: Sim Não Especia l * 2.1 Os valores-padrão entregues pelo fornecedor são sempre alterados antes de instalar um sistema na rede? Os valores padrão entregues pelo fornecedor incluem, entre outros itens, senhas, strings de comunidade de SNMP (simple network management protocol) e a eliminação de contas desnecessárias Para ambientes sem fio conectados ao ambiente dos dados do titular do cartão ou para a transmissão dos dados do titular do cartão, os padrões são alterados da seguinte forma: (a) As chaves de criptografia padrão são alteradas na instalação e são modificadas sempre que um funcionário que conhece as chaves sai da empresa ou troca de cargo? (b) As strings de comunidades de SNMP padrão dos dispositivos sem fio são alteradas? (c) As senhas/frases de senha padrão dos pontos de acesso são alteradas? (d) O firmware dos dispositivos sem fio é atualizado para ser compatível com a criptografia robusta para autenticação e transmissão em redes sem fio? (e) Os outros padrões relacionados à segurança do fornecedor de dispositivos sem fio são alterados, se aplicável? (a) Somente os serviços, protocolos e daemons necessários, entre outros, são ativados conforme a necessidade para a função do sistema (ou seja, os serviços e protocolos que não são diretamente necessários para a execução da função especificada do dispositivo estão desativados)? 2.3 Todos os acessos administrativos fora do console estão criptografados da seguinte forma: Com o uso tecnologias como SSH, VPN ou SSL/TLS para o gerenciamento baseado na Web e outros acessos administrativos fora do console. (a) Todos os acessos administrativos fora do console são criptografados com criptografia robusta e um método de criptografia robusta é invocado antes da solicitação da senha do administrador? (b) Os serviços do sistema e os arquivos de parâmetros são configurados para prevenir o uso de Telnet e outros comandos de login remoto inseguros? SAQ C do PCI DSS, v2.0, Questionário de auto-avaliação Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 8

15 Pergunta do PCI DSS Resposta: Sim Não Especia l * (c) O acesso do administrador às interfaces de gerenciamento baseadas na Web é criptografado com uma criptografia robusta? SAQ C do PCI DSS, v2.0, Questionário de auto-avaliação Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 9

16 Proteger os dados do titular do cartão Requisito 3: Proteger os dados armazenados do titular do cartão Pergunta do PCI DSS Resposta: Si m Nã o Especial * 3.2 (b) Se dados de autenticação confidenciais forem recebidos e excluídos, existem processos em vigor para excluir os dados com segurança e verificar se os dados podem ser recuperados (c) Todos os sistemas cumprem os seguintes requisitos em relação ao armazenamento de dados de autenticação confidenciais após a autorização (mesmo se criptografados)? O conteúdo completo de qualquer rastro da tarja magnética (localizada na parte posterior do cartão) ou qualquer dado equivalente presente em um chip ou em qualquer outro lugar, não é armazenado em nenhuma circunstância? Esses dados também são denominados como rastro completo, rastro, rastro 1, rastro 2 e dados da tarja magnética. No curso normal dos negócios, os seguintes elementos de dados da tarja magnética talvez precisem ser mantidos: O nome do titular do cartão, O número da conta primária (PAN), A data de vencimento e O código de serviço Para minimizar o risco, armazene somente os elementos de dados conforme necessário para os negócios O código ou valor de verificação do cartão (número de três ou quatro dígitos impresso na frente ou atrás do cartão de pagamento) não é armazenado em nenhuma circunstância? O numero de identificação pessoal (PIN) ou o bloqueio de PIN criptografado não é armazenado em nenhuma circunstância? 3.3 O PAN é mascarado quando exibido (os primeiros seis e quatro últimos dígitos são o número máximo de dígitos a serem exibidos)? Observações: Este requisito não se aplica aos funcionários e outras partes interessadas que precisam visualizar o PAN completo. Este requisito não substitui os requisitos mais rigorosos em vigor quanto às exibições dos dados do titular do cartão, como para recibos de pontos de venda (POS). SAQ C do PCI DSS, v2.0, Questionário de auto-avaliação Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 10

17 Requisito 4: Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas Pergunta do PCI DSS Resposta: Sim Não Especial * 4.1 (a) São utilizadas criptografia robusta e protocolos de segurança como SSLTLS, SSH ou IPSEC para proteger os dados confidenciais do titular do cartão durante a transmissão em redes abertas e públicas? Os exemplos de redes públicas e abertas que se encontram no escopo do PCI DSS incluem, entre outros, a Internet, tecnologias sem fio, GSM (Global System for Mobile communications) e GPRS (General Packet Radio Service). (b) Somente chaves e/ ou certificados confiáveis são aceitos? (c) Os protocolos de segurança foram implementados para usar somente configurações seguras, sem suporte para versões ou configurações inseguras? (d) A força da criptografia adequada foi implementada para a metodologia de criptografia em uso (verifique as recomendações/melhores práticas do fornecedor)? (e) Para implementações de SSL/TLS: O HTTPS é exibido como parte do Universal Record Locator (URL) do navegador? Os dados do titular do cartão são exigidos somente quando HTTPS é exibido no URL? As melhores práticas do setor (como a IEEE i) são usadas para implementar a criptografia robusta para autenticação e transmissão nos dispositivos sem fio que transmitem dados do titular do cartão ou que estão conectados no ambiente de dados do titular do cartão? Observação: O uso de WEP como controle de segurança foi proibido em 30 de junho de (b) Existem políticas em vigor que afirmam que os PANs desprotegidos não são enviados por meio das tecnologias de envio de mensagens de usuário final? SAQ C do PCI DSS, v2.0, Questionário de auto-avaliação Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 11

18 Manter um programa de gerenciamento de vulnerabilidades Requisito 5: Usar e atualizar regularmente o software ou programas antivírus Pergunta do PCI DSS Resposta: Sim Não Especial * 5.1 Os softwares antivírus estão implementados em todos os sistemas normalmente afetados por softwares mal-intencionados? Todos os programas antivírus podem detectar, remover e proteger contra todos os tipos conhecidos de softwares malintencionados (como vírus, trojans, worms, spywares, adwares e rootkits)? 5.2 Todos os mecanismos antivírus estão atualizados, funcionando ativamente e gerando logs de auditoria da seguinte forma: (a) A política de antivírus requer a atualização do software e das definições do antivírus? (b) A instalação principal do software está ativada para atualizações automáticas e varreduras periódicas? (c) As atualizações automáticas e as varreduras periódicas estão ativadas? (d) Todos os mecanismos de antivírus geram logs de auditoria e os logs são mantidos de acordo com o Requisito 10.7 do PCI DSS? Requisito 6: Desenvolver e manter sistemas e aplicativos seguros Pergunta do PCI DSS Resposta: Sim Não Especial * 6.1 (a) Todos os componentes e softwares do sistema estão protegidos de vulnerabilidades conhecidas pois têm os patches de segurança mais recentes disponibilizados pelos fornecedores instalados? (b) Os patches de segurança críticos são instalados no prazo de um mês após o lançamento? SAQ C do PCI DSS, v2.0, Questionário de auto-avaliação Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 12

19 Implementar medidas de controle de acesso rigorosas Requisito 7: Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio Pergunta do PCI DSS Resposta: Sim Não Especial * 7.1 (a) O acesso aos componentes do sistema e aos dados do titular do cartão é limitado somente àquelas pessoas cuja função requer tal acesso, conforme itens a seguir: Os direitos de acesso dos IDs dos usuários privilegiados estão restritos ao menor número de privilégios necessários para o desempenho das responsabilidades da função? Os privilégios são concedidos às pessoas com base na classificação e na atribuição da função (também chamado de "controle de acesso baseado na função" ou RBAC)? Requisito 8: Atribuir uma identidade exclusiva para cada pessoa que tenha acesso ao computador Pergunta do PCI DSS Resposta: Sim Não Especial * 8.3 A autenticação com dois fatores foi incorporada para acesso remoto (acesso no nível da rede que se origina fora dela) à rede pelos funcionários, administradores e terceiros? (Por exemplo: autenticação remota e serviço de dial-in (RADIUS) com tokens, sistema de controle de acesso ao controlador de acesso ao terminal (TACACS) com tokens ou outras tecnologias que facilitam a autenticação com dois fatores.) Observação: A autenticação de dois fatores exige que dois dos três métodos de autenticação (consulte o Requisito 8.2 do PCI DSS para obter descrições dos métodos de autenticação) sejam usados para autenticação. O uso duplicado de um fator (como o uso de duas senhas separadas) não é considerado uma autenticação com dois fatores (a) As contas usadas pelos fornecedores para acesso remoto, manutenção ou suporte são ativadas somente durante o período necessário? (b) As contas de acesso remoto dos fornecedores são monitoradas durante o uso? Requisito 9: Restringir o acesso físico aos dados do titular do cartão Pergunta do PCI DSS Resposta: Sim Não Especial * SAQ C do PCI DSS, v2.0, Questionário de auto-avaliação Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 13

20 Pergunta do PCI DSS Resposta: Sim Não Especial * 9.6 Todas as mídias estão fisicamente seguras (incluindo, entre outros, computadores, mídias eletrônicas removíveis, recibos em papel, relatórios em papel e faxes)? Para os fins do Requisito 9, "Mídia" refere-se a todas as mídias em papel ou eletrônicas que contêm dados do titular do cartão. 9.7 (a) É mantido um controle rigoroso quanto à distribuição interna ou externa de qualquer tipo de mídia? (b) Os controles incluem o seguinte: A mídia é classificada para que a confidencialidade dos dados possa ser determinada? A mídia é enviada via um mensageiro seguro ou outro método de entrega que possa ser rastreado com precisão? 9.8 Existem logs para rastrear todas as mídias que são movidas de uma área segura, com aprovação da gerência antes da transferência da mídia (especialmente quando a mídia é distribuída para pessoas físicas)? 9.9 É mantido um controle rigoroso sobre o armazenamento e a acessibilidade das mídias? 9.10 Todas as mídias são destruídas quando não são mais necessárias por razões corporativas ou legais? A destruição é executada da seguinte forma: (a) Os materiais impressos são fragmentados, incinerados ou reciclados, de forma que os dados do titular do cartão não possam ser reconstruídos? (b) Os contêineres que armazenam informações são destruídos de forma segura para prevenir o acesso aos conteúdos? (Por exemplo: um contêiner "a ser triturado" tem uma trava que impede o acesso ao seu conteúdo.) SAQ C do PCI DSS, v2.0, Questionário de auto-avaliação Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 14

21 Monitorar e testar as redes regularmente Requisito 11: Testar regularmente os sistemas e processos de segurança Pergunta do PCI DSS Resposta: Sim Nã o Especia l * 11.1 (a) Existe um processo documentado implementado para detectar e identificar trimestralmente os pontos de acesso sem fio? Observação: Os métodos que podem ser usados no processo incluem, entre outros, varreduras de rede sem fio, inspeções físicas/lógicas dos componentes e da infraestrutura do sistema, controle de acesso à rede (NAC) ou IDS/IPS sem fio. Qualquer método usado deve ser suficiente para detectar e identificar qualquer dispositivo não autorizado. (b) A metodologia é adequada para detectar e identificar qualquer ponto de acesso sem fio não autorizado, incluindo ao menos os itens a seguir? Cartões WLAN inseridos nos componentes do sistema; Dispositivos portáteis sem fio conectados aos componentes do sistema (via USB, etc.); Dispositivos sem fio conectados a uma porta de rede ou a um dispositivo de rede. (c) O processo para identificar pontos de acesso sem fio não autorizados é executado ao menos trimestralmente? (d) Se o monitoramento automatizado for utilizado (como IDS/IPS sem fio, NAC, etc.), o monitoramento está configurado para gerar alertas para a equipe? (e) O Plano de resposta a incidentes (Requisito 12.9) inclui uma resposta em caso de detecção de dispositivos sem fio não autorizados? 11.2 São executadas varreduras das vulnerabilidades das redes internas e externas pelo menos trimestralmente e após qualquer alteração significativa na rede (como instalações de novos componentes do sistema, alterações na topologia da rede, modificações das normas do firewall, upgrades de produtos) da seguinte forma? Observação: Não será necessário que quatro varreduras trimestrais aprovadas sejam concluídas para a conformidade inicial do PCI DSS se 1) o resultado da varredura mais recente foi uma varredura aprovada, 2) a entidade possuir políticas e procedimentos documentados que exigem varreduras trimestrais e 3) as vulnerabilidades observadas nos resultados da varredura tenham sido corrigidas conforme mostrado em uma nova varredura. Nos anos seguintes após a análise inicial do PCI DSS, quatro varreduras trimestrais aprovadas devem ter ocorrido (a) São executadas varreduras das vulnerabilidades internas trimestrais? SAQ C do PCI DSS, v2.0, Questionário de auto-avaliação Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 15

22 Pergunta do PCI DSS Resposta: Sim Nã o Especia l * (b) O processo de varredura interna trimestral inclui novas varreduras até que os resultados aprovados sejam obtidos ou todas as vulnerabilidades definidas como "Alto", conforme definido no Requisito 6.2 do PCI DSS, estejam solucionadas? (c) As varreduras internas trimestrais são executadas por um recurso interno qualificado ou um terceiro externo qualificado e, caso aplicável, há uma independência organizacional do responsável pelo teste (não é necessário que seja um QSA ou ASV)? (a) São executadas varreduras das vulnerabilidades externas trimestrais? (b) Os resultados da varredura externa trimestral cumprem os requisitos do Guia do programa ASV (por exemplo: nenhuma vulnerabilidade classificada com valor superior a 4.0 pelo CVSS e nenhuma falha automática)? (c) As varreduras das vulnerabilidades externas trimestrais são executadas por um Fornecedor de varredura aprovado (ASV) qualificado pelo Conselho de padrões de segurança do setor de cartões de pagamento (PCI SSC)? (a) São executadas varreduras internas e externas após qualquer alteração significativa na rede (como instalações de novos componentes do sistema, alterações na topologia da rede, modificações das normas do firewall, upgrades de produtos)? Observação: As varreduras realizadas após alterações na rede devem ser executadas pela equipe interna da empresa. (b) O processo de varredura inclui novas varreduras até que: Não existam varreduras com pontuação maior do que 4.0 pelo CVSS (para varreduras externas), Um resultado aprovado seja obtido ou todas as vulnerabilidades definidas como "Alto", conforme definido no Requisito 6.2 do PCI DSS, estejam solucionadas (para varreduras internas)? (c) As varreduras são executadas por um recurso interno qualificado ou um terceiro externo qualificado e, caso aplicável, há uma independência organizacional do responsável pelo teste (não é necessário que seja um QSA ou ASV)? SAQ C do PCI DSS, v2.0, Questionário de auto-avaliação Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 16

23 Manter uma política de segurança de informações Requisito 12: Manter uma política que aborde a segurança das informações para todas as equipes Pergunta do PCI DSS Resposta: Sim Não Especia l * 12.1 Existe uma política de segurança estabelecida, publicada, mantida e disseminada para todas as equipes relevantes? Para as finalidades do Requisito 12, "equipe" refere-se a funcionários que trabalham em período integral e meio-período, funcionários e equipes temporárias, e prestadores de serviços e consultores que "residem" no endereço da entidade ou têm acesso ao ambiente de dados do titular do cartão A política de segurança das informações é analisada pelo menos uma vez por ano e atualizada conforme necessário para refletir as alterações nos objetivos de negócios ou no ambiente de risco? 12.3 (a) Existem políticas de utilização para tecnologias críticas (por exemplo: tecnologias de acesso remoto, tecnologias sem fio, mídia eletrônica removível, laptops, tablets, dados pessoais/assistentes digitais (PDAs), uso de e uso da Internet) desenvolvidas para definir o uso adequado dessas tecnologias para todas as equipes que requerem: Aprovação explícita pelas partes autorizadas para uso das tecnologias? Autenticação para o uso da tecnologia? Uma lista de todos esses dispositivos e equipes com acesso? Usos aceitáveis das tecnologias? Locais de rede aceitáveis para as tecnologias? Desconexão automática das sessões para tecnologias de acesso remoto após um período específico de inatividade? Ativação de tecnologias de acesso remoto para fornecedores e parceiros de negócio somente quando lhes for necessário, com desativação imediata após o uso? 12.4 A política e os procedimentos de segurança definem claramente as responsabilidades quanto à segurança das informações para todas as equipes? 12.5 As seguintes responsabilidades do gerenciamento da segurança da informação são atribuídas formalmente para as pessoas e para as equipes que: Estabelecem, documentam e distribuem procedimentos de resposta e escalação de incidentes de segurança para assegurar que todas as situações sejam abordadas de modo oportuno e eficiente? SAQ C do PCI DSS, v2.0, Questionário de auto-avaliação Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 17

24 Pergunta do PCI DSS Resposta: Sim Não Especia l * 12.6 (a) Existe algum programa formal de conscientização da segurança em vigor para conscientizar todas as equipes sobre a importância da segurança dos dados do titular do cartão? 12.8 Se os dados do titular do cartão forem compartilhados com prestadores de serviços, existem políticas e procedimentos mantidos e implementados para gerenciar prestadores de serviços, conforme os itens a seguir: É mantida uma lista de prestadores de serviços? É mantido um acordo por escrito que inclua um reconhecimento de que os prestadores de serviços são responsáveis pela segurança dos dados do titular do cartão que eles possuírem? Existe um processo definido para a contratação dos prestadores de serviços, incluindo uma diligência devida adequada antes da contratação? É mantido um programa para monitorar anualmente o status de conformidade com o PCI DSS dos prestadores de serviços? SAQ C do PCI DSS, v2.0, Questionário de auto-avaliação Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 18

25 Anexo A: (não utilizado) Esta página foi deixada em branco intencionalmente. SAQ C do PCI DSS, v2.0, Anexo A: (não utilizado) Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 19

26 Anexo B: Controles de compensação Os controles de compensação podem ser considerados na maioria dos requisitos do PCI DSS quando uma entidade não for capaz de atender a um requisito de forma explícita, conforme informado, devido a restrições de negócios documentadas ou técnicas legítimas, mas minimizar o risco associado ao requisito de modo suficiente por meio da implementação de outros controles, incluindo os de compensação. Os controles de compensação devem atender aos seguintes critérios: 1. Atender a intenção e o rigor do requisito original do PCI DSS. 2. Fornecer um nível semelhante de defesa ao requisito original do PCI DSS, como o controle de compensação que contrabalança o risco de modo suficiente para o qual o requisito original do PCI DSS tenha sido criado para fornecer uma defesa. (Consulte a seção Navegando no PCI DSS para obter informações sobre a intenção de cada requisito do PCI DSS.) 3. Estar "acima e além" dos outros requisitos do PCI DSS. (Simplesmente estar em conformidade com outros requisitos do PCI DSS não é um controle de compensação.) Ao utilizar o critério de avaliação "acima e além" para controles de compensação, considere o seguinte: Observação: Os itens nas alternativas a) a c) abaixo são apenas exemplos. Todos os controles de compensação devem ser analisados e validados quanto à suficiência pelo responsável pela avaliação que realiza a análise do PCI DSS. A efetividade de um controle de compensação depende das especificidades do ambiente no qual o controle está implementado, dos controles de segurança ao redor e da configuração do controle. As empresas devem estar cientes de que um determinado controle de compensação não será efetivo em todos os ambientes. a) Os requisitos existentes do PCI DSS NÃO PODERÃO ser considerados como controles de compensação se já tiverem sido exigidos para o item sob análise. Por exemplo: as senhas para o acesso administrativo realizado fora do console devem ser enviadas criptografadas para minimizar o risco de interceptação de senhas administrativas em texto simples. As entidades não podem usar outros requisitos de senha do PCI DSS (bloqueio de intruso, senhas complexas, etc.) para compensar a falta de senhas criptografadas, uma vez que os outros requisitos de senha não diminuem o risco de interceptação de senhas de texto simples. Além disso, os outros controles de senha já são requisitos do PCI DSS referentes ao item sob análise (senhas). b) Os requisitos existentes do PCI DSS PODERÃO ser considerados como controles de compensação se forem exigidos para outra área, mas não para o item sob análise. Por exemplo: uma autenticação com dois fatores é um requisito do PCI DSS para o acesso remoto. A autenticação com dois fatores a partir da rede interna também pode ser considerada um controle de compensação para o acesso administrativo fora do console quando não houver suporte para a transmissão de senhas criptografadas. A autenticação com dois fatores poderá ser um controle de compensação aceitável se (1) atender à intenção do requisito original ao abordar o risco de interceptação de senhas administrativas em texto simples e (2) for configurada de modo adequado e em um ambiente seguro. c) Os requisitos existentes do PCI DSS podem ser combinados com novos controles para se tornarem um controle de compensação. Por exemplo: se uma empresa não for capaz de tornar os dados do titular do cartão ilegíveis de acordo com o requisito 3.4 (por exemplo, por meio da criptografia), um controle de compensação poderia consistir de um dispositivo ou uma combinação de dispositivos, aplicativos e controles que abordam todos os itens a seguir: (1) segmentação da rede interna; (2) filtragem de endereço IP ou endereço MAC e (3) autenticação com dois fatores dentro da rede interna. 4. Ser proporcional ao risco adicional imposto pelo não cumprimento do requisito do PCI DSS. SAQ C do PCI DSS, v2.0, Anexo B: Controles de compensação Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 20

27 O responsável pela avaliação deve analisar os controles de compensação por completo durante cada avaliação anual do PCI DSS para validar se cada controle de compensação aborda adequadamente o risco para o qual o requisito do PCI DSS original foi elaborado, de acordo com os itens 1 a 4 acima. Para manter a conformidade, os processos e controles devem estar implementados para assegurar que os controles de compensação permaneçam efetivos após a conclusão da avaliação. SAQ C do PCI DSS, v2.0, Anexo B: Controles de compensação Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 21

28 Anexo C: Planilha dos controles de compensação Use esta planilha para definir os controles de compensação com relação a qualquer requisito no qual a opção "SIM" tenha sido assinalada e os controles de compensação tenham sido mencionados na coluna "Especial". Observação: Somente as empresas que realizaram uma análise dos riscos e têm restrições de negócios documentadas ou tecnológicas legítimas podem considerar o uso dos controles de compensação para atingir a conformidade. Número e definição do requisito: Informações necessárias 1. Restrições Listar as restrições que impossibilitam a conformidade com o requisito original. 2. Objetivo Definir o objetivo do controle original; identificar o objetivo atendido pelo controle de compensação. 3. Risco identificado Identificar qualquer risco adicional imposto pela ausência do controle original. 4. Definição dos controles de compensação 5. Validação dos controles de compensação Definir os controles de compensação e explicar como eles abordam os objetivos do controle original e o aumento dos riscos, caso haja algum. Definir como os controles de compensação foram validados e testados. 6. Manutenção Definir o processo e os controles implementados para manter os controles de compensação. Explicação SAQ C do PCI DSS, v2.0, Anexo C: Planilha dos controles de compensação Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 22

29 Planilha dos controles de compensação Exemplo completo Use esta planilha para definir os controles de compensação com relação a qualquer requisito no qual a opção "SIM" tenha sido assinalada e os controles de compensação tenham sido mencionados na coluna "Especial". Número do requisito: 8.1 Todos os usuários são identificados com um nome de usuário exclusivo antes de permitir que eles acessem os componentes do sistema ou os dados do titular do cartão? Informações necessárias 1. Restrições Listar as restrições que impossibilitam a conformidade com o requisito original. 2. Objetivo Definir o objetivo do controle original; identificar o objetivo atendido pelo controle de compensação. 3. Risco identificado Identificar qualquer risco adicional imposto pela ausência do controle original. 4. Definição dos controles de compensação 5. Validação dos controles de compensação Definir os controles de compensação e explicar como eles abordam os objetivos do controle original e o aumento dos riscos, caso haja algum. Definir como os controles de compensação foram validados e testados. 6. Manutenção Definir o processo e os controles implementados para manter os controles de compensação. Explicação A empresa XYZ utiliza Servidores Unix independentes sem LDAP. Sendo assim, cada um deles requer um login "raiz". A empresa XYZ não pode gerenciar o login "raiz" nem é possível registrar todas as atividades "raiz" por usuário. O objetivo de exigir logins exclusivos é duplo. Primeiro, não é considerado aceitável, da perspectiva de segurança, compartilhar credenciais de login. Segundo, ter logins compartilhados impossibilita afirmar em definitivo quem é responsável por uma determinada ação. O risco adicional ocorre no sistema de controle de acesso ao não assegurar que todos os usuários tenham um ID exclusivo e possam ser monitorados. A empresa XYZ solicitará que todos os usuários efetuem login nos servidores a partir dos seus desktops usando o comando SU. Esse comando permite que um usuário acesse a conta "raiz" e desempenhe ações na conta "raiz", mas possa efetuar login no diretório de log do SU. Nesse caso, as ações de cada usuário podem ser monitoradas por meio da conta do SU. A empresa XYZ demonstra ao responsável pela avaliação o comando SU que está sendo executado e que as pessoas que estão usando o comando efetuaram login para identificar que o indivíduo está desempenhando ações com privilégios raiz. A empresa XYZ documenta os processos e procedimentos para assegurar que as configurações do SU não sejam modificadas, alteradas ou removidas para permitir que os usuários individuais executem comandos raiz sem serem monitorados ou efetuarem login individualmente. SAQ C do PCI DSS, v2.0, Anexo C: Planilha dos controles de compensação Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 23

30 Anexo D: Explicação de não aplicabilidade Se "N/A" ou "Não aplicável" tiver sido inserido na coluna "Especial", use esta planilha para explicar por que o requisito relacionado não se aplica à sua organização. Requisito Exemplo: 12.8 Motivo pelo qual o requisito não se aplica Os dados do titular do cartão nunca são compartilhados com prestadores de serviços. SAQ C do PCI DSS, v2.0, Anexo D: Explicação de não aplicabilidade Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 24