Indústria de pagamento de cartão (PCI) Padrão de dados do aplicativo de pagamento. Resumo de Alterações da Versão para a 2.

Transcrição

1 Indústria de pagamento de cartão (PCI) Padrão de dados do aplicativo de pagamento Resumo de Alterações da Versão para a 2.0 do PA-DSS Outubro de 2010

2 Geral Geral Atestado de validação O Atestado de validação foi removido do Apêndice e um documento separado foi criado. Referências de documentos atualizados em conformidade. Geral Geral Propósito deste documento Referência acrescentada aos recursos adicionais disponíveis no site do PCI SSC. Geral Geral Relação entre PCI DSS e PA-DSS Sentença acrescentada para esclarecer que o uso de um aplicativo em conformidade com o PA-DSS sozinho não atribui conformidade com o PCI DSS a uma entidade. dos dados da tira magnética e/ou dados equivalentes no chip." Geral Geral Escopo do PA-DSS. de que o PA-DSS não é utilizado para aplicativos de pagamento desenvolvidos e vendidos para um único cliente para seu uso exclusivo. Geral Geral Aplicabilidade do PA-DSS aos aplicativos de pagamento em terminais de hardware Seção atualizada, expandida, esclarecida e renomeada para abordar os aplicativos de pagamento em terminais de hardware, onde pode ser possível atender aos requisitos do PA-DSS fora do aplicativo de pagamento. Geral Geral Requisitos do Avaliador de segurança qualificado do aplicativo de pagamento (PA-QSA) "O PA-QSA deve possuir acesso a um laboratório onde o processo de validação ocorrerá" movido da seção "Laboratório de Teste" para a "Requisitos do PA-QSA". Geral Geral Laboratório de teste Locais e requisitos para o PA-QSA do laboratório de teste esclarecidos para validar as instalações limpas do ambiente do laboratório. Orientação adicional Orientação adicional Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 2 de 11

3 Geral Geral Informações de aplicabilidade do PCI DSS Atualizadas para alinharem-se ao PCI DSS Adicionado o termo "dados da conta" e fornecidos mais detalhes sobre "dados do titular do cartão" e "dados confidenciais de autenticação" Esclarecido que os dados da conta primária (PAN) é o fator determinante para a aplicabilidade do PCI DSS. Parágrafo adicionado (substituiu a nota de rodapé anterior) e tabela atualizada para esclarecer quais elementos de dados devem ser convertidos como ilegíveis de acordo com o Requisito 3.4 do PCI DSS. Geral Geral Instruções e conteúdo do relatório de validação Critérios adicionados para relatar caso algum requisito não se aplique a determinado aplicativo de pagamento, para a parte 3. Geral Geral Etapas de conclusão PA-DSS Referência atualizada de Atestado de Validade. Todos os Requisitos Todos os Requisitos Coluna de Requisitos através do Padrão Todas as observações que anteriormente diziam "Requisito X.X do PCI Data Security Standard" foram reescritas como "Alinha-se ao Requisito X.X do PCI DSS" para esclarecer o alinhamento entre PCI DSS e PA-DSS. Todos os Requisitos Todos os Requisitos ao longo do padrão Onde antes se afirmava para verificar um requisito do PA-DSS "de acordo com o Requisito X.X do PCI DSS", o requisito e os procedimentos de teste adequados foram importados do PCI DSS e reescritos como aplicáveis a aplicativos de pagamento. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 3 de 11

4 : Observação adicionada para esclarecer que é permitido aos emissores e empresas que apoiam o processo de emissão armazenar dados confidenciais quando houver uma justificativa comercial dos dados armazenados em segurança. Adicionado o teste 1.1.a para emissores e empresas que apoiam os serviços de emissão para verificar se o aplicativo de pagamento destina-se somente a emissores e/ou empresas que apoiam serviços de emissão. O procedimento de testes antes numerado 1.1 mudou para 1.1.b e recebeu o prefácio "Para todos os outros aplicativos de pagamento" "em um chip" mudou para "dados equivalentes em um chip." As referências específicas ao Glossário foram removidas, uma vez que outras palavras do glossário são localizadas em todo o padrão sem referência ao Glossário Procedimentos de teste Esclarecido que os testes devem incluir a revisão de "no mínimo os seguintes tipos de arquivos de dados." Procedimentos de teste Esclarecido que a identificação de todos os locais dos dados do titular do cartão devem incluir instruções para configurar o software subjacente para evitar captura ou retenção inadvertidas de dados do titular do cartão. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 4 de 11

5 , 2.3.a 2.3.e , 2.4.a 2.4.c , 2.5.a 2.5.c , : Esclarecido que o requisito se aplica somente ao PAN. Removida a observação sobre o mínimo de informações da conta uma vez que isso tenha sido esclarecido no requisito e na Tabela de Aplicabilidade do PCI DSS. Esclarecidos os requisitos para o uso de hash ou de truncamento para converter o PAN em ilegível. Adicionada uma observação para identificar o risco de PANs com hash ou truncamento no mesmo ambiente e que os controles de segurança são exigidos para assegurar que o PAN original não pode ser recuperado. Importados os procedimentos de teste do PCI DSS para criar novos Procedimentos de 2.3.a até 2.3.e. Procedimentos de teste Removida a referência ao PCI DSS e importados (e reescritos) os procedimentos de teste do PCI DSS para criar novos Procedimentos de 2.4.a até 2.4.c, aplicáveis aos aplicativos de pagamento. : Esclarecido que qualquer chave usada para tornar os dados do titular do cartão seguros deve ser protegida contra divulgação e mal uso. Adicionada uma observação para esclarecer como esse requisito se aplica a chaves de criptografia de chaves, se usadas. Removida a referência ao PCI DSS e importados (e reescritos) os procedimentos de teste do PCI DSS para criar novos Procedimentos de 2.5.a até 2.5.c, aplicáveis aos aplicativos de pagamento. Removida a referência ao PCI DSS e importados (e reescritos) os procedimentos de teste do PCI DSS para criar novos Subrequisitos e Procedimentos de até 2.6.7, aplicáveis aos aplicativos de pagamento. Adicionada a documentação do Guia de implementação do PA-DSS para o procedimento de teste 2.6.a e renumerado o procedimento 2.6.a para 2.6.b. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 5 de 11

6 : Esclarecido que a terminologia anterior para a exclusão segura refere-se a uma ferramenta ou processo que converta em irrecuperáveis as chaves criptográficas ou o material armazenado por versões anteriores do aplicativo de pagamento. Adicionado "exclusão de uma chave de criptografia de chaves" como exemplo de conversão de materiais de chave criptográfica ou criptogramas para irrecuperáveis , Removida a referência ao PCI DSS e importados (e reescritos) os procedimentos de teste do PCI DSS para criar novos Subrequisitos e Procedimentos de até , aplicáveis aos aplicativos de pagamento. Esclarecido que a autenticação segura deve ser reforçada para todas as contas, geradas ou gerenciadas pelo aplicativo, pela conclusão da instalação e pelas alterações subsequentes após a instalação. 3.1.a 3.1.c 3.1.a 3.1.d Procedimentos de teste Movido o procedimento de teste 3.1.c para 3.1.a para abordar a documentação do Guia de implementação do PA-DSS e esclarecido o conteúdo para se alinhar aos subrequisitos importados. Movido o procedimento de teste 3.1.a para 3.1.d para se alinhar aos subrequisitos importados e adicionado um esclarecimento sobre o teste que garante que a autenticação seja aplicada na conclusão da instalação e após alterações subsequentes. Adicionado o novo procedimento de teste em 3.1.c, para testar se o aplicativo de pagamento reforça alterações em contas padrão Requisito Esclarecido que esse requisito encaminha a orientação do fornecedor aos clientes , 4.1.a 4.1.b Procedimentos de teste Movido o procedimento de teste 4.2.b para 4.1.b para se alinhar aos requisitos reestruturados. Pequena reescrita para esclarecimento. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 6 de 11

7 , , Adicionado um esclarecimento sobre informações específicas que deveriam ser incluídas nos arquivos de registro. Removida a referência ao PCI DSS e importados (e reescritos) os procedimentos de teste do PCI DSS para criar novos Subrequisitos e Procedimentos de até 4.2.7, aplicáveis aos aplicativos de pagamento. Adicionado um esclarecimento sobre informações específicas que deveriam ser incluídas nos arquivos de registro. Removida a referência ao PCI DSS (antes no 4.2) e importados (e reescritos) os procedimentos de teste do PCI DSS para criar novos Requisito, Sub-requisitos e Procedimentos de teste de até 4.3.6, aplicáveis aos aplicativos de pagamento. N/D 4.4 s Adicionado novo requisito para exigir que aplicativos de pagamento facilitem o registro centralizado, alinhado com o requisito do PCI DSS Atualizado para alinhar-se com o Requisito 6.3 do PCI DSS N/D Removido o como teste de vulnerabilidade abordado agora do ao N/D Removido para esclarecimento como ambiente de produção não aplicável aos desenvolvedores do aplicativo para os propósitos do PA-DSS Renumerado devido à remoção dos antigos requisitos de ao Procedimento de teste Removido o texto "nem são sanitizados antes do uso" para esclarecer a intenção Esclarecido que os dados e contas do teste devem ser removidos antes da"entrega ao cliente". Requisito envolvido Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 7 de 11

8 Consolidados os procedimentos de teste (antes a e b) em um único procedimento a, para combinar aplicativos "internos" e "da Web" em um único procedimento, e deletado o agora redundante procedimento de teste b. Removida a referência específica aos aplicativos da Web e ao Guia OWASP para consolidar os requisitos de codificação segura para todos os aplicativos no escopo, inclusive aplicativos fora da Web : de que os requisitos de codificação segura e de prevenção de vulnerabilidades se aplicam a todos os tipos de aplicativos personalizados no escopo, não apenas aos aplicativos da Web. Removida a dependência do OWASP e incluídos outros exemplos do setor: SANS CWE e CERT Vulnerabilidades a atualizadas e combinadas com os requisitos para refletirem a orientação atual sobre CWE, CERT e OWASP. Requisitos a identificados como vulnerabilidades específicas para os aplicativos da Web. N/D Adicionado um novo requisito para abordar vulnerabilidades de alto-risco identificadas em Alterado o requisito e o procedimento de teste para esclarecer que é necessária uma aprovação pelas partes autorizadas, não apenas o "gerenciamento". Requisito envolvido , a b Esclarecida a intenção do requisito e do procedimento de teste a do teste de funcionalidade para verificar se alterações não têm impacto adverso na segurança do sistema. O requisito uniu-se ao novo procedimento de teste b para abordar o teste de alterações com referência ao 5.2. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 8 de 11

9 Esclarecido que somente serviços, protocolos, daemons, etc. seguros e necessários devem ser ativados, e recursos de segurança devem ser implementados para quaisquer desses serviços, etc. inseguros. Separado o procedimento de teste 5.4 em procedimentos individuais 5.4.a a 5.4.b e adicionado esclarecimento ao procedimento de teste 5.4.b para assegurar que qualquer serviço necessário seja configurado seguramente fora da caixa. Adicionado o procedimento de teste 5.4.c para verificar se o Guia de implementação do PA- DSS documenta todos os protocolos, serviços, componentes, softwares e hardwares dependentes , 6.1.a 6.1.f Procedimentos de teste Removida a referência ao PCI DSS e importados os procedimentos de teste do PCI DSS para criar novos Procedimentos de teste de 6.1.a até 6.1.f, aplicáveis aos aplicativos de pagamento. Atualizado o procedimento de teste 6.1.f para esclarecer as instruções a serem incluídas no Guia de implementação do PA-DSS Atualizada observação acerca do uso de WEP de 30 de junho de Removida a referência ao PCI DSS no procedimento de teste 6.2.b e esclarecidos os itens para inclusão no Guia de implementação do PA-DSS , 7.1.a 7.1.d Atualizado o requisito para assegurar que vulnerabilidades identificadas estejam ranqueadas de acordo com o risco. Adicionado o procedimento de teste 7.1.a para alinhar com o requisito. Separado o procedimento de teste 7.1 em procedimentos individuais 7.1.a até 7.1.d. Requisito envolvido 7.2.a 7.2.b 7.2.a 7.2.e Procedimentos de teste Separado o procedimento de teste 7.2.a em procedimentos individuais 7.2.a até 7.2.d. Renumerado o procedimento de teste 7.2.b para 7.2.e. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 9 de 11

10 10, Unidos os Requisitos 10 e 11 para eliminar redundâncias. O Requisito 10.1 original agora é o Requisito , Renumerado o 11.1 para Esclarecido que o aplicativo de pagamento não deve interferir no uso de tecnologias de autenticação de dois fatores para acesso remoto seguro. Atualizado o exemplo para "Radius com tokens". Renumerado o 11.2 para Sem alterações no conteúdo. Adicionado o Requisito 10.3 "pai" para acesso remoto ao aplicativo de pagamento. Os Requisitos 10.1 e 11.3 renumerados para e , respectivamente. Sem alterações no conteúdo. Movidos os exemplos de procedimentos de teste para a coluna de requisitos. 12, 13, 14 11, 12, 13 Os Requisitos 12, 13 e 14 foram renumerados para os Requisitos 11, 12 e 13 respectivamente, devido à união dos Requisitos 10 e Incluído o SSH como exemplo de protocolo de segurança, removidos exemplos de procedimentos de teste. da terminologia "criptografia robusta e protocolos de segurança", para obter consistência Requisitos Esclarecido que este requisito se aplica caso o aplicativo de pagamento facilita o envio de PANs por tecnologias de mensagens do usuário final e que a solução deve converter o PAN em ilegível ou implementar uma criptografia robusta da terminologia "criptografia robusta e protocolos de segurança", para obter consistência. Anexo A Anexo A Todos os Requisitos Atualizado o conteúdo do Guia de implementação do PA-DSS para refletir as alterações feitas aos Requisitos do PA-DSS. Atualizadas as referências ao PCI DSS para refletir os requisitos do PA-DSS. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 10 de 11

11 Apêndice B Apêndice B Item 5.b Adicionado novamente procedimentos de laboratório que foram erroneamente omitidas na versão anterior. Apêndice B Apêndice B Item 6.b Atualizada a referência para que as vulnerabilidades removam a confiança somente no OWASP, pelas alterações feitas aos Requisitos 5.1 e 5.2 do PA- DSS. Apêndice B Apêndice B Item 7.c Adicionado esclarecimento de que o PA-QSA deve validar a instalação do ambiente de laboratório remoto para assegurar que o ambiente simule realmente uma situação de mundo real. Anexo C Atestado de validação Removido do Apêndice Reorganizado o formato para oferecer informações do fornecedor do aplicativo antes das informações do PA-QSA. i Explicações do "Tipo": Tipo novo Tipo antigo Definição Esclarece o propósito do requisito. Garante que um texto conciso nos padrões retratem a intenção desejada dos requisitos. Orientação adicional Explicativo Explicações e/ou definições para melhorar a compreensão ou fornecer mais informações sobre um tópico específico. Requisito envolvido Aperfeiçoamentos Alterações para assegurar que os padrões estejam atualizados em relação às ameaças emergentes e às alterações no mercado. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 11 de 11