Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade

Transcrição

1 Setor de cartões de pagamento (PCI) Padrão de segurança de dados Questionário de auto-avaliação D e Atestado de conformidade Todos os outros SAQs - Comerciantes e prestadores de serviços qualificados Versão 2.0 Outubro de 2010

2 Alterações no documento Data Versão Descrição 1º de outubro de de outubro de Para alinhar o conteúdo com o novo PCI DSS v1.2 e para implementar alterações menores observadas desde o original v1.1. Para alinhar o conteúdo com os novos requisitos e procedimentos de teste do PCI DSS v2.0. SAQ D do PCI DSS, v2.0, Alterações no documento Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página i

3 Índice Alterações no documento... i Padrão de segurança de dados do PCI: Documentos relacionados... iv Antes de você começar... v Preenchendo o questionário de auto-avaliação...v Conformidade do PCI DSS Etapas para preenchimento...v Orientação para não aplicabilidade de determinados requisitos específicos...vii Atestado de conformidade, SAQ D Versão do comerciante... 1 Atestado de conformidade, SAQ D Versão do prestador de serviços... 1 Questionário de auto-avaliação D... 1 Construir e manter uma rede segura...1 Requisito 1: Instalar e manter uma configuração de firewall para proteger os dados...1 Requisito 2: Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança...4 Proteger os dados do titular do cartão...7 Requisito 3: Proteger os dados armazenados do titular do cartão...7 Requisito 4: Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas...12 Manter um programa de gerenciamento de vulnerabilidades...13 Requisito 5: Usar e atualizar regularmente o software ou programas antivírus...13 Requisito 6: Desenvolver e manter sistemas e aplicativos seguros...13 Implementar medidas de controle de acesso rigorosas...18 Requisito 7: Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio...18 Requisito 8: Atribuir uma identidade exclusiva para cada pessoa que tenha acesso ao computador...19 Requisito 9: Restringir o acesso físico aos dados do titular do cartão...22 Monitorar e testar as redes regularmente...25 Requisito 10: Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão...25 Requisito 11: Testar regularmente os sistemas e processos de segurança...27 Manter uma política de segurança de informações...31 Requisito 12: Manter uma política que aborde a segurança das informações para todas as equipes...31 Anexo A: Requisitos adicionais do PCI DSS para provedores de hospedagem compartilhada Requisito A.1: Os provedores de hospedagem compartilhada devem proteger o ambiente de dados do titular do cartão...35 Apêndice B: Controles de compensação Anexo C: Planilha dos controles de compensação Planilha dos controles de compensação Exemplo completo...40 SAQ D do PCI DSS, v2.0, Índice Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página ii

4 Apêndice D: Explicação de não aplicabilidade SAQ D do PCI DSS, v2.0, Índice Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página iii

5 Padrão de segurança de dados do PCI: Documentos relacionados Os documentos a seguir foram criados para auxiliar comerciantes e prestadores de serviços a entenderem o Padrão de segurança de dados do PCI (PCI DSS) e o SAQ do PCI DSS. Documento Padrão de segurança de dados do PCI: Requisitos e procedimentos da avaliação de segurança Navegando pelo PCI DSS: Entendendo o porquê dos requisitos Padrão de segurança de dados do PCI: Diretrizes e instruções de auto-avaliação Padrão de segurança de dados do PCI: Questionário A de auto-avaliação e atestado Padrão de segurança de dados do PCI: Questionário B de auto-avaliação e atestado Padrão de segurança de dados do PCI: Questionário C-VT de auto-avaliação e atestado Padrão de segurança de dados do PCI: Questionário C de auto-avaliação e atestado Padrão de segurança de dados do PCI: Questionário D de auto-avaliação e atestado Padrão de segurança de dados do PCI e Padrão de segurança de dados de aplicativos de pagamento: Glossário de termos, abreviações e acrônimos Público Todos os comerciantes e prestadores de serviços Todos os comerciantes e prestadores de serviços Todos os comerciantes e prestadores de serviços Comerciantes qualificados 1 Comerciantes qualificados 1 Comerciantes qualificados 1 Comerciantes qualificados 1 Comerciantes e prestadores de serviços qualificados 1 Todos os comerciantes e prestadores de serviços 1 Para determinar o Questionário de auto-avaliação adequado, consulte o Padrão de segurança de dados do PCI: Diretrizes e instruções de auto-avaliação, "Selecionando o SAQ e o Atestado que melhor se aplicam à sua organização". SAQ D do PCI DSS, v2.0, Padrão de segurança de dados do PCI: Documentos relacionados Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página iv

6 Antes de você começar Preenchendo o questionário de auto-avaliação O SAQ D foi desenvolvido para todos os prestadores de serviços qualificados pelo SAQ e para todos os comerciantes que não se encaixem nas descrições dos SAQs A a C, conforme descrito brevemente na tabela abaixo e integralmente nas Diretrizes e instruções do Questionário de auto-avaliação do PCI DSS. SAQ A B C-VT C D Descrição Comerciantes do tipo cartão não presente (comércio eletrônico ou pedidos por correio/telefone), todas as funções dos dados do titular do cartão são terceirizadas. Isso nunca se aplica a comerciantes presenciais. Comerciantes com máquinas de carbono, sem armazenamento eletrônico dos dados do titular do cartão, ou comerciantes com terminais de discagem independentes, sem armazenamento eletrônico dos dados do titular do cartão Comerciantes que usam somente terminais virtuais baseados na Web, sem armazenamento eletrônico dos dados do titular do cartão Comerciantes com sistemas de aplicativos de pagamento conectados à Internet, sem armazenamento eletrônico dos dados do titular do cartão Todos os outros comerciantes (não incluídos nas descrições dos SAQs A a C acima) e todos os prestadores de serviços definidos por uma bandeira como qualificados para preencherem um SAQ. O SAQ D se aplica a todos os comerciantes qualificados para preencher o SAQ não incluídos nas descrições dos SAQs A a C acima e todos os prestadores de serviços definidos por uma bandeira como sendo qualificados para preencher o SAQ. Os prestadores de serviços e comerciantes do SAQ D validam a conformidade ao preencherem o SAQ D e o Atestado de conformidade associado. Apesar de várias organizações que preenchem o SAQ D precisarem validar a conformidade com todos os requisitos do PCI DSS, algumas organizações com modelos de negócio bastante específicos podem descobrir que alguns requisitos não se aplicam. Por exemplo: não se espera que uma empresa que não usa tecnologia sem fio de forma alguma valide a conformidade com as seções do PCI DSS que são específicas da tecnologia sem fio. Consulte a orientação abaixo para obter informações sobre a exclusão da tecnologia sem fio e de outros requisitos específicos. Cada seção deste questionário se concentra em uma área específica de segurança, com base nas exigências do PCI DSS. Conformidade do PCI DSS Etapas para preenchimento 1. Avalie seu ambiente quanto à conformidade com o PCI DSS. 2. Preencha o Questionário de auto-avaliação (SAQ D) segundo as instruções do arquivo Diretrizes e instruções do Questionário de auto-avaliação do PCI DSS. 3. Faça uma varredura de vulnerabilidade aprovada com um Fornecedor de varredura aprovado (ASV) do PCI SSC e obtenha a comprovação de uma varredura aprovada com o ASV. 4. Preencha integralmente o Atestado de conformidade. 5. Envie o SAQ, a comprovação de uma varredura aprovada e o Atestado de conformidade, junto com qualquer outra documentação solicitada, ao adquirente (para comerciantes) ou à bandeira de pagamento ou outro solicitante (para prestadores de serviços). SAQ D do PCI DSS, v2.0, Antes de você começar Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página v

7 SAQ D do PCI DSS, v2.0, Antes de você começar Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página vi

8 Orientação para não aplicabilidade de determinados requisitos específicos Exclusão: Se você precisar responder o SAQ D para validar sua conformidade com o PCI DSS, as seguintes exceções podem ser consideradas. Consulte a seção "Não aplicabilidade" abaixo para obter uma resposta adequada do SAQ. As perguntas específicas relacionadas a dispositivos sem fio só precisarão ser respondidas se houver dispositivos sem fio em algum lugar da sua rede (por exemplo: os Requisitos 1.2.3, e 4.1.1). Observe que o Requisito 11.1 (uso de um processo para identificar pontos de acesso sem fio não autorizados) deverá ser respondido, mesmo que o dispositivo sem fio não esteja na sua rede, pois o processo detecta intrusos ou dispositivos não autorizados que possam ter sido adicionados sem seu conhecimento. As questões específicas para aplicativos e códigos personalizados (Requisitos 6.3 e 6.5) só precisarão ser respondidas se sua organização desenvolver seus próprios aplicativos personalizados. As perguntas dos Requisitos 9.1 a 9.4 só precisarão ser respondidas para instalações com "áreas confidenciais", conforme definido aqui. "Áreas confidenciais" referem-se a qualquer central de dados, sala de servidores ou qualquer área que contenha sistemas que armazenem, processem ou transmitam dados do titular do cartão. Isso exclui as áreas que possuem somente terminais de pontos de vendas, como as áreas dos caixas em uma loja de varejo, mas inclui salas de servidores de back-office de lojas de varejo que armazenam dados do titular do cartão e áreas de armazenamento para grandes quantidades de dados do titular do cartão. Não aplicabilidade: Este e outros requisitos considerados não aplicáveis ao seu ambiente deverão ser indicados com "N/A" na coluna "Especial" do SAQ. Da mesma forma, preencha a planilha "Explicação de não aplicabilidade" no Anexo D para cada entrada "N/A". SAQ D do PCI DSS, v2.0, Antes de você começar Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página vii

9 Atestado de conformidade, SAQ D Versão do comerciante Instruções para envio O comerciante deve preencher este Atestado de Conformidade como uma declaração do status de conformidade dele com os Requisitos do padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) e procedimentos da avaliação de segurança. Preencha todas as seções aplicáveis e consulte as instruções de envio em Conformidade do PCI DSS Etapas para preenchimento, neste documento. Parte 1. Informações sobre o comerciante e o avaliador de segurança qualificado Parte 1a. Informações sobre a organização do comerciante Nome da empresa: DBA(s): Contato: Forma de tratamento: Telefone: Endereço comercial: Cidade: Estado/Província: País: CEP: URL: Parte 1b. Informações sobre a empresa do assessor de segurança qualificado (se aplicável) Nome da empresa: Nome do contato principal do QSA: Forma de tratamento: SAQ D do PCI DSS, v2.0, Atestado de conformidade, Versão do comerciante Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 1

10 Telefone: Endereço comercial: Cidade: Estado/Província: País: CEP: URL: Parte 2. Tipo de negócio do comerciante (assinale todas as alternativas que se aplicam): Varejo Telecomunicações Gêneros alimentícios e supermercados Petróleo Comércio eletrônico Pedido por correio/telefone Outros (especificar): Listar as instalações e locais incluídos na análise do PCI DSS: Parte 2a. Relações Sua empresa se relaciona com um ou mais agentes de terceiros (por exemplo: gateways, empresas de hospedagem na Web, agentes de passagens aéreas, agentes de programas de fidelidade, etc.)? Sua empresa se relaciona com mais de um adquirente? Sim Não Sim Não Parte 2b. Processamento das transações Como e em qual capacidade seu negócio armazena, processa e/ou transmite dados do titular do cartão? Forneça as seguintes informações relacionadas aos aplicativos de pagamentos usados pela sua organização: Aplicativo de pagamento em uso Número da versão Última validação de acordo com o PABP/PA-DSS SAQ D do PCI DSS, v2.0, Atestado de conformidade, Versão do comerciante Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 2

11 Parte 3. Validação do PCI DSS Com base nos resultados anotados no SAQ D datado de (data do preenchimento), a (Nome da empresa do comerciante) declara o seguinte status de conformidade (marque um): Em conformidade: Todas as seções do SAQ do PCI estão preenchidas, todas as perguntas foram respondidas afirmativamente, resultando em uma classificação geral de CONFORMIDADE, e uma varredura de verificação aprovada foi preenchida por um Fornecedor de varredura aprovado do PCI SSC, de forma que a (Nome da empresa do comerciante) demonstrou conformidade integral com o PCI DSS. Não conformidade: Nem todas as seções do SAQ do PCI estão preenchidas ou algumas perguntas foram respondidas negativamente, resultando em uma classificação geral de NÃO CONFORMIDADE, ou uma varredura de verificação aprovada não foi preenchida por um Fornecedor de varredura aprovado do PCI SSC, de forma que a (Nome da empresa do comerciante) não demonstrou conformidade integral com o PCI DSS. Data prevista para conformidade: A entidade que estiver enviando este formulário com um status de Não conformidade talvez tenha de preencher o Plano de ação na Parte 4 deste documento. Verifique junto ao seu adquirente ou às bandeiras de pagamento antes de preencher a Parte 4, já que nem todas as bandeiras de pagamento exigem essa seção. Parte 3a. Confirmação do status de conformidade O comerciante confirma que: O Questionário de Auto-avaliação D do PCI DSS, versão (versão do SAQ), foi preenchido segundo as instruções nele contidas. Todas as informações contidas no SAQ mencionado anteriormente e neste atestado representam adequadamente os resultados de minha avaliação em todos os aspectos materiais. Eu confirmei com meu fornecedor do aplicativo de pagamento que o aplicativo não armazena dados de autenticação confidenciais após a autorização. Eu li o PCI DSS e reconheço que sempre devo manter a conformidade total com o PCI DSS. Não há evidência de armazenamento de dados de tarja magnética (ou seja, rastros) 2, dados CAV2, CVC2, CID ou CVV2 3, ou dados de PIN 4 após a autorização da transação em NENHUM sistema revisto durante esta avaliação. 2 3 Dados codificados na tarja magnética ou dados equivalentes em um chip usados para autorização durante a transação com o cartão. As entidades não podem manter todos os dados da tarja magnética após a autorização da transação. Os únicos elementos dos dados de rastro que podem ser retidos são o número da conta, a data de vencimento e o nome. O valor de três ou quatro dígitos impresso à direita do painel de assinatura ou na frente do cartão de pagamento usado para verificar transações com cartão não presente. SAQ D do PCI DSS, v2.0, Atestado de conformidade, Versão do comerciante Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 3

12 Parte 3b. Reconhecimento do comerciante Assinatura do responsável executivo pelo comerciante Data Nome do responsável executivo pelo comerciante Forma de tratamento Empresa comerciante representada Parte 4. Plano de ação para status de não conformidade Selecione o "Status de conformidade" adequado para cada requisito. Se você responder "NÃO" a qualquer um dos requisitos, será necessário informar a data na qual a empresa estará em conformidade com o requisito e uma descrição resumida das ações que estão sendo realizadas para atender ao requisito. Verifique junto ao seu adquirente ou às bandeiras de pagamento antes de preencher a Parte 4, já que nem todas as bandeiras de pagamento exigem essa seção. Status de conformidade (selecione um) Requisito do PCI DSS Descrição do requisito SIM NÃO 1 Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão Data e ações de correção (se o Status de conformidade for "Não") Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança Proteger os dados armazenados do titular do cartão Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas Usar e atualizar regularmente o software ou programas antivírus 6 Desenvolver e manter sistemas e aplicativos seguros 7 Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio 4 Número de identificação pessoal inserido pelo titular do cartão durante uma transação com o cartão e/ou bloqueio de PIN criptografado dentro da mensagem da transação. SAQ D do PCI DSS, v2.0, Atestado de conformidade, Versão do comerciante Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 4

13 Status de conformidade (selecione um) 8 Atribuir uma identidade exclusiva para cada pessoa que tenha acesso ao computador 9 Restringir o acesso físico aos dados do titular do cartão 10 Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão 11 Testar regularmente os sistemas e processos de segurança 12 Manter uma política que aborde a segurança das informações para todas as equipes SAQ D do PCI DSS, v2.0, Atestado de conformidade, Versão do comerciante Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 5

14 Atestado de conformidade, SAQ D Versão do prestador de serviços Instruções para envio O prestador de serviços deve preencher este Atestado de conformidade como uma declaração do status de conformidade dele com os Requisitos do Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) e procedimentos da avaliação de segurança. Preencha todas as seções aplicáveis e consulte as instruções de envio em "Conformidade do PCI DSS Etapas para preenchimento", neste documento. Parte 1. Informações do prestador de serviços e do assessor de segurança qualificado Parte 1a. Informações sobre a organização do prestador de serviços Nome da empresa: DBA(s): Contato: Forma de tratamento: Telefone: Endereço comercial: Cidade: Estado/Província: País: CEP: URL: Parte 1b. Informações sobre a empresa do assessor de segurança qualificado (se aplicável) Nome da empresa: SAQ D do PCI DSS, v2.0, Atestado de conformidade, Versão do comerciante Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 1

15 Nome do contato principal do QSA: Forma de tratamento: Telefone: Endereço comercial: Cidade: Estado/Província: País: CEP: URL: Parte 2. Informações sobre a avaliação do PCI DSS Parte 2a. Prestador de serviços que FOI INCLUÍDO no escopo da avaliação do PCI DSS (marque todas as opções que se aplicam) Provedor de hospedagem segura 3-D Gerenciamento de contas Autorização Serviços de back-office Gerenciamento do faturamento Provedor de hospedagem Hardware Provedor de hospedagem Web Processamento de emissões Programas de fidelidade Serviços gerenciados Processamento pagamentos ATM Processamento pagamentos MOTO Processamento pagamentos Internet Processamento pagamentos POS de de de de Serviços com pagamento adiantado Compensação e liquidação Serviços do comerciante Gerenciamento de registros Preparação de dados Fraude e serviços de cobrança Outros (especificar): Fornecedor/transmissor redes Gateway/switch de pagamento de Taxas/pagamentos para o governo Listar as instalações e locais incluídos na análise do PCI DSS: SAQ D do PCI DSS, v2.0, Atestado de conformidade, Versão do comerciante Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 2

16 Parte 2b. Se algum serviço listado for fornecido pelo prestador de serviços, mas NÃO ESTIVER INCLUÍDO no escopo da avaliação do PCI DSS, marque-o abaixo: Provedor de hospedagem segura 3-D Gerenciamento de contas Autorização Serviços de back-office Gerenciamento do faturamento Provedor de hospedagem Hardware Provedor de hospedagem Web Processamento de emissões Programas de fidelidade Serviços gerenciados Processamento pagamentos ATM Processamento pagamentos MOTO Processamento pagamentos Internet Processamento pagamentos POS de de de de Serviços com pagamento adiantado Compensação e liquidação Serviços do comerciante Gerenciamento de registros Preparação de dados Fraude e serviços de cobrança Outros (especificar): Fornecedor/transmissor redes Gateway/switch de pagamento de Taxas/pagamentos para o governo Parte 2c. Relações Sua empresa se relaciona com um ou mais prestadores de serviços terceirizados (por exemplo: gateways, empresas de hospedagem na Web, agentes de passagens aéreas, agentes de programas de fidelidade, etc.)? Sim Não Parte 2d. Processamento das transações Como e em qual capacidade seu negócio armazena, processa e/ou transmite dados do titular do cartão? Aplicativo de pagamento em uso Número da versão Última validação de acordo com o PABP/PA-DSS Forneça as seguintes informações relacionadas aos aplicativos de pagamentos usados pela sua organização: Parte 3. Validação do PCI DSS Com base nos resultados anotados no SAQ D datado de (data do preenchimento do SAQ), a (Nome da empresa do prestador de serviços) declara o seguinte status de conformidade (marque um): Em conformidade: Todas as seções do SAQ do PCI estão preenchidas, todas as perguntas foram SAQ D do PCI DSS, v2.0, Atestado de conformidade, Versão do comerciante Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 3

17 respondidas afirmativamente, resultando em uma classificação geral de CONFORMIDADE, e uma varredura de verificação aprovada foi preenchida por um Fornecedor de varredura aprovado do PCI SSC, de forma que a (Nome da empresa do prestador de serviços) demonstrou conformidade integral com o PCI DSS. Não conformidade: Nem todas as seções do SAQ do PCI estão preenchidas ou algumas perguntas foram respondidas negativamente, resultando em uma classificação geral de NÃO CONFORMIDADE, ou uma varredura de verificação aprovada não foi preenchida por um Fornecedor de varredura aprovado do PCI SSC, de forma que a (Nome da empresa do prestador de serviços) não demonstrou conformidade integral com o PCI DSS. Data prevista para conformidade: A entidade que estiver enviando este formulário com um status de Não conformidade talvez tenha de preencher o Plano de ação na Parte 4 deste documento. Verifique junto ao seu adquirente ou às bandeiras de pagamento antes de preencher a Parte 4, já que nem todas as bandeiras de pagamento exigem essa seção.. SAQ D do PCI DSS, v2.0, Atestado de conformidade, Versão do comerciante Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 4

18 Parte 3a. Confirmação do status de conformidade O prestador de serviços confirma que: O Questionário de auto-avaliação D, versão (inserir número da versão), foi preenchido segundo as instruções nele contidas. Todas as informações contidas no SAQ mencionado anteriormente e neste atestado representam adequadamente os resultados de minha avaliação. Eu li o PCI DSS e reconheço que sempre devo manter a conformidade total com o PCI DSS. Não há evidência de armazenamento de dados de tarja magnética (ou seja, rastros) 5, dados CAV2, CVC2, CID ou CVV2 6, ou dados de PIN 7 após a autorização da transação em NENHUM sistema revisto durante esta avaliação. Parte 3b. Confirmação do prestador de serviços Assinatura do responsável executivo pelo prestador de serviços Data Nome do responsável executivo pelo prestador de serviços Forma de tratamento Representante da empresa prestadora de serviços Parte 4. Plano de ação para status de não conformidade Selecione o "Status de conformidade" adequado para cada requisito. Se você responder "NÃO" a qualquer um dos requisitos, será necessário informar a data na qual a empresa estará em conformidade com o requisito e uma descrição resumida das ações que estão sendo realizadas para atender ao requisito. Verifique junto ao seu adquirente ou às bandeiras de pagamento antes de preencher a Parte 4, já que nem todas as bandeiras de pagamento exigem essa seção Dados codificados na tarja magnética ou dados equivalentes em um chip usados para autorização durante a transação com o cartão. As entidades não podem manter todos os dados da tarja magnética após a autorização da transação. Os únicos elementos dos dados de rastro que podem ser retidos são o número da conta, a data de vencimento e o nome. O valor de três ou quatro dígitos impresso à direita do painel de assinatura ou na frente do cartão de pagamento usado para verificar transações virtuais com o cartão. Número de identificação pessoal inserido pelo titular do cartão durante uma transação com o cartão e/ou bloqueio de PIN criptografado dentro da mensagem da transação. SAQ D do PCI DSS, v2.0, Atestado de conformidade, Versão do comerciante Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 5

19 Status de conformidade (selecione um) Requisito do PCI DSS Descrição do requisito SIM NÃO Data e ações de correção (se o Status de conformidade for "Não") Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança Proteger os dados armazenados do titular do cartão 4 5 Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas Usar e atualizar regularmente o software ou programas antivírus 6 Desenvolver e manter sistemas e aplicativos seguros 7 8 Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio Atribuir uma identidade exclusiva para cada pessoa que tenha acesso ao computador 9 Restringir o acesso físico aos dados do titular do cartão 10 Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão 11 Testar regularmente os sistemas e processos de segurança 12 Manter uma política que aborde a segurança das informações para todas as equipes SAQ D do PCI DSS, v2.0, Atestado de conformidade, Versão do comerciante Outubro de 2010 Copyright 2010 PCI Security Standards Council LLC Página 6

20 Questionário de auto-avaliação D Observação: As perguntas a seguir estão numeradas de acordo com os requisitos e procedimentos de teste do PCI DSS, conforme definido no documento Requisitos do PCI DSS e procedimentos da avaliação de segurança. Construir e manter uma rede segura Data de preenchimento: Requisito 1: Instalar e manter uma configuração de firewall para proteger os dados Pergunta do PCI DSS Resposta: Sim Não Especial * 1.1 Os padrões de configuração do firewall e do roteador estão definidos para incluir o seguinte: Existe um processo formal para aprovar e testar todas as conexões de rede externas e alterações nas configurações do firewall e do roteador? (a) Existe algum diagrama da rede atual (como um diagrama que mostre o fluxo dos dados do titular do cartão na rede) que documente todas as conexões em relação aos dados do titular do cartão, incluindo as redes sem fio? (b) Esse diagrama é mantido atualizado? (a) Os padrões de configuração incluem requisitos para um firewall em cada conexão da Internet e entre qualquer zona desmilitarizada (DMZ) e a zona da rede interna? (b) O diagrama da rede atual está de acordo com os padrões de configuração do firewall? Os padrões de configuração do firewall e do roteador incluem uma descrição dos grupos, funções e responsabilidades para gerenciamento lógico dos componentes da rede? (a) Os padrões de configuração do firewall e do roteador incluem uma lista documentada dos serviços, protocolos e portas necessárias para os negócios (por exemplo: protocolos HTTP (hypertext transfer protocol) e SSL (Secure Sockets Layer), SSH (Secure Shell) e VPN (Virtual Private Network)? (b) Todos os serviços, protocolos e portas não seguros são necessários e existem recursos de segurança documentados e implementados para cada um desses itens? Observação: Os exemplos de serviços, protocolos ou portas não seguros incluem, entre outros, FTP, Telnet, POP3, IMAP e SNMP (a) Os padrões de configuração do firewall e do roteador exigem a análise dos conjuntos de regras do firewall e do roteador pelo menos a cada seis meses? Copyright 2010 PCI Security Standards Council LLC Página 1

21 Pergunta do PCI DSS Resposta: Sim Não Especial * (b) Os conjuntos de regras do firewall e do roteador são analisados pelo menos a cada seis meses? 1.2 As configurações do firewall e do router restringem as conexões entre redes não confiáveis e qualquer sistema no ambiente de dados do titular do cartão, da seguinte forma: Observação: Uma "rede não confiável" é qualquer rede externa às redes que pertencem à entidade em análise e/ou qualquer rede que não seja controlada ou gerenciada pela entidade (a) O tráfego de entrada e saída está limitado para o tráfego necessário para o ambiente de dados do titular do cartão e as restrições estão documentadas? (b) Todos os outros tráfegos de entrada e saída são recusados de forma específica (como ao usar a opção explícita "recusar todos" ou uma recusa implícita após a declaração de permissão)? Os arquivos de configuração do roteador estão seguros e sincronizados? Existem firewalls de perímetro instalados entre quaisquer redes sem fio e o ambiente de dados do titular do cartão e esses firewalls estão configurados para recusar ou controlar (se esse tráfego for necessário para fins comerciais) qualquer tráfego a partir do ambiente sem fio no ambiente de dados do titular do cartão? 1.3 A configuração do firewall proíbe o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão, da seguinte forma: Existe uma DMA implementada para limitar o tráfego de entrada somente para componentes do sistema que fornecem serviços, portas e protocolos autorizados acessíveis publicamente? O tráfego de Internet de entrada está limitado ao endereço IP dentro da DMZ? As conexões diretas estão proibidas para tráfego de entrada ou saída entre a Internet e o ambiente dos dados do titular do cartão? A passagem de endereços internos da Internet para a DMZ é proibida? O tráfego de saída do ambiente de dados do titular do cartão para a Internet está explicitamente autorizado? A inspeção com status, também conhecida como filtragem de pacote dinâmico, está implementada (ou seja, somente conexões estabelecidas podem entrar na rede)? Copyright 2010 PCI Security Standards Council LLC Página 2

22 Pergunta do PCI DSS Resposta: Sim Não Especial * Os componentes do sistema que armazenam dados do titular do cartão (como banco de dados) estão localizados em uma zona da rede interna, separada da DMZ e de outras redes não confiáveis? (a) Existem métodos em vigor para evitar a divulgação de endereços IP privados e de informações de roteamento pra a Internet? 1.4 Observação: Os métodos para ocultar o endereço IP podem incluir, entre outros: Conversão de endereços de rede (NAT) Implementação dos servidores contendo dados do titular do cartão atrás dos servidores de proxy/firewalls ou caches de conteúdo, Remoção ou filtragem das propagandas de rota para redes privadas que empregam endereçamento registrado, Uso interno do espaço de endereço RFC1918 em vez de endereço registrado. (b) A divulgação dos endereços IP privados e das informações de roteamento para entidades externas é autorizada? (a) Existe um software de firewall pessoal instalado e ativo em todos os computadores móveis e/ou de propriedade do funcionário com conectividade direta à Internet (por exemplo: laptops usados pelos funcionários) usados para acessar a rede da empresa? (b) O software de firewall pessoal está configurado de acordo com padrões específicos e não pode ser alterado pelos usuários de computadores móveis e/ou de propriedade do funcionário? Copyright 2010 PCI Security Standards Council LLC Página 3

23 Requisito 2: Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança Pergunta do PCI DSS Resposta: Sim Não Especial * 2.1 Os valores-padrão entregues pelo fornecedor são sempre alterados antes de instalar um sistema na rede? Os valores padrão entregues pelo fornecedor incluem, entre outros itens, senhas, strings de comunidade de SNMP (simple network management protocol) e a eliminação de contas desnecessárias Para ambientes sem fio conectados ao ambiente dos dados do titular do cartão ou para a transmissão dos dados do titular do cartão, os padrões são alterados da seguinte forma: (a) As chaves de criptografia padrão são alteradas na instalação e são modificadas sempre que um funcionário que conhece as chaves sai da empresa ou troca de cargo? (b) As strings de comunidades de SNMP padrão dos dispositivos sem fio são alteradas? (c) As senhas/frases de senha padrão dos pontos de acesso são alteradas? (d) O firmware dos dispositivos sem fio é atualizado para ser compatível com a criptografia robusta para autenticação e transmissão em redes sem fio? (e) Os outros padrões relacionados à segurança do fornecedor de dispositivos sem fio são alterados, se aplicável? 2.2 (a) Os padrões de configuração são desenvolvidos para todos os componentes do sistema e estão de acordo com os padrões de fortalecimento do sistema aceitos pelo setor? As fontes para os padrões de fortalecimento do sistema aceitos pelo setor incluem, entre outros, o SysAdmin Audit Network Security (SANS) Institute, o National Institute of Standards Technology (NIST), o International Organization for Standardization (ISO) e o Center for Internet Security (CIS). (b) Os padrões de configuração do sistema são atualizados quando novos problemas de vulnerabilidade são identificados, conforme definido no Requisito 6.2? (c) Os padrões de configuração do sistema são aplicados quando novos sistemas são configurados? (d) Os padrões de configuração do sistema incluem os seguintes itens: (a) Somente uma função principal é implementada por servidor para evitar funções que exigem diferentes níveis de segurança coexistindo no mesmo servidor? (Por exemplo: servidores da Web, servidores de banco de dados e DNS devem ser implementados em servidores separados.) Copyright 2010 PCI Security Standards Council LLC Página 4

24 Pergunta do PCI DSS Resposta: Sim Não Especial * (b) Se forem usadas tecnologias de virtualização, somente uma função principal está implementada por componente ou dispositivo do sistema virtual? (a) Somente os serviços, protocolos e daemons necessários, entre outros, são ativados conforme a necessidade para a função do sistema (ou seja, os serviços e protocolos que não são diretamente necessários para a execução da função especificada do dispositivo estão desativados)? (b) Todos os serviços, daemons ou protocolos não seguros ativos são justificáveis e os recursos de segurança estão documentados e implementados? (Por exemplo: tecnologias seguras como SSH, S-FTP, SSL ou IPSec VPN são usadas para proteger serviços não seguros como NetBIOS, compartilhamento de arquivos, Telnet, FTP, etc.) (a) Os administradores do sistema e/ou equipes que configuram os componentes do sistema estão beminformados sobre as configurações comuns dos parâmetros de segurança para esses componentes do sistema? (b) As configurações comuns dos parâmetros de segurança estão incluídas nos padrões de configuração do sistema? (c) As configurações dos parâmetros de segurança estão definidas corretamente nos componentes do sistema? (a) Todas as funcionalidades desnecessárias como scripts, drivers, recursos, subsistemas, sistemas de arquivo e servidores da Web desnecessários foram removidas? (b) As funções ativadas estão documentadas e oferecem suporte para uma configuração segura? (c) Existem somente funcionalidades registradas presentes nos componentes do sistema? 2.3 Os acessos administrativos fora do console estão criptografados da seguinte forma: Com o uso tecnologias como SSH, VPN ou SSL/TLS para o gerenciamento baseado na Web e outros acessos administrativos fora do console. (a) Todos os acessos administrativos fora do console são criptografados com criptografia robusta e um método de criptografia robusta é invocado antes da solicitação da senha do administrador? (b) Os serviços do sistema e os arquivos de parâmetros são configurados para prevenir o uso de Telnet e outros comandos de login remoto inseguros? Copyright 2010 PCI Security Standards Council LLC Página 5

25 Pergunta do PCI DSS Resposta: Sim Não Especial * (c) O acesso do administrador às interfaces de gerenciamento baseadas na Web é criptografado com uma criptografia robusta? 2.4 Se você for um provedor de hospedagem compartilhada, os sistemas estão configurados para proteger o ambiente de hospedagem e os dados do titular do cartão? Consulte o Anexo A: Requisitos adicionais do PCI DSS para provedores de hospedagem compartilhada para obter informações sobre os requisitos específicos que precisam ser cumpridos. Copyright 2010 PCI Security Standards Council LLC Página 6

26 Proteger os dados do titular do cartão Requisito 3: Proteger os dados armazenados do titular do cartão Pergunta do PCI DSS Resposta: Sim Não Especial * 3.1 As políticas e procedimentos de retenção e eliminação de dados são implementadas conforme a seguir: (a) Existem políticas e procedimentos de retenção e eliminação de dados implementadas que incluem requisitos específicos para a retenção dos dados do titular do cartão, conforme necessário para fins comerciais, legais e/ou regulatórios? Por exemplo: os dados do titular do cartão precisam ser retidos por um período X pelos motivos comerciais Y. (b) As políticas e os procedimentos incluem itens referentes a eliminação segura dos dados que não são mais necessários por motivos legais, regulatórios ou comerciais, incluindo a eliminação dos dados do titular do cartão? (c) As políticas e os procedimentos abrangem todo o armazenamento dos dados do titular do cartão? (d) Os processos e procedimentos incluem ao menos um dos seguintes itens? Processo programático (automático ou manual) para remover, ao menos trimestralmente, dados armazenados do titular do cartão que excederem os requisitos definidos pela política de retenção de dados Requisitos para uma análise, conduzida ao menos trimestralmente, para verificar se os dados armazenados do titular do cartão não excedem os requisitos definidos na política de retenção de dados. (e) Todos os dados armazenados do titular do cartão cumprem os requisitos definidos na política de retenção de dados? 3.2 (a) Para os emissores e/ou empresas que oferecem suporte para serviços de emissão e armazenam dados de autenticação confidenciais, há justificativa comercial para o armazenamento dos dados de autenticação confidenciais e os dados estão seguros? (b) Para todas as outras entidades, se dados de autenticação confidenciais forem recebidos e excluídos, existem processos em vigor para excluir os dados com segurança e verificar se os dados podem ser recuperados? (c) Todos os sistemas cumprem os seguintes requisitos em relação ao armazenamento de dados de autenticação confidenciais após a autorização (mesmo se criptografados)? Copyright 2010 PCI Security Standards Council LLC Página 7

27 Pergunta do PCI DSS Resposta: Sim Não Especial * O conteúdo completo de qualquer rastro da tarja magnética (localizada na parte posterior do cartão) ou qualquer dado equivalente presente em um chip ou em qualquer outro lugar, não é armazenado em nenhuma circunstância? Esses dados também são denominados como rastro completo, rastro, rastro 1, rastro 2 e dados da tarja magnética. Observação: No curso normal dos negócios, os seguintes elementos de dados da tarja magnética talvez precisem ser retidos: O nome do titular do cartão, O número da conta primária (PAN), A data de vencimento e O código de serviço Para minimizar o risco, armazene somente os elementos de dados conforme necessário para os negócios O código ou valor de verificação do cartão (número de três ou quatro dígitos impresso na frente ou atrás do cartão de pagamento) não é armazenado em nenhuma circunstância? O numero de identificação pessoal (PIN) ou o bloqueio de PIN criptografado não é armazenado em nenhuma circunstância? 3.3 O PAN é mascarado quando exibido (os primeiros seis e quatro últimos dígitos são o número máximo de dígitos a serem exibidos)? Observações: Este requisito não se aplica aos funcionários e outras partes interessadas que precisam visualizar o PAN completo; Esse requisito não substitui os requisitos mais rigorosos em vigor quanto às exibições dos dados do titular do cartão por exemplo, para recebimentos do ponto de venda (POS). Copyright 2010 PCI Security Standards Council LLC Página 8

28 Pergunta do PCI DSS Resposta: Sim Não Especial * 3.4 O PAN é processado para ficar ilegível em qualquer local onde ele esteja armazenado (incluindo repositórios de dados, mídias digitais portáteis, mídias de backup e logs de auditoria) usando qualquer uma das seguintes abordagens? Hash unidirecional com base na criptografia robusta (o hash deve ser do PAN inteiro) Truncamento (o hash não pode ser usado para substituir o segmento truncado do PAN) Tokens e blocos de índice (os blocos devem ser armazenados de forma segura) Criptografia robusta com processos e procedimentos de gerenciamento-chave associados. Observação: É um esforço relativamente simples para um indivíduo mal-intencionado reconstituir os dados do PAN original caso ele tenha acesso às versões truncadas e hash do PAN. Quando as versões truncada e hash do mesmo PAN estiverem presentes no ambiente de uma entidade, controles adicionais deverão ser implantados para assegurar que as versões truncada e hash não sejam correlacionadas para reconstituir o PAN original Se a criptografia de disco (e não a criptografia do banco de dados no nível de coluna ou de arquivo) for utilizada, o acesso é gerenciado das formas a seguir? (a) O acesso lógico aos sistemas de arquivos criptografados é gerenciado de forma independente dos mecanismos de controle de acesso nativos do sistema operacional (por exemplo, não usando bancos de dados de conta de usuário local)? (b) As chaves criptográficas são armazenadas de forma segura (por exemplo, armazenadas em mídias removíveis protegidas adequadamente com controles de acesso robustos)? (c) Os dados do titular do cartão nas mídias removíveis estão criptografados aonde quer que estejam armazenados? Observação: Se a criptografia de disco não for usada para criptografar a mídia removível, os dados armazenados nessa mídia deverão ser convertidos em ilegíveis por meio de outro método. 3.5 Alguma chave é usada para proteger os dados do titular do cartão contra divulgação e uso inapropriado das formas a seguir? Observação: Este requisito também se aplica às chaves de criptografia de chaves usadas para proteger as chaves de criptografia de dados. Essas chaves de criptografia de chaves devem ser tão robustas quanto a chave de criptografia de dados O acesso às chaves criptográficas está restrito ao menor número necessário de responsáveis pela proteção? Copyright 2010 PCI Security Standards Council LLC Página 9

29 3.6 Pergunta do PCI DSS Resposta: Sim Não Especial * (a) As chaves são armazenadas no formato criptografado e as chaves de criptografia de chaves são armazenadas separadamente das chaves de criptografia de dados? (b) As chaves criptográficas são armazenadas no menor número possível de locais e formas? (a) Todos os processos e procedimentos de gerenciamento de chaves das chaves criptográficas usadas para criptografar os dados do titular do cartão estão totalmente documentados e implementados? (b) Somente para prestadores de serviços: Se as chaves forem compartilhadas com os clientes para transmissão ou armazenamento dos dados do titular do cartão, é fornecida aos clientes uma documentação que inclua uma orientação sobre como transmitir, armazenar e atualizar com segurança as chaves do cliente, de acordo com os Requisitos a abaixo? (c) Existem processos e procedimentos de gerenciamento de chaves implementados que requerem os itens a seguir? Os procedimentos de chaves criptográficas incluem a geração de chaves criptográficas robustas? Os procedimentos de chaves criptográficas incluem a distribuição segura das chaves criptográficas? Os procedimentos de chaves criptográficas incluem o armazenamento seguro das chaves criptográficas? Os procedimentos de chaves criptográficas incluem alterações das chaves criptográficas para chaves que alcançaram o final de seu período de criptografia (por exemplo: após um período de tempo definido e/ou após a produção de certa quantidade de texto criptografado por determinada chave), conforme definido pelo fornecedor associado do aplicativo ou pelo proprietário da chave, com base nas melhores práticas e orientações do setor (como a NIST Special Publication )? (a) Os procedimentos de chaves criptográficas incluem a inutilização ou substituição (por exemplo: por arquivamento, destruição e/ou revogação) das chaves criptográficas quando a integridade da chave estiver enfraquecida (como a saída de um funcionário com conhecimento de uma chave em texto simples)? (b) Os procedimentos de chaves criptográficas incluem a substituição de chaves comprometidas conhecidas ou suspeitas? (c) Se chaves inutilizadas ou substituídas forem mantidas, essas chaves são usadas somente para fins de decodificação/verificação (e não para criptografia)? Copyright 2010 PCI Security Standards Council LLC Página 10

30 Pergunta do PCI DSS Resposta: Sim Não Especial * Os procedimentos de chaves criptográficas incluem o conhecimento compartilhado e o controle duplo das chaves criptográficas (como a exigência de duas ou três pessoas, cada uma conhecendo somente o seu componente da chave, para reconstituir a chave completa) para operações manuais de gerenciamento de chaves em texto simples? Observação: Os exemplos de operações manuais de gerenciamento de chave incluem, entre outros, geração, transmissão, carregamento, armazenamento e destruição de chaves Os procedimentos de chaves criptográficas incluem a prevenção contra a substituição não autorizada de chaves criptográficas? Os responsáveis pela proteção das chaves criptográficas devem reconhecer formalmente (por escrito ou eletronicamente) que compreendem e aceitam suas responsabilidades de proteção das chaves? Copyright 2010 PCI Security Standards Council LLC Página 11

31 Requisito 4: Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas Pergunta do PCI DSS Resposta: Sim Não Especial * 4.1 (a) São utilizadas criptografia robusta e protocolos de segurança como SSL/TLS ou IPSEC para proteger os dados confidenciais do titular do cartão durante a transmissão em redes abertas e públicas? Os exemplos de redes públicas e abertas que se encontram no escopo do PCI DSS incluem, entre outros, a Internet, tecnologias sem fio, GSM (Global System for Mobile communications) e GPRS (General Packet Radio Service). (b) Somente chaves e/ ou certificados confiáveis são aceitos? (c) Os protocolos de segurança foram implementados para usar somente configurações seguras, sem suporte para versões ou configurações inseguras? (d) A força da criptografia adequada foi implementada para a metodologia de criptografia em uso (verifique as recomendações/melhores práticas do fornecedor)? (e) Para implementações de SSL/TLS: O HTTPS é exibido como parte do Universal Record Locator (URL) do navegador? Os dados do titular do cartão são exigidos somente quando HTTPS é exibido no URL? As melhores práticas do setor (como a IEEE i) são usadas para implementar a criptografia robusta para autenticação e transmissão nos dispositivos sem fio que transmitem dados do titular do cartão ou que estão conectados no ambiente de dados do titular do cartão? Observação: O uso de WEP como controle de segurança foi proibido em 30 de junho de (a) Os PANs são processados para ficarem ilegíveis ou são protegidos com criptografia robusta sempre que são enviado por meio de tecnologias de envio de mensagens de usuário final (como s, mensagens instantâneas ou bate-papo)? (b) Existem políticas em vigor que afirmam que os PANs desprotegidos não são enviados por meio das tecnologias de envio de mensagens de usuário final? Copyright 2010 PCI Security Standards Council LLC Página 12

32 Manter um programa de gerenciamento de vulnerabilidades Requisito 5: Usar e atualizar regularmente o software ou programas antivírus Pergunta do PCI DSS Resposta: Sim Não Especial * 5.1 Os softwares antivírus estão implementados em todos os sistemas normalmente afetados por softwares mal-intencionados? Todos os programas antivírus podem detectar, remover e proteger contra todos os tipos conhecidos de softwares malintencionados (como vírus, trojans, worms, spywares, adwares e rootkits)? 5.2 Todos os software antivírus estão atualizados, funcionando ativamente e gerando logs de auditoria da seguinte forma: (a) A política de antivírus requer a atualização do software e das definições do antivírus? (b) A instalação principal do software está ativada para atualizações automáticas e varreduras periódicas? (c) As atualizações automáticas e as varreduras periódicas estão ativadas? (d) Todos os mecanismos de antivírus geram logs de auditoria e os logs são mantidos de acordo com o Requisito 10.7 do PCI DSS? Requisito 6: Desenvolver e manter sistemas e aplicativos seguros Pergunta do PCI DSS Resposta: Sim Não Especial * 6.1 (a) Todos os componentes e softwares do sistema estão protegidos de vulnerabilidades conhecidas pois têm os patches de segurança mais recentes disponibilizados pelos fornecedores instalados? (b) Os patches de segurança críticos são instalados no prazo de um mês após o lançamento? Observação: Uma empresa talvez considere utilizar uma abordagem baseada nos riscos para priorizar suas instalações de patches. Por exemplo, ao priorizar mais a infra-estrutura crítica (como dispositivos e sistemas disponibilizados ao público e bancos de dados) em vez de dispositivos internos menos críticos, para assegurar que sistemas e dispositivos de prioridade elevada sejam resolvidos em um mês e dispositivos e sistemas menos críticos em três meses. Copyright 2010 PCI Security Standards Council LLC Página 13