Resumo de alterações da versão 2.0 para a 3.0 do PA-DSS

Transcrição

1 Indústria de cartões de pagamento (PCI) Padrão de segurança de dados de formulário de pagamento Resumo de alterações da versão 2.0 para a 3.0 do PA-DSS Novembro de 2013

2 Introdução Este documento fornece um resumo de alterações da v2.0 para a v3.0 do PA-DSS. A Tabela 1 apresenta uma visão geral dos tipos de alterações incluídas na v3.0 do PA-DSS. A Tabela 2 nas páginas a seguir apresenta um resumo das alterações substanciais encontradas na v3.0 do PA-DSS. Tabela 1: s de alteração de alteração Orientação adicional Definição Esclarece o propósito do requisito. Garante que um texto conciso nos padrões retrate o objetivo desejado dos requisitos. Explicações, definições e/ou instruções para melhorar a compreensão ou fornecer mais informações ou orientações sobre um tópico específico. Alterações para assegurar que os padrões estejam atualizados em relação às ameaças emergentes e às alterações no mercado. Indústria de cartões de pagamento (PCI) Padrão de segurança de dados de formulário de pagamento Página 1

3 Tabela 2: Resumo das alterações Seção Propósito deste documento Esclarecer o objetivo e uso do documento e incluir referência ao Modelo de relatório ROV do PA-DSS. Introdução Introdução Relação entre PCI DSS e PA-DSS Adicionado esclarecimento que os aplicativos do PA- DSS estão no escopo da avaliação do PCI DSS de uma organização. Informações de aplicabilidade do PCI DSS Informações de aplicabilidade do PCI DSS Seção realocada e atualizada para alinhamento com as alterações do PCI DSS. Removidos algumas linguagens do PCI DSS que não são aplicáveis ao PA-DSS. Escopo do PA- DSS Escopo do PA-DSS Removidas informações sobre quais aplicativos de pagamento são qualificados para o PA-DSS. As informações sobre a qualificação do PA-DSS podem ser encontradas no Guia do programa PA-DSS. Funções e responsabilida des As informações referentes às partes interessadas relevantes e suas funções e responsabilidades do PA-DSS foram removidas já que estão inclusas no Guia do programa PA-DSS. Guia de implementação do PA-DSS Guia de implementaçã o do PA-DSS Fornecidas mais orientações sobre o Guia de implementação do PA-DSS e esclarecida a função do PA-QSA. Orientação adicional Instruções e conteúdo do relatório de validação Instruções e conteúdo do relatório de validação Conteúdo realocado para separar o Modelo de relatório ROV. Etapas de conclusão do PA-DSS Etapas de conclusão do PA-DSS Seção atualizada para focar no processo de avaliação ao invés de na documentação (detalhes da documentação movidos para o Modelo de relatório ROV). Guia do programa PA- DSS Guia do programa PA- DSS Removida a referência à transição PABP, já que não há mais um processo de transição. s e procedimentos de avaliação de segurança do PA-DSS s e procedimento s de avaliação de segurança do PA-DSS Linguagem adicionada para definir os títulos da coluna nesta seção e referências removidas para colunas "Implementadas", "Não Implementadas" e "Data-alvo/Comentários". Indústria de cartões de pagamento (PCI) Padrão de segurança de dados de formulário de pagamento Página 2

4 Alterações gerais implementadas nos requisitos do PA-DSS Nova coluna de "Orientação" para descrever a intenção ou o objetivo de segurança de cada requisito. A orientação nesta coluna tem o objetivo de auxiliar na compreensão dos requisitos e não substitui ou expande os requisitos do PA-DSS e procedimentos de teste. s e/ou procedimentos de teste atualizados para refletir as alterações do PCI DSS, onde um requisito do PA-DSS alinha-se com um requisito do PCI DSS. Linguagem atualizada nos requisitos e/ou procedimentos de teste correspondentes para alinhamento e consistência. s complexos/procedimentos de teste separados para esclarecimento e procedimentos de teste redundantes/conflitantes removidos. Procedimentos de teste aprimorados para esclarecer o nível de validação esperado para cada requisito, incluindo: Informações sobre o Guia de implementação do PA-DSS solicitado. Instalar o aplicativo conforme o Guia de implementação do PA-DSS para verificar a precisão das instruções do Guia de implementação. Outras alterações gerais de revisão incluem: Removidas as seguintes colunas: "Implementado", "Não Implementado" e "Dataalvo/Comentários". Renumerados os requisitos e procedimentos de teste para inserir as alterações. Reformatados os requisitos e procedimentos de teste para fins de legibilidade, por exemplo, conteúdo do parágrafo reformatado com marcadores, etc. Realizadas pequenas alterações ao longo do texto para fins de legibilidade. Corrigidos erros tipográficos. Orientação adicional Conforme definido no PCI DSS 1 1 Geral 1.1.c Título atualizado para consistência, para substituir "tarja magnética" por "dados de rastreamento". Removido o procedimento de teste 1.1.c e instruções adicionadas para procedimentos de teste relacionados aos requisitos ao Indústria de cartões de pagamento (PCI) Padrão de segurança de dados de formulário de pagamento Página 3

5 2.x 2.x Adicionados componentes do Guia de implementação do PA-DSS aos procedimentos de teste ao longo desta seção. Alterada linguagem para referir-se à exclusão segura de dados em vez de limpeza. Procedimentos de teste aprimorados para exigir a validação de recursos para mascarar o PAN. Removido o requisito referente ao uso de soluções de criptografia de dados total. s subsequentes renumerados de acordo. 2.6.x 2.5.x Procedimentos de teste atualizados para esclarecer que as técnicas de gerenciamento de chave devem ser testadas apropriadamente b 3.1.c Atualizado para esclarecer que o fornecedor do aplicativo deve fornecer um mecanismo para remover o material de chave criptográfica se as versões atuais ou anteriores tenham usado materiais de chave criptográfica ou criptogramas. Transferida a observação do antigo procedimento de teste 3.1.d para o 3.1. Novos requisitos criados a partir do procedimento de teste anterior 3.1.b 3.1.c para assegurar que a alteração de senhas padrão seja reforçada pelo aplicativo e apropriadamente validada. Movido o requisito para para melhor organização dos requisitos. s de complexidade da senha combinados para alinhar com a v3.0 do PCI DSS e proporcionar flexibilidade para outras alternativas de composição de senha que atendam ao requisito de força mínima. Dividir o requisito 3.3 em dois requisitos para focar separadamente nas senhas transmitidas (3.3.1) e senhas armazenadas (3.3.2) atualizado para exigir o uso de um algoritmo criptográfico forte, de direção única, com uma variável de entrada exclusiva para tornar as senhas ilegíveis. Indústria de cartões de pagamento (PCI) Padrão de segurança de dados de formulário de pagamento Página 4

6 Novo requisito para aplicativos a fim de limitar o acesso às funções/aos recursos solicitados e garantir o mínimo de privilégios para contas do aplicativo incorporadas. atualizado para esclarecer tipos de mecanismos de identificação e autenticação que devem ser registrados, incluindo a criação de novas contas. aprimorado para incluir revisões de segurança nos processos de desenvolvimento. Novo requisito para os desenvolvedores de aplicativos de pagamento para verificar a integridade do código fonte durante o processo de desenvolvimento. Novo requisito para aplicativos de pagamento serem desenvolvidos de acordo com as melhores práticas da indústria para técnicas de codificação segura, incluindo: Desenvolver com o mínimo de privilégio para o ambiente. Desenvolver com padrões seguros contra falhas, ou seja, toda a execução é negada por padrão a menos que especificado dentro do projeto inicial. Desenvolver para todas as considerações de ponto de acesso, incluindo variações de entrada, como uma entrada multi-canal ao aplicativo. Documentação de como o PAN e/ou SAD são controlados na memória. Novo requisito criado a partir do procedimento de teste anterior 5.2.a e 5.2.b para os desenvolvedores do aplicativo de pagamento serem treinados sobre as práticas de desenvolvimento seguro. atualizado para focar na prevenção de vulnerabilidades de codificação comuns. Novo requisito para resolver "autenticação quebrada e gerenciamento de sessão". Movido o requisito para 8.2 para alinhamento com outros requisitos que facilitam um ambiente do PCI DSS seguro e manter o requisito 5.x focando nas práticas de desenvolvimento do software. Indústria de cartões de pagamento (PCI) Padrão de segurança de dados de formulário de pagamento Página 5

7 Geral Novos requisitos para o fornecedor do aplicativo definir e implementar uma metodologia de versão de acordo com o Guia do Programa PA-DSS. Novo requisito para os fornecedores de aplicativos de pagamento incorporarem as técnicas de avaliação de risco no processo de desenvolvimento do software. Novo requisito para os fornecedores de aplicativos de pagamento implementarem o processo de autorização antes da liberação final. s reorganizados para esclarecer os controles que se aplicam a todos aplicativos e controles que se aplicam apenas onde for fornecida rede sem fio ou o uso com o aplicativo de pagamento for planejado. Novo requisito 6.3 criado a partir do antigo procedimento de teste 6.2.b. Título atualizado para refletir o objetivo do requisito (resolver as vulnerabilidades e manter os aplicativos atualizados). Dividir em requisitos separados e uso exigido de fontes "respeitáveis" para obter informações sobre vulnerabilidade da segurança Dividir em requisitos separados. 7.3 Novo requisito para o fornecedor do aplicativo fornecer observações de liberação para todas as atualizações de aplicativos Exemplo para esclarecer o propósito do requisito. Movido o requisito do 5.4 para alinhamento com outros requisitos que promovem um ambiente do PCI DSS seguro. Movido o requisito do 10.1 para alinhamento com outros requisitos que facilitam um ambiente do PCI DSS seguro. Indústria de cartões de pagamento (PCI) Padrão de segurança de dados de formulário de pagamento Página 6

8 Texto adicionado para esclarecer o objetivo do requisito de que não é necessário que os componentes de armazenagem dos servidores Web e dos dados do portador do cartão estejam na mesma zona de rede, com bancos de dados agora como um exemplo de um componente de armazenagem de dados do portador do cartão e um exemplo DMZ de uma zona de rede. Movido o requisito para o 8.3 para alinhamento com outros requisitos que facilitam um ambiente do PCI DSS seguro. s subsequentes renumerados. esclarecido que se aplica ao acesso remoto originado de fora da rede do cliente. Novo requisito para os fornecedores que prestam serviços de suporte/manutenção aos clientes para manter credenciais de autenticação exclusivas para cada cliente. Atualizado para esclarecer que o requisito se aplica a todos os tipos de acesso remoto. Atualizações menores para fornecer esclarecimento adicional e para alinharem-se ao PCI DSS s reorganizados para esclarecer os controles que se aplicam a todos os aplicativos e controles que se aplicam apenas onde o aplicativo de pagamento facilita o acesso administrativo que não utiliza console Geral Título modificado para focar nos requisitos do Guia de implementação do PA-DSS. s da documentação educativa e programas de treinamento transferidos para o novo requisito 14. Novo requisito para validar que o Guia de implementação do PA-DSS é específico ao aplicativo e versões sendo avaliadas. Indústria de cartões de pagamento (PCI) Padrão de segurança de dados de formulário de pagamento Página 7

9 Geral Anexo B Esclarecido objetivo de que o Guia de implementação do PA-DSS deve ser revisado e atualizado sempre que o aplicativo ou requisitos do PA-DSS forem modificados. Veja "Geral 13 acima". Novo requisito para focar na documentação educativa e programas de treinamento, incluindo treinamento interno para os funcionários do fornecedor com responsabilidades de PA-DSS. Novo requisito para treinamento sobre segurança da informação e PA-DSS para os funcionários do fornecedor com responsabilidade de PA-DSS pelo menos anualmente. Novo requisito para atribuir as responsabilidades do PA-DSS à equipe do fornecedor. s aprimorados anteriormente incluídos no 13 para os programas de treinamento do integrador/revendedor. Esclarecido objetivo de que os materiais de treinamento devem ser revisados e atualizados sempre que o aplicativo ou requisitos do PA-DSS forem modificados. Confirmação da configuração do laboratório de teste específico para a avaliação do PA-DSS Configuração de laboratório de teste para avaliações do PA-DSS Anexo reformulado para fornecer informações sobre expectativas e capacidades do laboratório usado para realizar as avaliações do PA-DSS. Detalhes e modelo para documentar a configuração do laboratório de teste transferidos para separar o Modelo de relatório ROV do PA-DSS. Indústria de cartões de pagamento (PCI) Padrão de segurança de dados de formulário de pagamento Página 8