Setor de cartões de pagamento (PCI) Padrão de segurança de ds Requisitos e procedimentos de avaliação da segurança Versão 2.0 Outubro de 2010
Alterações no documento Versão Descrição Páginas Outubro de 2008 Julho de 2009 Outubro de 2010 1.2 1.2.1 2.0 Introduzir PCI DSS v1.2 como Requisitos e procedimentos de avaliação da segurança PCI DSS, eliminando a redundância entre os documentos e fazer mudanças gerais e específicas de Procedimentos de auditoria de segurança PCI DSS v1.1. Para obter informações completas, consulte Resumo de alterações no padrão de segurança de ds do PCI do PCI DSS Versão 1.1 para 1.2. Adicionar sentença que foi excluída incorretamente entre o PCI DSS v1.1 e v1.2. 5 Corrigir grafia nos procedimentos de teste 6.3.7.a e 6.3.7.b. 32 Remover marca cinza para as colunas implant e não implant nos procedimentos de teste 6.5.b. 33 Para a Planilha de controles de compensação exemplo completo, corrigir o texto no alto da página para Use esta planilha para definir os controles de compensação para qualquer requisito indic como implant via controles de compensação. Atualizar e ar as alterações da v1.2.1. Para obter detalhes, consulte o Resumo de alterações PCI DSS Versão 1.2.1 para 2.0. 64 Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 2
Índice Alterações no documento... 2 Introdução e visão geral do padrão de segurança de ds do PCI... 5 Informações de aplicabilidade do PCI DSS... 8 Relação entre PCI DSS e PA-DSS... 10 Escopo da avaliação quanto à conformidade com os requisitos do PCI DSS... 11 Segmentação da rede...11 Sem fio...12 Terceiros/Terceirização...12 Amostragem de áreas de negócios e componentes do sistema...13 Controles de compensação...14 Instruções e conteúdo para o relatório sobre conformidade... 15 Conteúdo e formato do relatório...15 Revalidação dos itens em aberto...18 Conformidade do PCI DSS Etapas de conclusão...19 Requisitos detalhs do PCI DSS e procedimentos da avaliação de segurança... 20 Construa e mantenha uma rede segura... 21 Requisito 1: Instalar e manter uma configuração de firewall para proteger os ds do titular do cartão...21 Requisito 2: usar padrões disponibilizs pelo fornecedor para senhas do sistema e outros parâmetros de segurança 26 Proteger os ds do portr do cartão... 30 Requisito 3: Proteger os ds armazens do titular do cartão...30 Requisito 4: Criptografar a transmissão dos ds do titular do cartão em redes abertas e públicas...38 Manter um programa de gerenciamento de vulnerabilidades... 40 Requisito 5: Usar e atualizar regularmente o software ou programas antivírus...40 Requisito 6: Desenvolver e manter sistemas e aplicativos seguros...41 ar medidas de controle de acesso rigorosas... 47 Requisito 7: Restringir o acesso aos ds do titular do cartão de acordo com a necessidade de conhecimento para o negócio 47 Requisito 8: Atribuir uma identidade exclusiva para cada pessoa que tenha acesso ao computr...49 Requisito 9: Restringir o acesso físico aos ds do titular do cartão...55 Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 3
Monitorar e Testar as Redes Regularmente... 60 Requisito 10: Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos ds do portr do cartão......60 Requisito 11: Testar regularmente os sistemas e processos de segurança....65 Manter uma Política de Segurança de Informações... 70 Requisito 12: Manter uma política que aborde a segurança das informações para todas as equipes...70 Anexo A: Requisitos adicionais do PCI DSS para provedores de hospedagem compartilhada... 77 Apêndice B: Controles de compensação... 80 Anexo C: Planilha dos controles de compensação... 82 Planilha dos controles de compensação Exemplo completo... 83 Apêndice D: Segmentação e amostragem de áreas de negócios/componentes do sistema... 84 Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 4
Introdução e visão geral do padrão de segurança de ds do PCI O Padrão de Segurança de Ds (DSS) do Setor de Cartões de Pagamento (PCI) foi desenvolvido para incentivar e aprimorar a segurança dos ds do titular do cartão e facilitar a ampla ção de medidas de segurança de ds consistentes no mundo todo. O PCI DSS oferece a base de requisitos técnicos e operacionais projets para proteger os ds do titular do cartão. O PCI DSS se aplica a todas as entidades envolvidas no processos de pagamento do cartão - inclusive comerciantes, financeiras, adquirentes, emissores e prestres de serviço, bem como todas as entidades que armazenam, processam ou transmitem os ds do titular do cartão. O PCI DSS compreende um conjunto mínimo de requisitos para proteger os ds do titular do cartão e pode ser aperfeiço por controles e práticas adicionais para amenizar os riscos ainda mais. Abaixo, há uma visão geral de alto nível dos 12 requisitos do PCI DSS. Este documento, Requisitos dos Padrões de Segurança de Ds do PCI e Procedimentos de Avaliação da Segurança, usa como base os 12 requisitos do PCI DSS e combina-os com procedimentos de testes correspondentes em uma ferramenta de avaliação de segurança. Ele foi projet para o uso durante as avaliações de conformidade PCI DSS como parte do processo de validação de uma entidade. As seguintes Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 5
seções oferecem orientações e as melhores práticas para auxiliar entidades a conduzir, relatar e se preparar para os results de uma avaliação PCI DSS. Os Requisitos e procedimentos de teste PCI DSS se iniciam na página 19. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 6
O site do PCI Security Standards Council (PCI SSC - conselho de padrões de segurança PCI) (www.pcisecuritystandards.org) contém alguns recursos adicionais, inclusive: Atest de conformidade Navegando pelo PCI DSS: Entendendo o porquê dos Requisitos Glossário de termos, abreviações e acrônimos do PCI DSS e PA-DSS Perguntas frequentes (FAQs) Suplementos Informativos e Orientações Observação: Os Suplementos Informativos complementam o PCI DSS e identificam considerações adicionais e recomendações para atender aos requisitos PCI DSS - eles não alteram, eliminam ou sobrepõem o PCI DSS ou qualquer de seus requisitos. Consulte o site www.pcisecuritystandards.org para obter mais informações. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 7
Informações de aplicabilidade do PCI DSS O PCI DSS se aplica onde quer que os ds da conta sejam armazens, processs ou transmitidos. Os Ds da Conta se consistem em Ds do titular do cartão mais Ds de autenticação confidenciais, como se segue: Os Ds do titular do cartão incluem: Os Ds de autenticação confidenciais incluem: O número da conta principal (PAN) O nome do titular do cartão de vencimento Código de serviço Ds em tarja magnética ou equivalente em chip CAV2/CVC2/CVV2/CID PINs/Bloqueios de PIN O número da conta principal é o fator decisivo na aplicabilidade dos requisitos do PCI DSS. Os requisitos do PCI DSS são aplicáveis se um número de conta principal (PAN) for armazen, process ou transmitido. Se um PAN não for armazen, process ou transmitido, os requisitos do PCI DSS não são aplicáveis. Se o nome, código de serviço e/ou data de validade de um titular do cartão são armazens processs ou transmitidos com o PAN ou, de outro modo, estão presentes no ambiente de ds do titular do cartão, eles devem ser protegidos de acordo com os Requisitos 3.3 e 3.4 que se aplicam somente ao PAN. O PCI DSS representa um conjunto mínimo de objetivos de controle que podem ser aperfeiços por leis e normas locais, regionais e do setor. Além disso, os requisitos legais ou regulatórios podem exigir proteção específica de informações pessoalmente identificáveis ou outros elementos de ds (por exemplo, o nome do titular do cartão) ou definir práticas de divulgação de uma entidade ligadas a informações de clientes. Os exemplos incluem a legislação relacionada à proteção de ds de clientes, privacidade, roubo de identidade ou segurança de ds. O PCI DSS não sobrepõe as leis locais ou regionais, normas governamentais ou outros requisitos legais. A tabela a seguir ilustra os elementos comumente uss do titular do cartão e ds de autenticação confidenciais; se o armazenamento de cada elemento de ds é permitido ou proibido; e se cada elemento de ds deve ser protegido. Essa tabela não é completa, mas é exibida para ilustrar os diferentes tipos de requisitos que se aplicam a cada elemento de ds. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 8
Ds da conta Ds do titular do cartão Ds de autenticação confidenciais 1 Elemento de ds O número da conta principal (PAN) Armazenamento permitido Sim Converte ds de conta armazens ilegíveis pelo Requisito 3.4 Sim O nome do titular do cartão Sim Código de serviço Sim de vencimento Sim Ds completos da tarja magnética 2 armazenável pelo Requisito 3.2 CAV2/CVC2/CVV2/CID PIN/Bloqueio de PIN armazenável pelo Requisito 3.2 armazenável pelo Requisito 3.2 Os requisitos 3.3 e 3.4 do PCI DSS se aplicam somente ao PAN. Se o PAN for armazen com outros elementos dos ds do titular do cartão, somente o PAN deverá ser convertido como ilegível de acordo com o Requisito 3.4 do PCI DSS. O PCI DSS se aplica somente se os PANs são armazens, processs e/ ou transmitidos. 1 Ds de autenticação confidenciais não devem ser armazens após a autorização (mesmo se forem criptografs). 2 Ds completos de rastreamento da tarja magnética, ds equivalentes no chip, ou em outro lugar. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 9
Relação entre PCI DSS e PA-DSS O uso de um aplicativo compatível com o PA-DSS não torna uma entidade compatível com o PCI DSS por si só, uma vez que o aplicativo deve ser em um ambiente compatível com o PCI DSS e de acordo com o Guia de ação do PA-DSS oferecido pelo fornecedor do aplicativo de pagamento (pelo Requisito 13.1 do PA-DSS). Os requisitos para o Padrão de segurança de ds de aplicativos de pagamento (PA-DSS) derivam-se dos Requisitos do PCI DSS e os Procedimentos de avaliação da segurança (este documento). O PA-DSS Error! Hyperlink reference not valid.detalha qual aplicativo de pagamento deve suportar para facilitar a conformidade de um cliente. Os aplicativos de pagamento seguros, quando s em um ambiente compatível com PCI-DSS, minimizarão as possibilidades de quebras na segurança, levando ao comprometimento de todos os ds da tarja magnética, códigos e valores de validação do cartão (CAV2, CID, CVC2 e CVV2), PINs e bloqueios de PIN e a fraudes destruidoras resultantes dessas quebras. Veja a seguir algumas formas nas quais os aplicativos de pagamento podem impedir a conformidade: Armazenamento de ds de tarja magnética e/ou ds equivalentes do chip na rede do cliente após a autorização; Aplicativos que exigem que os clientes desabilitem outros recursos necessários pelo PCI DSS, como software antivírus ou firewalls, para que o aplicativo de pagamento funcione corretamente. Uso por parte do fornecedor de métodos não seguros para conectar-se ao aplicativo para oferecer suporte ao cliente. O PA-DSS aplica-se a fornecedores de software e outros desenvolvedores de aplicativos de pagamento que armazenam, processam ou transmitem ds de titular de cartão como parte da autorização ou acordo, em que esses aplicativos de pagamento são vendidos, distribuídos ou licencis a terceiros. Observe o seguinte, referente à aplicabilidade do PA-DSS: O PA-DSS destina-se a aplicativos de pagamento que geralmente são vendidos e instals de forma pré-definida sem muita personalização dos fornecedores de software. O PA-DSS não se destina a aplicativos de pagamento desenvolvidos por comerciantes e fornecedores de serviço se utilizs apenas internamente (não vendido, distribuído ou licenci a terceiros), visto que esse aplicativo de pagamento desenvolvido internamente deveria ser coberto como parte da conformidade normal do comerciante ou fornecedor de serviço do PCI DSS. Para obter orientação detalhada sobre a determinação se o PA-DSS se aplica a determin aplicativo de pagamento, consulte os Requisitos do PA-DSS e os Procedimentos de avaliação da segurança que pode ser encontr no site www.pcisecuritystandards.org. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 10
Escopo da avaliação quanto à conformidade com os requisitos do PCI DSS Os requisitos de segurança do PCI DSS se aplicam a todos os componentes do sistema. No contexto do PCI DSS, os "componentes do sistema" são definidos como qualquer componente de rede, servidor ou aplicativo que esteja incluído ou vincul ao ambiente de ds do titular do cartão. Os "componentes do sistema" também incluem quaisquer componentes de virtualização como máquinas virtuais, switches/roteres virtuais, mecanismos virtuais, aplicativos/desktops virtuais e hipervisores. O ambiente de ds do titular do carão compreende pessoas, processos e tecnologia que armazenam, processam e transmitem os ds do titular do cartão ou ds de autenticação confidenciais. Os componentes de rede incluem, mas não se limitam a, firewalls, chaves, roteres, pontos de acesso sem fio, mecanismos de rede e outros mecanismos de segurança. Os tipos de servidor incluem, mas não se limitam a: web, aplicativo, banco de ds, autenticação, e-mail, proxy, NTP (network time protocol) e DNS (domain name server). Os aplicativos incluem todos os aplicativos adquiridos e personalizs, incluindo os aplicativos internos e externos (Internet, por exemplo). A primeira etapa de uma avaliação do PCI DSS é determinar precisamente o escopo da revisão. Ao menos anualmente e antes da avaliação anual, a entidade deve confirmar a precisão de seu escopo do PCI DSS ao identificar todos os locais e fluxos de ds do titular do cartão e assegurar que estejam incluídos no escopo do PCI DSS. Para confirmar a precisão e a adequação do escopo do PCI DSS, execute o seguinte: A entidade avaliada identifica e documenta a existência de todos os ds do titular do cartão em seu ambiente, para verificar que nenhum d de titular do cartão existe fora do ambiente de ds do titular do cartão definido no momento (CDE). Assim que todos os locais dos ds do titular do cartão forem identifics e documents, a entidade usa os results para verificar se o escopo do PCI DSS é adequ (por exemplo, os results podem ser um diagrama ou um inventário de locais de ds do titular de cartão). A entidade considera que qualquer d do titular do cartão esteja no escopo da avaliação do PCI DSS e parte do CDE, a não ser que tal d seja excluído ou migr/consolid no CDE definido atualmente. A entidade retém a documentação que mostra como o escopo do PCI DSS foi confirm e os results, para a revisão da assessoria e/ou para referência durante a próxima atividade anual de confirmação do escopo do PCI SCC. Segmentação da rede A segmentação da rede ou o isolamento (separação) do ambiente de ds do titular do cartão do restante da rede corporativa não é um requisito do PCI DSS. Entretanto, ela é recomendada como um método que pode reduzir: O escopo da avaliação do PCI DSS O custo da avaliação do PCI DSS O custo e a dificuldade de ar e manter controles do PCI DSS O risco de uma empresa (reduzido pela consolidação dos ds do titular do cartão em locais mais controls e que totalizam um número menor) Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 11
Sem a segmentação adequada da rede (às vezes chamada de "rede plana"), toda a rede está no escopo da avaliação do PCI DSS. A segmentação da rede pode ser realizada por meio de firewalls internos da rede, roteres com listas de controle de acesso rigorosas ou outras tecnologias que restringem o acesso a um determin segmento de uma rede. Um pré-requisito importante para reduzir o escopo do ambiente de ds do titular do cartão é uma compreensão clara das necessidades do negócio e dos processos relacions ao armazenamento, processamento ou transmissão dos ds do titular do cartão. Restringir os ds do titular do cartão à menor quantidade de locais possível ao eliminar ds desnecessários e consolidar os ds necessários talvez exija a reformulação de práticas de negócios de longa data. Documentar os fluxos dos ds do titular do cartão por meio de um diagrama de fluxo de ds ajuda a compreender totalmente todos os fluxos de ds do titular do cartão e assegura que qualquer segmentação de rede seja eficiente no isolamento do ambiente de ds do titular do cartão. Se a segmentação da rede tiver sido ada e sendo usada para reduzir o escopo da avaliação do PCI DSS, o avalir deverá verificar se a segmentação é adequada para diminuir o escopo da avaliação. Em um nível elev, a segmentação adequada da rede isola os sistemas que armazenam, processam ou transmitem ds do titular do cartão dos outros sistemas. Entretanto, a adequação de uma ação específica da segmentação da rede varia muito e depende certos fatores, como uma determinada configuração de rede, das tecnologias adas e de outros controles que podem ser empregs. Apêndice D: A segmentação e a amostragem dos componentes de sistema/áreas de negócio oferece mais informações sobre o efeito da segmentação e da amostragem da rede no escopo das avaliações do PCI DSS. Sem fio Se uma tecnologia sem fio for usada para armazenar, processar ou transmitir ds do titular do cartão (por exemplo, transações do ponto de venda, "quebra de linha") ou se uma WLAN (local area network sem fio) estiver conectada ao ambiente de ds do titular do cartão ou a parte dele (por exemplo, não separ claramente por um firewall), os requisitos do PCI DSS e os procedimentos de teste para ambientes sem fio se aplicarão e deverão ser realizs (por exemplo, Requisitos 1.2.3, 2.1.1 e 4.1.1). Antes da tecnologia sem fio ser ada, uma entidade deve avaliar cuidsamente a necessidade da tecnologia com relação ao risco. Considere a ação da tecnologia sem fio somente para a transmissão de ds não confidenciais. Terceiros/Terceirização Para prestres de serviços que devem realizar uma avaliação in loco anual, a validação da conformidade deve ser desempenhada em todos os componentes do sistema no ambiente dos ds do titular do cartão. Um prestr de serviços ou comerciante pode usar um provedor terceiriz para armazenar, processar ou transmitir ds do titular do cartão em seu nome ou gerenciar componentes como roteres, firewalls, bancos de ds, segurança física e/ou servidores. Se for o caso, talvez haja um impacto na segurança do ambiente de ds do titular do cartão. Para aquelas entidades que terceirizam o armazenamento, o processamento ou a transmissão dos ds do titular do cartão para prestres de serviços terceirizs, o Relatório sobre a conformidade (ROC) deve registrar a função de cada prestr de serviços, identificando claramente quais requisitos se aplicam à entidade avaliada e quais se aplicam ao prestr de serviços. Há duas opções para que os prestres de serviços terceirizs comprovem a conformidade: Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 12
1) Eles podem ser submetidos a uma avaliação do PCI DSS por vontade própria e fornecer evidências de sua conformidade a seus clientes; ou 2) Caso não se submetam à avaliação do PCI DSS, será necessário que tenham seus serviços analiss durante o curso de cada avaliação do PCI DSS de seus clientes. Para obter mais informações, consulte o indicr que começa com "Para análises do prestr de serviços gerenci (MSP)" no Item 3 na seção "Instruções e conteúdo para o relatório sobre conformidade" abaixo. Além disso, os comerciantes e prestres de serviços devem gerenciar e monitorar a conformidade do PCI DSS de todos os terceiros associs quanto ao acesso aos ds do titular do cartão. Para obter detalhes, consulte o Requisito 12.8 nesse documento. Amostragem de áreas de negócios e componentes do sistema A amostragem não é um requisito do PCI DSS. No entanto, após considerar o escopo e a complexidade gerais do ambiente sendo avali, o avalir pode selecionar amostras representativas de áreas de negócios/componentes de sistema independentemente para avaliar os requisitos do PCI DSS. Essas amostras devem ser definidas primeiramente para as áreas de negócios e, em seguida, para os componentes de sistema em cada área de negócio selecionada. As amostras devem ser uma seleção representativa de todos os tipos e locais das áreas de negócios, bem como tipos de componentes de sistema nas áreas de negócio selecionadas. As amostras devem ser suficientemente amplas para fornecer ao avalir garantia de que os controles serão s conforme o esper. A amostragem de áreas de negócios/componentes de sistema para uma avaliação não reduz o escopo do ambiente dos ds do titular do cartão ou a aplicabilidade dos requisitos do PCI DSS. Utilizando ou não a amostragem, os requisitos do PCI DSS se aplicam ao ambiente inteiro dos ds do titular do cartão. Caso a amostragem seja usada, cada amostra deve ser avaliada quanto a todos os requisitos do PCI DSS aplicáveis. A amostragem dos próprios requisitos do PCI DSS não é permitida. Exemplos de áreas de negócios incluem mas não se limitam a escritórios corporativos, lojas, locais de franquias, áreas de processamento, centros de ds e outros tipo de instalações em diferentes locais. Os exemplos devem incluir componentes de sistema em cada área de negócio. Por exemplo, para cada área de negócio, inclua uma série de sistemas operacionais, funções e aplicativos que são aplicáveis à área sob análise. Como exemplo, o avalir poderia selecionar servidores Sun executando Apache WWW, servidores Windows executando Oracle, sistemas do mainframe executando aplicativos de processamento de cartões legs, servidores de transferência de ds executando HP-UX e servidores Linux executando MYSQL. Se todos os aplicativos forem executs a partir de um único SO (por exemplo, Windows 7 ou Solaris 10), então o exemplo também deverá incluir vários aplicativos (por exemplo, servidores do banco de ds, servidores da Web, servidores de transferência de ds). Ao selecionar exemplos de áreas de negócios/componentes de sistema, os avalires devem considerar o seguinte: Se houver segurança, processos e controles operacionais do PCI DSS s de forma padrão e centralizada que garanta consistência e que cada área de negócio/componente de sistema deva seguir, a amostra poderá ser menor do que se não houver processos/controles padronizs s. A amostra dever ser ampla o bastante para fornecer ao avalir garantia razoável de que todas as áreas de negócio/componentes do sistema estejam configurs pelo processo padrão. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 13
Caso haja mais de um tipo de segurança e ou processo operacional padrão s (por exemplo, para tipos diferentes de áreas de negócio/componentes do sistema), a amostra deve ser ampla o bastante para incluir áreas de negócios/componentes do sistema seguros com cada tipo de processo. Caso não haja processos/controles padrão s e cada área de negócio/componente do sistema seja gerenci por meio de processos não padronizs, a amostra deve ser maior para o avalir se assegurar de que cada área de negócio/componente do sistema tenha os requisitos apropriadamente. Para cada instância em que a amostragem for usada, o avalir deverá: Registrar o argumento atrás da técnica de amostragem e do tamanho da amostragem, Registrar e validade os processos e controles padronizs do PCI DSS uss para determinar o tamanho da amostra e Explicar como a amostra é adequada e representativa da população geral. Os avalires devem revalidar o argumento da amostragem para cada avaliação. Se a amostragem for utilizada, diferentes amostras de áreas de negócios e componentes do sistema devem ser selecionadas para cada avaliação. Controles de compensação Anualmente, quaisquer controles de compensação devem ser registrs, analiss e valids pelo avalir e incluídos no envio do Relatório sobre conformidade, de acordo com o Apêndice B: Controles de compensação e Apêndice C: Planilha dos controles de compensação. Para cada um dos controles de compensação, a Planilha dos controles de compensação (Apêndice C) deve ser preenchida. Além disso, os results dos controles de compensação devem ser registrs no ROC na seção de requisitos do PCI DSS correspondente. Para obter mais detalhes sobre "controles de compensação", consulte os Apêndices B e C mencions acima. Consulte também: Apêndice D: Segmentação e amostragem de áreas de negócios/componentes do sistema. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 14
Instruções e conteúdo para o relatório sobre conformidade Este documento deve ser us como o modelo para a criação do Relatório sobre conformidade. A entidade avaliada deve seguir os requisitos de informe respectivos de cada bandeira de pagamento para assegurar que cada bandeira de pagamento reconheça o status de conformidade da entidade. Entre em contato com cada bandeira de pagamento para definir os requisitos e instruções de informe. Conteúdo e formato do relatório Siga estas instruções referentes ao conteúdo e ao formato do relatório ao preencher um Relatório sobre conformidade: 1. Resumo executivo Inclui o seguinte: Descreve o ramo do cartão de pagamento da entidade, incluindo: - Sua função comercial nos cartões de pagamento, que é como e por que eles armazenam, processam e/ou transmitem ds do titular do cartão Observação: Esse documento não visa ser uma cópia do site da entidade, mas deve ser uma descrição personalizada que demonstra que o avalir compreende o pagamento e a função da entidade. - Como eles processam o pagamento (diretamente, indiretamente, etc.) - A quais tipos de canais de pagamento eles atendem, como cartão não presente (por exemplo, pedido por e-mail-pedido por telefone (MOTO), e-commerce) ou cartão presente - Quaisquer entidades às quais eles estajm vinculs para a transmissão ou o processamento do pagamento, incluindo relacionamentos com o responsável pelo processamento Um diagrama de rede de alto nível (obtido junto à entidade ou cri pelo avalir) da topografia da rede da entidade que inclui: - Conexões dentro e fora da rede - Componentes críticos no ambiente de ds do titular do cartão, incluindo dispositivos POS, sistemas, bancos de ds e servidores da Web, conforme aplicável. - Outros componentes de pagamento necessários, conforme aplicável. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 15
2. Descrição do escopo de trabalho e abordagem tada Descreva o escopo, de acordo com a seção Escopo da avaliação desse documento, incluindo o seguinte: Registre como o avalir validou a precisão do escopo do PCI DSS para a avaliação, incluindo: - Os métodos ou processos uss para identificar e registrar todas as presenças de ds do titular do cartão - Como os results foram avalis e registrs - Como a efetividade e a precisão dos métodos uss foram verificadas - Se o avalir valida que o escopo da avaliação esteja preciso e adequ. Ambiente no qual a avaliação se concentrou (por exemplo, pontos de acesso de Internet do cliente, rede corporativa interna, conexões de processamento) Se houver segmentação de rede implantada e ela tiver sido usada para reduzir o escopo da análise do PCI DSS, explique brevemente essa segmentação e como o avalir validou sua efetividade. Se tiver sido usada amostragem durante a avaliação, para cada conjunto de amostras selecion (de áreas de negócios/componentes de sistema) registre o seguinte: - Total da população - Número exemplific - Argumento para o exemplo selecion - Descrição da segurança, dos processos e controles operacionais padronizs do PCI DSS uss para determinar o tamanho da amostra e como os processos/controles foram valids - Como a amostra é adequada e representativa da população geral - Descrição de quaisquer locais ou ambientes que armazenam, processam ou transmitem ds do titular do cartão que foram EXCLUÍDOS do escopo da análise e por que esses locais/ambientes foram excluídos Relacione quaisquer entidades de propriedade integral que exijam a conformidade com o PCI DSS e se elas foram analisadas separadamente ou como parte dessa avaliação Relacione quaisquer entidades internacionais que exijam a conformidade com o PCI DSS e se elas foram analisadas separadamente ou como parte dessa avaliação Relacione quaisquer LANs sem fio e/ou aplicativos de pagamento sem fio (por exemplo, terminais POS) que estejam vinculs ou que poderiam causar um impacto na segurança do ambiente de ds do titular do cartão e descreva a segurança ada nesses ambientes sem fio A versão do documento Requisitos do PCI DSS e procedimentos da avaliação de segurança usada para realizar a avaliação Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 16
3. Detalhes sobre o Ambiente Analis Inclua os detalhes a seguir nesta seção: Um diagrama de cada link de comunicação, incluindo LAN, WAN ou Internet A descrição do ambiente de ds do titular do cartão, por exemplo: - A transmissão e o processamento do documento dos ds do titular do cartão, incluindo autorização, captura, pagamento, cobrança retroativa e outros fluxos, conforme aplicável - A lista dos arquivos e tabelas que armazenam os ds do titular do cartão, compatível com um inventário cri (ou obtido junto ao cliente) e mantido pelo avalir no documento. Esse inventário deve incluir, para cada armazenamento de ds do titular do cartão (arquivo, tabela, etc.): A lista de todos os elementos dos ds de titular do cartão armazens Como o armazenamento de ds é protegido Como o acesso aos armazenamentos de ds é registr A lista de hardwares e softwares críticos utilizs no ambiente de ds do titular do cartão, junto com a descrição da função/uso de cada um deles A lista dos prestres de serviços e outras entidades com as quais a empresa compartilha os ds do titular do cartão Observação: Essas entidades estão sujeitas ao Requisito 12.8 do PCI DSS) A lista dos produtos dos aplicativos de pagamento de terceiros e números das versões utilizadas, incluindo se cada aplicativo de pagamento foi valid de acordo com PA-DSS. Mesmo se um aplicativo de pagamento tiver sido valid por PA-DSS, o avalir precisará verificar se o aplicativo foi em conformidade com o PCI DSS e no ambiente respectivo, e de acordo com o Guia de ação de PA-DSS do fornecedor do aplicativo de pagamento. Observação: A utilização de aplicativos valids por PA-DSS não é um requisito do PCI DSS. Consulte cada bandeira de pagamento individualmente para compreender seus requisitos de conformidade com PA-DSS. Lista de indivíduos entrevists, suas organizações, títulos e tópicos trats A lista da documentação revisada. Para análises do prestr de serviços gerenci (MSP), o avalir deve identificar com clareza quais requisitos nesse documento se aplicam ao MSP (e estão incluídos na análise) e quais não estão incluídos na análise e cuja inclusão em suas análises é de responsabilidade dos clientes do MSP. Inclua informações sobre quais endereços IP do MSP são detects como parte integrante das varreduras de vulnerabilidades trimestrais do MSP e quais endereços IP são de responsabilidade dos clientes do MSP incluir em suas próprias varreduras trimestrais. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 17
4. Informações de contato e data do relatório Inclui: As informações de contato do comerciante ou prestr de serviços e avalir Programação de avaliação especifique a duração e o período de tempo em que a avaliação ocorreu A data do relatório 5. Results das varreduras trimestrais Resuma os results das quatro varreduras trimestrais mais recentes da ASV no Resumo executivo, assim como nos comentários no Requisito 11.2.2. Observação: é exigido que quatro varreduras trimestrais sejam preenchidas para conformidade com o PCI DSS caso o avalir verifique que: 1) O result mais recente de varredura foi uma varredura de passagem, 2) A entidade documentou políticas e procedimentos exigindo o prosseguimento da varredura trimestral e 3) Quaisquer vulnerabilidades observadas na varredura inicial foi corrigida conforme mostr em nova varredura. Nos anos seguintes após a análise inicial do PCI DSS, quatro varreduras trimestrais aprovadas devem ter ocorrido. A varredura deve abranger todos os endereços IP (na Internet) acessíveis externamente existentes na entidade, de acordo com os Procedimentos de varredura de segurança do PCI. 6. Descobertas e observações No Resumo executivo, sintetize quaisquer descobertas que talvez não se encaixem no formato do modelo do Relatório sobre conformidade padrão. Todos os avalires devem: Usar o modelo Requisitos detalhs do PCI DSS e procedimentos de avaliação de segurança para fornecer descrições e descobertas detalhadas no relatório sobre cada requisito, principal e secundário. Assegurar que todas as respostas N/A sejam explicadas claramente. Analisar e registrar quaisquer controles de compensação considers para concluir que um controle esteja. Para obter mais detalhes sobre "controles de compensação", consulte a seção Controles de compensação acima e os Apêndices B e C. Revalidação dos itens em aberto Um relatório sobre controles s é exigido para verificar a conformidade. O relatório será consider como não conforme se contiver "itens em aberto" ou itens que serão concluídos em uma data futura. O comerciante/prestr de serviços deve atentar para esses itens antes de concluir a validação. Depois que os itens receberem atenção do comerciante/prestr de serviços, o avalir fará uma reavaliação para validar se a solução foi providenciada e todos os requisitos foram atendidos. Após a revalidação, o avalir emitirá um novo Relatório sobre conformidade, atestando que o ambiente de ds do titular do cartão está em total conformidade e irá enviá-lo de forma consistente de acordo com as instruções (veja abaixo). Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 18
Conformidade do PCI DSS Etapas de conclusão 1. Conclua o Relatório de conformidade (ROC) de acordo com a seção acima intitulada "Instruções e conteúdo para o Relatório sobre conformidade". 2. Certifique-se de que a(s) varredura(s) de vulnerabilidades aprovada(s) tenha(m) sido concluída(s) por um Fornecedor de varredura aprov (ASV) do PCI SSC e obtenha uma comprovação da(s) varredura(s) aprovada(s) junto ao ASV. 3. Preencha por completo o Atest de conformidade referente aos Prestres de serviços ou Comerciantes, conforme aplicável. Os Atests de conformidade estão disponíveis no site do PCI SSC (www.pcisecuritystandards.org). 4. Envie o ROC, a comprovação de uma varredura aprovada e o Atest de conformidade, junto com qualquer outra documentação solicitada, ao adquirente (para comerciantes) ou à bandeira de pagamento ou outro solicitante (para prestres de serviços). Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 19
Requisitos detalhs do PCI DSS e procedimentos da avaliação de segurança Para saber mais sobre os Requisitos do PCI DSS e procedimentos da avaliação de segurança, as informações a seguir definem os cabeçalhos das colunas da tabela: Requisitos do PCI DSS Esta coluna define o Padrão de Segurança dos Ds e lista os requisitos para atingir a conformidade do PCI DSS; a conformidade será validada de acordo com esses requisitos. Esta coluna exibe os processos a serem seguidos pelo avalir para validar se os requisitos do PCI DSS estão "em vigor" s - Esta coluna deve ser usada pelo avalir para fornecer uma breve descrição dos controles que foram valids como "s" para cada requisito, incluindo descrições de controles encontrs em ação como result de controles compensatórios ou como result de um requisito sento " aplicável". Observação: Esta coluna não deve ser usada para itens que ainda não estejam s ou para itens em aberto a serem concluídos em uma data futura. s Esta coluna deve ser usada pelo avalir para fornecer uma descrição resumida dos controles que não estão s. Um relatório de não conformidade não deve ser envi a uma bandeira de pagamento ou adquirente a menos que seja solicit de forma específica. Para obter mais instruções sobre os relatórios de não conformidade, consulte os Atests de conformidade, disponíveis no site do PCI SSC (www.pcisecuritystandards.org). Para os controles " s", o avalir pode incluir uma data prevista na qual o comerciante ou o prestr de serviços espera que os controles estejam "s".quaisquer observações ou comentários adicionais também podem ser incluídos aqui. Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 20