Payment Card Industry (PCI)



Documentos relacionados
Indústria de Cartão de Pagamento (PCI)

Questionário de Auto-avaliação

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS

Indústria de cartões de pagamento (PCI) Padrão de Segurança de Dados

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso:

POLÍTICA DE PRIVACIDADE DA DIXCURSOS (ANEXO AOS TERMOS E CONDIÇÕES GERAIS DE USO DO SITE E CONTRATAÇÃO DOS SERVIÇOS)

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados

Gerenciamento de Incidentes

Política de Privacidade da Golden Táxi Transportes Executivo. Sua Privacidade Na Golden Táxi Transportes Executivo. acredita que, como nosso

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers

Circular 279B 08/08/08. Resolução 890 Regras para Vendas com Cartão de Crédito

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Hackers. Seus dados podem ser inúteis, mas seu computador em si pode ainda ser um recurso valioso.

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

Servidor, Proxy e Firewall. Professor Victor Sotero

ANEXO C (Requisitos PCI DSS)

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda

Aula 03 Malware (Parte 01) Visão Geral. Prof. Paulo A. Neukamp

CONFIGURAÇÃO DO ACESSO REMOTO PARA HS-DHXX93 E HS-DHXX96

CONCEITOS INICIAIS. Agenda A diferença entre páginas Web, Home Page e apresentação Web;

Capítulo 8 - Aplicações em Redes

Especificações da oferta Gerenciamento de dispositivos distribuídos: Gerenciamento de ativos

Sistemas para Internet 06 Ataques na Internet

A Gerência em Redes de Computadores

Firewalls. Firewalls

1. DHCP a. Reserva de IP

LISTA DE VERIFICAÇAO DO SISTEMA DE GESTAO DA QUALIDADE

Professor: Macêdo Firmino Disciplina: Sistemas Operacionais de Rede

Segurança em Sistemas de Informação Tecnologias associadas a Firewall

Gerência de Segurança

Política de privacidade do Movimento Certo Ginástica Laboral Online Última atualização: 17 de março de 2015

Copyright Proibida Reprodução. Prof. Éder Clementino dos Santos

Ao explicar as nossas práticas de manipulação de dados, desejamos desenvolver um relacionamento de confiança a longo prazo com você.

Entendendo como funciona o NAT

Universidade Paulista

Entrar neste site/arquivo e estudar esse aplicativo Prof. Ricardo César de Carvalho

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

UNIVERSIDADE FEDERAL DE PELOTAS

ADMINISTRAÇÃO DE ATIVOS DE TI GERENCIAMENTO DE LIBERAÇÃO

Requisitos de controlo de fornecedor externo

CHECK - LIST - ISO 9001:2000

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência

BlackBerry Mobile Voice System

Cap 03 - Camada de Aplicação Internet (Kurose)

CCNA 2 Conceitos Básicos de Roteadores e Roteamento

POLÍTICA DE PRIVACIDADE CONSULTOR HND

Políticas de segurança e informações

Resumo das Interpretações Oficiais do TC 176 / ISO

Histórico da Revisão. Versão Descrição Autor. 1.0 Versão Inicial

Segurança na Rede Local Redes de Computadores

Guia de Conectividade Worldspan Go Res! A V A N Ç A D O

CHECK LIST DE AVALIAÇÃO DE FORNECEDORES Divisão:

Conceitos Básicos

Mestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Gestão de Configuração

APOO Análise e Projeto Orientado a Objetos. Requisitos

FIREWALL. Prof. Fabio de Jesus Souza. Professor Fabio Souza

Está apto a utilizar o sistema, o usuário que tenha conhecimentos básicos de informática e navegação na internet.

Intranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO

Principais Benefícios. ESET Endpoint Security

HISTÓRICO DAS REVISÕES N.ºREVISÃO DATA IDENTIFICAÇÃO DO DOCUMENTO 00 16/04/2007 Emissão inicial

RESOLUÇÃO N 1 DE 22 DE OUTUBRO DE 2015, DA PRÓ-REITORA DE PLANEJAMENTO

A IMPORTÂNCIA DE FIREWALL S PARA AMBIENTES CORPORATIVOS

Alan Menk Santos Redes de Computadores e Telecomunicações. Camada de Aplicação. Camada de Aplicação

Roteamento e Comutação

Sistemas Operacionais

Política de Privacidade do Serviço OurSound para Estabelecimentos

Projeto de Redes Top-Down

Características de Firewalls

Fraudes No Varejo Virtual: O Que Aprendemos na Submarino - Maio/04

Componentes de um sistema de firewall - II. Segurança de redes

Segurança em computadores e em redes de computadores

BlackBerry Mobile Voice System

CONCURSO PÚBLICO ANALISTA DE SISTEMA ÊNFASE GOVERNANÇA DE TI ANALISTA DE GESTÃO RESPOSTAS ESPERADAS PRELIMINARES

IECEx DOCUMENTO OPERACIONAL

Segurança da Informação

Objetivos deste capítulo

Glossário Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart.

Gerência de Redes Áreas Funcionais de Gerenciamento. Douglas Duarte

Transcrição:

Payment Card Industry (PCI) Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Procedimentos para o Scanning de Segurança Version 1.1 Portuguese Distribuição: Setembro de 2006

Índice Objetivo... 1 Introdução... 1 Escopo do Scanning de Segurança PCI... 1 Procedimento de Scanning... 2 Relatório de Cumprimento... 4 Leitura e Interpretação dos Relatórios... 5 Nível 5... 6 Nível 4... 6 Nível 3... 6 Nível 2... 7 Nível 1... 7 ii

Objetivo Este documento especifica os objetivos e escopo do Scan de Segurança da Indústria de Cartão de Pagamento (PCI) para os estabelecimentos e os prestadores de serviço que executam os Scans de Segurança PCI para ajudar a validar o compliance com o Padrão de Segurança de Dados PCI (PCI Data Security Standard - DSS). Os Provedores Aprovados de Scanning (Aproved Scanning Vendors - ASVs) também usam estes documentos para auxiliar os estabelecimentos e prestadores de serviços a determinar o escopo do Scan de Segurança PCI. Introdução A PCI DSS detalha as exigências de segurança para os estabelecimentos e prestadores de serviço que armazenam, processam ou transmitem os dados do portador de cartão. Para demonstrar o cumprimento das exigências da PCI DSS, pode ser requerido que os estabelecimentos e prestadores de serviço efetuem Scans de Segurança PCI periódicos de acordo com o definido por cada empresa de cartão de pagamento. Os Scans de Segurança PCI são executados através da Internet por um ASV. Os Scans de Segurança PCI são uma ferramenta indispensável a ser usada em conjunto com um programa de administração de vulnerabilidade. Os scans ajudam a identificar vulnerabilidades e erros de configuração de web sites, aplicativos e infraestruturas de tecnologia de Informação (IT) com endereços de protocolo (IP) de Internet externos. Os resultados do scan fornecem informações de grande valor que dão suporte à administração de patchs e outras medidas de segurança para melhorar a proteção contra os ataques à Internet. Os Scans de Segurança PCI podem ser aplicados a todos os estabelecimentos e prestadores de serviços com endereços de IP externos. Mesmo que uma entidade não ofereça transações com base na web, há outros serviços que fazem com que os sistemas possam ser acessados através da Internet. Funções básicas como e-mail e acesso à Internet pelos funcionários resultarão no acesso à rede de uma companhia através da Internet. Estas vias aparentemente insignificantes de e para a Internet podem prover caminhos desprotegidos nos sistemas do estabelecimento e do prestador de serviço e potencial exposição dos dados do portador de cartão de crédito se não for controlado adequadamente. Escopo do Scanning de Segurança PCI A PCI exige que todos os endereços de IP externos sejam scanned para detectar vulnerabilidades. Se forem encontrados endereços de IP que não foram originalmente providos pelo cliente, o ASV deve consultar o cliente 1

para determinar se aqueles endereços de IP devem estar no contexto. Em alguns casos, as empresas podem possuir um grande número de endereços de IP disponíveis embora usem apenas um pequeno número para a aceitação de cartões e processamento. Nestes casos, os prestadores de serviço de scan podem ajudar os estabelecimentos e prestadores de serviço a definir o âmbito apropriado do scan requerido para cumprir com a PCI. Em geral, os seguintes métodos de segmentação podem ser usados para reduzir o âmbito do Scan de Segurança PCI. Estabelecer uma segmentação física entre o segmento que manuseia os dados do portador de cartão e outros segmentos Utilizar a segmentação lógica apropriada onde o tráfego é proibido entre o segmento ou rede manuseando os dados do portador de cartão e outras redes ou segmentos Os estabelecimentos e provedores de serviço possuem a total responsabilidade pela definição do âmbito do seu Scan de Segurança, embora eles possam pedir ajuda profissional dos ASVs. Se ocorrer um comprometimento dos dados de uma conta via um endereço do protocolo de Internet (IP) ou componente não incluído no scan, o estabelecimento ou prestador de serviço deve ser considerado responsável pelo fato. Procedimento de Scanning Para serem considerados como cumpridores da exigência do Scanning de Segurança PCI, os estabelecimentos e prestadores de serviço devem executar o scan dos seus websites ou infraestruturas de IT com endereços de IP externos, de acordo com as seguintes diretrizes: 1. Todos os scans devem ser realizados por um ASV selecionado de uma lista de prestadores de serviços de scanning fornecida pela PCI Security Standards Council Os ASVs devem efetuar os scans de acordo com os procedimento descritos nas Exigências Técnicas e Operacionais para os Prestadores de Serviços de Scanning (Technical and Operational Requirements for Approved Scanning Vendors - ASVs). Estes procedimentos estabelecem que a operação normal do ambiente do cliente não deve sofrer impacto e que o ASV não deve nunca penetrar ou alterar o ambiente do cliente. 2. São exigidos scans trimestrais de acordo com a exigência 11.2 do PCI DSS 3. Antes de fazer o scanning no website e na infraestrutura de IT, os estabelecimentos e provedores de serviços devem: Prover ao ASV uma lista de todos os endereços ativos de IP externos 2

Prover o ASV com uma lista de todos os domínios que devem ser scanned se for usado um host virtual baseado em domínio 4. Ao usar o intervalo de endereços de IP dados pelo cliente, o ASV deve conduzir um exame da rede para determinar quais endereços de IP e serviços encontram-se ativos 5. Os estabelecimentos e prestadores de serviços devem entrar em contato com o ASV para executar scans periódicos de todos endereços de IP (ou domínios, se for aplicável) e dispositivos ativos 6. O ASV deve executar scan de todos os dispositivos de filtragem, tais como firewalls ou routers externos (se usados para filtrar tráfego). Se estiver usando um firewall ou router para estabelecer uma zona desmilitarizada (DMZ), estes dispositivos devem ser scanned para detectar vulnerabilidades 7. O ASV deve executar o scan de todos os servidores da web Os servidores da web permitem que os usuários tenham acesso às web pages e interajam com os estabelecimentos da web. Em decorrência destes servidores serem totalmente acessíveis na Internet pública, é essencial fazer o scanning para a busca de vulnerabilidades. 8. O ASV deve executar o scan de todos os servidores de aplicativos se estiverem presentes Os servidores de aplicativos atuam como uma interface ou intermediário entre o servidor da web e os bancos de dados de backend e sistemas de legado. Por exemplo, quando os portadores de cartão compartilham os números de contas com os estabelecimentos ou prestadores de serviços, o servidor de aplicativo provê a funcionalidade para fazer a entrada e saída dos dados da rede segura. Os hackers se aproveitam das vulnerabilidades destes servidores e dos seus scripts para ter acesso aos bancos de dados internos que podem armazenar potencialmente os dados de cartões de crédito. As configurações de alguns web sites não incluem servidores de aplicativos; o servidor de web está configurado para agir dentro de uma capacidade de servidor de aplicativo. 9. O ASV deve executar o scan de todos os Servidores de Nome de Domínio (Domain Name Servers - DNSs) Os servidores de DNS aprovam os endereços de Internet traduzindo os nomes de domínio nos endereços de Protocolo de Internet (IP). Os estabelecimentos ou prestadores de serviço podem usar seus próprios servidores de serviço de DNS fornecidos pelo seu Provedor de Serviço de Internet (ISP). Se os servidores de DNS estiverem vulneráveis, os hackers podem entrar na página da web de um 3

estabelecimento ou prestador de serviço e coletar as informações sobre cartões de crédito. 10. O ASV deve executar o scan dos servidores de mail Os servidores de e-mail existem tipicamente na DMZ e podem ser vulneráveis a ataques de hackers. Eles são um elemento crítico na manutenção da segurança global dos sites da web. 11. O ASV deve executar o scan dos Hosts Virtuais É uma prática comum ao usar um ambiente de hosting compartilhado que um único servidor venha a hospedar mais de um web site. Neste caso, o estabelecimento compartilha o servidor com outros clientes da companhia proprietária do host. Isto pode permitir que o web site do estabelecimento seja manipulado através de outros web sites existentes no host do servidor. Todos os estabelecimentos cujos websites possuem um host devem exigir que os seus prestadores de serviço de hosting façam o scan de toda a sua infraestrutura externa e demonstrem o cumprimento dos requisitos e que sejam requeridos aos seus estabelecimentos ter os seus próprios domínios scanned. 12. O ASV deve executar o scan dos pontos de acesso wireless em LANs (WLANs) A utilização de WLANs introduz riscos de segurança que necessitam ser identificados e mitigados. Os estabelecimentos, processadores, portais, provedores de serviços e outras entidades devem fazer o scan dos seus componentes wireless para identificar vulnerabilidades e erros de configuração potenciais 13. Devem ser feitos arranjos para configurar o sistema de detecção de intrusão/sistema de prevenção de intrusão (intrusion detection system/intrusion prevention system - IDS/IPS) para aceitar o originador do endereço de IP do ASV. Se isso não for possível, o scan deverá ser originado em uma localidade que previna a interferência do IDS/IPS Relatório de Cumprimento Os estabelecimentos e prestadores de serviços deverão seguir os requisitos para os relatórios de cumprimento respectivos para cada companhia de cartão de crédito com o objetivo de assegurar que cada uma reconheça o status de cumprimento de uma entidade. Embora os relatórios de scan devam ter um formato comum, os resultados devem ser submetidos de acordo com os requisitos da companhia de cartão de crédito. Favor entrar em contato com o seu banco adquirente ou verificar o website regional de cada companhia de cartão de crédito a quem os resultados devam ser encaminhados. 4

Leitura e Interpretação dos Relatórios Os ASVs produzem um relatório informativo baseado nos resultados do scan da rede. O relatório de scan descreve o tipo de vulnerabilidade ou risco, um diagnóstico dos problemas associados e a orientação de como consertar ou patch as vulnerabilidades isoladas. O relatório determinará uma classificação para as vulnerabilidades identificadas no processo de scan. Os ASVs podem ter um método único de reportar as vulnerabilidades; entretanto, os riscos de alto nível deverão ser reportados consistentemente para assegurar uma classificação justa de cumprimento. Favor consultar o seu prestador de serviço ao interpretar o seu relatório de scan. A tabela 1 sugere como uma solução de scan de rede aprovada pode categorizar vulnerabilidades e demonstra os tipos de vulnerabilidades e riscos que são considerados de alto nível. Para ser considerado aprovado, um scan não pode conter um alto nível de vulnerabilidades. O relatório de scan não deve conter quaisquer vulnerabilidades que indiquem características ou configurações que estão em violação da PCI DSS. Se estas violações existirem, o ASV deve consultar o cliente para determinar se estes são de fato, violações da PCI DSS e portanto motivo de um relatório de scan mostrando resultados de não atendimento. As vulnerabilidades de alto nível são designadas como nível 3, 4, ou 5. 5

Nível Severidade Descrição 5 Urgente Trojan Horses, têm a capacidade de ler e escrever o arquivo, execução de comando remoto 4 Crítica Trojan Horses potenciais, têm a capacidade de ler o arquivo 3 Alta Utilização limitada da leitura, navegação dos diretórios e DoS 2 Média Os hackers podem obter informações confidenciais da configuração 1 Baixa Os hackers podem obter informações confidenciais da configuração Tabela 1 Níveis de Severidade da Vulnerabilidade Nível 5 As vulnerabilidades de nível 5 proporcionam aos intrusos remotos uma raiz (root) remota ou capacidades remotas de administração. Com este nível de vulnerabilidade, os hackers podem comprometer o host inteiro. O nível 5 inclui vulnerabilidades que dão aos hackers remotos capacidades completas de leitura e escrita do sistema de arquivo, execução remota de comandos como uma raiz ou usuário administrador. A presença de backdoors e Trojans também se qualificam para uma vulnerabilidade de nível 5. Nível 4 As vulnerabilidades de nível 4 oferecem aos intrusos o uso remoto, mas não com capacidades de usuário administrador ou de raiz. As vulnerabilidades de nível 4 proporcionam aos hackers um acesso parcial aos sistemas de arquivo (por exemplo, acesso completo à leitura sem acesso completo à escrita). As vulnerabilidades que expõem as informações altamente sensíveis também são classificadas como vulnerabilidades de nível 4. Nível 3 As vulnerabilidades de nível 3 proporcionam aos hackers o acesso a informações específicas armazenadas no host, incluindo configurações de segurança. Este nível de vulnerabilidades pode resultar em potencial uso indevido do host por intrusos. Exemplos das vulnerabilidades de nível 3 incluem a revelação parcial do conteúdo do arquivo, acesso a determinados arquivos no host, navegação dos diretórios, descoberta de regras de filtragem e mecanismos de segurança, susceptibilidade para recusa de ataques ao serviço (DoS), e uso não autorizado de serviços tais como a substituição de correspondência. 6

Nível 2 As vulnerabilidades de nível 2 expõem algumas informações confidenciais do host, tais como versões precisas de serviços. Com estas informações, os hackers podem planejar ataques potenciais contra um host. Nível 1 As vulnerabilidades de nível 1 expõem informações, tais como portos abertos. 7

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback