Os 12 requisitos do PCI DSS

Uma tradução dos requisitos do PCI DSS e procedimentos de avaliação de segurança. Versão de Maio de 2018.

Nota: Os requisitos do PCI DSS não são considerados em vigor se os controles ainda não estiverem implementados ou se estiverem programados para serem concluídos em um futuro próximo. Após qualquer item aberto ou não no local ser tratado pela entidade, o avaliador reavaliará para validar que a remediação está concluída e que todos os requisitos estejam satisfeitos.

 

Consulte os seguintes recursos (disponíveis no site do PCI SSC) para documentar a avaliação do PCI DSS: https://www.pcisecuritystandards.org/document_library?category=pcidss&document=pci_dss

 

 Para obter instruções sobre como concluir relatórios de conformidade (ROC), consulte o modelo de relatório do ROC do ROC DSS.

 

 Para obter instruções sobre como preencher questionários de autoavaliação (SAQ), consulte as Instruções e Diretrizes do PCI DSS SAQ.

 

 Para obter instruções sobre como enviar relatórios de validação de conformidade com o PCI DSS, consulte os Atestados de conformidade do PCI DSS.

 

Construa e mantenha uma rede e sistemas seguros

 

Requisito 1: Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão

 

Firewalls são dispositivos que controlam o tráfego de computadores permitido entre redes de uma entidade (interna) e redes não confiáveis ​​(externas), bem como tráfego de entrada e saída de áreas mais sensíveis dentro de redes confiáveis ​​internas de uma entidade. O ambiente de dados do portador do cartão é um exemplo de uma área mais sensível dentro da rede confiável de uma entidade.

 

Um firewall examina todo o tráfego de rede e bloqueia as transmissões que não atendem aos critérios de segurança especificados. Todos os sistemas devem ser protegidos de acesso não autorizado de redes não confiáveis, seja acessando o sistema pela Internet como e-commerce, acesso de funcionários a Internet através de navegadores de desktop, acesso a e-mail de funcionários, conexões dedicadas como conexões business-to-business redes ou através de outras fontes. Muitas vezes, caminhos aparentemente insignificantes para e de redes não confiáveis ​​podem fornecer caminhos desprotegidos em sistemas-chave. Os firewalls são um mecanismo chave de proteção para qualquer rede de computadores.

 

Outros componentes do sistema podem fornecer funcionalidade de firewall, desde que atendam aos requisitos mínimos para firewalls, conforme definido no Requisito 1. Onde outros componentes do sistema são usados ​​no ambiente de dados do portador do cartão para fornecer funcionalidade de firewall, esses dispositivos devem ser incluídos no escopo e avaliação do requisito 1.

 

Requisito 2: não usar padrões fornecidos pelo fornecedor para senhas do sistema e outros parâmetros de segurança

 

Indivíduos mal-intencionados (externos e internos a uma entidade) geralmente usam senhas padrão do fornecedor e outras configurações padrão do fornecedor para comprometer os sistemas. Essas senhas e configurações são bem conhecidas pelas comunidades de hackers e são facilmente determinadas por meio de informações públicas.

 

Requisito 3: Proteger os dados armazenados do portador do cartão

 

Os métodos de proteção, como criptografia, truncamento, mascaramento e hashing, são componentes críticos da proteção de dados do portador do cartão. Se um intruso contornar outros controles de segurança e obtiver acesso a dados criptografados, sem as chaves criptográficas adequadas, os dados ficarão ilegíveis e inutilizáveis ​​para essa pessoa.

Outros métodos eficazes de proteção de dados armazenados também devem ser considerados como oportunidades potenciais de mitigação de riscos. Por exemplo, os métodos para minimizar riscos incluem não armazenar os dados do portador do cartão, a menos que seja absolutamente necessário, truncando os dados do portador se não for necessário, e não enviando PANs desprotegidos usando as tecnologias de mensagens do usuário final, como email e mensagem instantânea.

Requisito 4: criptografar a transmissão dos dados do portador do cartão em redes públicas abertas

 

As informações confidenciais devem ser criptografadas durante a transmissão pelas redes que são facilmente acessadas por indivíduos mal-intencionados. Redes sem fio mal configuradas e vulnerabilidades em protocolos de autenticação e criptografia herdados continuam sendo alvos de indivíduos mal-intencionados que exploram essas vulnerabilidades para obter acesso privilegiado aos ambientes de dados de titulares de cartão.

 

Manter um programa de gerenciamento de vulnerabilidades

 

Requisito 5: Proteger todos os sistemas contra malware e atualizar regularmente softwares ou programas antivírus

 

Softwares maliciosos, comumente chamados de “malware” – incluindo vírus, worms e cavalos de Tróia – entram na rede durante muitas atividades aprovadas pelos negócios, incluindo e-mail de funcionários e uso da Internet, computadores móveis e dispositivos de armazenamento, resultando na exploração de vulnerabilidades do sistema. O software antivírus deve ser usado em todos os sistemas comumente afetados por malware para proteger os sistemas contra ameaças de software mal-intencionado atuais e em evolução. Soluções adicionais anti-malware podem ser consideradas como um complemento ao software antivírus; no entanto, essas soluções adicionais não substituem a necessidade de um software antivírus.

Requisito 6: Desenvolver e manter sistemas e aplicativos seguros

 

Indivíduos inescrupulosos usam vulnerabilidades de segurança para obter acesso privilegiado aos sistemas. Muitas dessas vulnerabilidades são corrigidas por patches de segurança fornecidos pelo fornecedor, que devem ser instalados pelas entidades que gerenciam os sistemas. Todos os sistemas devem ter todos os patches de software apropriados para proteger contra a exploração e o comprometimento dos dados do portador do cartão por pessoas mal-intencionadas e softwares mal-intencionados.

 

Nota: Correções de software apropriadas são aquelas correções que foram avaliadas e testadas suficientemente para determinar se as correções não entram em conflito com as configurações de segurança existentes. Para aplicativos desenvolvidos internamente, inúmeras vulnerabilidades podem ser evitadas usando processos de desenvolvimento de sistema padrão e técnicas de codificação seguras.

 

Implementar medidas de controle de acesso fortes

 

Requisito 7: Restringir o acesso aos dados do portador do cartão por necessidade do negócio

Para garantir que dados críticos só possam ser acessados ​​por pessoal autorizado, sistemas e processos devem estar em vigor para limitar o acesso com base na necessidade de conhecer e de acordo com as responsabilidades do trabalho.

 

“Para conhecimento” – é quando os direitos de acesso são concedidos apenas à menor quantidade de dados e privilégios necessários para executar um trabalho.

 

Requisito 8: Identificar e autenticar o acesso aos componentes do sistema

 

Atribuir uma identificação única (ID) a cada pessoa com acesso garante que cada indivíduo seja responsável exclusivo por suas ações. Quando essa responsabilidade está em vigor, as ações executadas em dados e sistemas críticos são executadas e podem ser atribuídas a usuários e processos conhecidos e autorizados.

 

A eficácia de uma senha é amplamente determinada pelo design e implementação do sistema de autenticação – particularmente, a frequência com que tentativas de senha podem ser feitas por um invasor e os métodos de segurança para proteger senhas de usuário no momento da entrada, durante a transmissão e Em armazenamento.

 

Observação: esses requisitos são aplicáveis ​​a todas as contas, incluindo contas de ponto de venda, com recursos administrativos e todas as contas usadas para visualizar ou acessar dados do portador do cartão ou para acessar sistemas com dados do portador do cartão. Isso inclui contas usadas por fornecedores e outros terceiros (por exemplo, para suporte ou manutenção). Esses requisitos não se aplicam a contas usadas por consumidores (por exemplo, portadores de cartão).

 

Requisito 9: restringir o acesso físico aos dados do portador do cartão

 

Qualquer acesso físico a dados ou sistemas que hospedem dados do portador do cartão oferece a oportunidade para que indivíduos acessem dispositivos ou dados e removam sistemas ou cópias impressas, e devem ser apropriadamente restritos. Para os fins do Requisito 9, “pessoal no local” refere-se a funcionários em período integral e meio período, funcionários temporários, contratados e consultores que estão fisicamente presentes nas instalações da entidade. Um “visitante” refere-se a um fornecedor, convidado de qualquer funcionário no local, trabalhadores de serviço ou qualquer pessoa que precise entrar na instalação por um curto período de tempo, geralmente não mais de um dia. “Mídia” refere-se a todas as mídias em papel e eletrônicas contendo dados do portador do cartão.

 

Regularmente monitorar e testar redes

 

Requisito 10: rastrear e monitorar todo o acesso a recursos de rede e dados do portador do cartão

 

Os mecanismos de registro e a capacidade de rastrear as atividades do usuário são essenciais para evitar, detectar ou minimizar o impacto de um comprometimento de dados. A presença de logs em todos os ambientes permite rastreamento, alerta e análise completos quando algo sai errado. Determinar a causa de um comprometimento é muito difícil, se não impossível, sem registros de atividade do sistema.

Requisito 11: Testar regularmente os sistemas e processos de segurança.

 

Vulnerabilidades estão sendo descobertas continuamente por indivíduos e pesquisadores mal-intencionados e sendo introduzidas por novos softwares. Os componentes do sistema, os processos e o software personalizado devem ser testados com frequência para garantir que os controles de segurança continuem refletindo um ambiente em constante mudança.

 

Manter uma política de segurança da informação

 

Requisito 12: Manter uma política que aborde a segurança das informações para todo o pessoal.

 

Uma política de segurança forte define o tom de segurança para toda a entidade e informa ao pessoal o que se espera deles. Todo o pessoal deve estar ciente da sensibilidade dos dados e de suas responsabilidades para protegê-los. Para os fins do Requisito 12, “pessoal” refere-se a funcionários em período integral e meio período, funcionários temporários, contratados e consultores que são “residentes” no site da entidade ou que têm acesso ao ambiente de dados do portador do cartão.

 

Fonte: https://www.pcisecuritystandards.org/document_library?category=pcidss&document=pci_dss