Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Terminal virtual baseado na Web, sem armazenamento eletrnico dos dados do titular do carto
Verso 2.0
Outubro de 2010
Alteraes no documento
Data 28 de outubro de 2010 Verso Descrio Novo Questionrio de auto-avaliao e Atestado de conformidade para comerciantes que usam somente terminais virtuais baseados na Web. Alinhado com os requisitos e procedimentos de teste do PCI DSS v2.0.
2.0
SAQ C-VT do PCI DSS, v2.0, Alteraes no documento Copyright 2010 PCI Security Standards Council LLC
Ou 2010
Pgina i
ndice
Alteraes no documento ............................................................................................. i Padro de segurana de dados do PCI: Documentos relacionados ...................... iii Antes de voc comear ............................................................................................... iv
Preenchendo o questionrio de auto-avaliao ...................................................................iv Conformidade do PCI DSS Etapas para preenchimento ..................................................vi Orientao para no aplicabilidade de determinados requisitos especficos...................vi
Anexo A: (no utilizado) ............................................................................................. 14 Anexo B: Controles de compensao....................................................................... 15 Anexo C: Planilha dos controles de compensao ................................................. 17
Planilha dos controles de compensao Exemplo completo .........................................18
SAQ C-VT do PCI DSS, v2.0, ndice Copyright 2010 PCI Security Standards Council LLC
Para determinar o Questionrio de auto-avaliao adequado, consulte o Padro de segurana de dados do PCI: Diretrizes e instrues de auto-avaliao, "Selecionando o SAQ e o Atestado que melhor se aplicam sua organizao".
Outubro de 2010 Pgina iii
SAQ C-VT do PCI DSS, v2.0, Padro de segurana de dados do PCI: Documentos relacionados Copyright 2010 PCI Security Standards Council LLC
SAQ C-VT do PCI DSS, v2.0, Antes de voc comear Copyright 2010 PCI Security Standards Council LLC
SAQ C-VT do PCI DSS, v2.0, Antes de voc comear Copyright 2010 PCI Security Standards Council LLC
Cada seo deste questionrio se concentra em uma rea especfica de segurana, com base nas exigncias dos Requisitos do PCI DSS e procedimentos da avaliao de segurana. Esta verso reduzida do SAQ inclui perguntas que se aplicam a um tipo especfico de ambiente de pequeno comerciante, conforme definido nos critrios de qualificao acima. Caso haja requisitos do PCI DSS aplicveis ao seu ambiente que no estejam cobertos por este SAQ, pode ser um indcio de que este SAQ no adequado ao seu ambiente. Alm disso, necessrio cumprir com todos os requisitos aplicveis do PCI DSS para estar em conformidade com o PCI DSS.
No aplicabilidade: Este e outros requisitos considerados no aplicveis ao seu ambiente devero ser indicados com "N/A" na coluna "Especial" do SAQ. Da mesma forma, preencha a planilha "Explicao de no aplicabilidade" no Anexo D para cada entrada "N/A".
SAQ C-VT do PCI DSS, v2.0, Antes de voc comear Copyright 2010 PCI Security Standards Council LLC
Parte 1. Informaes sobre o comerciante e o avaliador de segurana qualificado Parte 1a. Informaes sobre a organizao do comerciante
Nome da empresa: Contato: Telefone: Endereo comercial: Estado/Provncia: URL: DBA(s): Forma de tratamento: E-mail: Cidade: Pas: CEP:
Parte 1b. Informaes sobre a empresa do assessor de segurana qualificado (se aplicvel)
Nome da empresa: Nome do contato principal do QSA: Telefone: Endereo comercial: Estado/Provncia: URL: Forma de tratamento: E-mail: Cidade: Pas: CEP:
SAQ C-VT do PCI DSS, v2.0, Atestado de conformidade Copyright 2010 PCI Security Standards Council LLC
SAQ C-VT do PCI DSS, v2.0, Atestado de conformidade Copyright 2010 PCI Security Standards Council LLC
No conformidade: Nem todas as sees do SAQ do PCI esto preenchidas ou algumas perguntas foram respondidas negativamente, resultando em uma classificao geral de NO CONFORMIDADE, de forma que a (Nome da empresa comerciante) no demonstrou conformidade integral com o PCI DSS. Data prevista para conformidade: Uma entidade que estiver enviando este formulrio com um status de No Conformidade talvez tenha de preencher o Plano de Ao na Parte 4 deste documento. Verifique junto ao seu adquirente ou s bandeiras de pagamento antes de preencher a Parte 4, j que nem todas as bandeiras de pagamento exigem essa seo.
SAQ C-VT do PCI DSS, v2.0, Atestado de conformidade Copyright 2010 PCI Security Standards Council LLC
Data
Forma de tratamento
Dados codificados na tarja magntica ou dados equivalentes em um chip usados para autorizao durante a transao com o carto. As entidades no podem manter todos os dados da tarja magntica aps a autorizao da transao. Os nicos elementos dos dados de rastro que podem ser retidos so o nmero da conta, a data de vencimento e o nome. O valor de trs ou quatro dgitos impresso direita do painel de assinatura ou na frente do carto de pagamento usado para verificar transaes virtuais com o carto. Nmero de identificao pessoal inserido pelo titular do carto durante uma transao com o carto e/ou bloqueio de PIN criptografado dentro da mensagem da transao.
SAQ C-VT do PCI DSS, v2.0, Atestado de conformidade Copyright 2010 PCI Security Standards Council LLC
Desenvolver e manter sistemas e aplicativos seguros Restringir o acesso aos dados do titular do carto de acordo com a necessidade de conhecimento para o negcio Restringir o acesso fsico aos dados do titular do carto Manter uma poltica que aborde a segurana das informaes para todas as equipes
12
SAQ C-VT do PCI DSS, v2.0, Atestado de conformidade Copyright 2010 PCI Security Standards Council LLC
Data de preenchimento:
As configuraes do firewall e do router restringem as conexes entre redes no confiveis e qualquer sistema no ambiente de dados do titular do carto, da seguinte forma: Observao: Uma "rede no confivel" qualquer rede externa s redes que pertencem entidade em anlise e/ou qualquer rede que no seja controlada ou gerenciada pela entidade.. 1.2.1 (a) O trfego de entrada e sada est limitado para o trfego necessrio para o ambiente de dados do titular do carto e as restries esto documentadas? (b) Todos os outros trfegos de entrada e sada so recusados de forma especfica (como ao usar a opo explcita "recusar todos" ou uma recusa implcita aps a declarao de permisso)? 1.2.3 Existem firewalls de permetro instalados entre quaisquer redes sem fio e o ambiente de dados do titular do carto e esses firewalls esto configurados para recusar ou controlar (se esse trfego for necessrio para fins comerciais) qualquer trfego a partir do ambiente sem fio no ambiente de dados do titular do carto?
1.3
A configurao do firewall probe o acesso pblico direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do carto, da seguinte forma: 1.3.3 As conexes diretas esto proibidas para trfego de entrada ou sada entre a Internet e o ambiente dos dados do titular do carto? O trfego de sada do ambiente de dados do titular do carto para a Internet est explicitamente autorizado? A inspeo com status, tambm conhecida como filtragem de pacote dinmico, est implementada (ou seja, somente conexes estabelecidas podem entrar na rede)?
1.3.5 1.3.6
SAQ C-VT do PCI DSS, v2.0, Questionrio de auto-avaliao Copyright 2010 PCI Security Standards Council LLC
Resposta:
Sim
N o
Especial*
(a) Existe um software de firewall pessoal instalado e ativo em todos os computadores mveis e/ou de propriedade do funcionrio com conectividade direta Internet (por exemplo: laptops usados pelos funcionrios) usados para acessar a rede da empresa? (b) O software de firewall pessoal est configurado de acordo com padres especficos e no pode ser alterado pelos usurios de computadores mveis e/ou de propriedade do funcionrio?
Requisito 2: No usar padres disponibilizados pelo fornecedor para senhas do sistema e outros parmetros de segurana
Pergunta do PCI DSS 2.1 Resposta: Sim No Especial*
Os valores-padro entregues pelo fornecedor so sempre alterados antes de instalar um sistema na rede? Os valores padro entregues pelo fornecedor incluem, entre outros itens, senhas, strings de comunidade de SNMP (simple network management protocol) e a eliminao de contas desnecessrias. 2.1.1 Para ambientes sem fio conectados ao ambiente dos dados do titular do carto ou para a transmisso dos dados do titular do carto, os padres so alterados da seguinte forma: (a) As chaves de criptografia padro so alteradas na instalao e so modificadas sempre que um funcionrio que conhece as chaves sai da empresa ou troca de cargo? (b) As strings de comunidades de SNMP padro dos dispositivos sem fio so alteradas? (c) As senhas/frases de senha padro dos pontos de acesso so alteradas? (d) O firmware dos dispositivos sem fio atualizado para ser compatvel com a criptografia robusta para autenticao e transmisso em redes sem fio? (e) Os outros padres relacionados segurana do fornecedor de dispositivos sem fio so alterados, se aplicvel? 2.2.2 (a) Somente os servios, protocolos e daemons necessrios, entre outros, so ativados conforme a necessidade para a funo do sistema (ou seja, os servios e protocolos que no so diretamente necessrios para a execuo da funo especificada do dispositivo esto desativados)?
SAQ C-VT do PCI DSS, v2.0, Questionrio de auto-avaliao Copyright 2010 PCI Security Standards Council LLC
O cdigo ou valor de verificao do carto (nmero de trs ou quatro dgitos impresso na frente ou atrs do carto de pagamento) no armazenado em nenhuma circunstncia?
3.3
O PAN mascarado quando exibido (os primeiros seis e quatro ltimos dgitos so o nmero mximo de dgitos a serem exibidos)? Observaes: Este requisito no se aplica aos funcionrios e outras partes interessadas que precisam visualizar o PAN completo. Este requisito no substitui os requisitos mais rigorosos em vigor quanto s exibies dos dados do titular do carto, como para recibos de pontos de venda (POS).
Requisito 4: Criptografar a transmisso dos dados do titular do carto em redes abertas e pblicas
Pergunta do PCI DSS 4.1 (a) Resposta: Sim No Especial
*
So utilizadas criptografia robusta e protocolos de segurana como SSLTLS, SSH ou IPSEC para proteger os dados confidenciais do titular do carto durante a transmisso em redes abertas e pblicas? Os exemplos de redes pblicas e abertas que se encontram no escopo do PCI DSS incluem, entre outros, a Internet, tecnologias sem fio, GSM (Global System for Mobile communications) e GPRS (General Packet Radio Service).
(b) Somente chaves e/ ou certificados confiveis so aceitos? (e) Para implementaes de SSL/TLS: O HTTPS exibido como parte do Universal Record Locator (URL) do navegador? Os dados do titular do carto so exigidos somente quando HTTPS exibido no URL? 4.2 (b) Existem polticas em vigor que afirmam que os PANs desprotegidos no so enviados por meio das tecnologias de envio de mensagens de usurio final?
SAQ C-VT do PCI DSS, v2.0, Questionrio de auto-avaliao Copyright 2010 PCI Security Standards Council LLC
Os softwares antivrus esto implementados em todos os sistemas normalmente afetados por softwares mal-intencionados? 5.1.1 Todos os programas antivrus podem detectar, remover e proteger contra todos os tipos conhecidos de softwares malintencionados (como vrus, trojans, worms, spywares, adwares e rootkits)?
5.2
Todos os mecanismos antivrus esto atualizados, funcionando ativamente e gerando logs de auditoria da seguinte forma: (a) A poltica de antivrus requer a atualizao do software e das definies do antivrus? (c) As atualizaes automticas e as varreduras peridicas esto ativadas? (d) Todos os mecanismos de antivrus geram logs de auditoria e os logs so mantidos de acordo com o Requisito 10.7 do PCI DSS?
(a) Todos os componentes e softwares do sistema esto protegidos de vulnerabilidades conhecidas pois tm os patches de segurana mais recentes disponibilizados pelos fornecedores instalados? (b) Os patches de segurana crticos so instalados no prazo de um ms aps o lanamento?
SAQ C-VT do PCI DSS, v2.0, Questionrio de auto-avaliao Copyright 2010 PCI Security Standards Council LLC
O acesso aos componentes do sistema e aos dados do titular do carto limitado somente quelas pessoas cuja funo requer tal acesso, conforme itens a seguir: 7.1.1 Os direitos de acesso dos IDs dos usurios privilegiados esto restritos ao menor nmero de privilgios necessrios para o desempenho das responsabilidades da funo? Os privilgios so concedidos s pessoas com base na classificao e na atribuio da funo (tambm chamado de "controle de acesso baseado na funo" ou RBAC)?
7.1.2
Todas as mdias esto fisicamente seguras (incluindo, entre outros, computadores, mdias eletrnicas removveis, recibos em papel, relatrios em papel e faxes)? Para os fins do Requisito 9, "Mdia" refere-se a todas as mdias em papel ou eletrnicas que contm dados do titular do carto (a) mantido um controle rigoroso quanto distribuio interna ou externa de qualquer tipo de mdia? (b) Os controles incluem o seguinte: 9.7.1 9.7.2 A mdia classificada para que a confidencialidade dos dados possa ser determinada? A mdia enviada via um mensageiro seguro ou outro mtodo de entrega que possa ser rastreado com preciso?
9.7
9.8
Existem logs para rastrear todas as mdias que so movidas de uma rea segura, com aprovao da gerncia antes da transferncia da mdia (especialmente quando a mdia distribuda para pessoas fsicas)? mantido um controle rigoroso sobre o armazenamento e a acessibilidade das mdias?
9.9
SAQ C-VT do PCI DSS, v2.0, Questionrio de auto-avaliao Copyright 2010 PCI Security Standards Council LLC
Resposta:
Sim
No
Especial
*
Todas as mdias so destrudas quando no so mais necessrias por razes corporativas ou legais? A destruio executada da seguinte forma: 9.10.1 (a) Os materiais impressos so fragmentados, incinerados ou reciclados, de forma que os dados do titular do carto no possam ser reconstrudos? (b) Os contineres que armazenam informaes so destrudos de forma segura para prevenir o acesso aos contedos? (Por exemplo: um continer "a ser triturado" tem uma trava que impede o acesso ao seu contedo.)
SAQ C-VT do PCI DSS, v2.0, Questionrio de auto-avaliao Copyright 2010 PCI Security Standards Council LLC
Existe uma poltica de segurana estabelecida, publicada, mantida e disseminada para todas as equipes relevantes? Para as finalidades do Requisito 12, "equipe" refere-se a funcionrios que trabalham em perodo integral e meio-perodo, funcionrios e equipes temporrias, e prestadores de servios e consultores que "residem" no endereo da entidade ou tm acesso ao ambiente de dados do titular do carto. 12.1.3 A poltica de segurana das informaes analisada pelo menos uma vez por ano e atualizada conforme necessrio para refletir as alteraes nos objetivos de negcios ou no ambiente de risco?
12.3
(a) Existem polticas de utilizao para tecnologias crticas (por exemplo: tecnologias de acesso remoto, tecnologias sem fio, mdia eletrnica removvel, laptops, tablets, dados pessoais/assistentes digitais (PDAs), uso de e-mail e uso da Internet) desenvolvidas para definir o uso adequado dessas tecnologias para todas as equipes que requerem: 12.3.1 12.3.3 12.3.5 Aprovao explcita pelas partes autorizadas para uso das tecnologias? Uma lista de todos esses dispositivos e equipes com acesso? Usos aceitveis das tecnologias?
12.4
A poltica e os procedimentos de segurana definem claramente as responsabilidades quanto segurana das informaes para todas as equipes? As seguintes responsabilidades do gerenciamento da segurana da informao so atribudas a uma pessoa ou a uma equipe formalmente: 12.5.3 Definio, documentao e distribuio dos procedimentos de resposta e escalao de incidentes de segurana para assegurar que todas as situaes sejam abordadas de modo oportuno e eficiente?
12.5
12.6
(a) Existe algum programa formal de conscientizao da segurana em vigor para conscientizar todas as equipes sobre a importncia da segurana dos dados do titular do carto?
SAQ C-VT do PCI DSS, v2.0, Questionrio de auto-avaliao Copyright 2010 PCI Security Standards Council LLC
Resposta:
Sim
No
Especial*
Se os dados do titular do carto forem compartilhados com prestadores de servios, existem polticas e procedimentos mantidos e implementados para gerenciar prestadores de servios, conforme os itens a seguir: 12.8.1 12.8.2 mantida uma lista de prestadores de servios? mantido um acordo por escrito que inclua um reconhecimento de que os prestadores de servios so responsveis pela segurana dos dados do titular do carto que eles possurem? Existe um processo definido para a contratao dos prestadores de servios, incluindo uma diligncia devida adequada antes da contratao? mantido um programa para monitorar anualmente o status de conformidade com o PCI DSS dos prestadores de servios?
12.8.3
12.8.4
SAQ C-VT do PCI DSS, v2.0, Questionrio de auto-avaliao Copyright 2010 PCI Security Standards Council LLC
SAQ C-VT do PCI DSS, v2.0, Anexo A: (no utilizado) Copyright 2010 PCI Security Standards Council LLC
SAQ C-VT do PCI DSS, v2.0, Anexo B: Controles de compensao Copyright 2010 PCI Security Standards Council LLC
O responsvel pela avaliao deve analisar os controles de compensao por completo durante cada avaliao anual do PCI DSS para validar se cada controle de compensao aborda adequadamente o risco para o qual o requisito do PCI DSS original foi elaborado, de acordo com os itens 1 a 4 acima. Para manter a conformidade, os processos e controles devem estar implementados para assegurar que os controles de compensao permaneam efetivos aps a concluso da avaliao.
SAQ C-VT do PCI DSS, v2.0, Anexo B: Controles de compensao Copyright 2010 PCI Security Standards Council LLC
3. Risco identificado
SAQ C-VT do PCI DSS, v2.0, Anexo C: Planilha dos controles de compensao Copyright 2010 PCI Security Standards Council LLC
2. Objetivo
Definir o objetivo do controle original; identificar o objetivo atendido pelo controle de compensao.
3. Risco identificado
Identificar qualquer risco adicional imposto pela ausncia do controle original. Definir os controles de compensao e explicar como eles abordam os objetivos do controle original e o aumento dos riscos, caso haja algum.
6. Manuteno
SAQ C-VT do PCI DSS, v2.0, Anexo C: Planilha dos controles de compensao Copyright 2010 PCI Security Standards Council LLC
Motivo pelo qual o requisito no se aplica Os dados do titular do carto nunca so compartilhados com prestadores de servios.
SAQ C-VT do PCI DSS, v2.0, Anexo D: Explicao de no aplicabilidade Copyright 2010 PCI Security Standards Council LLC