Scribd Logo
Carica

Benvenuto in Scribd!

  • SAQ C v20 12 2-10 Form PT-BR PDF

    Caricato da

    Wladmir Vargas Campestrini
    16 visualizzazioni30 pagine

    Titolo originale

    SAQ_C_v20_12_2-10_form_PT-BR.pdf

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formati disponibili

    PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Scarica in formato PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    16 visualizzazioni30 pagine

    SAQ C v20 12 2-10 Form PT-BR PDF

    Caricato da

    Wladmir Vargas Campestrini

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Scarica in formato PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 30

    Setor de cartes de pagamento (PCI) Padro de segurana de dados

    Questionrio de auto-avaliao C
    e Atestado de conformidade

    Aplicativo de pagamento conectado Internet, sem armazenamento eletrnico dos dados do titular do carto
    Verso 2.0
    Outubro de 2010

    Alteraes no documento
    Data 1 de outubro de 2008 28 de outubro de 2010 Verso 1.2 2.0 Descrio Para alinhar o contedo com o novo PCI DSS v1.2 e para implementar alteraes menores observadas desde o original v1.1. Para alinhar o contedo com os novos requisitos e procedimentos de teste do PCI DSS v2.0.

    SAQ C do PCI DSS, v2.0, Alteraes no documento Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina i

    ndice
    Alteraes no documento ............................................................................................. i Padro de segurana de dados do PCI: Documentos relacionados ...................... iii Antes de voc comear ............................................................................................... iv
    Preenchendo o questionrio de auto-avaliao ...................................................................iv Conformidade do PCI DSS Etapas para preenchimento ...................................................v Orientao para no aplicabilidade de determinados requisitos especficos....................v

    Atestado de conformidade, SAQ C.............................................................................. 1 Questionrio de auto-avaliao C................................................................................ 7


    Construir e manter uma rede segura......................................................................................7 Requisito 1: Instalar e manter uma configurao de firewall para proteger os dados .............7 Requisito 2: No usar padres disponibilizados pelo fornecedor para senhas do sistema e outros parmetros de segurana ................................................................8 Proteger os dados do titular do carto.................................................................................10 Requisito 3: Proteger os dados armazenados do titular do carto ........................................10 Requisito 4: Criptografar a transmisso dos dados do titular do carto em redes abertas e pblicas.....................................................................................................11 Manter um programa de gerenciamento de vulnerabilidades............................................12 Requisito 5: Usar e atualizar regularmente o software ou programas antivrus....................12 Requisito 6: Desenvolver e manter sistemas e aplicativos seguros .....................................12 Implementar medidas de controle de acesso rigorosas.....................................................13 Requisito 7: Restringir o acesso aos dados do titular do carto de acordo com a necessidade de conhecimento para o negcio.........................................13 Requisito 8: Atribuir uma identidade exclusiva para cada pessoa que tenha acesso ao computador ...............................................................................................13 Requisito 9: Restringir o acesso fsico aos dados do titular do carto..................................13 Monitorar e testar as redes regularmente ............................................................................15 Requisito 11: Testar regularmente os sistemas e processos de segurana.........................15 Manter uma poltica de segurana de informaes ............................................................17 Requisito 12: Manter uma poltica que aborde a segurana das informaes para todas as equipes .....................................................................................................17

    Anexo A: (no utilizado) ............................................................................................. 19 Anexo B: Controles de compensao....................................................................... 20 Anexo C: Planilha dos controles de compensao ................................................. 22
    Planilha dos controles de compensao Exemplo completo .........................................23

    Anexo D: Explicao de no aplicabilidade.............................................................. 24

    SAQ C do PCI DSS, v2.0, ndice Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina ii

    Padro de segurana de dados do PCI: Documentos relacionados


    Os documentos a seguir foram criados para auxiliar comerciantes e prestadores de servios a entenderem o Padro de segurana de dados do PCI e o SAQ do PCI DSS. Documento Padro de segurana de dados do PCI: Requisitos e procedimentos da avaliao de segurana Navegando pelo PCI DSS: Entendendo o porqu dos requisitos Padro de segurana de dados do PCI: Diretrizes e instrues de auto-avaliao Padro de segurana de dados do PCI: Questionrio A de auto-avaliao e atestado Padro de segurana de dados do PCI: Questionrio B de auto-avaliao e atestado Padro de segurana de dados do PCI: Questionrio C-VT de auto-avaliao e atestado Padro de segurana de dados do PCI: Questionrio C de auto-avaliao e atestado Padro de segurana de dados do PCI: Questionrio D de auto-avaliao e atestado Padro de segurana de dados do PCI e Padro de segurana de dados de aplicativos de pagamento: Glossrio de termos, abreviaes e acrnimos Pblico Todos os comerciantes e prestadores de servios Todos os comerciantes e prestadores de servios Todos os comerciantes e prestadores de servios Comerciantes qualificados1 Comerciantes qualificados1 Comerciantes qualificados1 Comerciantes qualificados1 Comerciantes e prestadores de servios qualificados1 Todos os comerciantes e prestadores de servios

    Para determinar o Questionrio de auto-avaliao adequado, consulte o Padro de segurana de dados do PCI: Diretrizes e instrues de auto-avaliao, "Selecionando o SAQ e o Atestado que melhor se aplicam sua organizao".
    Outubro de 2010 Pgina iii

    SAQ C do PCI DSS, v2.0, Padro de segurana de dados do PCI: Documentos relacionados Copyright 2010 PCI Security Standards Council LLC

    Antes de voc comear


    Preenchendo o questionrio de auto-avaliao
    O SAQ C foi desenvolvido para resolver as exigncias aplicveis aos comerciantes que processam dados do titular do carto por meio de aplicativos de pagamento (como sistemas de POS) conectados Internet (via conexo DSL, modem a cabo, etc.), mas que no armazenam os dados do titular do carto em nenhum sistema de computadores. Esses aplicativos de pagamento esto conectados Internet porque: 1. O aplicativo de pagamento est em um computador pessoal conectado Internet, ou 2. O aplicativo de pagamento est conectado Internet para transmitir os dados do titular do carto. Os comerciantes do SAQ C so definidos aqui e no documento Diretrizes e instrues do Questionrio de auto-avaliao do PCI DSS. Os comerciantes do SAQ C processam os dados do titular do carto por meio de mquinas de POS ou outros sistemas de aplicativo de pagamento conectados Internet e no armazenam os dados do titular do carto em nenhum sistema de computadores, podendo ser do tipo real (carto presente) ou comrcio eletrnico ou pedidos por correio/telefone (carto no presente). Esses comerciantes validam a conformidade ao preencherem o SAQ C e o Atestado de conformidade associado, confirmando que: Sua empresa possui um sistema de aplicativo de pagamento e uma conexo com Internet no mesmo dispositivo e/ou na mesma rede local (LAN); O aplicativo de pagamento/dispositivo de Internet no est conectado a nenhum outro sistema no ambiente (isso pode ser feito atravs de segmentao da rede para isolar o sistema de aplicativo de pagamento/dispositivo de Internet de todos os outros sistemas); O armazenamento da empresa no est conectado a nenhum outro local de armazenamento e todas as LANs so somente para armazenamento exclusivo; Sua empresa retm somente relatrios ou cpias em papel dos recibos; Sua empresa no armazena dados do titular do carto em formato eletrnico; e O fornecedor do aplicativo de pagamento da sua empresa usa tcnicas seguras para fornecer suporte remoto ao seu sistema de pagamento.

    Cada seo deste questionrio se concentra em uma rea especfica de segurana, com base nas exigncias dos Requisitos do PCI DSS e procedimentos da avaliao de segurana. Esta verso reduzida do SAQ inclui perguntas que se aplicam a um tipo especfico de ambiente de pequeno comerciante, conforme definido nos critrios de qualificao acima. Caso haja requisitos do PCI DSS aplicveis ao seu ambiente que no estejam cobertos por este SAQ, pode ser um indcio de que este SAQ no adequado ao seu ambiente. Alm disso, necessrio cumprir com todos os requisitos aplicveis do PCI DSS para estar em conformidade com o PCI DSS.

    SAQ C do PCI DSS, v2.0, Antes de voc comear Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina iv

    Conformidade do PCI DSS Etapas para preenchimento


    1. Avalie seu ambiente quanto conformidade com o PCI DSS. 2. Preencha o Questionrio de auto-avaliao (SAQ C) segundo as instrues do arquivo Diretrizes e instrues do Questionrio de auto-avaliao do PCI DSS. 3. Faa uma varredura de vulnerabilidade aprovada com um Fornecedor de varredura aprovado (ASV) do PCI SSC e obtenha a comprovao de uma varredura aprovada com o ASV. 4. Preencha integralmente o Atestado de conformidade. 5. Envie o SAQ, uma evidncia de uma varredura aprovada e o Atestado de conformidade, junto com as outras documentaes solicitadas, para seu adquirente.

    Orientao para no aplicabilidade de determinados requisitos especficos


    Excluso: Se voc precisar responder o SAQ C para validar sua conformidade com o PCI DSS, as seguintes excees podem ser consideradas. Consulte a seo "No aplicabilidade" abaixo para obter uma resposta adequada do SAQ. As perguntas especficas relacionadas a dispositivos sem fio s precisaro ser respondidas se houver dispositivos sem fio em algum lugar da sua rede (por exemplo: os Requisitos 1.2.3, 2.1.1 e 4.1.1). Observe que o Requisito 11.1 (uso de um processo para identificar pontos de acesso sem fio no autorizados) dever ser respondido, mesmo que o dispositivo sem fio no esteja na sua rede, pois o processo detecta intrusos ou dispositivos no autorizados que possam ter sido adicionados sem seu conhecimento.

    No aplicabilidade: Este e outros requisitos considerados no aplicveis ao seu ambiente devero ser indicados com "N/A" na coluna "Especial" do SAQ. Da mesma forma, preencha a planilha "Explicao de no aplicabilidade" no Anexo D para cada entrada "N/A".

    SAQ C do PCI DSS, v2.0, Antes de voc comear Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina v

    Atestado de conformidade, SAQ C


    Instrues para envio
    O comerciante deve preencher este Atestado de Conformidade como uma declarao do status de conformidade dele com os Requisitos do padro de segurana de dados do setor de cartes de pagamento (PCI DSS) e procedimentos da avaliao de segurana. Preencha todas as sees aplicveis e consulte as instrues de envio em Conformidade do PCI DSS Etapas para preenchimento, neste documento.

    Parte 1. Informaes sobre o comerciante e o avaliador de segurana qualificado Parte 1a. Informaes sobre a organizao do comerciante
    Nome da empresa: Contato: Telefone: Endereo comercial: Estado/Provncia: URL: DBA(s): Forma de tratamento: E-mail: Cidade: Pas: CEP:

    Parte 1b. Informaes sobre a empresa do assessor de segurana qualificado (se aplicvel)
    Nome da empresa: Nome do contato principal do QSA: Telefone: Endereo comercial: Estado/Provncia: URL: Forma de tratamento: E-mail: Cidade: Pas: CEP:

    Parte 2. Tipo de negcio do comerciante (assinale todas as alternativas que se aplicam):


    Varejo Telecomunicaes Gneros alimentcios e supermercados Pedidos por correio/telefone Outros Petrleo Comrcio eletrnico (especifique):

    Listar as instalaes e locais includos na anlise do PCI DSS:

    Parte 2a. Relaes


    Sua empresa se relaciona com um ou mais agentes de terceiros (por exemplo: gateways, empresas de hospedagem na Web, agentes de passagens areas, agentes de programas de fidelidade, etc.)? Sua empresa se relaciona com mais de um adquirente?
    SAQ C do PCI DSS, v2.0, Atestado de conformidade Copyright 2010 PCI Security Standards Council LLC

    Sim No Sim No
    Outubro de 2010 Pgina 1

    SAQ C do PCI DSS, v2.0, Atestado de conformidade Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 2


    Parte 2b. Processamento das transaes
    Como e em qual capacidade seu negcio armazena, processa e/ou transmite dados do titular do carto? Fornea as seguintes informaes relacionadas aos aplicativos de pagamentos usados pela sua organizao: Aplicativo de pagamento em uso Nmero da verso ltima validao de acordo com o PABP/PA-DSS

    Parte 2c. Qualificao para preencher o SAQ C


    O comerciante certifica a sua qualificao para preencher esta verso abreviada do Questionrio de autoavaliao porque: O comerciante possui um sistema de aplicativo de pagamento e uma conexo com Internet ou com a rede pblica no mesmo dispositivo e/ou na mesma rede local (LAN); O sistema de aplicativo de pagamento/dispositivo ligado Internet no est conectado a nenhum outro sistema dentro do ambiente do comerciante; O armazenamento do comerciante no est conectado a nenhum outro local de armazenamento e

    todas as LANs so somente para armazenamento exclusivo;


    O comerciante no armazena dados do titular do carto em formato eletrnico; Se o Comerciante armazenar os dados do titular do carto, esses dados s estaro em relatrios ou cpias em papel dos recibos e no sero recebidos eletronicamente; e O software de aplicativo de pagamento do comerciante usa tcnicas seguras para fornecer suporte remoto ao seu sistema seguro de aplicativos de pagamento.

    Parte 3. Validao do PCI DSS


    Com base nos resultados anotados no SAQ C datados de (data do preenchimento), a (Nome da empresa do comerciante) declara o seguinte status de conformidade (marque um): Em conformidade: Todas as sees do PCI SAQ esto preenchidas, todas as perguntas foram respondidas afirmativamente, resultando em uma classificao geral de CONFORMIDADE, e uma varredura de verificao aprovada foi preenchida por um Fornecedor de varredura aprovado do PCI SSC, de forma que a (Nome da empresa do comerciante) demonstrou conformidade integral com o PCI DSS.

    SAQ C do PCI DSS, v2.0, Atestado de conformidade Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 3

    No conformidade: Nem todas as sees do PCI SAQ esto preenchidas ou algumas perguntas foram respondidas negativamente, resultando em uma classificao geral de NO CONFORMIDADE, ou uma varredura de verificao aprovada no foi preenchida por um Fornecedor de varredura aprovado do PCI SSC, de forma que a (Nome da empresa do comerciante) no demonstrou conformidade integral com o PCI DSS. Data prevista para conformidade: A entidade que estiver enviando este formulrio com um status de No conformidade talvez tenha de preencher o Plano de ao na Parte 4 deste documento. Verifique junto ao seu adquirente ou s bandeiras de pagamento antes de preencher a Parte 4, j que nem todas as bandeiras de pagamento exigem essa seo.

    SAQ C do PCI DSS, v2.0, Atestado de conformidade Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 4


    Parte 3a. Confirmao do status de conformidade
    O comerciante confirma que: O Questionrio de auto-avaliao C do PCI DSS, verso (verso do SAQ), foi preenchido segundo as instrues nele contidas. Todas as informaes contidas no SAQ mencionado anteriormente e neste atestado representam adequadamente os resultados de minha avaliao em todos os aspectos materiais. Eu confirmei com meu fornecedor do aplicativo de pagamento que o aplicativo no armazena dados de autenticao confidenciais aps a autorizao. Eu li o PCI DSS e reconheo que sempre devo manter a conformidade total com o PCI DSS. No h evidncia de armazenamento de dados de tarja magntica (ou seja, rastros)2, dados CAV2, CVC2, CID ou CVV23, ou dados de PIN4 aps a autorizao da transao em NENHUM sistema revisto durante esta avaliao.

    Parte 3b. Reconhecimento do comerciante

    Assinatura do responsvel executivo pelo comerciante

    Data

    Nome do responsvel executivo pelo comerciante

    Forma de tratamento

    Empresa comerciante representada

    Dados codificados na tarja magntica ou dados equivalentes em um chip usados para autorizao durante a transao com o carto. As entidades no podem manter todos os dados da tarja magntica aps a autorizao da transao. Os nicos elementos dos dados de rastro que podem ser retidos so o nmero da conta, a data de vencimento e o nome. O valor de trs ou quatro dgitos impresso direita do painel de assinatura ou na frente do carto de pagamento usado para verificar transaes virtuais com o carto. Nmero de identificao pessoal inserido pelo titular do carto durante uma transao com o carto e/ou bloqueio de PIN criptografado dentro da mensagem da transao.

    SAQ C do PCI DSS, v2.0, Atestado de conformidade Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 5

    Parte 4. Plano de ao para status de no conformidade


    Selecione o "Status de conformidade" adequado para cada requisito. Se voc responder "NO" a qualquer um dos requisitos, ser necessrio informar a data na qual a empresa estar em conformidade com o requisito e uma descrio resumida das aes que esto sendo realizadas para atender ao requisito. Verifique junto ao seu adquirente ou s bandeiras de pagamento antes de preencher a Parte 4, j que nem todas as bandeiras de pagamento exigem essa seo. Status de conformidade (selecione um) Requisito do PCI DSS 1 Descrio do requisito Instalar e manter uma configurao de firewall para proteger os dados do titular do carto No usar padres disponibilizados pelo fornecedor para senhas do sistema e outros parmetros de segurana Proteger os dados armazenados do titular do carto Criptografar a transmisso dos dados do titular do carto em redes abertas e pblicas Usar e atualizar regularmente o software ou programas antivrus SIM NO

    Data e aes de correo (se o Status de conformidade for "No")

    Desenvolver e manter sistemas e aplicativos seguros Restringir o acesso aos dados do titular do carto de acordo com a necessidade de conhecimento para o negcio Atribuir uma identidade exclusiva para cada pessoa que tenha acesso ao computador Restringir o acesso fsico aos dados do titular do carto

    11

    Testar regularmente os sistemas e processos de segurana Manter uma poltica que aborde a segurana das informaes para todas as equipes

    12

    SAQ C do PCI DSS, v2.0, Atestado de conformidade Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 6

    Questionrio de auto-avaliao C
    Observao: As perguntas a seguir esto numeradas de acordo com os requisitos e procedimentos de teste do PCI DSS, conforme definido no documento Requisitos do PCI DSS e procedimentos da avaliao de segurana.

    Data de preenchimento:

    Construir e manter uma rede segura


    Requisito 1: Instalar e manter uma configurao de firewall para proteger os dados
    1.2 Pergunta do PCI DSS Resposta: Sim No Especial*

    As configuraes do firewall e do router restringem as conexes entre redes no confiveis e qualquer sistema no ambiente de dados do titular do carto, da seguinte forma: Observao: Uma "rede no confivel" qualquer rede externa s redes que pertencem entidade em anlise e/ou qualquer rede que no seja controlada ou gerenciada pela entidade.. 1.2.1 (a) O trfego de entrada e sada est limitado para o trfego necessrio para o ambiente de dados do titular do carto e as restries esto documentadas? (b) Todos os outros trfegos de entrada e sada so recusados de forma especfica (como ao usar a opo explcita "recusar todos" ou uma recusa implcita aps a declarao de permisso)? 1.2.3 Existem firewalls de permetro instalados entre quaisquer redes sem fio e o ambiente de dados do titular do carto e esses firewalls esto configurados para recusar ou controlar (se esse trfego for necessrio para fins comerciais) qualquer trfego a partir do ambiente sem fio no ambiente de dados do titular do carto?

    1.3

    A configurao do firewall probe o acesso pblico direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do carto, da seguinte forma: 1.3.3 As conexes diretas esto proibidas para trfego de entrada ou sada entre a Internet e o ambiente dos dados do titular do carto? O trfego de sada do ambiente de dados do titular do carto para a Internet est explicitamente autorizado? A inspeo com status, tambm conhecida como filtragem de pacote dinmico, est implementada (ou seja, somente conexes estabelecidas podem entrar na rede)?

    1.3.5 1.3.6

    SAQ C do PCI DSS, v2.0, Questionrio de auto-avaliao Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 7

    Requisito 2: No usar padres disponibilizados pelo fornecedor para senhas do sistema e outros parmetros de segurana
    2.1 Pergunta do PCI DSS Resposta: Sim No Especia l*

    Os valores-padro entregues pelo fornecedor so sempre alterados antes de instalar um sistema na rede? Os valores padro entregues pelo fornecedor incluem, entre outros itens, senhas, strings de comunidade de SNMP (simple network management protocol) e a eliminao de contas desnecessrias. 2.1.1 Para ambientes sem fio conectados ao ambiente dos dados do titular do carto ou para a transmisso dos dados do titular do carto, os padres so alterados da seguinte forma: (a) As chaves de criptografia padro so alteradas na instalao e so modificadas sempre que um funcionrio que conhece as chaves sai da empresa ou troca de cargo? (b) As strings de comunidades de SNMP padro dos dispositivos sem fio so alteradas? (c) As senhas/frases de senha padro dos pontos de acesso so alteradas? (d) O firmware dos dispositivos sem fio atualizado para ser compatvel com a criptografia robusta para autenticao e transmisso em redes sem fio? (e) Os outros padres relacionados segurana do fornecedor de dispositivos sem fio so alterados, se aplicvel? (a) Somente os servios, protocolos e daemons necessrios, entre outros, so ativados conforme a necessidade para a funo do sistema (ou seja, os servios e protocolos que no so diretamente necessrios para a execuo da funo especificada do dispositivo esto desativados)?

    2.2.2

    2.3

    Todos os acessos administrativos fora do console esto criptografados da seguinte forma: Com o uso tecnologias como SSH, VPN ou SSL/TLS para o gerenciamento baseado na Web e outros acessos administrativos fora do console. (a) Todos os acessos administrativos fora do console so criptografados com criptografia robusta e um mtodo de criptografia robusta invocado antes da solicitao da senha do administrador? (b) Os servios do sistema e os arquivos de parmetros so configurados para prevenir o uso de Telnet e outros comandos de login remoto inseguros?

    SAQ C do PCI DSS, v2.0, Questionrio de auto-avaliao Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 8

    Pergunta do PCI DSS

    Resposta: Sim

    No

    Especia l*

    (c) O acesso do administrador s interfaces de gerenciamento baseadas na Web criptografado com uma criptografia robusta?

    SAQ C do PCI DSS, v2.0, Questionrio de auto-avaliao Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 9

    Proteger os dados do titular do carto


    Requisito 3: Proteger os dados armazenados do titular do carto
    3.2 Pergunta do PCI DSS Resposta: Si m N o Especial*

    (b) Se dados de autenticao confidenciais forem recebidos e excludos, existem processos em vigor para excluir os dados com segurana e verificar se os dados podem ser recuperados (c) Todos os sistemas cumprem os seguintes requisitos em relao ao armazenamento de dados de autenticao confidenciais aps a autorizao (mesmo se criptografados)? 3.2.1 O contedo completo de qualquer rastro da tarja magntica (localizada na parte posterior do carto) ou qualquer dado equivalente presente em um chip ou em qualquer outro lugar, no armazenado em nenhuma circunstncia? Esses dados tambm so denominados como rastro completo, rastro, rastro 1, rastro 2 e dados da tarja magntica. No curso normal dos negcios, os seguintes elementos de dados da tarja magntica talvez precisem ser mantidos: O nome do titular do carto, O nmero da conta primria (PAN), A data de vencimento e O cdigo de servio Para minimizar o risco, armazene somente os elementos de dados conforme necessrio para os negcios. O cdigo ou valor de verificao do carto (nmero de trs ou quatro dgitos impresso na frente ou atrs do carto de pagamento) no armazenado em nenhuma circunstncia?

    3.2.2

    3.2.3 O numero de identificao pessoal (PIN) ou o bloqueio de PIN criptografado no armazenado em nenhuma circunstncia? 3.3 O PAN mascarado quando exibido (os primeiros seis e quatro ltimos dgitos so o nmero mximo de dgitos a serem exibidos)? Observaes: Este requisito no se aplica aos funcionrios e outras partes interessadas que precisam visualizar o PAN completo. Este requisito no substitui os requisitos mais rigorosos em vigor quanto s exibies dos dados do titular do carto, como para recibos de pontos de venda (POS).

    SAQ C do PCI DSS, v2.0, Questionrio de auto-avaliao Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 10

    Requisito 4: Criptografar a transmisso dos dados do titular do carto em redes abertas e pblicas
    4.1 Pergunta do PCI DSS Resposta: Sim No Especial*

    (a) So utilizadas criptografia robusta e protocolos de segurana como SSLTLS, SSH ou IPSEC para proteger os dados confidenciais do titular do carto durante a transmisso em redes abertas e pblicas? Os exemplos de redes pblicas e abertas que se encontram no escopo do PCI DSS incluem, entre outros, a Internet, tecnologias sem fio, GSM (Global System for Mobile communications) e GPRS (General Packet Radio Service). (b) Somente chaves e/ ou certificados confiveis so aceitos? (c) Os protocolos de segurana foram implementados para usar somente configuraes seguras, sem suporte para verses ou configuraes inseguras? (d) A fora da criptografia adequada foi implementada para a metodologia de criptografia em uso (verifique as recomendaes/melhores prticas do fornecedor)? (e) Para implementaes de SSL/TLS: 4.1.1 O HTTPS exibido como parte do Universal Record Locator (URL) do navegador? Os dados do titular do carto so exigidos somente quando HTTPS exibido no URL? As melhores prticas do setor (como a IEEE 802.11i) so usadas para implementar a criptografia robusta para autenticao e transmisso nos dispositivos sem fio que transmitem dados do titular do carto ou que esto conectados no ambiente de dados do titular do carto? Observao: O uso de WEP como controle de segurana foi proibido em 30 de junho de 2010.

    4.2

    (b) Existem polticas em vigor que afirmam que os PANs desprotegidos no so enviados por meio das tecnologias de envio de mensagens de usurio final?

    SAQ C do PCI DSS, v2.0, Questionrio de auto-avaliao Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 11

    Manter um programa de gerenciamento de vulnerabilidades


    Requisito 5: Usar e atualizar regularmente o software ou programas antivrus
    5.1 Pergunta do PCI DSS Resposta: Sim No Especial*

    Os softwares antivrus esto implementados em todos os sistemas normalmente afetados por softwares mal-intencionados? 5.1.1 Todos os programas antivrus podem detectar, remover e proteger contra todos os tipos conhecidos de softwares malintencionados (como vrus, trojans, worms, spywares, adwares e rootkits)?

    5.2

    Todos os mecanismos antivrus esto atualizados, funcionando ativamente e gerando logs de auditoria da seguinte forma: (a) A poltica de antivrus requer a atualizao do software e das definies do antivrus? (b) A instalao principal do software est ativada para atualizaes automticas e varreduras peridicas? (c) As atualizaes automticas e as varreduras peridicas esto ativadas? (d) Todos os mecanismos de antivrus geram logs de auditoria e os logs so mantidos de acordo com o Requisito 10.7 do PCI DSS?

    Requisito 6: Desenvolver e manter sistemas e aplicativos seguros


    6.1 Pergunta do PCI DSS Resposta: Sim No Especial *

    (a) Todos os componentes e softwares do sistema esto protegidos de vulnerabilidades conhecidas pois tm os patches de segurana mais recentes disponibilizados pelos fornecedores instalados? (b) Os patches de segurana crticos so instalados no prazo de um ms aps o lanamento?

    SAQ C do PCI DSS, v2.0, Questionrio de auto-avaliao Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 12

    Implementar medidas de controle de acesso rigorosas


    Requisito 7: Restringir o acesso aos dados do titular do carto de acordo com a necessidade de conhecimento para o negcio
    7.1 Pergunta do PCI DSS Resposta: Sim No Especial*

    (a) O acesso aos componentes do sistema e aos dados do titular do carto limitado somente quelas pessoas cuja funo requer tal acesso, conforme itens a seguir: 7.1.1 Os direitos de acesso dos IDs dos usurios privilegiados esto restritos ao menor nmero de privilgios necessrios para o desempenho das responsabilidades da funo? Os privilgios so concedidos s pessoas com base na classificao e na atribuio da funo (tambm chamado de "controle de acesso baseado na funo" ou RBAC)?

    7.1.2

    Requisito 8: Atribuir uma identidade exclusiva para cada pessoa que tenha acesso ao computador
    8.3 Pergunta do PCI DSS Resposta: Sim No Especial *

    A autenticao com dois fatores foi incorporada para acesso remoto (acesso no nvel da rede que se origina fora dela) rede pelos funcionrios, administradores e terceiros? (Por exemplo: autenticao remota e servio de dial-in (RADIUS) com tokens, sistema de controle de acesso ao controlador de acesso ao terminal (TACACS) com tokens ou outras tecnologias que facilitam a autenticao com dois fatores.) Observao: A autenticao de dois fatores exige que dois dos trs mtodos de autenticao (consulte o Requisito 8.2 do PCI DSS para obter descries dos mtodos de autenticao) sejam usados para autenticao. O uso duplicado de um fator (como o uso de duas senhas separadas) no considerado uma autenticao com dois fatores. (a) As contas usadas pelos fornecedores para acesso remoto, manuteno ou suporte so ativadas somente durante o perodo necessrio? (b) As contas de acesso remoto dos fornecedores so monitoradas durante o uso?

    8.5.6

    Requisito 9: Restringir o acesso fsico aos dados do titular do carto


    Pergunta do PCI DSS Resposta: Sim No Especial *

    SAQ C do PCI DSS, v2.0, Questionrio de auto-avaliao Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 13

    9.6

    Pergunta do PCI DSS

    Resposta:

    Sim

    No

    Especial *

    Todas as mdias esto fisicamente seguras (incluindo, entre outros, computadores, mdias eletrnicas removveis, recibos em papel, relatrios em papel e faxes)? Para os fins do Requisito 9, "Mdia" refere-se a todas as mdias em papel ou eletrnicas que contm dados do titular do carto. (a) mantido um controle rigoroso quanto distribuio interna ou externa de qualquer tipo de mdia? (b) Os controles incluem o seguinte: 9.7.1 9.7.2 A mdia classificada para que a confidencialidade dos dados possa ser determinada? A mdia enviada via um mensageiro seguro ou outro mtodo de entrega que possa ser rastreado com preciso?

    9.7

    9.8

    Existem logs para rastrear todas as mdias que so movidas de uma rea segura, com aprovao da gerncia antes da transferncia da mdia (especialmente quando a mdia distribuda para pessoas fsicas)? mantido um controle rigoroso sobre o armazenamento e a acessibilidade das mdias? Todas as mdias so destrudas quando no so mais necessrias por razes corporativas ou legais? A destruio executada da seguinte forma: 9.10.1 (a) Os materiais impressos so fragmentados, incinerados ou reciclados, de forma que os dados do titular do carto no possam ser reconstrudos? (b) Os contineres que armazenam informaes so destrudos de forma segura para prevenir o acesso aos contedos? (Por exemplo: um continer "a ser triturado" tem uma trava que impede o acesso ao seu contedo.)

    9.9 9.10

    SAQ C do PCI DSS, v2.0, Questionrio de auto-avaliao Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 14

    Monitorar e testar as redes regularmente


    Requisito 11: Testar regularmente os sistemas e processos de segurana
    11.1 Pergunta do PCI DSS Resposta: Sim N o Especia l*

    (a) Existe um processo documentado implementado para detectar e identificar trimestralmente os pontos de acesso sem fio? Observao: Os mtodos que podem ser usados no processo incluem, entre outros, varreduras de rede sem fio, inspees fsicas/lgicas dos componentes e da infraestrutura do sistema, controle de acesso rede (NAC) ou IDS/IPS sem fio. Qualquer mtodo usado deve ser suficiente para detectar e identificar qualquer dispositivo no autorizado. (b) A metodologia adequada para detectar e identificar qualquer ponto de acesso sem fio no autorizado, incluindo ao menos os itens a seguir? Cartes WLAN inseridos nos componentes do sistema; Dispositivos portteis sem fio conectados aos componentes do sistema (via USB, etc.); Dispositivos sem fio conectados a uma porta de rede ou a um dispositivo de rede.

    (c) O processo para identificar pontos de acesso sem fio no autorizados executado ao menos trimestralmente? (d) Se o monitoramento automatizado for utilizado (como IDS/IPS sem fio, NAC, etc.), o monitoramento est configurado para gerar alertas para a equipe? (e) O Plano de resposta a incidentes (Requisito 12.9) inclui uma resposta em caso de deteco de dispositivos sem fio no autorizados? 11.2 So executadas varreduras das vulnerabilidades das redes internas e externas pelo menos trimestralmente e aps qualquer alterao significativa na rede (como instalaes de novos componentes do sistema, alteraes na topologia da rede, modificaes das normas do firewall, upgrades de produtos) da seguinte forma? Observao: No ser necessrio que quatro varreduras trimestrais aprovadas sejam concludas para a conformidade inicial do PCI DSS se 1) o resultado da varredura mais recente foi uma varredura aprovada, 2) a entidade possuir polticas e procedimentos documentados que exigem varreduras trimestrais e 3) as vulnerabilidades observadas nos resultados da varredura tenham sido corrigidas conforme mostrado em uma nova varredura. Nos anos seguintes aps a anlise inicial do PCI DSS, quatro varreduras trimestrais aprovadas devem ter ocorrido. 11.2.1 (a) So executadas varreduras das vulnerabilidades internas trimestrais?

    SAQ C do PCI DSS, v2.0, Questionrio de auto-avaliao Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 15

    Pergunta do PCI DSS

    Resposta:

    Sim

    N o

    Especia l*

    (b) O processo de varredura interna trimestral inclui novas varreduras at que os resultados aprovados sejam obtidos ou todas as vulnerabilidades definidas como "Alto", conforme definido no Requisito 6.2 do PCI DSS, estejam solucionadas? (c) As varreduras internas trimestrais so executadas por um recurso interno qualificado ou um terceiro externo qualificado e, caso aplicvel, h uma independncia organizacional do responsvel pelo teste (no necessrio que seja um QSA ou ASV)? 11.2.2 (a) So executadas varreduras das vulnerabilidades externas trimestrais? (b) Os resultados da varredura externa trimestral cumprem os requisitos do Guia do programa ASV (por exemplo: nenhuma vulnerabilidade classificada com valor superior a 4.0 pelo CVSS e nenhuma falha automtica)? (c) As varreduras das vulnerabilidades externas trimestrais so executadas por um Fornecedor de varredura aprovado (ASV) qualificado pelo Conselho de padres de segurana do setor de cartes de pagamento (PCI SSC)? 11.2.3 (a) So executadas varreduras internas e externas aps qualquer alterao significativa na rede (como instalaes de novos componentes do sistema, alteraes na topologia da rede, modificaes das normas do firewall, upgrades de produtos)? Observao: As varreduras realizadas aps alteraes na rede devem ser executadas pela equipe interna da empresa. (b) O processo de varredura inclui novas varreduras at que: No existam varreduras com pontuao maior do que 4.0 pelo CVSS (para varreduras externas), Um resultado aprovado seja obtido ou todas as vulnerabilidades definidas como "Alto", conforme definido no Requisito 6.2 do PCI DSS, estejam solucionadas (para varreduras internas)?

    (c) As varreduras so executadas por um recurso interno qualificado ou um terceiro externo qualificado e, caso aplicvel, h uma independncia organizacional do responsvel pelo teste (no necessrio que seja um QSA ou ASV)?

    SAQ C do PCI DSS, v2.0, Questionrio de auto-avaliao Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 16

    Manter uma poltica de segurana de informaes


    Requisito 12: Manter uma poltica que aborde a segurana das informaes para todas as equipes

    12.1 Pergunta do PCI DSS Resposta: Sim No Especia l*

    Existe uma poltica de segurana estabelecida, publicada, mantida e disseminada para todas as equipes relevantes? Para as finalidades do Requisito 12, "equipe" refere-se a funcionrios que trabalham em perodo integral e meio-perodo, funcionrios e equipes temporrias, e prestadores de servios e consultores que "residem" no endereo da entidade ou tm acesso ao ambiente de dados do titular do carto. 12.1.3 A poltica de segurana das informaes analisada pelo menos uma vez por ano e atualizada conforme necessrio para refletir as alteraes nos objetivos de negcios ou no ambiente de risco?

    12.3

    (a) Existem polticas de utilizao para tecnologias crticas (por exemplo: tecnologias de acesso remoto, tecnologias sem fio, mdia eletrnica removvel, laptops, tablets, dados pessoais/assistentes digitais (PDAs), uso de e-mail e uso da Internet) desenvolvidas para definir o uso adequado dessas tecnologias para todas as equipes que requerem: 12.3.1 12.3.2 12.3.3 12.3.5 12.3.6 12.3.8 12.3.9 Aprovao explcita pelas partes autorizadas para uso das tecnologias? Autenticao para o uso da tecnologia? Uma lista de todos esses dispositivos e equipes com acesso? Usos aceitveis das tecnologias? Locais de rede aceitveis para as tecnologias? Desconexo automtica das sesses para tecnologias de acesso remoto aps um perodo especfico de inatividade? Ativao de tecnologias de acesso remoto para fornecedores e parceiros de negcio somente quando lhes for necessrio, com desativao imediata aps o uso?

    12.4

    A poltica e os procedimentos de segurana definem claramente as responsabilidades quanto segurana das informaes para todas as equipes? As seguintes responsabilidades do gerenciamento da segurana da informao so atribudas formalmente para as pessoas e para as equipes que: 12.5.3 Estabelecem, documentam e distribuem procedimentos de resposta e escalao de incidentes de segurana para assegurar que todas as situaes sejam abordadas de modo oportuno e eficiente?

    12.5

    SAQ C do PCI DSS, v2.0, Questionrio de auto-avaliao Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 17

    12.6

    Pergunta do PCI DSS

    Resposta:

    Sim

    No

    Especia l*

    (a) Existe algum programa formal de conscientizao da segurana em vigor para conscientizar todas as equipes sobre a importncia da segurana dos dados do titular do carto? Se os dados do titular do carto forem compartilhados com prestadores de servios, existem polticas e procedimentos mantidos e implementados para gerenciar prestadores de servios, conforme os itens a seguir: 12.8.1 12.8.2 mantida uma lista de prestadores de servios? mantido um acordo por escrito que inclua um reconhecimento de que os prestadores de servios so responsveis pela segurana dos dados do titular do carto que eles possurem? Existe um processo definido para a contratao dos prestadores de servios, incluindo uma diligncia devida adequada antes da contratao? mantido um programa para monitorar anualmente o status de conformidade com o PCI DSS dos prestadores de servios?

    12.8

    12.8.3

    12.8.4

    SAQ C do PCI DSS, v2.0, Questionrio de auto-avaliao Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 18

    Anexo A: (no utilizado)


    Esta pgina foi deixada em branco intencionalmente.

    SAQ C do PCI DSS, v2.0, Anexo A: (no utilizado) Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 19

    Anexo B: Controles de compensao


    Os controles de compensao podem ser considerados na maioria dos requisitos do PCI DSS quando uma entidade no for capaz de atender a um requisito de forma explcita, conforme informado, devido a restries de negcios documentadas ou tcnicas legtimas, mas minimizar o risco associado ao requisito de modo suficiente por meio da implementao de outros controles, incluindo os de compensao. Os controles de compensao devem atender aos seguintes critrios: 1. Atender a inteno e o rigor do requisito original do PCI DSS. 2. Fornecer um nvel semelhante de defesa ao requisito original do PCI DSS, como o controle de compensao que contrabalana o risco de modo suficiente para o qual o requisito original do PCI DSS tenha sido criado para fornecer uma defesa. (Consulte a seo Navegando no PCI DSS para obter informaes sobre a inteno de cada requisito do PCI DSS.) 3. Estar "acima e alm" dos outros requisitos do PCI DSS. (Simplesmente estar em conformidade com outros requisitos do PCI DSS no um controle de compensao.) Ao utilizar o critrio de avaliao "acima e alm" para controles de compensao, considere o seguinte: Observao: Os itens nas alternativas a) a c) abaixo so apenas exemplos. Todos os controles de compensao devem ser analisados e validados quanto suficincia pelo responsvel pela avaliao que realiza a anlise do PCI DSS. A efetividade de um controle de compensao depende das especificidades do ambiente no qual o controle est implementado, dos controles de segurana ao redor e da configurao do controle. As empresas devem estar cientes de que um determinado controle de compensao no ser efetivo em todos os ambientes. a) Os requisitos existentes do PCI DSS NO PODERO ser considerados como controles de compensao se j tiverem sido exigidos para o item sob anlise. Por exemplo: as senhas para o acesso administrativo realizado fora do console devem ser enviadas criptografadas para minimizar o risco de interceptao de senhas administrativas em texto simples. As entidades no podem usar outros requisitos de senha do PCI DSS (bloqueio de intruso, senhas complexas, etc.) para compensar a falta de senhas criptografadas, uma vez que os outros requisitos de senha no diminuem o risco de interceptao de senhas de texto simples. Alm disso, os outros controles de senha j so requisitos do PCI DSS referentes ao item sob anlise (senhas). b) Os requisitos existentes do PCI DSS PODERO ser considerados como controles de compensao se forem exigidos para outra rea, mas no para o item sob anlise. Por exemplo: uma autenticao com dois fatores um requisito do PCI DSS para o acesso remoto. A autenticao com dois fatores a partir da rede interna tambm pode ser considerada um controle de compensao para o acesso administrativo fora do console quando no houver suporte para a transmisso de senhas criptografadas. A autenticao com dois fatores poder ser um controle de compensao aceitvel se (1) atender inteno do requisito original ao abordar o risco de interceptao de senhas administrativas em texto simples e (2) for configurada de modo adequado e em um ambiente seguro. c) Os requisitos existentes do PCI DSS podem ser combinados com novos controles para se tornarem um controle de compensao. Por exemplo: se uma empresa no for capaz de tornar os dados do titular do carto ilegveis de acordo com o requisito 3.4 (por exemplo, por meio da criptografia), um controle de compensao poderia consistir de um dispositivo ou uma combinao de dispositivos, aplicativos e controles que abordam todos os itens a seguir: (1) segmentao da rede interna; (2) filtragem de endereo IP ou endereo MAC e (3) autenticao com dois fatores dentro da rede interna. 4. Ser proporcional ao risco adicional imposto pelo no cumprimento do requisito do PCI DSS.

    SAQ C do PCI DSS, v2.0, Anexo B: Controles de compensao Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 20

    O responsvel pela avaliao deve analisar os controles de compensao por completo durante cada avaliao anual do PCI DSS para validar se cada controle de compensao aborda adequadamente o risco para o qual o requisito do PCI DSS original foi elaborado, de acordo com os itens 1 a 4 acima. Para manter a conformidade, os processos e controles devem estar implementados para assegurar que os controles de compensao permaneam efetivos aps a concluso da avaliao.

    SAQ C do PCI DSS, v2.0, Anexo B: Controles de compensao Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 21

    Anexo C: Planilha dos controles de compensao


    Use esta planilha para definir os controles de compensao com relao a qualquer requisito no qual a opo "SIM" tenha sido assinalada e os controles de compensao tenham sido mencionados na coluna "Especial". Observao: Somente as empresas que realizaram uma anlise dos riscos e tm restries de negcios documentadas ou tecnolgicas legtimas podem considerar o uso dos controles de compensao para atingir a conformidade. Nmero e definio do requisito: Informaes necessrias 1. Restries 2. Objetivo Listar as restries que impossibilitam a conformidade com o requisito original. Definir o objetivo do controle original; identificar o objetivo atendido pelo controle de compensao. Identificar qualquer risco adicional imposto pela ausncia do controle original. Definir os controles de compensao e explicar como eles abordam os objetivos do controle original e o aumento dos riscos, caso haja algum. Definir como os controles de compensao foram validados e testados. Definir o processo e os controles implementados para manter os controles de compensao. Explicao

    3. Risco identificado

    4. Definio dos controles de compensao 5. Validao dos controles de compensao 6. Manuteno

    SAQ C do PCI DSS, v2.0, Anexo C: Planilha dos controles de compensao Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 22

    Planilha dos controles de compensao Exemplo completo


    Use esta planilha para definir os controles de compensao com relao a qualquer requisito no qual a opo "SIM" tenha sido assinalada e os controles de compensao tenham sido mencionados na coluna "Especial". Nmero do requisito:8.1 Todos os usurios so identificados com um nome de usurio exclusivo antes de permitir que eles acessem os componentes do sistema ou os dados do titular do carto? Informaes necessrias 1. Restries Listar as restries que impossibilitam a conformidade com o requisito original. Explicao A empresa XYZ utiliza Servidores Unix independentes sem LDAP. Sendo assim, cada um deles requer um login "raiz". A empresa XYZ no pode gerenciar o login "raiz" nem possvel registrar todas as atividades "raiz" por usurio. O objetivo de exigir logins exclusivos duplo. Primeiro, no considerado aceitvel, da perspectiva de segurana, compartilhar credenciais de login. Segundo, ter logins compartilhados impossibilita afirmar em definitivo quem responsvel por uma determinada ao. O risco adicional ocorre no sistema de controle de acesso ao no assegurar que todos os usurios tenham um ID exclusivo e possam ser monitorados. A empresa XYZ solicitar que todos os usurios efetuem login nos servidores a partir dos seus desktops usando o comando SU. Esse comando permite que um usurio acesse a conta "raiz" e desempenhe aes na conta "raiz", mas possa efetuar login no diretrio de log do SU. Nesse caso, as aes de cada usurio podem ser monitoradas por meio da conta do SU. A empresa XYZ demonstra ao responsvel pela avaliao o comando SU que est sendo executado e que as pessoas que esto usando o comando efetuaram login para identificar que o indivduo est desempenhando aes com privilgios raiz. A empresa XYZ documenta os processos e procedimentos para assegurar que as configuraes do SU no sejam modificadas, alteradas ou removidas para permitir que os usurios individuais executem comandos raiz sem serem monitorados ou efetuarem login individualmente.

    2. Objetivo

    Definir o objetivo do controle original; identificar o objetivo atendido pelo controle de compensao.

    3. Risco identificado

    Identificar qualquer risco adicional imposto pela ausncia do controle original. Definir os controles de compensao e explicar como eles abordam os objetivos do controle original e o aumento dos riscos, caso haja algum.

    4. Definio dos controles de compensao

    5. Validao dos controles de compensao

    Definir como os controles de compensao foram validados e testados.

    6. Manuteno

    Definir o processo e os controles implementados para manter os controles de compensao.

    SAQ C do PCI DSS, v2.0, Anexo C: Planilha dos controles de compensao Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 23

    Anexo D: Explicao de no aplicabilidade


    Se "N/A" ou "No aplicvel" tiver sido inserido na coluna "Especial", use esta planilha para explicar por que o requisito relacionado no se aplica sua organizao.

    Requisito Exemplo: 12.8

    Motivo pelo qual o requisito no se aplica Os dados do titular do carto nunca so compartilhados com prestadores de servios.

    SAQ C do PCI DSS, v2.0, Anexo D: Explicao de no aplicabilidade Copyright 2010 PCI Security Standards Council LLC

    Outubro de 2010 Pgina 24

    Potrebbero piacerti anche