Previamente
produzimos uma série de três publicações no blog na qual descrevemos como
EnCase® pode reduzir custos e a necessidade de recursos de conformidade interna
PCI-DSS V2 (http://encase-ao-resgate.blogspot.com.br/2013/09/e-agora-que-entendendo-conformidade-com.html). No final de 2013, o conselho das
normas PCI publicou a terceira versão das normas PCI, uma atualização completa
das normas PCI v2.
As novas
normas põe muita atenção em áreas nas quais EnCase® tem excelentes capacidades.
Entre outras, estas normas atualizadas requerem que as organizações façam
auditorias para as conexões remotas, permissões de arquivos e de serviços.
Esperamos que você considere EnCase® para assegurar a conformidade das normas
PCI atualizadas durante as auditorias na sua organização, assim como os dados
confidencias dos seus usuários que tenham sido armazenados em registros,
e-mails, SharePoint ou na nuvem.
O primeiro
número contábil é o elemento chave do padrão. Aqui explicamos como o numero de
contábil se inter-relaciona com o padrão PCI:
O primeiro número
contábil é o fator determinante para os dados do portador do cartão. Se o nome,
código de serviço e/ou data de validade de um portador do cartão são
armazenados, processados ou transmitidos com o PAN ou, de outro modo, estão
presentes no ambiente de dados do portador do cartão, eles devem ser protegidos
de acordo com os requisitos aplicáveis do PCI DSS.
Os requisitos do PCI
DSS se aplicam a organizações e ambientes onde os dados contábeis (dados do
portador do cartão e/ou dados de autenticação confidenciais) sejam armazenados,
processados ou transmitidos. Alguns requisitos do PCI DSS também podem ser
aplicáveis a organizações que tenham terceirizado suas operações de pagamento
ou o gerenciamento de seu CDE 1 . Além disso, as organizações que terceirizam
seu CDE ou operações de pagamento para terceiros são responsáveis por garantir
que os dados contábeis sejam protegidos por este terceiro conforme os
requisitos aplicáveis do PCI DSS.
Demos uma
olhada mais detalhada aos novos padrões:
REQUISITOS DO PCI DSS*
|
PROCEDIMENTOS DE TESTE*
|
Como EnCase®
Pode Ajudar
|
Requisito 1: Instalar e manter uma configuração de
firewall para proteger os dados do portador do cartão
|
||
1.1.1 Um processo formal para aprovar e testar todas
as conexões de rede e alterações às configurações do firewall e do roteador.
|
1.1.1a Examine os
procedimentos documentados para saber se há um processo formal para testar e
aprovar todas as:
• Conexões de rede e
• Alterações nas configurações do roteador e do
firewall
1.1.1.b Para obter uma
amostra de conexões de rede, converse com o funcionário responsável e examine
registros para verificar se elas foram aprovadas e testadas.
1.1.1.c Identifique uma
amostra de alterações reais realizadas nas configurações do roteador e do
firewall, compare com os registros da alteração e converse com o funcionário
responsável para verificar se as alterações foram aprovadas e testadas.
|
EnCase® Cybersecurity e EnCase® Analytics podem
ajudar às organizações a realizar auto auditorias e identificar toda a
informação de conexões de rede incluindo portas abertas, DNS, ARP, etc. em
cada dispositivo envolvido com os requisitos PCI DSS. As auditorias podem
enfocar-se em verificar conexões de rede gerais que estão em conformidade ou
podem ser ampliadas para auditar e identificar dispositivos específicos que
hajam sido configurados com conexões de rede desconhecidas.
Os auditores PCI também podem usar EnCase®
Cybersecurity ou EnCase® Enterprise para identificar rapidamente amostras ou
rangos completos de configurações para compará-las a registros de câmbios.
|
1.1.2 Diagrama atual da rede que identifica todas as
conexões entre o ambiente dos dados do portador do cartão e outras redes,
incluindo qualquer rede sem fio.
|
1.1.2.a Analise o(s)
diagrama(s) e observe as configurações de rede para saber se existe um
diagrama de rede e se ele registra todas as conexões com relação aos dados do
portador do cartão, incluindo quaisquer redes sem fio.
|
EnCase® Cybersecurity e EnCase® Analytics podem ajudar com um
desenvolvimento rápido de diagramas de rede ou a confirmá-los mediante a
identificação do estado atual das configurações de rede e destacar qualquer
configuração desconhecida, não autorizada ou questionável.
|
1.1.6 Documentação e justificativa comercial para o
uso de todos os serviços, protocolos e portas permitidas, incluindo a
documentação dos recursos de segurança implementados para os protocolos
considerados não seguros. Exemplos de serviços, protocolos ou portas não
seguros incluem, entre outros, FTP, Telnet, POP3, IMAP e SNMP v1 e v2.
|
1.1.6.a Verifique se os
padrões de configuração do firewall e do roteador incluem uma lista
documentada dos serviços, protocolos e portas, incluindo a justificativa do
negócio, por exemplo, protocolos HTTP (Hypertext TransferProtocol), SSL
(Secure Sockets Layer), SSH (Secure Shell) e VPN (Virtual Private Network).
1.1.6.b Identifique
portas, serviços e protocolos não seguros permitidos e verifique se os
recursos de segurança estão documentados para cada serviço.
1.1.6.c Analise as
configurações do roteador e do firewall para verificar se os recursos de
segurança documentados estão implementados para cada porta, serviço e
protocolo não seguros.
|
As organizações podem usar EnCase® Cybersecurity e
EnCase® Analytics para comparar serviços, portas e protocolos nos
dispositivos e verificar que estejam em conformidade com a justificativa
comercial para roteadores, serviços de firewall, protocolos e portas que
poderiam estar executando-se nestes dispositivos.
Os auditores PCI podem usar EnCase® Cybersecurity e
EnCase® Analytics para avaliar rapidamente se os dispositivos se estão
conectando a recursos externos usando portas, protocolos ou serviços
inseguros.
|
1.2 Elabore configurações de firewall e roteador que
restrinjam as conexões entre redes não confiáveis e quaisquer componentes do
sistema no ambiente de dados do portador do cartão.
Observação: Uma
“rede não confiável” é qualquer rede que seja externa às redes que pertencem
à entidade em análise e/ou que esteja além da capacidade da entidade de
controlar ou gerenciar.
|
1.2Examine as
configurações do firewall e do roteador para verificar se as conexões estão
restritas entre as redes não confiáveis e os componentes de sistema no
ambiente de dados do portador do cartão:
|
Organizações e auditores PCI podem usar EnCase® Cybersecurity e
EnCase® Analytics para avaliar rapidamente se os dispositivos estão
conectando-se a redes não confiáveis.
|
1.2.1 Restrinja o tráfego de entrada e saída ao que
é necessário ao ambiente de dados do portador do cartão e rejeite
especificadamente todos os outros tráfegos.
|
1.2.1.a Analise os
padrões de configuração do roteador e do firewall para verificar se eles
identificam o tráfego de entrada e saída necessário para o ambiente de dados
do portador do cartão.
1.2.1.b Analise as
configurações do roteador e do firewall para verificar se o tráfego de
entrada e saída está limitado ao que é necessário para o ambiente de dados do
portador do cartão.
1.2.1.c Analise as
configurações do roteador e do firewall para verificar se todos os outros
tráfegos de entrada e saída são recusados de forma específica, por exemplo,
ao usar a opção explícita "recusar todos" ou uma recusa implícita
após a declaração de permissão.
|
Organizações e auditores PCI podem usar EnCase®
Cybersecurity e EnCase® Analytics para auditar rapidamente a origem e o
destino de conexões entrantes ou salientes dentro do ambiente de dados do
portador do cartão e assegurar que este tráfego esteja em conformidade.
Por outra parte, critérios podem ser escritos em EnCase®
Cybersecurity e EnCase® Analytics para identificar rapidamente conexões
salientes ou entrantes que estejam fora de conformidade.
|
1.2.2 Proteja e sincronize os arquivos de
configuração do roteador.
|
1.2.2.a Analise os
arquivos de configuração do roteador para verificar se eles estão seguros em
relação ao acesso não autorizado.
|
Em alguns tipos de roteadores, EnCase® Cybersecurity e EnCase®
eDiscovery podem auditar permissões de
acesso para assegurar que os arquivos de configuração somente hajam sido
acessados de forma autorizada.
|
1.2.3 Instale firewalls de perímetro entre todas as
redes sem fio e o ambiente de dados do portador do cartão e configure esses
firewalls para recusar ou, se o tráfego for necessário para fins comerciais,
permitir apenas tráfego autorizado entre o ambiente sem fio e o ambiente de
dados do portador do cartão.
|
1.2.3.b Verifique se os
firewalls recusam ou, se o tráfego for necessário para fins comerciais,
permitem apenas tráfego autorizado entre o ambiente sem fio e o ambiente de
dados do portador do cartão.
|
Organizações e auditores PCI podem usar EnCase®
Cybersecurity e EnCase® Analyticspara auditar rapidamente a origem e o
destino de conexões entrantes ou salientes à internet e a componentes de
sistema dentro do segmento de rede interno do portador de cartão e assegurar
que este tráfego esteja em conformidade para o ambiente de dados do portador
do cartão. Por outra parte, critérios podem ser escritos em EnCase
Cybersecurity para identificar rapidamente conexões salientes ou entrantes
que estejam fora de conformidade.
|
1.3 Proíba o acesso público direto entre a internet
e qualquer componente do sistema no ambiente de dados do portador do cartão.
|
1.3Analise as
configurações do firewall e do roteador (incluindo, entre outros, roteador de
suspensão na internet, o roteador DMZ e o firewall, o segmento DMZ do
portador do cartão, o roteador de perímetro e o segmento interno da rede do
portador do cartão) e realizar o que segue para determinar que não haja
acesso direto entre a internet e os componentes do sistema no segmento
interno da rede de dados do portador do cartão.
|
Organizações e auditores PCI podem usar EnCase® Cybersecurity e
EnCase® Analytics para auditar rapidamente a origem e o destino de conexões
entrantes e salientes à internet e aos componentes de sistema dentro do
segmento de rede interno do ambiente de dados do portador do cartão. Por
outra parte, critérios podem ser escritos em EnCase® Cybersecurity e EnCase®
Analytics para identificar rapidamente conexões entrantes ou salientes que
estejam fora de conformidade.
|
1.3.1 Implemente uma DMZ para limitar o tráfego
somente para componentes do sistema que oferece serviços, protocolos e portas
acessíveis publicamente.
|
1.3.1 Analise as
configurações do firewall e do roteador para verificar se uma DMZ foi
implementada para limitar o tráfego somente para componentes do sistema que
ofereça serviços, protocolos e portas acessíveis publicamente.
|
Organizações e auditores PCI podem usar EnCase®
Cybersecurity e EnCase® Analytics para auditar rapidamente a origem e o
destino de conexões entrantes para verificar que o tráfego entrante da
internet esteja limitado somente a componentes de sistema que fornecem
serviços, protocolos e portas acessíveis publicamente. Por outra parte,
critérios podem ser escritos em EnCase® Cybersecurity para identificar rapidamente
conexões entrantes que estejam fora de conformidade.
|
1.3.2 Limite o tráfego de entrada da internet a
endereços IP na DMZ.
|
1.3.2 Analise as
configurações do firewall e do roteador para verificar se o tráfego de
entrada da internet está limitado a endereços IP na DMZ.
|
Organizações e auditores PCI podem usar EnCase® Cybersecurity e
EnCase® Analytics para auditar rapidamente a origem e o destino de conexões
entrantes para verificar que o tráfego entrante da internet esteja limitado a
endereços IP dentro da DMZ e assegurar que este tráfego esteja em
conformidade. Por outra parte, critérios podem ser escritos em EnCase®
Cybersecurity para identificar rapidamente conexões entrantes que estejam
fora de conformidade.
|
1.3.3 Não permita a entrada ou saída de nenhuma rota
direta com relação ao tráfego entre a internet e o ambiente de dados do
portador do cartão.
|
1.3.3 Analise as
configurações do firewall e do roteador para verificar se a entrada ou saída
de nenhuma rota direta com relação ao tráfego entre a internet e o ambiente
de dados do portador do cartão não estão autorizadas.
|
Organizações e auditores PCI podem usar EnCase®
Cybersecurity e EnCase® Analytics para auditar rapidamente a origem e o
destino de conexões entrantes ou salientes à internet e a componentes de
sistema dentro do segmento de rede interno do portador de cartão e assegurar
que este tráfego esteja em conformidade para o ambiente de dados do portador
do cartão. Por outra parte, critérios podem ser escritos em EnCase®
Cybersecurity para identificar rapidamente conexões salientes ou entrantes
que estejam fora de conformidade.
|
1.3.4 Implemente medidas contra falsificação para
detectar e impedir que endereços IP de fonte falsificada entrem na rede. (Por
exemplo, bloquear tráfego originado da internet com um endereço de fonte
interna).
|
1.3.4 Analise as
configurações do firewall e do roteador para verificar se as medidas contra
falsificação estão implementadas, por exemplo, os endereços internos não
conseguem passar da internet para a DMZ.
|
Os produtos EnCase® podem identificar endereços MAC falsificados.
|
1.3.5 Não permita o tráfego de saída não autorizado
do ambiente de dados do portador do cartão para a internet.
|
1.3.5 Analise as
configurações do firewall e do roteador para verificar se o tráfego de saída
do ambiente de dados do portador do cartão para a internet está
explicitamente autorizado.
|
Organizações e auditores PCI podem usar EnCase®
Cybersecurity e EnCase® Analytics para auditar rapidamente a origem e o
destino de conexões salientes para verificar que o tráfego saliente à
internet e a componentes de sistema dentro do segmento de rede interno do
portador de cartão e assegurar que este tráfego esteja em conformidade para o
ambiente de dados do portador do cartão. Por outra parte, critérios de
auditoriae visualização podem ser desenvolvidos rapidamente em EnCase®
Cybersecurity e EnCase® Analytics para identificar rapidamente conexões
salientes que estejam fora de conformidade.
|
1.3.7 Implemente os componentes do sistema que
armazenam dados do portador do cartão (como banco de dados) em uma zona de
rede interna, separada da DMZ e de outras redes não confiáveis.
|
1.3.7 Analise as
configurações do firewall e do roteador para verificar se os componentes do
sistema que armazenam dados do portador do cartão estão em uma zona de rede
interna, separada da DMZ e de outras redes não confiáveis.
|
Organizações e auditores PCI podem usar EnCase® Cybersecurity para
auditar e verificar rapidamente se os componentes de sistema que guardam
dados de portadores de cartão estão numa zona de rede interna, segregados da
DMZ e de outras redes não confiáveis.
|
1.4 Instale o software de firewall pessoal em
quaisquer dispositivos móveis e/ou de propriedade do funcionário com
conectividade à internet quando estiverem fora da rede (por exemplo, laptops
usados pelos funcionários) e que também são usados para acessar a rede. As
configurações do firewall incluem:
• Os ajustes específicos de configuração são
definidos pelo software do firewall pessoal.
• O software do firewall pessoal está funcionando
ativamente.
• O software do firewall pessoal não pode ser
alterado pelos usuários dos dispositivos móveis e/ou de propriedade do
funcionário.
|
1.4.a Analise as
políticas e padrões de configuração para verificar:
• O software de firewall pessoal é necessário para
todos os dispositivos móveis e/ou de propriedade do funcionário com
conectividade à internet (por exemplo, laptops usados pelos funcionários) quando
estão fora da rede e que também são usados para acessar a rede.
• Os ajustes específicos de configuração são
definidos pelo software do firewall pessoal.
• O software do firewall pessoal está configurado
para funcionar ativamente.
• O software de firewall pessoal está configurado
para não ser alterado pelos usuários de dispositivos móveis e/ou de
propriedade do funcionário.
1.4.b Inspecione uma
amostra dos dispositivos móveis e/ou de propriedade do funcionário para
verificar se:
• O software de firewall pessoal é instalado e
configurado de acordo com os ajustes de configuração específicos da
organização.
• O software do firewall pessoal está funcionando
ativamente.
• O software do firewall pessoal não pode ser
alterado pelos usuários dos dispositivos móveis e/ou de propriedade do
funcionário.
|
Organizações e auditores PCI podem usar EnCase®
Cybersecurity para auditar os dispositivos rapidamente e verificar que
software de firewall pessoal esteja configurado para execução em todos os
dispositivos e examinar chaves do registro do sistema operacional para
determinar opções de configuração específicas. As organizações podem
verificar rapidamente o estado real da configuração do software de firewall
pessoal em todos os dispositivos, inclusive em dispositivos dos empregados,
em vez de somente em uma amostra para assegurar-se que as amostras tomadas
pelos auditores não incluam dispositivos que possivelmente poderiam estar
fora de conformidade.
|
1.5 Certifique-se de que as políticas de segurança e
procedimentos operacionais do gerenciamento dos firewalls estejam
documentados, em uso e conhecidos por todas as partes envolvidas.
|
1.5 Analise a
documentação e questione os funcionários para verificar se as políticas de
segurança e procedimentos operacionais do gerenciamento dos firewalls estão:
• Documentados,
• Em uso, e
• Conhecidos por todas as partes envolvidas.
|
Os serviços fornecidos pela Guidance Software Professional Services
podem ajudar a verificar que as políticas de segurança e os procedimentos
operacionais para administrar firewalls sejam:
• Documentados,
• Em uso, e
• Conhecidos por todas as partes envolvidas.
|
Requisito 2: Não usar padrões disponibilizados pelo
fornecedor para senhas do sistema e outros parâmetros de segurança
|
||
2.1 Sempre altere os padrões disponibilizados pelo
fornecedor e remova ou desabilite contas padrão desnecessárias antes de
instalar um sistema na rede. Isto se aplica a TODAS as senhas padrão,
incluindo, entre outros, as usadas pelos sistemas operacionais, software que
oferece serviços de segurança, aplicativos e contas de sistema, terminais de
pontos de venda (POS), strings de comunidade SNMP (Simple Network Management
Protocol), etc.).
|
2.1.a Escolha uma
amostra dos componentes do sistema e tente acessar (com a ajuda do
administrador do sistema) os dispositivos e aplicativos usando as contas e
senhas padrão disponibilizadas pelo fornecedor, para verificar se TODAS as
senhas padrão (incluindo as que estão nos sistemas operacionais, software que
oferece serviços de segurança, aplicativos e contas de sistema, terminais POS
e strings de comunidade SNMP (Simple Network Management Protocol)) foram
alteradas. (Use os manuais do fornecedor e as fontes na internet para
localizar as contas/senhas disponibilizadas pelo fornecedor.)
2.1.b Para obter um
exemplo dos componentes do sistema, verifique se todas as contas padrão
desnecessárias (incluindo contas usadas pelos sistemas operacionais, software
de segurança, aplicativos, sistemas, terminais POS, SNMP, etc.) foram
removidas ou desabilitadas.
2.1.c Questione os
funcionários e analise a documentação de suporte para verificar se:
• Todas as senhas padrão (incluindo senhas padrão em sistemas
operacionais, software que oferece serviços de segurança, aplicativos e
contas do sistema, terminais POS, strings de comunidade SNMP (Simple Network
Management Protocol), etc.)) são alteradas antes de um sistema ser instalado
na rede.
• Contas padrão desnecessárias (incluindo contas usadas pelos sistemas
operacionais, software de segurança, aplicativos, sistemas, terminais POS,
SNMP, etc.) são removidas ou desabilitadas antes de um sistema ser instalado
na rede.
|
EnCase® Cybersecurity pode ser usado por organizações e auditores PCI
para validar o acesso pela rede e o acesso local dos usuários a dispositivos
e arquivos específicos esteja em conformidade. Contas por padrão podem ser
listadas especificamente como um critério para estas auditorias e podem ser
modificadas/adicionadas com o decorrer do tempo.
|
2.2 Desenvolva padrões de configuração para todos os
componentes do sistema. Certifique-se de que esses padrões abrangem todas as
vulnerabilidades de segurança conhecidas e estão em conformidade com os
padrões de fortalecimento do sistema aceitos pelo setor. As fontes dos
padrões de proteção do sistema aceitos pelo setor podem incluir, entre
outros:
• Center for Internet Security (CIS)
• InternationalOrganization for Standardization
(ISO)
• Instituto SysAdminAudit Network Security
(SANS)
• NationalInstituteof Standards and Technology
(NIST).
|
2.2.d Verifique se os
padrões de configuração do sistema incluem os seguintes procedimentos para
todos os tipos de componentes do sistema:
• Alteração de todos os padrões informados pelo
fornecedor e eliminação de contas padrão desnecessárias
• Implementação de apenas uma função principal por
servidor para evitar funções que exigem diferentes níveis de segurança
coexistindo no mesmo servidor
• Habilitar apenas serviços, protocolos, daemons,
etc. necessários, conforme exigido para a função do sistema
• Implantar recursos de segurança adicionais para
todos os serviços, protocolos ou daemons exigidos que forem considerados não
seguros
• Configurar os parâmetros de segurança do sistema
para impedir o uso incorreto
• Remover todas as funcionalidades desnecessárias,
como scripts, drivers, recursos, subsistemas, sistemas de arquivo e
servidores Web desnecessários.
|
As organizações podem usar EnCase® Cybersecurity e
EnCase® Analytics para comparar os serviços, portas e protocolos dos
dispositivos com os dos roteadores e
firewalls para verificar que estejam em conformidade com a justificativa
comercial de maneira que possam identificar serviços, protocolos e portas
inseguras que poderiam estar executando-se nestes dispositivos. Os auditores
PCI podem usar EnCase® Cybersecurity para avaliar rapidamente se dispositivos
estão conectando-se a recursos externos usando portas, protocolos ou serviços
inseguros.
|
2.2.1 Implemente somente uma função principal por
servidor para evitar funções que exigem diferentes níveis de segurança
coexistindo no mesmo servidor. (Por exemplo, servidores Web, servidores do
banco de dados e DNS devem ser implementados em servidores separados.)
Observação: Onde
tecnologias de virtualização estiverem em uso, implemente somente uma função
principal por componente do sistema virtual
|
2.2.1.a Selecione uma
amostra dos componentes do sistema e inspecione as configurações do sistema
para verificar se somente uma função principal está implementada por
servidor.
2.2.1.b Se forem usadas
tecnologias de virtualização, inspecione as configurações do sistema para
verificar se somente uma função principal está implementada por componente ou
dispositivo do sistema virtual
|
Os serviços da Guidance Software Professional Services podem ajudar a
verificar que somente uma função principal seja implementada em cada
servidor.
|
2.2.2 Habilite somente
serviços, protocolos, daemons, etc., necessários para a função do sistema.
|
2.2.2.a Selecione uma
amostra dos componentes do sistema e inspecione os serviços, daemons e
protocolos do sistema ativado para verificar se apenas os serviços ou
protocolos necessários estão habilitados.
2.2.2.b Identifique
qualquer serviço, daemons ou protocolos não seguros que estejam habilitados e
questione os funcionários para verificar se eles têm justificativa conforme
os padrões de configuração
|
As organizações podem usar EnCase® Cybersecurity e
EnCase® Analytics para comparar os serviços, daemons e protocolos dos
dispositivos com os dos roteadores e
firewalls para verificar que estejam em conformidade com a justificativa
comercial de maneira que possam identificar serviços, daemons e protocolos
inseguros que poderiam estar executando-se nestes dispositivos. Os auuditores
PCI podem avaliar rapidamente se dispositivos estão conectando-se a recursos
externos usando serviços, daemons e protocolos inseguros.
|
2.2.3Implemente recursos de segurança
adicionais para quaisquer serviços, protocolos ou daemons considerados não
seguros, por exemplo, utilize tecnologias seguras, como SSH, S-FTP, SSL ou
IPSec VPN para proteger serviços não seguros como o NetBIOS, file-sharing,
Telnet, FTP, etc.
|
2.2.3 Inspecione os
ajustes de configuração para verificar se os recursos de segurança estão
documentados e implementados para todos os serviços, daemons ou protocolos
não seguros.
|
Os serviços da Guidance Software Professional Services podem ajudar a
verificar que os recursos de segurança estejam documentados e implementados
para todos os serviços, daemons ou protocolos não seguros.
|
2.2.4 Configure os
parâmetros de segurança do sistema para impedir o uso incorreto.
|
2.2.4.a Questione os
administradores do sistema e/ou os gerentes de segurança para verificar se
eles conhecem as configurações comuns dos parâmetros de segurança referentes
aos componentes do sistema.
2.2.4.b Analise os
padrões de configuração do sistema para verificar se as configurações comuns
dos parâmetros de segurança estão incluídas.
2.2.4.c Selecione uma
amostra dos componentes do sistema e inspecione os parâmetros comuns de
segurança para verificar se eles estão ajustados corretamente e de acordo com
os padrões de configuração.
|
Os serviços da Guidance Software Professional
Services podem ajudar a verificar que os administradores conheçam as
configurações comuns dos parâmetros de segurança referentes aos componentes
do sistema, que os parâmetros de segurança referentes aos componentes do
sistema sejam incluídos e/ou que sejam configurados apropriadamente de acordo
aos padrões de configuração.
|
2.2.5 Remova todas as funcionalidades
desnecessárias, como scripts, drivers, recursos, subsistemas, sistemas de
arquivo e servidores Web desnecessários.
|
2.2.5.a Selecione uma
amostra dos componentes do sistema e inspecione as configurações para
verificar se todas as funcionalidades desnecessárias (por exemplo, scripts,
drivers, recursos, subsistemas, sistemas de arquivo, etc.) foram removidas.
2.2.5.b Consulte a
documentação e os parâmetros de segurança para verificar se as funções
ativadas estão documentadas e suportam a configuração segura.
2.2.5.c Consulte a
documentação e os parâmetros de segurança para verificar se somente as
funcionalidades registradas estão presentes nos componentes do sistema da
amostra.
|
EnCase® Cybersecurity pode auditar e identificar scripts de software,
drivers, recursos, subsistemas e servidores web nos dispositivos e recursos
de rede.
Dependendo do subsistema ou software, EnCase® Cybersecurity
frequentemente pode validar que somente a funcionalidade documentada esteja
presente nos componentes de sistema.
|
2.3 Criptografe todo o
acesso administrativo que não utiliza console durante a criptografia forte.
Com o uso tecnologias como SSH, VPN ou SSL/TLS para o gerenciamento com base
na Web e outros acessos administrativos que não utilizam console.
|
2.3.b Analise os
serviços e os arquivos de parâmetro nos sistemas para determinar se o Telnet
e outros comandos de logonremoto não seguros não estão disponíveis para o
acesso que não utiliza console.
|
As organizações podem usar EnCase® Cybersecurity e
EnCase® Analytics para comparar os serviços e as portas dos dispositivos para
determinar que telnet e outros comandos de acesso remoto inseguro não estejam
disponíveis.
Em muitos casos, EnCase® Cybersecurity também pode
auditar o uso de criptografia forte ao nível de arquivo nos dispositivos.
|
2.3.d Analise a
documentação do fornecedor e questione os funcionários para verificar se a
criptografia forte para a tecnologia utilizada está implementada de acordo
com as melhores práticas do setor e/ou recomendações do fornecedor.
|
||
2.4 Mantenha uma
relação dos componentes do sistema que estão no escopo do PCI DSS.
|
2.4.a Analise a
relação do sistema para verificar se uma lista de componentes de hardware e
software é mantida e se inclui uma descrição da função/uso de cada um deles.
2.4.b Questione os
funcionários para verificar se uma relação documentada é mantida no momento.
|
EnCase® Cybersecurity e EnCase® Enterprise podem
ajudar às organizações e aos auditores PCI a gerar uma lista dos componentes
de hardware e software que realmente estão em uso em servidores e
dispositivos de usuário.
Os serviços da Guidance Software Professional
Services podem ajudar aos clientes a desenvolver metodologias que assegurem
que o inventario documentado se mantenha atualizado.
|
2.5Certifique-se de que as políticas de
segurança e procedimentos operacionais do gerenciamento dos padrões do fornecedor
e outros parâmetros de segurança estejam documentados, em uso e conhecidos
por todas as partes envolvidas.
|
2.5 Analise a
documentação e questione os funcionários para verificar se as políticas de
segurança e procedimentos operacionais do gerenciamento dos padrões do
fornecedor e outros parâmetros de segurança estão:
• Documentados,
• Em uso, e
• Conhecidos por todas as partes envolvidas.
|
Os serviços da Guidance Software Professional Servicespodem ajudar a
verificar que políticas de segurança e procedimentos operacionais do
gerenciamento dos padrões do fornecedor e outros parâmetros de segurança
estejam:
• Documentados,
• Em uso, e
• Conhecidos por todas as partes envolvidas.
|
Requisito 3: Proteger os
dados armazenados do portador do cartão
|
||
3.1 Mantenha a armazenagem dos dados do
portador do cartão o mínimo possível, implementando políticas, processos e
procedimentos de retenção e descarte de dados que incluem pelo menos o que
segue para todo o armazenamento dos dados do portador do cartão (CHD):
• Limite da quantia de dados armazenados e do tempo
de retenção ao que é exigido pelos requisitos legais, regulatórios e
comerciais
• Processos para exclusão segura de dados quando não
mais necessários
• Requisitos de retenção específicos para dados de
portador do cartão
• Processos trimestrais para identificar e excluir
com segurança os dados do portador do cartão que excederem a retenção
definida
|
3.1.c Para obter uma
amostra dos componentes do sistema que armazenam dados do portador do cartão:
• Analise os arquivos e registros do sistema para verificar se os
dados armazenados não excedem os requisitos definidos na política de retenção
• Observe o mecanismo de exclusão para verificar se os dados são
excluídos de forma segura.
|
As organizações podem usar EnCase® Cybersecurity e EnCase® eDiscovery
para examinar arquivos e registros para verificar que os dados armazenadas não
excedam os requisitos de retenção definidos na política de retenção de dados.
Adicionalmente, EnCase® Cybersecurity pode eliminar de maneira segura
arquivos e registros de sistema que excedam as políticas de retenção de dados
ou que estejam fora de conformidade de alguma outra forma.
|
3.2 Não armazenar dados
de autenticação confidenciais após a autorização (mesmo se estiverem
criptografados). Se forem recebidos dados de autenticação confidenciais,
processe todos os dados irrecuperáveis ao completar o processo de
autorização. O armazenamento de dados
de autenticação confidenciais é permitido aos emissores e empresas que
suportam serviços de emissão se:
• Houver uma justificativa comercial e
• Os dados são armazenados com segurança. Os dados
de autenticação confidenciais incluem os dados conforme mencionados nos
seguintes Requisitos 3.2.1 até 3.2.3:
|
3.2.b Para os
emissores e/ou empresas que suportam serviços de emissão e armazenam dados de
autenticação confidenciais, analise o armazenamento de dados e configurações
do sistema para verificar se os dados de autenticação confidenciais estão
seguros.
3.2.c Para todas as
outras entidades, se dados de autenticação confidenciais forem recebidos,
revise as políticas e procedimentos e analise as configurações do sistema
para verificar se os dados não estão retidos após a autorização.
3.2.d Para todas as
outras entidades, se dados de autenticação confidenciais forem recebidos,
revise os procedimentos e analise os processos de exclusão dos dados para
verificar se os dados são irrecuperáveis.
|
As organizações podem usar EnCase® Cybersecurity e
EnCase® eDiscovery para examinar arquivos e registro de sistema armazenados
para verificar que os dados estejam protegidos corretamente.
EnCase® Cybersecurity e EnCase® eDiscovery podem
verificar que os dados confidenciais não sejam retidos após a autorização.
Adicionalmente, EnCase® Cybersecurity pode eliminar
de maneira segura arquivos e registros de sistema que excedam as políticas de
retenção de dados ou que estejam fora de conformidade de alguma outra forma.
|
3.2.1 Não armazene o conteúdo completo de
qualquer rastreamento (da tarja magnética localizada na parte posterior do
cartão, em dados equivalentes constando no chip ou outro local). Esses dados
também são denominados como rastreamento completo, rastreamento, rastreamento
1, rastreamento 2 e dados da tarja magnética.
Observação: No curso normal dos negócios, os seguintes elementos de
dados da tarja magnética talvez precisem ser mantidos:
• O nome do
portador do cartão
• O número da
conta principal (PAN)
• Data de
vencimento
• O código de
serviço Para minimizar o risco, armazene somente os elementos de dados
conforme necessário para os negócios.
|
3.2.1 Para obter uma
amostra dos componentes do sistema, analise as fontes de dados, inclusive, entre
outros, o que segue e verifique se o conteúdo completo de qualquer
rastreamento da tarja magnética na parte posterior do cartão ou dados
equivalentes em um chip não são armazenados após a autorização:
• Dados de transação de entrada
• Todos os registros (por exemplo, transação, histórico, depuração,
erro)
• Arquivos do histórico
• Arquivos de rastreamento
• Vários esquemas do banco de dados
• Conteúdo de bancos de dados.
|
As organizações podem usar EnCase® Cybersecurity e EnCase® Enterprise
para verificar que o conteúdo íntegro de qualquer tarja magnética na parte
posterior de um cartão ou qualquer dado equivalente constado num chip não
seja retido após a autorização.
EnCase® Cybersecurity e EnCase® Enterprise podem auditar dados de
transações, registros, arquivos de históricos, arquivos temporários ou de
cache e outros tipos de arquivo para encontrar a existência destes dados.
|
3.2.2 Não armazene o
código ou valor de verificação do cartão (o número de três ou quatro dígitos
impresso na frente ou atrás do cartão de pagamento) usado para verificar as
transações sem o cartão.
|
3.2.2 Para obter uma
amostra dos componentes do sistema, analise as fontes dos dados, inclusive,
entre outros, o que segue e verifique se o código ou o valor de verificação
do cartão de três ou quatro dígitos impresso na frente do cartão ou no painel
de assinatura (dados CVV2, CVC2, CID, CAV2) não é armazenado após a
autorização:
• Dados de transação de entrada
• Todos os registros (por exemplo, transação,
histórico, depuração, erro)
• Arquivos do histórico
• Arquivos de rastreamento
• Vários esquemas do banco de dados
• Conteúdo de bancos de dados.
|
As organizações podem usar EnCase® Cybersecurity e
EnCase® eDiscovery para verificar que os componentes de sistema não estejam
armazenando o código de verificação do cartão de três ou quatro dígitos impresso
na frente ou atrás do cartão de pagamento(dados CVV2, CVC2, CID, CAV2) após a
autorização.
EnCase® Cybersecurity e EnCase® Enterprise podem
auditar dados de transações, registros, arquivos de históricos, arquivos
temporários ou de cache e outros tipos de arquivo para encontrar a existência
destes dados.
|
3.2.3 Não armazene o PIN
(PersonalIdentificationNumber) ou o bloco de PIN criptografado.
|
3.2.3 Para obter uma
amostra dos componentes do sistema, analise as informações a seguir e
verifique se os PINs e blocos de PIN criptografados não são armazenados após
a autorização:
• Dados de transação de entrada
• Todos os registros (por exemplo, transação, histórico, depuração,
erro)
• Arquivos do histórico
• Arquivos de rastreamento
• Vários esquemas do banco de dados
• Conteúdo de bancos de dados.
|
As organizações podem usar EnCase® Cybersecurity e EnCase® eDiscovery
para verificar que os componentes de sistema não estejam armazenando PINs ou
blocos de PIN criptografados após a autorização.
EnCase® Cybersecurity e EnCase® Enterprise podem auditar dados de
transações, registros, arquivos de históricos, arquivos temporários ou de
cache e outros tipos de arquivo para encontrar a existência destes dados.
|
3.4 Torne o PAN
ilegível em qualquer local onde ele esteja armazenado (inclusive em mídia
digital portátil, mídia de backup e em registros) utilizando qualquer uma das
seguintes abordagens:
• Hash de direção única com base na criptografia
forte (o hash deve ser do PAN inteiro)
• Truncamento (a codificação hash não pode ser usada
para substituir o segmento truncado do PAN)
• Tokens e blocos de índice (os blocos devem ser
armazenados de forma segura)
• Criptografia forte com processos e procedimentos
de gerenciamento- chave associados.
Observação: É um esforço relativamente simples para um indivíduo
mal-intencionado reconstituir os dados do PAN original caso ele tenha acesso
às versões truncadas e hash do PAN. Quando as versões truncada e hash do
mesmo PAN estiverem presentes no ambiente de uma entidade, controles
adicionais deverão ser implantados para assegurar que as versões truncada e
hash não sejam correlacionadas para reconstituir o PAN original.
|
3.4.a Analise a
documentação sobre o sistema usado para proteger o PAN, incluindo o
fornecedor, o tipo de sistema/processo e os algoritmos de criptografia (se
aplicável) para verificar se o PAN é apresentado ilegível, usando qualquer um
dos métodos a seguir:
• Codificação hash de direção única com base na
criptografia forte,
• Truncamento
• Tokens e blocos de índice, sendo que os blocos são
armazenados de forma segura
• Criptografia forte com processos e procedimentos
de gerenciamento-chave associados.
3.4.b Analise as
diversas tabelas ou arquivos de um exemplo de repositórios de dados para
verificar se o PAN foi tornado ilegível (ou seja, não foi armazenado em texto
simples).
3.4.c Analise um
exemplo de mídia removível (por exemplo, fitas de backup) paa confirmar se o
PAN foi tornado ilegível.
3.4.d Analise uma
amostra de logs de auditoria para confirmar se o PAN tornou-se ilegível ou
foi removido dos logs
|
EnCase® Cybersecurity pode auditar o uso de
criptografia forte a nível de arquivo nos dispositivos e verificar que o PAN
seja tornado ilegível em registros e outros arquivos.
|
3.4.1 Se a criptografia de dados for
utilizada (em vez da criptografia de bancos de dados no nível de arquivo ou
coluna), o acesso lógico deve ser gerenciado separadamente e
independentemente de mecanismos de controle de acesso e autenticação do
sistema operacional nativo (por exemplo, não utilizando bancos de dados de
contas de usuário locais ou credenciais gerais de logon da rede). Chaves de
decodificação não devem estar associadas a contas de usuários.
|
3.4.1.c Analise as
configurações e observe os processos para verificar se os dados do portador
do cartão nas mídias removíveis estão criptografados onde quer que estejam
armazenados.
Observação: Se
a criptografia de dados não for usada para criptografar a mídia removível, os
dados armazenados nessa mídia deverão ser tornados ilegíveis por meio de
outro método.
|
EnCase® Cybersecurity e EnCase® eDiscovery podem auditar e verificar
se os dados do portador do cartão em mídias removíveis esteja criptografado
em qualquer lugar que esteja armazenado.
Se a criptografia de discos não é usada para criptografar mídias
removíveis, EnCase® Cybersecurity e EnCase® eDiscovery podem verificar que os
dados sejam tornados ilegíveis mediante algum outro método.
|
3.7Certifique-se de que
as políticas de segurança e procedimentos operacionais para proteger os dados
armazenados do portador do cartão estejam documentados, em uso e conhecidos
por todas as partes envolvidas.
|
3.7 Analise a
documentação e questione os funcionários para verificar se as políticas de
segurança e procedimentos operacionais para proteger os dados armazenados do
cartão estão:
• Documentados,
• Em uso, e
• Conhecidos por todas as partes envolvidas.
|
Os serviços da Guidance Software Professional
Services podem ajudar a que as políticas de segurança e os procedimentos
operacionais para proteger os dados do portador do cartão estejam:
• Documentados,
• Em uso, e
• Conhecidos por todas as partes
|
*Copyright
2006-2014, PCI Security Standards Council LLC (https://pt.pcisecuritystandards.org/_onelink_/pcisecurity/en2pt/minisite/en/docs/PCI_DSS_v3.pdf)
No nosso
seguinte artigo desta série, vamos continuar olhando os requerimentos para
conformar com o padrão PCI DSS v3. A intenção desta série é ajudar às
organizações a entender como EnCase® pode reduzir a complexidade da
conformidade PCI e ajuda na execução prática dos requisitos.
- T. Grey, Engenheiro de Vendas Para a América Latina, Guidance Software
Se você quiser uma demonstração de como EnCase
pode ajudá-lo com o cumprimento de padrões (Compliance), combate ao fraude e
resposta a incidentes de malware, não duvide em contatar nossa equipe de vendas
no e-mail sales-LatAm@encase.com
RELACIONADOS
No comments :
Post a Comment