Na primeira publicação desta série de três partes, temos trabalhado com as bases do padrão PCI DSS V3. Nesta segunda publicação, veremos como EnCase® Analytics combinado com EnCase® Cybersecurity e EnCase® eDiscovery podem ajudar às organizações que processam dados de contas, provedores de serviços e revendedores de software / desenvolvedores que realizam auditorias de primeira parte para assegurar que seu software de processamento de cartões esteja em comformidade com o PCI DSS. Lembre-se que EnCase® Enterprise está incluído com EnCase® Analytics, EnCase® Cybersecurity e EnCase® eDiscovery.
Por tanto,
vejamos o segundo grupo dos requisitos para conformidade com o padrão PCI DSS
V3 nos quais EnCase® pode ajudar a uma variedade de organizações. Novamente,
usaremos um enfoque “requisito por requisito”.
REQUISITOS DO PCI DSS*
|
PROCEDIMENTOS DE TESTE*
|
Como EnCase®
Pode Ajudar
|
4.1 Uso de criptografia forte e protocolos de
segurança (por exemplo, SSL/TLS, IPSEC, SSH, etc.) para proteger dados
confidenciais do portador do cartão durante a transmissão por redes públicas
e abertas, incluindo o que segue:
• Somente chaves e certificados confiáveis são
aceitos.
• O protocolo em uso suporta apenas versões ou
configurações seguras.
• A força da criptografia é adequada para a
metodologia de criptografia que está sendo utilizada.
Os exemplos de
redes abertas e públicas incluem, entre outros:
• A internet
• Tecnologias sem
fio, incluindo 802.11 e Bluetooth
• Tecnologia
celular, por exemplo, Global System for Mobile Communications (GSM),
CodeDivisionMultiple Access (CDMA)
• General Packet
Radio Service (GPRS).
• Comunicações
por satélite.
|
4.1.a Identifique todos
os locais onde os dados do portador do cartão são transmitidos ou recebidos
por redes públicas, abertas. Analise os padrões documentados e compare com as
configurações do sistema para verificar o uso de protocolos de segurança e
criptografia forte em todos os locais.
|
As organizações podem usar EnCase® Cybersecurity para identificar,
auditar e verificar todos os lugares onde dados do portador do cartão são
transmitidos ou recebidos em redes abertas e públicas.
|
4.1.1 Certifique-se de que as redes sem fio estejam
transmitindo dados do portador do cartão ou estejam conectadas ao ambiente de
dados do portador do cartão, use as melhores práticas do setor (por exemplo,
IEEE 802.11i) para implementar a criptografia forte para a autenticação e a
transmissão.
Observação: O uso
de WEP como controle de segurança é proibido.
|
4.1.1 Identifique
todas as redes sem fio que transmitem dados do portador do cartão ou
conectadas ao ambiente de dados do portador do cartão. Analise os padrões
documentados e compare com as configurações do sistema para verificar o que
segue para todas as redes sem fio identificadas:
• As melhores práticas do setor (por exemplo, IEEE
802.11i) são usadas para implementar a criptografia forte para autenticação e
transmissão.
• A criptografia fraca (por exemplo, WEP, SSL versão
2.0 ou mais antiga) não é utilizada como controle de segurança para a
autenticação ou transmissão
|
As organizações podem usar EnCase® Cybersecurity
para identificar todas as redes sem fio que transmitem dados do portador do
cartão ou conectadas ao ambiente de dados do portador do cartão.
|
4.2 Nunca envie PANs desprotegidos por tecnologias
de envio de mensagens de usuário final (por exemplo, e-mail, sistemas de
mensagens instantâneas, chat, etc.).
|
4.2.a Se forem
utilizadas tecnologias de mensagem de usuário final para enviar dados do
portador do cartão, observe os processos de envio do PAN e analise uma
amostra das transmissões de saída quando elas ocorrerem para verificar se o
PAN é entregue ilegível ou protegido com criptografia forte sempre que é
enviado por meio de tecnologias de mensagens de usuário final.
4.2.b Revise as
políticas escritas para verificar a existência de uma política que afirme que
os PANs desprotegidos não devem ser enviados por meio das tecnologias de
envio de mensagens de usuário final.
|
As organizações podem usar EnCase® Cybersecurity e EnCase® eDiscovery
para assegurar conformidade PCI na transmissão de dados confidenciais em
registros, contas de e-mail, SharePoint e outros serviços na nuvem.
|
4.3 Certifique-se de que as políticas de segurança e
procedimentos operacionais para criptografar as transmissões dos dados do
portador do cartão estejam documentados, em uso e conhecidos por todas as
partes envolvidas.
|
4.3 Analise a
documentação e questione os funcionários para verificar se as políticas de
segurança e procedimentos operacionais para criptografar as transmissões dos
dados do portador do cartão estão:
• Documentados,
• Em uso, e
• Conhecidos por todas as partes envolvidas.
|
Os serviços da Guidance Software Professional
Services podem verificar que as políticas de segurança e procedimentos
operacionais para criptografar as transmissões dos dados do portador do
cartão estejam:
• Documentados,
• Em uso, e
• Conhecidos por todas as partes envolvidas.
|
Requisito 5: Proteja todos os sistemas contra
softwares prejudiciais e atualize regularmente programas ou software de
antivírus
|
||
5.1 Implemente softwares de antivírus em todos os
sistemas normalmente afetados por softwares mal- intencionados (especialmente
em computadores pessoais e servidores)
|
5.1 Para obter uma
amostra dos componentes do sistemas incluindo todos os tipos de sistemas
operacionais normalmente afetados por softwares mal-intencionados, verifique
se o software de antivírus foi implementado se houver uma tecnologia
antivírus aplicável.
|
Organizações e auditores PCI podem usar EnCase®
Cybersecurity para auditar rapidamente os dispositivos e verificar que o
programas de antivírus estejam configurados para ser executados em todos os
dispositivos e examinar as chaves de registro do sistema operacional para
determinar opções de configuração específicas.
As organizações podem verificar rapidamente o estado
real do antivírus em todos os dispositivos, inclusive em dispositivos dos empregados,
em vez de somente verificar uma amostra para assegurar-se que as amostras
tomadas pelos auditores não incluam dispositivos que possivelmente poderiam
estar fora de conformidade.
|
5.1.2 Para sistemas que normalmente não são atacados
por softwares mal- intencionados, execute avaliações periódicas para
identificar e avaliar a evolução de ameaças de malware a fim de confirmar se
tais sistemas continuam a não precisar de software de antivírus.
|
5.1.2 Questione os
funcionários para verificar se a evolução de ameaças de malware é monitorada
e avaliada para sistemas que normalmente não são atacados por softwares
mal-intencionados, a fim de confirmar se tais sistemas continuam a não
precisar de software de antivírus.
|
EnCase® Cybersecurity pode identificar ameaças de malware
desconhecidas mediante a comparação com uma configuração boa e conhecida.
A Guidance Software Professional Services pode ajudar a entrevistar os
funcionários para verificar que ameaças de malware em evolução estejam sendo
monitoradas e avaliadas para os sistemas
|
5.2 Certifique-se de que todos os mecanismos
antivírus sejam mantidos conforme segue:
• São mantidos atualizados,
• Executam varreduras periódicas
• Geram logs de auditoria que são mantidos conforme
o Requisito 10.7 do PCI DSS.
|
5.2.a Analise as
políticas e os procedimentos para verificar se é exigido que as definições e
o software de antivírus sejam mantidos atualizados.
5.2.b Analise as
configurações do antivírus, incluindo a instalação principal do software para
verificar se os mecanismos antivírus estão:
• Configurados para executar atualizações
automáticas, e
• Configurados para executar varreduras periódicas.
5.2.c Analise uma
amostra dos componentes do sistema incluindo todos os tipos de sistemas
operacionais normalmente afetados pelos softwares mal-intencionados, para
verificar se:
• O software de antivírus e as definições são
atuais.
• Executam varreduras periódicas.
5.2.d Analise as
configurações do antivírus, incluindo a instalação principal do software e
uma amostra dos componentes do sistema para verificar se:
• A geração de log do software de antivírus está
habilitada, e
• Os logs são mantidos de acordo com o Requisito
10.7 do PCI DSS.
|
Organizações e auditores PCI podem usar EnCase®
Cybersecurity para auditar rapidamente
os dispositivos e verificar as datas das últimas atualizações das definições
dos programas de antivírus, assim como revisar chaves de registro do sistema
operacional para realizar atualizações automáticas e varreduras periódicas,
se estiverem disponíveis.
EnCase® Cybersecurity também pode auditar e coletar
registros de antivírus.
|
5.3 Certifique-se de que os mecanismos antivírus
estejam funcionando ativamente e não possam ser desativados ou alterados
pelos usuários, a menos que seja especificamente autorizado pelo
gerenciamento com base em cada caso por um período limitado de tempo.
Observação: As
soluções de antivírus podem ser temporariamente desativadas apenas se houver
necessidade técnica comprovada, conforme autorizado pelo gerenciamento com
base em cada caso. Se a proteção de antivírus precisar ser desativada por um
motivo específico, isso deve ser formalmente autorizado. Medidas adicionais
de segurança também podem precisar ser implementadas pelo período de tempo
durante o qual a proteção de antivírus não estiver ativa.
|
5.3.a Analise as
configurações do antivírus, incluindo a instalação principal do software e
uma amostra dos componentes do sistema para verificar se o software de
antivírus está funcionando ativamente.
5.3.b Analise as
configurações do antivírus, incluindo a instalação principal do software e
uma amostra dos componentes do sistema para verificar se o software de
antivírus não pode ser desativado ou modificado pelos usuários.
|
Organizações e auditores PCI podem usar EnCase® Cybersecurity para
auditar rapidamente os dispositivos e verificar que o programas de antivírus
estejam configurados para ser executados em todos os dispositivos e examinar
as chaves de registro do sistema operacional para determinar opções de
configuração específicas.
As organizações podem verificar rapidamente o estado real do antivírus
em todos os dispositivos, inclusive em dispositivos dos empregados, em vez de
somente verificar uma amostra para assegurar-se que as amostras tomadas pelos
auditores não incluam dispositivos que possivelmente poderiam estar fora de
conformidade.
|
5.4 Certifique-se de que as políticas de segurança e
procedimentos operacionais para proteger os sistemas contra
malwareestejamdocumentados, em uso e conhecidos por todas as partes
envolvidas.
|
5.4 Analise a documentação e questione os
funcionários para verificar se as políticas de segurança e procedimentos
operacionais para proteger os sistemas contra malware estão:
• Documentados,
• Em uso, e
• Conhecidos por todas as partes envolvidas.
|
Os serviços da Guidance Software Professional
Services podem ajudar a verificar que as políticas de segurança e
procedimentos operacionais para a proteção dos sistemas contra malware
estejam:
• Documentados,
• Em uso, e
• Conhecidos por todas as partes envolvidas.
|
Requisito 6: Desenvolver e manter sistemas e
aplicativos seguros
|
||
6.1 Estabeleça um processo para identificar as
vulnerabilidades de segurança, usando fontes externas de boa reputação para
informações de vulnerabilidades da segurança e classifique uma escala de
risco (por exemplo, "alto", "médio" ou "baixo")
para vulnerabilidades de segurança recentemente descobertas.
Observação: As
classificações de risco devem ser baseadas nas melhores práticas do setor,
bem como a consideração de impacto potencial. Por exemplo, os critérios para
classificar as vulnerabilidades podem incluir a consideração da marca da base
CVSS e/ou a classificação pelo fornecedor e/ou os tipos de sistemas afetados.
Os métodos para avaliar as vulnerabilidades e classificar o nível de risco
variam baseados no ambiente da organização e na estratégia de avaliação de
risco. As classificações de risco devem, no mínimo, identificar todas as
vulnerabilidades consideradas de "alto risco" ao ambiente. Além da
classificação de risco, as vulnerabilidades podem ser consideradas
"críticas" se apresentarem uma ameaça iminente ao ambiente,
sistemas críticos de impacto e/ou resultaria em comprometimento potencial se
não resolvidas. Exemplos de sistemas críticos podem incluir sistemas de
segurança, dispositivos voltados ao público e sistemas, bancos de dados e
outros sistemas que armazenam, processam ou transmitem dados do portador do
cartão
|
6.1.a Analise as
políticas e procedimentos para verificar se os processos estão definidos para
o que segue:
• Para identificar novas vulnerabilidades da
segurança
• Para classificar uma escala de risco para as
vulnerabilidades que incluem identificação de todas as vulnerabilidades de
"alto risco" e "críticas".
• Para usar fontes externas de boa reputação para
obter informações sobre vulnerabilidade da segurança.
6.1.b Questione os funcionários
responsáveis e observe os processos para verificar se:
• Novas vulnerabilidades da segurança são
identificadas.
• Uma escala de risco é classificada para as
vulnerabilidades que incluem identificação de todas as vulnerabilidades de
"alto risco" e "críticas".
• Os processos de identificação de novas
vulnerabilidades de segurança incluem o uso de fontes externas de boa
reputação para obtenção de informações sobre vulnerabilidades.
|
Organizações e auditores PCI podem usar EnCase®
Cybersecurity para auditar rapidamente os dispositivos para encontrar
vulnerabilidades à segurança que incluam dispositivos que poderiam estar fora
de conformidade.
|
6.2 Certifique-se de que todos os componentes do
sistema e softwares estejam protegidos de vulnerabilidades conhecidas
instalando os patches de segurança aplicáveis disponibilizados pelos
fornecedores. Instale patches de segurança críticos em até um mês após o
lançamento.
Observação: Os
patches de segurança crítica devem ser identificados de acordo com o processo
de classificação de risco definido no Requisito 6.1.
|
6.2.a Analise as
políticas e procedimentos relacionados à instalação dos patches de segurança
para verificar se estão definidos processos para:
• Instalação de patches de segurança críticos disponibilizados pelo
fornecedor em até um mês após o lançamento.
• Instalação de todos os patches de segurança aplicáveis
disponibilizados pelo fornecedor dentro de um período de tempo apropriado
(por exemplo, dentro de três meses).
6.2.b Para obter uma
amostra dos componentes do sistema e dos softwares relacionados, compare a
lista de patches de segurança instalados em cada sistema com a lista de
patches de segurança mais recentes do fornecedor para verificar o seguinte:
• Os patches de segurança críticos disponibilizados pelo fornecedor
são instalados em até um mês após o lançamento.
• Todos os patches de segurança aplicáveis disponibilizados pelo
fornecedor são instalados em um período de tempo apropriado (por exemplo,
dentro de três meses).
|
Organizações e auditores PCI podem usar EnCase® Cybersecurity para
auditar rapidamente e verificar o nível de atualização de patches em cada
dispositivo. As organizações podem verificar o estado real dos patches em
todos os dispositivos, inclusive em dispositivos dos empregados, em vez de
somente verificar uma amostra para assegurar-se que as amostras tomadas pelos
auditores não incluam dispositivos que possivelmente poderiam estar fora de
conformidade.
|
6.5.10 Autenticação quebrada e gerenciamento de
sessão
Observação: O
requisito 6.5.10 será considerado uma das melhores práticas até 30 de junho
de 2015 quando passará a ser um requisito
|
6.5.10 Analise as
políticas e procedimentos de desenvolvimento de software e questione os
funcionários responsáveis para verificar se a autenticação quebrada e o
gerenciamento de sessão são resolvidos pelas técnicas de codificação que
comumente incluem:
• Marcar os tokens de sessão (por exemplo, cookies)
como "seguro"
• Não expor os IDs de sessão no URL
• Incorporar períodos de tempo apropriados e rotação
de IDs de sessão depois de efetuar logon com sucesso.
|
Organizações e auditores PCI podem usar EnCase®
Cybersecurity para auditar a presença de artefatos da internet tais como
cookies, URLs e parâmetros URL em um ambiente de teste.
|
Requisito 7: Restrinja o acesso aos dados do
portador do cartão de acordo com a necessidade de conhecimento para o negócio
|
||
7.1 Limite o acesso aos componentes do sistema e aos
dados do portador do cartão somente àquelas pessoas cuja função requer tal
acesso.
|
7.1 Analise a
política por escrito para o controle de acesso e verifique se a política
incorpora os requisitos 7.1.1 a 7.1.4 conforme segue:
• Definir necessidades de acesso e atribuições
especiais para cada função
• Restrição de acesso a IDs de usuários
privilegiados ao menor número de privilégios necessários para desempenhar as
responsabilidades da função
• A concessão do acesso se baseia na classificação e
na atribuição da função da equipe individual
• Aprovação documentada (eletronicamente ou por
escrito) pelas partes autorizadas a todo o acesso, incluindo lista de
privilégios específicos aprovados.
|
Guidance Software Professional Services pode ajudar
a verificar se a política incorpora os requisitos 7.1.1 a 7.1.4 conforme
segue:
• Definir necessidades de acesso e atribuições
especiais para cada função
• Restrição de acesso a IDs de usuários
privilegiados ao menor número de privilégios necessários para desempenhar as
responsabilidades da função
• A concessão do acesso se baseia na classificação e
na atribuição da função da equipe individual
• Aprovação documentada (eletronicamente ou por
escrito) pelas partes autorizadas a todo o acesso, incluindo lista de
privilégios específicos aprovados.
|
7.3 Certifique-se de que as políticas de segurança e
procedimentos operacionais para restringir o acesso aos dados do portador do
cartão estejam documentados, em uso e conhecidos por todas as partes
envolvidas.
|
7.3 Analise a
documentação e questione os funcionários para verificar se as políticas de
segurança e procedimentos operacionais para restringir o acesso aos dados do
portador do cartão estão:
• Documentados,
• Em uso, e
• Conhecidos por todas as partes envolvidas.
|
Guidance Software Professional Services pode ajudar a verificar que as
políticas de segurança e procedimentos operacionais para restringir o acesso
aos dados do portador do cartão estão:
• Documentados,
• Em uso, e
• Conhecidos por todas as partes envolvidas.
|
Requisito 8: Identifique e autentique o acesso aos
componentes do sistema
|
||
8.1.2 Controle o acréscimo, a exclusão e a
modificação dos IDs do usuário, credenciais e outros objetos do responsável
pela identificação.
|
8.1.2 Para obter uma
amostra dos IDs de usuários privilegiados e IDs de usuários gerais, analise
as autorizações associadas e observe os ajustes do sistema para verificar se
cada ID do usuário e ID do usuário privilegiado foi implementado apenas com
os privilégios especificados na aprovação documentada.
|
Organizações e auditores PCI podem usar EnCase® Cybersecurity para
auditar rapidamente os dispositivos para verificar que cada ID de usuário e
cada ID de usuário privilegiado tenha sido implementado somente com os
privilégios especificados na aprovação documentada.
|
8.1.3 Revogue imediatamente o acesso de quaisquer
usuários desligados da empresa.
|
8.1.3.a Selecione uma
amostra de funcionários desligados da empresa nos últimos seis meses e
analise as listas de acesso dos usuários atuais,tanto para o acesso remoto
quanto o local, a fim de verificar se seus IDs foram desativados ou removidos
das listas de acesso
8.1.3.b Verifique se
todos os métodos físicos de autenticação (como smartcards, tokens, etc.)
tenham sido devolvidos ou desativados.
|
Organizações e auditores PCI podem usar EnCase®
Cybersecurity e EnCase® Analytics para auditar rapidamente os dispositivos e
verificar que usuários desligados da empresa já não acessem os dispositivos e
que não tenham sido reabilitados.
|
8.1.4 Remover/desativar as contas inativas dos
usuários pelo menos a cada 90 dias.
|
8.1.4 Observe as
contas do usuário para verificar se as contas inativas por mais de 90 dias
são removidas ou desativadas.
|
Organizações e auditores PCI podem usar EnCase® Cybersecurity e
EnCase® Analytics para auditar rapidamente os dispositivos e verificar que usuários
desligados da empresa já não acessem os dispositivos e que não tenham sido
reabilitados.
|
8.1.5 Controle as IDs usadas pelos fornecedores para
acessar, suportar ou manter os componentes do sistema por meio de acesso
remoto, conforme segue:
• Ativar apenas durante o período necessário e
desativar quando não estiverem em uso.
• Monitorar quando estiverem em uso
|
8.1.5.a Questione os
funcionários e observe os processos para controlar as contas usadas pelos
fornecedores para acessar, suportar ou manter os componentes do sistema para
verificar se as contas usadas por fornecedores por meio de acesso remoto são:
• Desativadas quando não estiverem em uso
• Ativadas apenas quando necessário para o
fornecedor e desativadas quando não estiverem em uso.
8.1.5.b Questione os
funcionários e observe os processos para verificar se as contas de acesso
remoto do fornecedor são monitoradas quando estão em uso.
|
Organizações e auditores PCI podem usar EnCase®
Cybersecurity e EnCase® Analytics para auditar rapidamente a nível de
dispositivo e verificar que as contas de usuário usadas por fornecedores para
acessar, suportar ou manter os componentes do sistema estejam desativadas
quando não estiverem em uso e que estejam ativadas somente quando seja
necessário para os fornecedores.
|
8.1.6 Limite tentativas de acesso repetidas
bloqueando o ID do usuário após seis tentativas, no máximo.
|
8.1.6.a Para obter uma
amostra dos componentes do sistema, inspecione as configurações do sistema
para verificar se os parâmetros de autenticação estão definidos para exigir
que as contas de usuários sejam bloqueadas após seis tentativas inválidas de
efetuar logon.
8.1.6.b
Procedimento de teste adicional para prestadores de serviços: Analise os
processos internos e a documentação do cliente/usuário e observe os processos
implementados para verificar se as contas do usuário que não é cliente são
bloqueadas temporariamente após seis tentativas inválidas de acesso.
|
Organizações e auditores PCI podem usar EnCase® Cybersecurity e
auditar rapidamente as chaves de registro do sistema operacional para
requerer que as contas de usuário fiquem bloqueadas após no máximo seis tentativas
de acessoe que contas de usuários que não sejam clientes sejam bloqueadas
temporariamente após seis tentativas inválidas de acesso.
|
8.1.8 Se uma sessão estiver ociosa por mais de 15
minutos, solicite que o usuário redigite a senha para reativar o terminal.
|
8.1.8 Para obter uma
amostra dos componentes do sistema, analise as definições de configuração do
sistema para verificar se os recursos de tempo esgotado de ociosidade do
sistema/sessão foram definidos para 15 minutos ou menos.
|
Organizações e auditores PCI podem usar EnCase®
Cybersecurity para auditar rapidamente as chaves de registro do sistema
operacional para verificar que o tempo esgotado de ociosidade do
sistema/sessão foram definidos para 15 minutos ou menos.
|
8.2.1 Use criptografia forte, converta todas as
credenciais de autenticação (como senhas/frases) ilegíveis durante a
transmissão e armazenamento em todos os componentes do sistema.
|
8.2.1.a Analise a
documentação do fornecedor e os ajustes da configuração do sistema para
verificar se as senhas estão protegidas com criptografia forte durante a
transmissão e o armazenamento.
8.2.1.b Para obter uma
amostra dos componentes do sistema, analise os arquivos de senha para
verificar se as senhas estão ilegíveis durante o armazenamento
8.2.1.c Para obter uma
amostra dos componentes do sistema, analise as transmissões de dados para
verificar se as senhas estão ilegíveis durante a transmissão.
8.2.1.d
Procedimento de teste adicional para prestadores de serviços: Observe os
arquivos de senha para verificar se as senhas do cliente estão ilegíveis
durante o armazenamento.
8.2.1.e
Procedimento de teste adicional para prestadores de serviços: Observe as
transmissões de dados para verificar se as senhas do cliente estão ilegíveis
durante a transmissão
|
Organizações e auditores PCI podem usar EnCase® Cybersecurity para
auditar rapidamente os arquivos de senhas para que as senhas estejam
ilegíveis durante o armazenamento e para que os prestadores de serviços
verifiquem que as senhas dos clientes estão ilegíveis durante o
armazenamento.
|
8.2.3 As senhas/frases devem atender ao seguinte:
• Exigir uma extensão mínima de pelo menos sete
caracteres.
• Conter caracteres numéricos e alfabéticos.
Alternativamente, as senhas/frases devem ter complexidade e força pelo menos
equivalentes aos parâmetros especificados acima.
|
8.2.3a Para obter uma
amostra dos componentes do sistema, analise as definições de configuração do
sistema para verificar se os parâmetros de senha do usuário estão definidos
para solicitar pelo menos a seguinte complexidade/força:
• Exigir uma extensão mínima de pelo menos sete
caracteres.
• Conter caracteres numéricos e alfabéticos.
8.2.3.b
Procedimento de teste adicional para prestadores de serviços: Analise os
processos internos e a documentação do cliente/usuário para verificar se as
senhas do usuário que não é cliente são exigidas para atender pelo menos a
seguinte complexidade/força:
• Exigir uma extensão mínima de pelo menos sete
caracteres.
• Conter caracteres numéricos e alfabéticos.
|
Organizações e auditores PCI podem usar EnCase®
Cybersecurity para auditar rapidamente as chaves de registro do sistema
operacional para solicitar pelo menos a seguinte complexidade/força:
• Exigir uma extensão mínima de pelo menos sete
caracteres.
• Conter caracteres numéricos e alfabéticos.
|
8.2.4 Altere as senhas/frases do usuário pelo menos
a cada 90 dias.
|
8.2.4.a Para obter uma
amostra dos componentes do sistema, analise as definições de configuração do
sistema para verificar se os parâmetros de senha do usuário estão definidos
para solicitar que os usuários alterem as senhas pelo menos a cada 90 dias
|
Organizações e auditores PCI podem usar EnCase® Cybersecurity para
auditar rapidamente as chaves de registro do sistema operacional para
solicitar que os parâmetros de senha do usuário estejam definidos de forma
que os usuários alterem as senhas pelo menos a cada 90 dias.
|
8.2.5 Não permita que ninguém envie uma nova senha
que seja a mesma de uma das quatro últimas senhas que tenha sido usada.
|
8.2.5.a Para obter uma
amostra dos componentes do sistema, obtenha e analise as definições da
configuração do sistema para verificar se os parâmetros de senha estão
definidos para solicitar que as novas senhas não possam ser iguais às quatro
senhas usadas anteriormente.
|
Organizações e auditores PCI podem usar EnCase®
Cybersecurity para auditar rapidamente as chaves de registro do sistema
operacional para que as senhas novas dos usuários não possam ser iguais as
quatro últimas senhas de usuário usadas anteriormente.
|
8.2.6 Defina as senhas/frases para o primeiro uso e
ao reiniciar com um valor exclusivo para cada usuário e altere imediatamente
após a primeira utilização
|
8.2.6 Analise os
procedimentos de senha e observe a equipe de segurança para verificar se as
senhas iniciais para usuários novos e senhas de reinicialização para usuários
existentes são definidas com um valor exclusivo para cada usuário e alteradas
após a primeira utilização
|
Organizações e auditores PCI podem usar EnCase® Cybersecurity para
auditar rapidamente as chaves de registro do sistema operacional para que senhas
de reinicialização para usuários existentes sejam definidas com um valor
exclusivo para cada usuário e alteradas após a primeira utilização.
|
8.4 Registre e comunique os procedimentos e
políticas de autenticação a todos os usuários, incluindo:
• Orientação sobre selecionar credenciais fortes de autenticação
• Orientação sobre como os usuários devem proteger
suas credenciais de autenticação
• Instruções para não reutilizar senhas
anteriormente usadas
• Instruções para alterar a senha se houver suspeita
de que ela possa estar comprometida.
|
8.4.a Analise os
procedimentos e questione os funcionários para verificar se os procedimentos
e políticas de autenticação são distribuídos para todos os usuários.
8.4.b Analise os
procedimentos e políticas de autenticação que são distribuídos aos usuários e
verifique se eles incluem:
• Orientação sobre selecionar credenciais fortes de
autenticação
• Orientação sobre como os usuários devem proteger
suas credenciais de autenticação.
• Instruções para os usuários não reutilizarem
senhas anteriormente usadas
• Instruções para alterar a senha se houver suspeita
de que ela possa estar comprometida.
8.4.c Questione alguns
usuários para verificar se eles estão familiarizados com os procedimentos e
políticas de autenticação.
|
Guidance Software Professional Services pode ajudar
a verificar que os procedimentos e políticas de autenticação sejam
distribuídos a todos os usuários e que incluam:
• Orientação sobre selecionar credenciais fortes de
autenticação
• Orientação sobre como os usuários devem proteger
suas credenciais de autenticação.
• Instruções para os usuários não reutilizarem
senhas anteriormente usadas
• Instruções para alterar a senha se houver suspeita
de que ela possa estar comprometida.
|
8.5 Não use IDs de grupos, compartilhados ou
genéricos, senhas ou outros métodos de autenticação conforme segue:
• IDs genéricos de usuários são desativados ou
removidos.
• IDs de usuários compartilhados não existem para a
administração do sistema e outras funções críticas.
• IDs de usuários compartilhados e genéricos não são
usados para administrar quaisquer componentes do sistema.
|
8.5.a Para obter uma
amostra dos componentes do sistema, analise as listas de ID do usuário para
verificar o seguinte:
• IDs genéricos de usuários são desativados ou removidos.
• IDs de usuários compartilhados para atividades de administração do
sistema e outras funções críticas não existem.
• IDs de usuários compartilhados e genéricos não são usados para
administrar quaisquer componentes do sistema.
8.5.c Questione os
administradores do sistema para verificar se as senhas e/ou IDs de grupo ou
compartilhados ou outros métodos de autenticação não são distribuídos, mesmo
se forem solicitados.
|
Organizações e auditores PCI podem usar EnCase® Cybersecurity para
auditar rapidamente os dispositivos usando permissões a nível de arquivo para
verificar o seguinte:
• IDs genéricos de usuários são desativados ou removidos.
• IDs de usuários compartilhados para atividades de administração do
sistema e outras funções críticas não existem.
• IDs de usuários compartilhados e genéricos não são usados para
administrar quaisquer componentes do sistema.
Adicionalmente, as organizações podem verificar que contas de usuário
estão sendo usadas para acessar recursos de sistema e de rede específicos
para determinar se senhas ou IDs de usuário podem estar sendo compartilhadas.
|
*Copyright
2006-2014, PCI Security Standards Council LLC (https://pt.pcisecuritystandards.org/_onelink_/pcisecurity/en2pt/minisite/en/docs/PCI_DSS_v3.pdf)
No nosso
seguinte artigo desta série, vamos continuar olhando os requerimentos para
conformar com o padrão PCI DSS v3. A intenção desta série é ajudar às organizações
a entender como EnCase® pode reduzir a complexidade da conformidade PCI e
ajudar na execução prática dos requisitos.
- T. Grey, Engenheiro de Vendas Para a América Latina, Guidance Software
Se você quiser uma demonstração de como EnCase
pode ajudá-lo com o cumprimento de padrões (Compliance), combate ao fraude e
resposta a incidentes de malware, não duvide em contatar nossa equipe de vendas
no e-mail sales-LatAm@encase.com
RELACIONADOS
Entendo a Conformidade com o Padrão PCI DSS V3 com EnCase® – Parte I
No comments :
Post a Comment