Entendo a Conformidade com o Padrão PCI DSS V3 com EnCase® – Parte III



A intenção desta série de artigos do blog é ajudar às organizações a entender o padrão PCI DSS versão 3. Em estes artigos explicamos como EnCase pode reduzir a complexidade da conformidade PCI, ajudar a medir os riscos atuais à conformidade na sua organização e reduzir o tempo para aplicar a execução do requisitos de conformidade. 

Nos dois primeiros artigos desta serie mostramos nossa visão geral sobre como EnCase pode assistir na análise de conformidade efetuada por primeiras ou terceiras partes relacionando a análise diretamente a cada requisito do Padrão De Segurança De Dados da Indústria De Cartões de Pago (PCI DSS, conforme sua sigla em inglês). 

Como discutimos nas partes 1 y 2 desta série, os requisitos para conformidade PCI DSS dependem do número da conta principal (PAN, segundo sua sigla em inglês). EnCase tem formatos de cartões pré-definidos para ajudar às organizações a pesquisar facilmente o seguintes tipos de PAN:

Cartões Tipo 1



American Express
Visa
MasterCard
DiscoverCard
Diners Club
JCB
Maestro
Laser
InstaPayment
Solo
Switch
Visa Electron
Cartões Tipo 2



American Express
Visa
Diners Club/Carte Blanche
Diners Club International
Laser
Maestro



Outros cartões podem ser buscados usando formatos personalizados. Todos os formatos podem ser validados facilmente usando o algoritmo de Luhn. 

Além dos formatos de cartão predefinidos e personalizados, os critérios de pesquisa do EnCase também podem ajudar a encontrar documentos ou registros que contenham informação relacionada aos dados do portador do cartão ou qualquer outro requisito PCI DSS associado ao número da conta principal (PAN). Esta informação pode incluir o nome do portador do cartão, PIN e outros dados armazenados na tarja magnética do cartão. Milhares de suários do EnCase também buscam rotineiramente dados sensíveis  em servidores com saída à internet, auditam software e hardware para ver se os patches e controladores foram atualizados,  identificam arquivos ciferados e entendem as conexões remotas efetuados pelos seus dispositivos. Muitas destas tarefas adicionais também fazem parte do padrão PCI DSS e estão referenciados nesta série de artigos do blog.

Finalmente, vejamos o último grupo de requisitos para conformidade PCI DSS nos quais EnCase pode ajudar a vários tipos de organizações. Como nos artigos anteriores, veremos cada requisito específico com um enfoque “requisito por requisito”.



REQUISITOS DO PCI DSS* 
PROCEDIMENTOS DE TESTE*
Como EnCase® Pode Ajudar
Requisito 9:  Restrinja o acesso físico aos dados do portador do cartão
9.8.2 Torne os dados do portador do cartão nas mídias eletrônicas irrecuperáveis para que esses dados não possam ser reconstituídos.
9.8.2 Verifique se os dados do portador do cartão nas mídias eletrônicas são tornados irrecuperáveis por meio de um programa de limpeza segura (de acordo com os padrões aceitos pelo setor quanto à exclusão segura, ou de outra forma, destruindo fisicamente as mídias).
EnCase® Cybersecurity  pode eliminar de forma segura arquivos e registros de sistema em mídia eletrônica mediante um programa de eliminação segura que está em conformidade com os padrões aceitados na indústria para remoção segura.
9.9 Proteja contra falsificação e substituição os dispositivos que capturam os dados do cartão de pagamento por meio de interação física direta com o cartão.

Observação: Estes requisitos se aplicam aos dispositivos de leitura do cartão usados em transações com a presença do cartão (ou seja, de passar ou inserir) no ponto de venda. Este requisito não tem o objetivo de se aplicar aos componentes de entrada de chave manual, como teclados de computador e teclados POS.

 Observação: O requisito 9.9 é considerado uma das melhores práticas até 30 de junho de 2015 quando passará a ser um requisito.
9.9 Analise as políticas e procedimentos para verificar se eles incluem: 
• Manter uma lista de dispositivos 
• Inspecionar periodicamente os dispositivos para identificar falsificações ou substituições 
• Treinar os funcionários para que reconheçam comportamentos suspeitos e para reportar a falsificação ou substituição de dispositivos.
Organizações e auditores PCI podem usar EnCase® Cybersecurity  para gerar e auditar rapidamente uma lista dos dispositivos e também inspecionar periodicamente os dispositivos para buscar falsificação e substituição.
9.9.1 Mantenha uma lista atualizada de dispositivos. A lista deve incluir o seguinte: 
• Marca, modelo do dispositivo 
• Localização do dispositivo (por exemplo, o endereço do local ou instalação onde o dispositivo está localizado) 
• Número de série do dispositivo ou outro método de identificação exclusivo.
9.9.1.a Analise a lista de dispositivos para verificar se ela inclui: 
• Marca, modelo do dispositivo 
• Localização do dispositivo (por exemplo, o endereço do local ou instalação onde o dispositivo está localizado) 
• Número de série do dispositivo ou outro método de identificação exclusivo.
9.9.1.b Selecione uma amostra de dispositivos a partir da lista e observe as localizações do dispositivo para verificar se a lista está exata e atualizada.
Organizações e auditores PCI podem usar EnCase® Cybersecurity  para gerar e verificar rapidamente uma lista dos dispositivos atualizada que inclua:
• Marca, modelo do dispositivo 
• Localização do dispositivo (por exemplo, o endereço do local ou instalação onde o dispositivo está localizado) 
• Número de série do dispositivo ou outro método de identificação exclusivo.
Requisito 10: Acompanhe e monitore todos os acessos com relação aos recursos da rede e aos dados do portador do cartão
10.2 Implemente trilhas de auditoria automatizadas para todos os componentes do sistema para recuperar os seguintes eventos:
10.2 Por meio de entrevistas do funcionário responsável, observação de registros de auditoria e análise de suas configurações, desempenhe o seguinte:
Organizações e auditores podem usar EnCase® Cybersecurity  para auditar rapidamente registros e configurações para diversos tipos de componentes de sistema
10.2.3 Acesso a todas as trilhas de auditoria
10.2.3 Verifique se o acesso a todas as trilhas de auditoria é registrado.
Organizações e auditores podem usar EnCase® Cybersecurity  para auditar rapidamente registros e configurações para diversos tipos de componentes de sistema usando permissões a nível de arquivo
10.2.4 Tentativas inválidas de acesso lógico
10.2.4 Verifique se as tentativas inválidas de acesso lógico estão registradas.
Organizações e auditores PCI podem usar EnCase® Cybersecurity  para auditar rapidamente registros de eventos do Windows e encontrar tentativas inválidas de acesso.
10.2.6 Inicialização, interrupção ou pausa dos registros de auditoria
10.2.6 Verifique se o que segue é registrado: 
• Inicialização dos logs de auditoria 
• Interrupção ou pausa dos registros de auditoria.
Organizações e auditores PCI podem usar EnCase® Cybersecurity  para auditar rapidamente registros de eventos do Windows e metadados de arquivos relacionados para verificar a inicialização, interrupção ou pausa dos logs
10.2.7 Criação e exclusão de objetos do nível do sistema
10.2.7 Verifique se a criação e a exclusão de objetos do nível do sistema são registrados.
Organizações e auditores PCI podem usar EnCase® Cybersecurity  para auditar rapidamente registros de eventos do Windows e metadados de arquivos relacionados para encontrar a criação e exclusão de objetos do nível do sistema
10.3 Registre pelo menos as seguintes entradas de trilhas de auditoria para todos os componentes do sistema para cada evento:
10.3 Por meio de entrevistas e da observação dos logs de auditoria, para cada evento auditável (no item 10.2), realize o seguinte:
Dependendo do tipo de arquivos de registro (log files), EnCase® Cybersecurity  e EnCase Enterprise podem extrair informação relevante mediante análise sintática (parsing).
10.3.1 Identificação do usuário
10.3.1 Verifique se a identificação do usuário está incluída nas entradas do registro.
Dependendo do tipo de arquivos de registro (log files), EnCase® Cybersecurity  e EnCase Enterprise podem extrair informação relevante mediante análise sintática (parsing).
10.3.2 Tipo de evento
10.3.2 Verifique se o tipo de evento está incluído nas entradas do registro.
Dependendo do tipo de arquivos de registro (log files), EnCase® Cybersecurity  e EnCase Enterprise podem extrair informação relevante mediante análise sintática (parsing).
10.3.3 Data e horário
10.3.3 Verifique se a data e o horário estão incluídos nas entradas do registro.
Dependendo do tipo de arquivos de registro (log files), EnCase® Cybersecurity  e EnCase Enterprise podem extrair informação relevante mediante análise sintática (parsing).
10.3.4 Indicação de sucesso ou falha
10.3.4 Verifique se a indicação de êxito ou falha está incluída nas entradas do registro.
Dependendo do tipo de arquivos de registro (log files), EnCase® Cybersecurity  e EnCase Enterprise podem extrair informação relevante mediante análise sintática (parsing).
10.3.5 Origem do evento
10.3.5 Verifique se a origem do evento está incluída nas entradas do registro.
Dependendo do tipo de arquivos de registro (log files), EnCase® Cybersecurity  e EnCase Enterprise podem extrair informação relevante mediante análise sintática (parsing).
10.3.6 A identidade ou o nome dos dados afetados, componentes do sistema ou recurso
10.3.6 Verifique se a identidade ou o nome dos dados afetados, os componentes do sistema ou recursos estão incluídos nas entradas do registro
Dependendo do tipo de arquivos de registro (log files), EnCase® Cybersecurity  e EnCase Enterprise podem extrair informação relevante mediante análise sintática (parsing).
10.4 Usando tecnologia de sincronização de tempo, sincronize todos os relógios e horários críticos do sistema e assegure- se de que os seguintes itens sejam implementados para adquirir, distribuir e armazenar horários.

Observação: Um exemplo de tecnologia de sincronização de horários é o Network Time Protocol (NTP).
10.4 Analise os processos e padrões de configuração para verificar se a tecnologia de sincronização de tempo está implementada e mantida atualizada pelos Requisitos 6.1 e 6.2 do PCI DSS.
Guidance Software Professional Services pode ajudar a verificar que uma tecnologia de sincronização de tempo seja implementada e mantida atualizada conforme os requisitos 6.1 e 6.2 do PCI DSS
10.4.1 Sistemas críticos têm o horário correto e consistente.
10.4.1.a Analise o processo para a aquisição, distribuição e armazenamento do horário correto na empresa para verificar se: 
• Apenas os servidores centrais de horário designados recebem sinais de horário de fontes externas e se os sinais de horário de fontes externas são baseadas no Tempo Atômico Internacional ou no UTC. 
• Onde houver mais de um servidor de horário designado, os servidores de horários se igualam um com o outro para manter a hora exata. 
• Os sistemas recebem informações de horário somente dos servidores centrais de horário designados.
10.4.1.b Observe as configurações dos parâmetros do sistema relacionadas ao horário para obter uma amostra dos componentes do sistema e verificar se: 
• Apenas os servidores centrais de horário designados recebem sinais de horário de fontes externas e se os sinais de horário de fontes externas são baseadas no Tempo Atômico Internacional ou no UTC. 
• Onde houver mais de um servidor de horário designado, os servidores centrais de horários designados se igualam um com o outro para manter a hora exata. 
• Os sistemas recebem o horário somente dos servidores centrais de horário designados.
Organizações e auditores PCI podem usar EnCase® Cybersecurity  para auditar rapidamente as configurações de horário dentro da infraestrutura, conexões externas relacionadas a sinais de horário e informação de fusos horários.
10.4.2 Os dados de horário são protegidos.
10.4.2.a Analise as definições de configuração e de sincronização de horário para verificar se o acesso aos dados de horário são restritos somente aos funcionários com necessidades comerciais de acesso aos dados de horário.
10.4.2.b Analise as definições, registros e processos de configuração e de sincronização de horário para verificar se qualquer alteração às definições de horário em sistemas críticos é registrada, monitorada e revisada.
Organizações e auditores PCI podem usar EnCase® Cybersecurity  para auditar rapidamente as configurações de horário dentro da infraestrutura, conexões externas relacionadas a sinais de horário e informação de fusos horários.
10.4.3 As definições de horário são recebidas de fontes de horário aceitas pelo setor.
10.4.3 Analise as configurações dos sistemas para verificar se os servidores de horário aceitam atualizações de fontes externas específicas, aceitas pelo setor (para evitar que um indivíduo mal- intencionado altere o relógio). Além disso, essas atualizações podem ser criptografas com uma chave simétrica e as listas de controle de acesso podem ser criadas para especificar os endereços IP das máquinas clientes que serão fornecidas com as atualizações de horário (para evitar o uso não autorizado de servidores de horário internos).
Organizações e auditores PCI podem usar EnCase® Cybersecurity  para auditar rapidamente as configurações de horário dentro da infraestrutura, conexões externas relacionadas a sinais de horário e informação de fusos horários. Mudanças feitas ao horário também podem ser detectadas.
10.5.4 Documente registros quanto às tecnologias externas em um servidor de registros centralizado, seguro ou dispositivo de mídia.
10.5.4 Os registros quanto às tecnologias externas (por exemplo, sem fio, firewalls, DNS, e-mail) são escritos em um servidor de registro interno centralizado ou mídia seguros.
Dependendo do tipo de arquivos de registro (log files), EnCase® Cybersecurity  e EnCase Enterprise podem extrair informação relevante mediante análise sintática (parsing).
10.6 Revise os registros e ocorrências de segurança para todos os componentes do sistema para identificar irregularidades ou atividades suspeitas.

Observação: Ferramentas de coleta, análise e alerta dos logs podem ser usadas para atender a este requisito.
10.6 Realize as seguintes etapas:
Organizações e auditores PCI podem usar EnCase® Cybersecurity  para auditar e revisar rapidamente registros de eventos do Windows e metadados de arquivos relacionados.
10.6.1 Revise o que segue ao menos diariamente: 
• Todas as ocorrências de segurança 
• Logs de todos os componentes do sistema que armazenam, processam ou transmitem CHD e/ou SAD, ou que possam impactar na segurança do CHD e/ou SAD 
• Logs de todos os componentes críticos do sistema 
• Registros de todos os servidores e componentes do sistema que desempenham funções de segurança (por exemplo, firewalls, sistemas de detecção de invasão/sistemas de prevenção contra invasão (IDS/IPS), servidores de autenticação, servidores de redirecionamento do e-commerce, etc.).
10.6.1.a Analise as políticas e os procedimentos de segurança para verificar se estão definidos para revisar o que segue, pelo menos diariamente, seja de forma manual ou por meio de ferramentas de logs: 
• Todas as ocorrências de segurança 
• Logs de todos os componentes do sistema que armazenam, processam ou transmitem CHD e/ou SAD, ou que possam impactar na segurança do CHD e/ou SAD 
• Logs de todos os componentes críticos do sistema 
• Logs de todos os servidores e componentes do sistema que desempenham funções de segurança (por exemplo, firewalls, sistemas de detecção de invasão/sistemas de prevenção contra invasão (IDS/IPS), servidores de autenticação, servidores de redirecionamento do e- commerce, etc.)
10.6.1.b Observe os processos e questione os funcionários para verificar se o que segue é revisado, ao menos diariamente: 
• Todas as ocorrências de segurança 
• Logs de todos os componentes do sistema que armazenam, processam ou transmitem CHD e/ou SAD, ou que possam impactar na segurança do CHD e/ou SAD 
• Logs de todos os componentes críticos do sistema 
• Registros de todos os servidores e componentes do sistema que desempenham funções de segurança (por exemplo, firewalls, sistemas de detecção de invasão/sistemas de prevenção contra invasão (IDS/IPS), servidores de autenticação, servidores de redirecionamento do e- commerce, etc.).
Organizações e auditores PCI podem usar EnCase® Cybersecurity  para auditar e revisar rapidamente registros de eventos do Windows e metadados de arquivos relacionados.
10.6.3 Acompanhe as exceções e irregularidades identificadas durante o processo de revisão.
10.6.3.a Analise as políticas e os procedimentos de segurança para verificar se estão definidos procedimentos para acompanhar as exceções e irregularidades identificadas durante o processo de revisão.
10.6.3.b Observe os processos e questione os funcionários para verificar se são realizados acompanhamentos das exceções e irregularidades.
Guidance Software Professional Services pode ajudar a revisar que procedimentos sejam definidos para fazer seguimento a exceções e anomalias identificadas durante o processo de revisão e a verificar que estes seguimentos sejam realizados.
10.7 Mantenha um histórico da trilha de auditoria por pelo menos um ano, com um mínimo de três meses imediatamente disponível para análise (por exemplo, online, arquivado ou recuperável a partir do backup).
10.7.a Analise as políticas e procedimentos de segurança para verificar se eles definem o que segue: 
• Políticas de manutenção de log de auditoria 
• Procedimentos para manter logs de auditoria por pelo menos um ano, com um mínimo de três meses imediatamente disponível online.
10.7.b Questione os funcionários e analise os logs de auditoria para verificar se eles estão disponíveis por pelo menos um ano.
10.7.c Questione os funcionários e observe os processos para verificar se os registros dos últimos três meses podem ser armazenados imediatamente para análise.
Guidance Software Professional Services pode ajudar a verificar que as políticas de segurança definam o que segue:
• Políticas de manutenção de log de auditoria 
• Procedimentos para manter logs de auditoria por pelo menos um ano, com um mínimo de três meses imediatamente disponível online.
10.8 Certifique-se de que as políticas de segurança e procedimentos operacionais para monitoramento de todos os acessos aos recursos e dados do portador do cartão estejam documentados, em uso e conhecidos por todas as partes envolvidas.
10.8 Analise a documentação e questione os funcionários para verificar se as políticas de segurança e procedimentos operacionais para monitorar todos os acessos aos recursos de rede e dados do portador do cartão estão: 
• Documentados, 
• Em uso, e 
• Conhecidos por todas as partes envolvidas.
Guidance Software Professional Services pode ajudar a verificar que as políticas de segurança e procedimentos operacionais para monitoramento de todos os acessos aos recursos e dados do portador do cartão estejam:
• Documentados, 
• Em uso, e 
• Conhecidos por todas as partes envolvidas.
Requisito 11: Testar regularmente os sistemas e processos de segurança.
11.2 Execute varreduras quanto às vulnerabilidades das redes internas e externas pelo menos trimestralmente e após qualquer mudança significativa na rede (como instalações de novos componentes do sistema, mudanças na topologia da rede, modificações das normas do firewall, aprimoramentos de produtos).

Observação: Vários relatórios de varredura podem ser combinados no processo de varredura trimestral para mostrar que todos os sistemas foram mapeados e que todas as vulnerabilidades aplicáveis foram resolvidas. Pode ser exigida uma documentação adicional para verificar se as vulnerabilidades não resolvidas estão em processo de serem solucionadas.

Para a conformidade inicial com o PCI DSS, não é necessário que as quatro varreduras trimestrais aprovadas sejam concluídas se o assessor verificar que 1) o resultado da varredura mais recente foi uma varredura aprovada, 2) a entidade possui políticas e procedimentos documentados que requerem a sequência de varreduras trimestrais e 3) as vulnerabilidades observadas nos resultados da varredura tenham sido corrigidas conforme mostrado em uma nova varredura. Nos anos seguintes após a análise inicial do PCI DSS, quatro varreduras trimestrais aprovadas devem ter ocorrido.
11.2 Analise os relatórios de varredura e documentação de suporte para verificar se as varreduras de vulnerabilidades internas e externas são realizadas conforme segue:
EnCase® Cybersecurity  pode ser usado para auditorias de vulnerabilidades das redes internas, instalações de novos componentes do sistema, mudanças na topologia da rede e aprimoramentos de produtos.
11.5.1 Implemente um processo para responder a qualquer alerta gerado pela solução de detecção de alterações.
11.5.1 Questione os funcionários para verificar se todos os alertas são investigados e resolvidos.
As organizações podem integrar EnCase® Cybersecurity  com diversos sistemas de alerta para oferecer respostas automáticas, assegurando que eventos críticos sejam respondidos.
11.6 Certifique-se de que as políticas de segurança e procedimentos operacionais para o teste e monitoramento da segurança estejam documentados, em uso e conhecidos por todas as partes envolvidas.
11.6 Analise a documentação e questione os funcionários para verificar se as políticas de segurança e procedimentos operacionais para o teste e monitoramento da segurança estão: 
• Documentados, 
• Em uso, e 
• Conhecidos por todas as partes envolvidas.
Os serviços da Guidance Software Professional Services podem ajudar a verificar que as políticas de segurança e os procedimentos operacionais estejam documentados, em uso e conhecidos por todas as partes envolvidas.
Requisito 12: Mantenha uma política que aborde a segurança da informação para todas as equipes.
12.1 Defina, publique, mantenha e dissemine uma política de segurança.
12.1 Analise a política de segurança da informação e verifique se a política foi publicada e disseminada a todos os funcionários relevantes (incluindo fornecedores e parceiros comerciais).
A Guidance Software Professional Services pode ajudar a verificar que a política esteja publicada e disseminada a todos os funcionários relevantes (incluindo fornecedores e parceiros comerciais).
12.1.1 Revise a política de segurança ao menos uma vez por ano e atualize a política quando o ambiente for alterado.
12.1.1 Verifique se a política de segurança da informação é analisada pelo menos uma vez por ano e atualizada conforme necessário para refletir as alterações nos objetivos de negócios ou no ambiente de risco.
A Guidance Software Professional Services pode ajudar a verificar que a política de segurança da informação seja analisada pelo menos uma vez por ano e atualizada conforme necessário para refletir alterações.
12.2 Implemente um processo de avaliação de risco que: 
• Seja realizado ao menos uma vez por ano e quando houver modificações significativas no ambiente (por exemplo, aquisição, fusão, transferência, etc.), 
• Identifique os recursos, ameaças e vulnerabilidades críticos, e 
• Resulte em uma avaliação formal de risco.

Os exemplos de metodologias de avaliação de risco incluem, entre outros, OCTAVE, ISO 27005 e NIST SP 800-30.
12.2.a Verifique se um processo anual de avaliação de risco está documentado e se identifica ativos, ameaças e vulnerabilidades e resulta em uma avaliação de risco formal.
12.2.b Analise a documentação da avaliação de risco para verificar se o processo de avaliação de risco é realizada ao menos uma vez por ano e quando houver alterações significativas no ambiente.
A Guidance Software Professional Services pode ajudar a desenvolver/documentar um processo de avaliação de risco anual documentado que identifique ativos, ameaças e vulnerabilidades.
12.3 Desenvolva o uso de políticas de tecnologias críticas e defina o uso apropriado destas tecnologias.

Observação: Exemplos de tecnologias críticas incluem, entre outros, tecnologias de acesso remoto e sem fio, laptops, tablets, mídia eletrônica removível, uso de e-mails e da internet. Garanta que essas políticas de utilização exijam o seguinte
12.3 Analise as políticas de uso das tecnologias críticas e questione os funcionários responsáveis para verificar se as seguintes políticas estão implementadas e são seguidas:
A Guidance Software Professional Services pode ajudar a examinar as políticas de uso das tecnologias críticas.
12.3.3 Uma lista de todos esses dispositivos e equipes com acesso
12.3.3 Verifique se as políticas de utilização definem uma lista de todos os dispositivos e equipes autorizadas a usar os dispositivos.
A Guidance software Professional Services pode ajudar a verificar que as políticas de utilização definam uma lista de todos os dispositivos e equipes autorizadas a usar os dispositivos.
12.3.10 Para funcionários que acessam os dados do portador do cartão por meio de tecnologias de acesso remoto, proíba a cópia, a transferência e o armazenamento dos dados do portador do cartão em discos rígidos locais e mídias eletrônicas removíveis, exceto se explicitamente autorizado para uma necessidade comercial definida. Onde houver uma necessidade comercial autorizada, as políticas de utilização devem exigir que os dados sejam protegidos de acordo com todos os requisitos aplicáveis do PCI DSS.
12.3.10.a Verifique se as políticas de utilização proíbem a cópia, a transferência ou o armazenamento dos dados do portador do cartão em discos rígidos locais e mídias eletrônicas removíveis ao acessar esses dados por meio de tecnologias de acesso remotas.
12.3.10.b Para funcionários com autorização adequada, verifique se o uso de políticas exige a proteção dos dados do portador do cartão de acordo com os requisitos do PCI DSS.
A Guidance Software Professional Services pode ajudar a verificar que as políticas de utilização proíbam a cópia, a transferência ou o armazenamento dos dados do portador do cartão em discos rígidos locais e mídias eletrônicas removíveis ao acessar esses dados por meio de tecnologias de acesso remotas.
12.4 Certifique-se de que a política e os procedimentos de segurança definem claramente as responsabilidades quanto à segurança da informação para todos os funcionários.
12.4.a Verifique se as políticas de segurança da informação definem claramente as responsabilidades quanto à segurança da informação para todos os funcionários.
12.4.b Converse com alguns funcionários responsáveis para verificar se eles compreendem as políticas de segurança.
A Guidance Software Professional Services pode ajudar a assegurar que as políticas de segurança da informação definam claramente as responsabilidades quanto à segurança da informação.
12.5 Atribua a um indivíduo ou a uma equipe as seguintes responsabilidades de gerenciamento da segurança da informação:
12.5 Analise as políticas e procedimentos de segurança da informação para verificar: 
• A atribuição formal da segurança da informação com relação a um Diretor de segurança ou outro membro do gerenciamento que tenha conhecimento sobre segurança. 
• As seguintes responsabilidades da segurança da informação são atribuídas modo formal e específico:
A Guidance Software Professional Services pode ajudar a analisar as políticas e procedimentos de segurança da informação para verificar a atribuição formal da segurança da informação a um Diretor de segurança ou outro membro do gerenciamento que tenha conhecimento sobre segurança. 

12.5.1 Defina, documente e distribua políticas e procedimentos de segurança.
12.5.1 Verifique se a responsabilidade de definir, documentar e distribuir políticas e procedimentos de segurança está formalmente atribuída.
A Guidance Software Professional Services pode ajudar a verificar que a responsabilidade de definir, documentar e distribuir políticas e procedimentos de segurança esteja formalmente atribuída.
12.5.2 Monitore e analise os alertas e as informações de segurança e distribua para as equipes apropriadas.
12.5.2 Verifique se a responsabilidade pelo monitoramento e análise dos alertas de segurança e pela distribuição de informações às equipes de gerenciamento adequadas da segurança da informação e das unidades de negócios foi formalmente atribuída.
A Guidance Software Professional Services pode ajudar a verificar que a responsabilidade pelo monitoramento e análise dos alertas de segurança e pela distribuição de informações às equipes de gerenciamento adequadas da segurança da informação e das unidades de negócios tenha sido formalmente atribuída.
12.5.3 Defina, documente e distribua procedimentos de resposta e escalação de incidentes de segurança para assegurar que todas as situações sejam abordadas de modo oportuno e eficiente.
12.5.3 Verifique se a responsabilidade de definir, documentar e distribuir procedimentos de resposta e escalação de incidentes de segurança é formalmente atribuída.
A Guidance Software Professional Services pode ajudar a verificar que a responsabilidade de estabelecer, documentar e distribuir procedimentos de resposta e escalação de incidentes de segurança seja formalmente atribuída.
12.6 Implemente um programa formal de conscientização da segurança para conscientizar todos os funcionários sobre a importância da segurança dos dados do portador do cartão.
12.6.a Revise o programa de conscientização da segurança para verificar se ele conscientiza os funcionários sobre a importância da segurança dos dados do portador do cartão.
12.6.b Analise os procedimentos e a documentação do programa de conscientização de segurança e realize o seguinte:
A Guidance Software Professional Services pode ajudar a revisar o programa de conscientização da segurança para verificar se ele conscientiza os funcionários sobre a importância da segurança dos dados do portador do cartão.
12.8 Mantenha e implemente políticas e procedimentos para controlar os prestadores de serviços com quem os dados do portador são compartilhados, ou que possam afetar a segurança dos dados, conforme segue:
12.8 Por meio de observação, revise as políticas e procedimentos e a documentação de suporte, verifique se estão implementados processos para controlar prestadores de serviços com quem os dados do portador do cartão são compartilhados, ou que podem afetar sua segurança (por exemplo, áreas de armazenamento de fitas de backup, prestadores de serviços gerenciados, como empresas de hospedagem na Web ou prestadores de serviços de segurança, aqueles que recebem dados para fins de determinação de fraude, etc.), conforme segue:
A Guidance Software Professional Services pode ajudar a verificar se estão implementados processos para controlar prestadores de serviços com quem os dados do portador do cartão são compartilhados, ou que possam afetar sua segurança.
12.9 Requisito adicional para prestadores de serviços: Os prestadores de serviços reconhecem por escrito aos clientes que eles são responsáveis pela segurança dos dados do portador do cartão que eles possuírem, ou que os armazenam, processam ou transmitem em nome do cliente, ou ao ponto de que eles possam impactar a segurança do ambiente dos dados do portador do cartão do cliente.

Observação: O requisito é considerado uma das melhores práticas até 30 de junho de 2015 quando passará a ser um requisito.

Observação: As informações exatas contidas no reconhecimento dependerão do acordo entre as duas partes, dos detalhes do serviço a ser prestado e das responsabilidades atribuídas a cada parte. O reconhecimento não precisa ser exatamente igual ao fornecido neste requisito.
12.9 Procedimento de teste adicional para prestadores de serviços: Revise as políticas e procedimentos do prestador de serviços e observe os modelos de acordos escritos para confirmar se ele reconhece por escrito aos clientes que manterá todos os requisitos aplicáveis do PCI DSS ao limite em que ele procede, tem acesso ou armazena, processa ou transmite os dados do portador do cartão do cliente ou dados de autenticação confidenciais, ou que administra o ambiente de dados do portador do cartão em nome de um cliente.
A Guidance Software Professional Services pode ajudar a revisar as políticas e procedimentos do prestador de serviços e observar os modelos de acordos escritos para confirmar se o prestador reconhece por escrito aos clientes que manterá todos os requisitos aplicáveis do PCI DSS ao limite em que ele procede, tem acesso ou armazena, processa ou transmite os dados do portador do cartão do cliente ou dados de autenticação confidenciais, ou que administra o ambiente de dados do portador do cartão em nome de um cliente.
12.10 Implemente um plano de resposta a incidentes. Prepare-se para reagir imediatamente a uma falha no sistema.
12.10 Analise o plano de resposta a incidentes e os procedimentos relatados para verificar se a entidade está preparada para reagir imediatamente a uma violação no sistema realizando o que segue:
A Guidance Software Professional Services pode ajudar a examinar o plano de resposta a incidentes e os procedimentos relacionados para verificar se a entidade está preparada para reagir imediatamente a uma violação no sistema.
12.10.1 Crie o plano de resposta a incidentes para ser implementado no caso de violações do sistema. Certifique-se de que o plano aborda o seguinte, pelo menos: 
• Funções, responsabilidades e estratégias de comunicação e contato no caso de um comprometimento, incluindo a notificação às bandeiras de pagamento, pelo menos 
• Procedimentos de resposta específicos a incidentes 
• Procedimentos de recuperação e continuidade dos negócios 
• Processos de backup dos dados 
• Análise dos requisitos legais visando ao relato dos comprometimentos 
• Abrangência e resposta de todos os componentes críticos do sistema 
• Referência ou inclusão de procedimentos de resposta a incidentes por parte das bandeiras.
12.10.1.a Verifique se o plano de resposta a incidentes inclui: 
• Funções, responsabilidades e estratégias de comunicação no caso de um comprometimento, incluindo a notificação às bandeiras de pagamento, pelo menos 
• Procedimentos de resposta específicos a incidentes 
• Procedimentos de recuperação e continuidade dos negócios 
• Processos de backup dos dados 
• Análise dos requisitos legais referentes ao relato dos comprometimentos (por exemplo, Lei 1386 da Califórnia, que exige a notificação dos clientes afetados no caso de um comprometimento real ou suspeito para qualquer negócio que seja realizado com moradores da Califórnia em seu banco de dados) 
• Abrangência e resposta de todos os componentes críticos do sistema 
• Referência ou inclusão de procedimentos de resposta a incidentes por parte das bandeiras.
12.10.1.b Questione os funcionários e revise a documentação a partir de incidentes ou alertas relatados previamente para verificar se o plano e os procedimentos de resposta ao incidente documentado foram seguidos.
A Guidance Software Professional Services pode ajudar a verificar que o plano de resposta a incidentes inclua:
• Funções, responsabilidades e estratégias de comunicação no caso de um comprometimento, incluindo a notificação às bandeiras de pagamento, pelo menos 
• Procedimentos de resposta específicos a incidentes 
• Procedimentos de recuperação e continuidade dos negócios 
• Processos de backup dos dados 
• Análise dos requisitos legais referentes ao relato dos comprometimentos (por exemplo, Lei 1386 da Califórnia, que exige a notificação dos clientes afetados no caso de um comprometimento real ou suspeito para qualquer negócio que seja realizado com moradores da Califórnia em seu banco de dados) 
• Abrangência e resposta de todos os componentes críticos do sistema 
• Referência ou inclusão de procedimentos de resposta a incidentes por parte das bandeiras.
12.10.2 Teste o plano pelo menos uma vez ao ano.
12.10.2 Verifique se o plano é testado pelo menos uma vez ao ano.
A Guidance Software Professional Services pode ajudar a verificar se o plano é testado pelo menos uma vez ao ano.
12.10.3 Designe equipes específicas para estarem disponíveis em tempo integral para responder aos alertas.
12.10.3 Verifique, por meio da observação, análise das políticas e entrevistas com funcionários responsáveis se a equipe designada está disponível para cobertura de monitoramento e resposta a incidentes em tempo integral para qualquer evidência de atividade não autorizada, detecção de pontos de acesso sem fio não autorizados, alertas de IDS críticos e/ou relatórios de sistemas críticos não autorizados ou alterações nos arquivos de conteúdo.
A Guidance Software Professional Services pode ajudar a verificar por meio da observação, análise das políticas e entrevistas com funcionários responsáveis se a equipe designada está disponível para cobertura de monitoramento e resposta a incidentes em tempo integral para qualquer evidência de atividade não autorizada, detecção de pontos de acesso sem fio não autorizados, alertas de IDS críticos e/ou relatórios de sistemas críticos não autorizados ou alterações nos arquivos de conteúdo.
12.10.4 Forneça treinamento adequado à equipe que é responsável pela resposta às falhas do sistema.
12.10.4 Verifique, por meio de observação, análises das políticas e entrevistas com os funcionários responsáveis se a equipe com responsabilidades de resposta a violações de segurança são treinadas periodicamente.
O departamento de treinamento da Guidance Software pode assegurar que a equipe com responsabilidades de resposta a violações de segurança seja treinada periodicamente.
12.10.6 Desenvolva um processo para modificar e aprimorar o plano de resposta a incidentes, de acordo com as lições aprendidas e para incorporar os desenvolvimentos do setor.
12.10.6 Verifique, por meio da observação, da análise das políticas e entrevistas com os funcionários responsáveis se há um processo para modificar e aprimorar o plano de resposta a incidentes, de acordo com as lições aprendidas e para incorporar os desenvolvimentos do setor
A Guidance Software Professional Service pode ajudar a verificar por meio da observação, da análise das políticas e entrevistas com os funcionários responsáveis se há um processo para modificar e aprimorar o plano de resposta a incidentes, de acordo com as lições aprendidas e para incorporar os desenvolvimentos do setor.

Se você quiser uma demonstração de como EnCase pode ajudá-lo com a conformidade com padrões (Compliance), combate ao fraude e resposta a incidentes de malware, não duvide em contatar nossa equipe de vendas no e-mail sales-LatAm@encase.com

- T. Grey, Engenheiro de Vendas Para a América Latina, Guidance Software
 



 RELACIONADOS





 



No comments :

Post a Comment