A intenção
desta série de artigos do blog é ajudar às organizações a entender o padrão PCI
DSS versão 3. Em estes artigos explicamos como EnCase pode reduzir a
complexidade da conformidade PCI, ajudar a medir os riscos atuais à
conformidade na sua organização e reduzir o tempo para aplicar a execução do
requisitos de conformidade.
Nos dois
primeiros artigos desta serie mostramos nossa visão geral sobre como EnCase
pode assistir na análise de conformidade efetuada por primeiras ou terceiras
partes relacionando a análise diretamente a cada requisito do Padrão De
Segurança De Dados da Indústria De Cartões de Pago (PCI DSS, conforme sua sigla
em inglês).
Como
discutimos nas partes 1 y 2 desta série, os requisitos para conformidade PCI
DSS dependem do número da conta principal (PAN, segundo sua sigla em inglês).
EnCase tem formatos de cartões pré-definidos para ajudar às organizações a
pesquisar facilmente o seguintes tipos de PAN:
Cartões Tipo 1
|
|||
American Express
|
Visa
|
MasterCard
|
DiscoverCard
|
Diners Club
|
JCB
|
Maestro
|
Laser
|
InstaPayment
|
Solo
|
Switch
|
Visa Electron
|
Cartões Tipo 2
|
|||
American Express
|
Visa
|
Diners Club/Carte
Blanche
|
Diners Club
International
|
Laser
|
Maestro
|
Outros
cartões podem ser buscados usando formatos personalizados. Todos os formatos
podem ser validados facilmente usando o algoritmo de Luhn.
Além dos
formatos de cartão predefinidos e personalizados, os critérios de pesquisa do
EnCase também podem ajudar a encontrar documentos ou registros que contenham
informação relacionada aos dados do portador do cartão ou qualquer outro
requisito PCI DSS associado ao número da conta principal (PAN). Esta informação
pode incluir o nome do portador do cartão, PIN e outros dados armazenados na
tarja magnética do cartão. Milhares de suários do EnCase também buscam
rotineiramente dados sensíveis em
servidores com saída à internet, auditam software e hardware para ver se os
patches e controladores foram atualizados,
identificam arquivos ciferados e entendem as conexões remotas efetuados
pelos seus dispositivos. Muitas destas tarefas adicionais também fazem parte do
padrão PCI DSS e estão referenciados nesta série de artigos do blog.
Finalmente,
vejamos o último grupo de requisitos para conformidade PCI DSS nos quais EnCase
pode ajudar a vários tipos de organizações. Como nos artigos anteriores,
veremos cada requisito específico com um enfoque “requisito por requisito”.
REQUISITOS DO PCI DSS*
|
PROCEDIMENTOS DE TESTE*
|
Como EnCase®
Pode Ajudar
|
Requisito 9:
Restrinja o acesso físico aos dados do portador do cartão
|
||
9.8.2 Torne os dados do portador do cartão nas
mídias eletrônicas irrecuperáveis para que esses dados não possam ser
reconstituídos.
|
9.8.2 Verifique se os
dados do portador do cartão nas mídias eletrônicas são tornados
irrecuperáveis por meio de um programa de limpeza segura (de acordo com os
padrões aceitos pelo setor quanto à exclusão segura, ou de outra forma,
destruindo fisicamente as mídias).
|
EnCase® Cybersecurity pode eliminar de forma segura arquivos e
registros de sistema em mídia eletrônica mediante um programa de eliminação
segura que está em conformidade com os padrões aceitados na indústria para remoção
segura.
|
9.9 Proteja contra falsificação e substituição os
dispositivos que capturam os dados do cartão de pagamento por meio de
interação física direta com o cartão.
Observação: Estes
requisitos se aplicam aos dispositivos de leitura do cartão usados em
transações com a presença do cartão (ou seja, de passar ou inserir) no ponto
de venda. Este requisito não tem o objetivo de se aplicar aos componentes de
entrada de chave manual, como teclados de computador e teclados POS.
Observação: O requisito 9.9 é considerado
uma das melhores práticas até 30 de junho de 2015 quando passará a ser um
requisito.
|
9.9 Analise as
políticas e procedimentos para verificar se eles incluem:
• Manter uma lista de dispositivos
• Inspecionar periodicamente os dispositivos para identificar falsificações
ou substituições
• Treinar os funcionários para que reconheçam comportamentos suspeitos
e para reportar a falsificação ou substituição de dispositivos.
|
Organizações e auditores PCI podem usar EnCase® Cybersecurity para gerar e auditar rapidamente uma lista
dos dispositivos e também inspecionar periodicamente os dispositivos para
buscar falsificação e substituição.
|
9.9.1 Mantenha uma lista atualizada de dispositivos.
A lista deve incluir o seguinte:
• Marca, modelo do dispositivo
• Localização do dispositivo (por exemplo, o
endereço do local ou instalação onde o dispositivo está localizado)
• Número de série do dispositivo ou outro método de
identificação exclusivo.
|
9.9.1.a Analise a lista
de dispositivos para verificar se ela inclui:
• Marca, modelo do dispositivo
• Localização do dispositivo (por exemplo, o
endereço do local ou instalação onde o dispositivo está localizado)
• Número de série do dispositivo ou outro método de
identificação exclusivo.
9.9.1.b Selecione uma amostra
de dispositivos a partir da lista e observe as localizações do dispositivo
para verificar se a lista está exata e atualizada.
|
Organizações e auditores PCI podem usar EnCase®
Cybersecurity para gerar e verificar
rapidamente uma lista dos dispositivos atualizada que inclua:
• Marca, modelo do dispositivo
• Localização do dispositivo (por exemplo, o
endereço do local ou instalação onde o dispositivo está localizado)
• Número de série do dispositivo ou outro método de
identificação exclusivo.
|
Requisito 10: Acompanhe e monitore todos os acessos
com relação aos recursos da rede e aos dados do portador do cartão
|
||
10.2 Implemente trilhas de auditoria automatizadas
para todos os componentes do sistema para recuperar os seguintes eventos:
|
10.2 Por meio de
entrevistas do funcionário responsável, observação de registros de auditoria
e análise de suas configurações, desempenhe o seguinte:
|
Organizações e auditores podem usar EnCase®
Cybersecurity para auditar rapidamente
registros e configurações para diversos tipos de componentes de sistema
|
10.2.3 Acesso a todas as trilhas de auditoria
|
10.2.3 Verifique se o
acesso a todas as trilhas de auditoria é registrado.
|
Organizações e auditores podem usar EnCase® Cybersecurity para auditar rapidamente registros e
configurações para diversos tipos de componentes de sistema usando permissões
a nível de arquivo
|
10.2.4 Tentativas inválidas de acesso lógico
|
10.2.4 Verifique se as
tentativas inválidas de acesso lógico estão registradas.
|
Organizações e auditores PCI podem usar EnCase®
Cybersecurity para auditar rapidamente
registros de eventos do Windows e encontrar tentativas inválidas de acesso.
|
10.2.6 Inicialização, interrupção ou pausa dos
registros de auditoria
|
10.2.6 Verifique se o
que segue é registrado:
• Inicialização dos logs de auditoria
• Interrupção ou pausa dos registros de auditoria.
|
Organizações e auditores PCI podem usar EnCase® Cybersecurity para auditar rapidamente registros de
eventos do Windows e metadados de arquivos relacionados para verificar a
inicialização, interrupção ou pausa dos logs
|
10.2.7 Criação e exclusão de objetos do nível do
sistema
|
10.2.7 Verifique se a
criação e a exclusão de objetos do nível do sistema são registrados.
|
Organizações e auditores PCI podem usar EnCase®
Cybersecurity para auditar rapidamente
registros de eventos do Windows e metadados de arquivos relacionados para
encontrar a criação e exclusão de objetos do nível do sistema
|
10.3 Registre pelo menos as seguintes entradas de
trilhas de auditoria para todos os componentes do sistema para cada evento:
|
10.3 Por meio de
entrevistas e da observação dos logs de auditoria, para cada evento auditável
(no item 10.2), realize o seguinte:
|
Dependendo do tipo de arquivos de registro (log files), EnCase®
Cybersecurity e EnCase Enterprise
podem extrair informação relevante mediante análise sintática (parsing).
|
10.3.1 Identificação do usuário
|
10.3.1 Verifique se a
identificação do usuário está incluída nas entradas do registro.
|
Dependendo do tipo de arquivos de registro (log
files), EnCase® Cybersecurity e EnCase
Enterprise podem extrair informação relevante mediante análise sintática
(parsing).
|
10.3.2 Tipo de evento
|
10.3.2 Verifique se o
tipo de evento está incluído nas entradas do registro.
|
Dependendo do tipo de arquivos de registro (log files), EnCase®
Cybersecurity e EnCase Enterprise
podem extrair informação relevante mediante análise sintática (parsing).
|
10.3.3 Data e horário
|
10.3.3 Verifique se a
data e o horário estão incluídos nas entradas do registro.
|
Dependendo do tipo de arquivos de registro (log
files), EnCase® Cybersecurity e EnCase
Enterprise podem extrair informação relevante mediante análise sintática
(parsing).
|
10.3.4 Indicação de sucesso ou falha
|
10.3.4 Verifique se a
indicação de êxito ou falha está incluída nas entradas do registro.
|
Dependendo do tipo de arquivos de registro (log files), EnCase®
Cybersecurity e EnCase Enterprise
podem extrair informação relevante mediante análise sintática (parsing).
|
10.3.5 Origem do evento
|
10.3.5 Verifique se a
origem do evento está incluída nas entradas do registro.
|
Dependendo do tipo de arquivos de registro (log
files), EnCase® Cybersecurity e EnCase
Enterprise podem extrair informação relevante mediante análise sintática
(parsing).
|
10.3.6 A identidade ou o nome dos dados afetados,
componentes do sistema ou recurso
|
10.3.6 Verifique se a
identidade ou o nome dos dados afetados, os componentes do sistema ou
recursos estão incluídos nas entradas do registro
|
Dependendo do tipo de arquivos de registro (log files), EnCase®
Cybersecurity e EnCase Enterprise
podem extrair informação relevante mediante análise sintática (parsing).
|
10.4 Usando tecnologia de sincronização de tempo,
sincronize todos os relógios e horários críticos do sistema e assegure- se de
que os seguintes itens sejam implementados para adquirir, distribuir e
armazenar horários.
Observação: Um
exemplo de tecnologia de sincronização de horários é o Network Time Protocol
(NTP).
|
10.4 Analise os
processos e padrões de configuração para verificar se a tecnologia de
sincronização de tempo está implementada e mantida atualizada pelos
Requisitos 6.1 e 6.2 do PCI DSS.
|
Guidance Software Professional Services pode ajudar
a verificar que uma tecnologia de sincronização de tempo seja implementada e
mantida atualizada conforme os requisitos 6.1 e 6.2 do PCI DSS
|
10.4.1 Sistemas críticos têm o horário correto e
consistente.
|
10.4.1.a Analise o
processo para a aquisição, distribuição e armazenamento do horário correto na
empresa para verificar se:
• Apenas os servidores centrais de horário designados recebem sinais
de horário de fontes externas e se os sinais de horário de fontes externas
são baseadas no Tempo Atômico Internacional ou no UTC.
• Onde houver mais de um servidor de horário designado, os servidores
de horários se igualam um com o outro para manter a hora exata.
• Os sistemas recebem informações de horário somente dos servidores
centrais de horário designados.
10.4.1.b Observe as
configurações dos parâmetros do sistema relacionadas ao horário para obter
uma amostra dos componentes do sistema e verificar se:
• Apenas os servidores centrais de horário designados recebem sinais
de horário de fontes externas e se os sinais de horário de fontes externas
são baseadas no Tempo Atômico Internacional ou no UTC.
• Onde houver mais de um servidor de horário designado, os servidores
centrais de horários designados se igualam um com o outro para manter a hora
exata.
• Os sistemas recebem o horário somente dos servidores centrais de
horário designados.
|
Organizações e auditores PCI podem usar EnCase® Cybersecurity para auditar rapidamente as configurações
de horário dentro da infraestrutura, conexões externas relacionadas a sinais
de horário e informação de fusos horários.
|
10.4.2 Os dados de horário são protegidos.
|
10.4.2.a Analise as
definições de configuração e de sincronização de horário para verificar se o
acesso aos dados de horário são restritos somente aos funcionários com
necessidades comerciais de acesso aos dados de horário.
10.4.2.b Analise as
definições, registros e processos de configuração e de sincronização de
horário para verificar se qualquer alteração às definições de horário em
sistemas críticos é registrada, monitorada e revisada.
|
Organizações e auditores PCI podem usar EnCase®
Cybersecurity para auditar rapidamente
as configurações de horário dentro da infraestrutura, conexões externas
relacionadas a sinais de horário e informação de fusos horários.
|
10.4.3 As definições de horário são recebidas de
fontes de horário aceitas pelo setor.
|
10.4.3 Analise as
configurações dos sistemas para verificar se os servidores de horário aceitam
atualizações de fontes externas específicas, aceitas pelo setor (para evitar
que um indivíduo mal- intencionado altere o relógio). Além disso, essas
atualizações podem ser criptografas com uma chave simétrica e as listas de
controle de acesso podem ser criadas para especificar os endereços IP das
máquinas clientes que serão fornecidas com as atualizações de horário (para
evitar o uso não autorizado de servidores de horário internos).
|
Organizações e auditores PCI podem usar EnCase® Cybersecurity para auditar rapidamente as configurações
de horário dentro da infraestrutura, conexões externas relacionadas a sinais
de horário e informação de fusos horários. Mudanças feitas ao horário também
podem ser detectadas.
|
10.5.4 Documente registros quanto às tecnologias
externas em um servidor de registros centralizado, seguro ou dispositivo de
mídia.
|
10.5.4 Os registros
quanto às tecnologias externas (por exemplo, sem fio, firewalls, DNS, e-mail)
são escritos em um servidor de registro interno centralizado ou mídia
seguros.
|
Dependendo do tipo de arquivos de registro (log
files), EnCase® Cybersecurity e EnCase
Enterprise podem extrair informação relevante mediante análise sintática
(parsing).
|
10.6 Revise os registros e ocorrências de segurança
para todos os componentes do sistema para identificar irregularidades ou
atividades suspeitas.
Observação:
Ferramentas de coleta, análise e alerta dos logs podem ser usadas para
atender a este requisito.
|
10.6 Realize as
seguintes etapas:
|
Organizações e auditores PCI podem usar EnCase® Cybersecurity para auditar e revisar rapidamente
registros de eventos do Windows e metadados de arquivos relacionados.
|
10.6.1 Revise o que segue ao menos diariamente:
• Todas as ocorrências de segurança
• Logs de todos os componentes do sistema que
armazenam, processam ou transmitem CHD e/ou SAD, ou que possam impactar na
segurança do CHD e/ou SAD
• Logs de todos os componentes críticos do
sistema
• Registros de todos os servidores e componentes do
sistema que desempenham funções de segurança (por exemplo, firewalls,
sistemas de detecção de invasão/sistemas de prevenção contra invasão
(IDS/IPS), servidores de autenticação, servidores de redirecionamento do
e-commerce, etc.).
|
10.6.1.a Analise as
políticas e os procedimentos de segurança para verificar se estão definidos
para revisar o que segue, pelo menos diariamente, seja de forma manual ou por
meio de ferramentas de logs:
• Todas as ocorrências de segurança
• Logs de todos os componentes do sistema que
armazenam, processam ou transmitem CHD e/ou SAD, ou que possam impactar na
segurança do CHD e/ou SAD
• Logs de todos os componentes críticos do
sistema
• Logs de todos os servidores e componentes do
sistema que desempenham funções de segurança (por exemplo, firewalls,
sistemas de detecção de invasão/sistemas de prevenção contra invasão
(IDS/IPS), servidores de autenticação, servidores de redirecionamento do e-
commerce, etc.)
10.6.1.b Observe os
processos e questione os funcionários para verificar se o que segue é
revisado, ao menos diariamente:
• Todas as ocorrências de segurança
• Logs de todos os componentes do sistema que
armazenam, processam ou transmitem CHD e/ou SAD, ou que possam impactar na
segurança do CHD e/ou SAD
• Logs de todos os componentes críticos do
sistema
• Registros de todos os servidores e componentes do
sistema que desempenham funções de segurança (por exemplo, firewalls,
sistemas de detecção de invasão/sistemas de prevenção contra invasão
(IDS/IPS), servidores de autenticação, servidores de redirecionamento do e-
commerce, etc.).
|
Organizações e auditores PCI podem usar EnCase®
Cybersecurity para auditar e revisar
rapidamente registros de eventos do Windows e metadados de arquivos
relacionados.
|
10.6.3 Acompanhe as exceções e irregularidades
identificadas durante o processo de revisão.
|
10.6.3.a Analise as políticas
e os procedimentos de segurança para verificar se estão definidos
procedimentos para acompanhar as exceções e irregularidades identificadas
durante o processo de revisão.
10.6.3.b Observe os
processos e questione os funcionários para verificar se são realizados
acompanhamentos das exceções e irregularidades.
|
Guidance Software Professional Services pode ajudar a revisar que
procedimentos sejam definidos para fazer seguimento a exceções e anomalias
identificadas durante o processo de revisão e a verificar que estes
seguimentos sejam realizados.
|
10.7 Mantenha um histórico da trilha de auditoria
por pelo menos um ano, com um mínimo de três meses imediatamente disponível
para análise (por exemplo, online, arquivado ou recuperável a partir do
backup).
|
10.7.a Analise as
políticas e procedimentos de segurança para verificar se eles definem o que
segue:
• Políticas de manutenção de log de auditoria
• Procedimentos para manter logs de auditoria por
pelo menos um ano, com um mínimo de três meses imediatamente disponível
online.
10.7.b Questione os
funcionários e analise os logs de auditoria para verificar se eles estão
disponíveis por pelo menos um ano.
10.7.c Questione os
funcionários e observe os processos para verificar se os registros dos
últimos três meses podem ser armazenados imediatamente para análise.
|
Guidance Software Professional Services pode ajudar
a verificar que as políticas de segurança definam o que segue:
• Políticas de manutenção de log de auditoria
• Procedimentos para manter logs de auditoria por
pelo menos um ano, com um mínimo de três meses imediatamente disponível
online.
|
10.8 Certifique-se de que as políticas de segurança
e procedimentos operacionais para monitoramento de todos os acessos aos
recursos e dados do portador do cartão estejam documentados, em uso e
conhecidos por todas as partes envolvidas.
|
10.8 Analise a
documentação e questione os funcionários para verificar se as políticas de
segurança e procedimentos operacionais para monitorar todos os acessos aos
recursos de rede e dados do portador do cartão estão:
• Documentados,
• Em uso, e
• Conhecidos por todas as partes envolvidas.
|
Guidance Software Professional Services pode ajudar a verificar que as
políticas de segurança e procedimentos operacionais para monitoramento de
todos os acessos aos recursos e dados do portador do cartão estejam:
• Documentados,
• Em uso, e
• Conhecidos por todas as partes envolvidas.
|
Requisito 11: Testar regularmente os sistemas e
processos de segurança.
|
||
11.2 Execute varreduras quanto às vulnerabilidades
das redes internas e externas pelo menos trimestralmente e após qualquer
mudança significativa na rede (como instalações de novos componentes do
sistema, mudanças na topologia da rede, modificações das normas do firewall,
aprimoramentos de produtos).
Observação:
Vários relatórios de varredura podem ser combinados no processo de varredura
trimestral para mostrar que todos os sistemas foram mapeados e que todas as
vulnerabilidades aplicáveis foram resolvidas. Pode ser exigida uma
documentação adicional para verificar se as vulnerabilidades não resolvidas
estão em processo de serem solucionadas.
Para a
conformidade inicial com o PCI DSS, não é necessário que as quatro varreduras
trimestrais aprovadas sejam concluídas se o assessor verificar que 1) o
resultado da varredura mais recente foi uma varredura aprovada, 2) a entidade
possui políticas e procedimentos documentados que requerem a sequência de
varreduras trimestrais e 3) as vulnerabilidades observadas nos resultados da
varredura tenham sido corrigidas conforme mostrado em uma nova varredura. Nos
anos seguintes após a análise inicial do PCI DSS, quatro varreduras
trimestrais aprovadas devem ter ocorrido.
|
11.2 Analise os
relatórios de varredura e documentação de suporte para verificar se as
varreduras de vulnerabilidades internas e externas são realizadas conforme
segue:
|
EnCase® Cybersecurity pode ser
usado para auditorias de vulnerabilidades das redes internas, instalações de
novos componentes do sistema, mudanças na topologia da rede e aprimoramentos
de produtos.
|
11.5.1 Implemente um processo para responder a
qualquer alerta gerado pela solução de detecção de alterações.
|
11.5.1 Questione os
funcionários para verificar se todos os alertas são investigados e
resolvidos.
|
As organizações podem integrar EnCase®
Cybersecurity com diversos sistemas de
alerta para oferecer respostas automáticas, assegurando que eventos críticos
sejam respondidos.
|
11.6 Certifique-se de que as políticas de segurança
e procedimentos operacionais para o teste e monitoramento da segurança
estejam documentados, em uso e conhecidos por todas as partes envolvidas.
|
11.6 Analise a
documentação e questione os funcionários para verificar se as políticas de
segurança e procedimentos operacionais para o teste e monitoramento da
segurança estão:
• Documentados,
• Em uso, e
• Conhecidos por todas as partes envolvidas.
|
Os serviços da Guidance Software Professional Services podem ajudar a
verificar que as políticas de segurança e os procedimentos operacionais estejam
documentados, em uso e conhecidos por todas as partes envolvidas.
|
Requisito 12: Mantenha uma política que aborde a
segurança da informação para todas as equipes.
|
||
12.1 Defina, publique, mantenha e dissemine uma
política de segurança.
|
12.1 Analise a
política de segurança da informação e verifique se a política foi publicada e
disseminada a todos os funcionários relevantes (incluindo fornecedores e
parceiros comerciais).
|
A Guidance Software Professional Services pode ajudar a verificar que a
política esteja publicada e disseminada a todos os funcionários relevantes (incluindo
fornecedores e parceiros comerciais).
|
12.1.1 Revise a política de segurança ao menos uma
vez por ano e atualize a política quando o ambiente for alterado.
|
12.1.1 Verifique se a
política de segurança da informação é analisada pelo menos uma vez por ano e
atualizada conforme necessário para refletir as alterações nos objetivos de
negócios ou no ambiente de risco.
|
A Guidance Software Professional Services pode
ajudar a verificar que a política de segurança da informação seja analisada
pelo menos uma vez por ano e atualizada conforme necessário para refletir
alterações.
|
12.2 Implemente um processo de avaliação de risco
que:
• Seja realizado ao menos uma vez por ano e quando
houver modificações significativas no ambiente (por exemplo, aquisição,
fusão, transferência, etc.),
• Identifique os recursos, ameaças e
vulnerabilidades críticos, e
• Resulte em uma avaliação formal de risco.
Os exemplos de
metodologias de avaliação de risco incluem, entre outros, OCTAVE, ISO 27005 e
NIST SP 800-30.
|
12.2.a Verifique se um
processo anual de avaliação de risco está documentado e se identifica ativos,
ameaças e vulnerabilidades e resulta em uma avaliação de risco formal.
12.2.b Analise a
documentação da avaliação de risco para verificar se o processo de avaliação
de risco é realizada ao menos uma vez por ano e quando houver alterações
significativas no ambiente.
|
A Guidance Software Professional Services pode ajudar a desenvolver/documentar
um processo de avaliação de risco anual documentado que identifique ativos,
ameaças e vulnerabilidades.
|
12.3 Desenvolva o uso de políticas de tecnologias
críticas e defina o uso apropriado destas tecnologias.
Observação:
Exemplos de tecnologias críticas incluem, entre outros, tecnologias de acesso
remoto e sem fio, laptops, tablets, mídia eletrônica removível, uso de
e-mails e da internet. Garanta que essas políticas de utilização
exijam o seguinte
|
12.3 Analise as
políticas de uso das tecnologias críticas e questione os funcionários
responsáveis para verificar se as seguintes políticas estão implementadas e
são seguidas:
|
A Guidance Software Professional Services pode
ajudar a examinar as políticas de uso das tecnologias críticas.
|
12.3.3 Uma lista de todos esses dispositivos e
equipes com acesso
|
12.3.3 Verifique se as
políticas de utilização definem uma lista de todos os dispositivos e equipes autorizadas
a usar os dispositivos.
|
A Guidance software Professional Services pode ajudar a verificar que
as políticas de utilização definam uma lista de todos os dispositivos e
equipes autorizadas a usar os dispositivos.
|
12.3.10 Para funcionários que acessam os dados do
portador do cartão por meio de tecnologias de acesso remoto, proíba a cópia,
a transferência e o armazenamento dos dados do portador do cartão em discos
rígidos locais e mídias eletrônicas removíveis, exceto se explicitamente
autorizado para uma necessidade comercial definida. Onde houver uma necessidade
comercial autorizada, as políticas de utilização devem exigir que os dados
sejam protegidos de acordo com todos os requisitos aplicáveis do PCI DSS.
|
12.3.10.a Verifique se as
políticas de utilização proíbem a cópia, a transferência ou o armazenamento dos
dados do portador do cartão em discos rígidos locais e mídias eletrônicas
removíveis ao acessar esses dados por meio de tecnologias de acesso remotas.
12.3.10.b Para
funcionários com autorização adequada, verifique se o uso de políticas exige
a proteção dos dados do portador do cartão de acordo com os requisitos do PCI
DSS.
|
A Guidance Software Professional Services pode
ajudar a verificar que as políticas de utilização proíbam a cópia, a
transferência ou o armazenamento dos dados do portador do cartão em discos
rígidos locais e mídias eletrônicas removíveis ao acessar esses dados por
meio de tecnologias de acesso remotas.
|
12.4 Certifique-se de que a política e os
procedimentos de segurança definem claramente as responsabilidades quanto à
segurança da informação para todos os funcionários.
|
12.4.a Verifique se as
políticas de segurança da informação definem claramente as responsabilidades
quanto à segurança da informação para todos os funcionários.
12.4.b Converse com
alguns funcionários responsáveis para verificar se eles compreendem as
políticas de segurança.
|
A Guidance Software Professional Services pode ajudar a assegurar que
as políticas de segurança da informação definam claramente as
responsabilidades quanto à segurança da informação.
|
12.5 Atribua a um indivíduo ou a uma equipe as
seguintes responsabilidades de gerenciamento da segurança da informação:
|
12.5 Analise as
políticas e procedimentos de segurança da informação para verificar:
• A atribuição formal da segurança da informação com
relação a um Diretor de segurança ou outro membro do gerenciamento que tenha
conhecimento sobre segurança.
• As seguintes responsabilidades da segurança da
informação são atribuídas modo formal e específico:
|
A Guidance Software Professional Services pode
ajudar a analisar as políticas e procedimentos de segurança da informação
para verificar a atribuição formal da segurança da informação a um Diretor de
segurança ou outro membro do gerenciamento que tenha conhecimento sobre
segurança.
|
12.5.1 Defina, documente e distribua políticas e
procedimentos de segurança.
|
12.5.1 Verifique se a
responsabilidade de definir, documentar e distribuir políticas e
procedimentos de segurança está formalmente atribuída.
|
A Guidance Software Professional Services pode ajudar a verificar que a
responsabilidade de definir, documentar e distribuir políticas e
procedimentos de segurança esteja formalmente atribuída.
|
12.5.2 Monitore e analise os alertas e as
informações de segurança e distribua para as equipes apropriadas.
|
12.5.2 Verifique se a
responsabilidade pelo monitoramento e análise dos alertas de segurança e pela
distribuição de informações às equipes de gerenciamento adequadas da
segurança da informação e das unidades de negócios foi formalmente atribuída.
|
A Guidance Software Professional Services pode
ajudar a verificar que a responsabilidade pelo monitoramento e análise dos
alertas de segurança e pela distribuição de informações às equipes de
gerenciamento adequadas da segurança da informação e das unidades de negócios
tenha sido formalmente atribuída.
|
12.5.3 Defina, documente e distribua procedimentos
de resposta e escalação de incidentes de segurança para assegurar que todas
as situações sejam abordadas de modo oportuno e eficiente.
|
12.5.3 Verifique se a
responsabilidade de definir, documentar e distribuir procedimentos de
resposta e escalação de incidentes de segurança é formalmente atribuída.
|
A Guidance Software Professional Services pode ajudar a verificar que
a responsabilidade de estabelecer, documentar e distribuir procedimentos de
resposta e escalação de incidentes de segurança seja formalmente atribuída.
|
12.6 Implemente um programa formal de
conscientização da segurança para conscientizar todos os funcionários sobre a
importância da segurança dos dados do portador do cartão.
|
12.6.a Revise o
programa de conscientização da segurança para verificar se ele conscientiza
os funcionários sobre a importância da segurança dos dados do portador do
cartão.
12.6.b Analise os
procedimentos e a documentação do programa de conscientização de segurança e
realize o seguinte:
|
A Guidance Software Professional Services pode
ajudar a revisar o programa de conscientização da segurança para verificar se
ele conscientiza os funcionários sobre a importância da segurança dos dados
do portador do cartão.
|
12.8 Mantenha e implemente políticas e procedimentos
para controlar os prestadores de serviços com quem os dados do portador são
compartilhados, ou que possam afetar a segurança dos dados, conforme segue:
|
12.8 Por meio de
observação, revise as políticas e procedimentos e a documentação de suporte,
verifique se estão implementados processos para controlar prestadores de
serviços com quem os dados do portador do cartão são compartilhados, ou que
podem afetar sua segurança (por exemplo, áreas de armazenamento de fitas de
backup, prestadores de serviços gerenciados, como empresas de hospedagem na
Web ou prestadores de serviços de segurança, aqueles que recebem dados para
fins de determinação de fraude, etc.), conforme segue:
|
A Guidance Software Professional Services pode ajudar a verificar se
estão implementados processos para controlar prestadores de serviços com quem
os dados do portador do cartão são compartilhados, ou que possam afetar sua
segurança.
|
12.9 Requisito adicional para prestadores de
serviços: Os prestadores de serviços reconhecem por escrito aos clientes que
eles são responsáveis pela segurança dos dados do portador do cartão que eles
possuírem, ou que os armazenam, processam ou transmitem em nome do cliente,
ou ao ponto de que eles possam impactar a segurança do ambiente dos dados do
portador do cartão do cliente.
Observação: O
requisito é considerado uma das melhores práticas até 30 de junho de 2015
quando passará a ser um requisito.
Observação: As
informações exatas contidas no reconhecimento dependerão do acordo entre as
duas partes, dos detalhes do serviço a ser prestado e das responsabilidades
atribuídas a cada parte. O reconhecimento não precisa ser exatamente igual ao
fornecido neste requisito.
|
12.9 Procedimento
de teste adicional para prestadores de serviços: Revise as políticas e
procedimentos do prestador de serviços e observe os modelos de acordos
escritos para confirmar se ele reconhece por escrito aos clientes que manterá
todos os requisitos aplicáveis do PCI DSS ao limite em que ele procede, tem
acesso ou armazena, processa ou transmite os dados do portador do cartão do
cliente ou dados de autenticação confidenciais, ou que administra o ambiente
de dados do portador do cartão em nome de um cliente.
|
A Guidance Software Professional Services pode
ajudar a revisar as políticas e procedimentos do prestador de serviços e
observar os modelos de acordos escritos para confirmar se o prestador
reconhece por escrito aos clientes que manterá todos os requisitos aplicáveis
do PCI DSS ao limite em que ele procede, tem acesso ou armazena, processa ou
transmite os dados do portador do cartão do cliente ou dados de autenticação
confidenciais, ou que administra o ambiente de dados do portador do cartão em
nome de um cliente.
|
12.10 Implemente um plano de resposta a incidentes.
Prepare-se para reagir imediatamente a uma falha no sistema.
|
12.10 Analise o plano
de resposta a incidentes e os procedimentos relatados para verificar se a
entidade está preparada para reagir imediatamente a uma violação no sistema
realizando o que segue:
|
A Guidance Software Professional Services pode ajudar a examinar o
plano de resposta a incidentes e os procedimentos relacionados para verificar
se a entidade está preparada para reagir imediatamente a uma violação no
sistema.
|
12.10.1 Crie o plano de resposta a incidentes para
ser implementado no caso de violações do sistema. Certifique-se de que o
plano aborda o seguinte, pelo menos:
• Funções, responsabilidades e estratégias de
comunicação e contato no caso de um comprometimento, incluindo a notificação
às bandeiras de pagamento, pelo menos
• Procedimentos de resposta específicos a
incidentes
• Procedimentos de recuperação e continuidade dos
negócios
• Processos de backup dos dados
• Análise dos requisitos legais visando ao relato
dos comprometimentos
• Abrangência e resposta de todos os componentes
críticos do sistema
• Referência ou inclusão de procedimentos de
resposta a incidentes por parte das bandeiras.
|
12.10.1.a Verifique se o
plano de resposta a incidentes inclui:
• Funções, responsabilidades e estratégias de
comunicação no caso de um comprometimento, incluindo a notificação às
bandeiras de pagamento, pelo menos
• Procedimentos de resposta específicos a
incidentes
• Procedimentos de recuperação e continuidade dos
negócios
• Processos de backup dos dados
• Análise dos requisitos legais referentes ao relato
dos comprometimentos (por exemplo, Lei 1386 da Califórnia, que exige a
notificação dos clientes afetados no caso de um comprometimento real ou
suspeito para qualquer negócio que seja realizado com moradores da Califórnia
em seu banco de dados)
• Abrangência e resposta de todos os componentes
críticos do sistema
• Referência ou inclusão de procedimentos de
resposta a incidentes por parte das bandeiras.
12.10.1.b Questione os
funcionários e revise a documentação a partir de incidentes ou alertas
relatados previamente para verificar se o plano e os procedimentos de
resposta ao incidente documentado foram seguidos.
|
A Guidance Software Professional Services pode
ajudar a verificar que o plano de resposta a incidentes inclua:
• Funções, responsabilidades e estratégias de
comunicação no caso de um comprometimento, incluindo a notificação às
bandeiras de pagamento, pelo menos
• Procedimentos de resposta específicos a
incidentes
• Procedimentos de recuperação e continuidade dos
negócios
• Processos de backup dos dados
• Análise dos requisitos legais referentes ao relato
dos comprometimentos (por exemplo, Lei 1386 da Califórnia, que exige a
notificação dos clientes afetados no caso de um comprometimento real ou
suspeito para qualquer negócio que seja realizado com moradores da Califórnia
em seu banco de dados)
• Abrangência e resposta de todos os componentes
críticos do sistema
• Referência ou inclusão de procedimentos de
resposta a incidentes por parte das bandeiras.
|
12.10.2 Teste o plano pelo menos uma vez ao ano.
|
12.10.2 Verifique se o
plano é testado pelo menos uma vez ao ano.
|
A Guidance Software Professional Services pode ajudar a verificar se o
plano é testado pelo menos uma vez ao ano.
|
12.10.3 Designe equipes específicas para estarem
disponíveis em tempo integral para responder aos alertas.
|
12.10.3 Verifique, por
meio da observação, análise das políticas e entrevistas com funcionários
responsáveis se a equipe designada está disponível para cobertura de
monitoramento e resposta a incidentes em tempo integral para qualquer
evidência de atividade não autorizada, detecção de pontos de acesso sem fio
não autorizados, alertas de IDS críticos e/ou relatórios de sistemas críticos
não autorizados ou alterações nos arquivos de conteúdo.
|
A Guidance Software Professional Services pode
ajudar a verificar por meio da observação, análise das políticas e
entrevistas com funcionários responsáveis se a equipe designada está
disponível para cobertura de monitoramento e resposta a incidentes em tempo
integral para qualquer evidência de atividade não autorizada, detecção de
pontos de acesso sem fio não autorizados, alertas de IDS críticos e/ou
relatórios de sistemas críticos não autorizados ou alterações nos arquivos de
conteúdo.
|
12.10.4 Forneça treinamento adequado à equipe que é
responsável pela resposta às falhas do sistema.
|
12.10.4 Verifique, por
meio de observação, análises das políticas e entrevistas com os funcionários
responsáveis se a equipe com responsabilidades de resposta a violações de
segurança são treinadas periodicamente.
|
O departamento de treinamento da Guidance Software pode assegurar que a
equipe com responsabilidades de resposta a violações de segurança seja
treinada periodicamente.
|
12.10.6 Desenvolva um processo para modificar e
aprimorar o plano de resposta a incidentes, de acordo com as lições
aprendidas e para incorporar os desenvolvimentos do setor.
|
12.10.6 Verifique, por
meio da observação, da análise das políticas e entrevistas com os
funcionários responsáveis se há um processo para modificar e aprimorar o
plano de resposta a incidentes, de acordo com as lições aprendidas e para
incorporar os desenvolvimentos do setor
|
A Guidance Software Professional Service pode ajudar
a verificar por meio da observação, da análise das políticas e entrevistas
com os funcionários responsáveis se há um processo para modificar e aprimorar
o plano de resposta a incidentes, de acordo com as lições aprendidas e para
incorporar os desenvolvimentos do setor.
|
*Copyright
2006-2014, PCI Security Standards Council LLC (https://pt.pcisecuritystandards.org/_onelink_/pcisecurity/en2pt/minisite/en/docs/PCI_DSS_v3.pdf)
Se você
quiser uma demonstração de como EnCase pode ajudá-lo com a conformidade com
padrões (Compliance), combate ao fraude e resposta a incidentes de malware, não
duvide em contatar nossa equipe de vendas no e-mail sales-LatAm@encase.com
- T.
Grey, Engenheiro de Vendas Para a América Latina, Guidance
Software
RELACIONADOS
No comments :
Post a Comment