Padrão de dados do aplicativo de pagamento
Contents
1. Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 8 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security r Standards Council Mant m e atualiza o padr o e a documenta o relacionada do PA DSS de acordo com um processo de gerenciamento de ciclo de vida padr o Observe que o PCI SSC n o aprova os relat rios de uma perspectiva de valida o A fun o do PA QSA documentar a conformidade do aplicativo de pagamento com o PA DSS a partir da data da avalia o Al m disso o PCI SSC realiza o QA para garantir que os PA QSAs documentem as avalia es PA DSS com precis o e totalmente Fornecedores de software Os fornecedores do software fornecedores desenvolvem aplicativos de pagamento que armazenam processam ou transmitir dados do propriet rio do cart o como parte da autoriza o ou do estabelecimento e em seguida vender distribuir ou licenciar esses aplicativos de pagamento a terceiros cliente ou revendedores integradores Os fornecedores s o respons veis Pela cria o de aplicativos de pagamento em conformidade com o PA DSS que facilitem e n o evitem que seus clientes estejam em conformidade com o PCI DSS o aplicativo n o necessita de implementa es ou configura es que viole os requisitos do PCI DSS Por seguir os requisitos sempre que o fornecedor armazenar processar ou transmitir dados do propriet rio do cart o por exemplo dura2. Security r Standards Council Em Fora de Data de Requisitos do PA DSS Procedimentos de teste funciona funcion destino mento amento Coment rios 5 Desenvolver aplicativos de pagamento seguros 5 1 O fornecedor de software desenvolve 5 1 a Obtenha e axemine os processos de desenvolvimento de aplicativos de pagamento de acordo com o PCI software por escrito para verificar se os processos s o DSS e o PA DSS por exemplo autentica o baseados nos padr es e ou nas melhores pr ticas do setor segura e registros e com base nas melhores 54 b Verifi daintormaca t incl pr ticas do setor al m de incorporar a seguran a t no a i pa a G o Ei E pi das informa es em todo o ciclo de vida do atrav s do ciclo de vida de desenvolvimento do software pn dos Sonwares Esses processos 5 1 c Verifique se os aplicativos do software s o desenvolvidos devem incluir o seguinte de acordo com os Requisitos do PCI DSS e do PA DSS Alinha se com o Requisito 6 3 do PCI DSS 5 1 d A partir da examina o de processos de desenvolvimento de software por escrito entrevistas com desenvolvdores de software e examina o do produto final do aplicativo de pagamento verifique se 5 1 1 PANS reais n o s o utilizados para testes 5 1 1 PANS reais n o s o utilizados para testes ou ou desenvolvimento desenvolvimento Alinha se com o Requisito 6 4 3 do PCI DSS 5 1 2 Remo o de dados e contas de teste antes 5 1 5 1 2 Remo o de dados e contas de
3. irc erareaacararaa nana iene aaarar aa near aaa aaaaaa aa naanaaaa 42 8 Facilitar Implementa o de rede Segura asamismssagasasigrisaa aan KNK AKANE ANNANN EANA aSa ANNEES AOA AARAA ESSA 43 9 Os dados do portador do cart o nunca devem ser armazenados em servidores conectados Internet steam 43 10 Facilitar o acesso remoto seguro ao aplicativo de pagamento rara aaarea aaa aeen nana acena aa aren na aaa rena aaaren a anarennaaa 44 11 Criptografar tr fego sens vel por redes p blicas eee eatranaaaa aeee aaar anna ana nanaanaa aaa a aaa aa nana narra aeee anna aa nana 47 12 Criptografar todos os acessos administrativos n o console errante anaraaaaaraananaaaanea near aa anna a nan aaaraa aaa EEan aanananas 48 13 Manter documenta o educativa e programas de treinamento para clientes revendedores e integradores 48 Anexo A Resumo do conte do do Guia de Implementa o do PA DSS a ceraaeeraanacanasana nnmnnn nnmnnn annann nennen 50 Ap ndice B Confirma o da configura o do laborat rio de testes espec fico para a avalia o do PA DSS eeeeeemess 58 Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 3 Copyright 2010 PCI Security Standards Council LLC Outubro de 2010 Security r Standards Council Introdu o Prop sito deste documento Este document
4. melhores pr ticas do setor quando esta vers o do 5 2 c Verifique se os aplicativos de pagamento nag est o PADSS foi lan ada No entanto como as sujeitos a vulnerabilidades de codifica o comuns por meio da melhores pr ticas do setor para o gerenciamento realiza o de testes de penetra o manuais ou autom ticos da vulnerabilidade foram atualizadas por que especificamente tentam explorar cada um dos seguintes exemplo OWASP Top 10 SANS CWE Top 25 itens CERT Secure Coding etc as melhores pr ticas atuais devem ser usadas para esses requisitos Alinha se com o Requisito 6 5 do PCI DSS Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 37 Copyright 2010 PCI Security Standards Council LLC Outubro de 2010 Security r Standards Council Requisitos do PA DSS 5 2 1 Falhas na inje o particularmente na inje o SQL Tamb m considere as falhas de inje o de OS Command Injection LDAP e Xpath assim como outras falhas 5 2 2 Buffer Overflow 5 2 3 Armazenamento criptogr fico seguro 5 2 4 Comunica es inseguras 5 2 5 Manuseio incorreto de erros 5 2 6 Todas as vulnerabilidades altas conforme identificadas no processo de identifica o de vulnerabilidade no Requisito 7 1 do PA DSS Observa o Os requerimentos 5 2 7 a 5 2 9 abaixo s o v lidos para aplicativos e interfaces de aplicativos baseados em rede interna ou externa 5 2 7 Scripting de site cruzado XSS
5. 11 2 do PA DSS Clientes e revendedores Integradores Criptografar todos os PANSs enviados com tecnologias de envio de mensagens de usu rio final de acordo com o Guia de implementa o do PA DSS e o Requisito 11 2 do PA DSS 12 1 Criptografar os acessos administrativos n o console Implementar e usar criptografia robusta como SSH VPN ou SSL TLS para criptografia de qualquer acesso administrativo n o console ao aplicativo de pagamento ou servidores no ambiente de dados do portador do cart o Fornecedor de software Garantir que o aplicativo de pagamento ofere a suporte ao cliente para criptografia de quer acesso administrativo n o console de acordo com o Requisito 12 1 do PA DSS Clientes e revendedores Integradores Criptografar todos os acessos administrativos n o console de acordo com o Guia de implementa o do PA DSS e o Requisito 12 1 do PA DSS Procedimentos de avalia o de requisitos e seguran a PCI PA DSS v2 0 Anexo A Resumo do conte do do Guia de Implementa o do PA DSS Outubro de 2010 Copyright 2010 Conselho de Padr es de Seguran a LLC do PCI P gina Security r Standards Council Ap ndice B Confirma o da configura o do laborat rio de testes espec fico para a avalia o do PA DSS Para Fornecedor de Software Nome do Aplicativo N mero da vers o Para cada avalia o do PA DSS conduzida o PA QSA deve preencher este documento para confirmar o status
6. Em Fora de Data de Procedimentos de teste funciona funcion destino mento amento Coment rios 10 Facilitar o acesso remoto seguro ao aplicativo de pagamento 10 1 O aplicativo de pagamento n o deve interferir no uso de tecnologias de autentica o de dois fatores para acesso remoto seguro Por exemplo RADIUS com tokens TACACS com tokens ou outras tecnologias que facilitam a autentica o de dois fatores Observa o A autentica o de dois fatores exige que dois dos tr s m todos de autentica o veja abaixo sejam usados para a autentica o Usar um fator duas vezes por exemplo usar duas senhas separadas n o caracteriza autentica o de dois fatores Os m todos de autentica o tamb m conhecidos como m todos s o Algo que voc conhe a como uma senha ou frase de confirma o Algo que voc tenha como um dispositivo de token ou um smart card Algo que voc como a biom trica Alinha se com o Requisito 8 3 PCI DSS 10 2 Se o aplicativo de pagamento puder ser acessado remotamente o acesso remoto ao aplicativo de pagamento deve ser autenticado usando um mecanismo de autentica o de dois fatores Observa o A autentica o de dois fatores exige que dois dos tr s m todos de autentica o veja abaixo sejam usados para a autentica o consulte o Req 10 1 do PA DSS para obter descri es dos m todos de autentica o Alinha se com o Requisito 8 3 do PCI DSS 10 1 Tes
7. Procedimentos de avalia o de requisitos e seguran a PCI PA DSS v2 0 Anexo A Resumo do conte do do Guia de Implementa o do PA DSS Outubro de 2010 Copyright 2010 Conselho de Padr es de Seguran a LLC do PCI P gina Security Standards Council PA DSS Requisito T pico do PA DSS Conte do do Guia de Implementa o Responsabilidade da Implementa o de controle 54 Usar somente servi os Documentar todos os protocolos servi os Fornecedor de software Garanta que o aplicativo de protocolos componentes bem como softwares e hardwares pagamento ofere a suporte ao cliente para o uso componentes bem dependentes exigidos que forem necess rios para somente de protocolos servi os etc que forem como softwares e qualquer funcionalidade do aplicativo de pagamento seguros e necess rios ao 1 ter somente protocolos hardwares servi os etc necess rios estabelecidos como prontos dependentes que para usar por padr o 2 ter esses protocolos servi os forem necess rios e etc configurados com seguran a por padr o e 3 seguros inclusive documentar protocolos servi os etc necess rios aqueles fornecidos por como refer ncia para clientes e terceiros revendedores integradores Clientes e revendedores Integradores Use a lista documentada do Guia de Implementa o para garantir que somente protocolos servi os etc necess rios sejam usados no sistema de acordo com o Requisito 5 4 do PA DSS 6 1 Implementa o seg
8. Unix APENAS aplicativos de Sistemas de banco de dados que armazenam dados do propriet rio do cart o por exemplo pagamento Oracle Sistemas de back office que armazenam dados do propriet rio do cart o por exemplo para fins de relat rios ou de servi o ao cliente O escopo da revis o PA DSS deve incluir o seguinte Cobertura de todas as funcionalidade do aplicativo de pagamento incluindo mas n o limitando se a 1 fun es de pagamento de ponta a ponta autoriza o e defini o 2 entrada e sa da 3 condi es de erro 4 interfaces e conex es com outros arquivos sistemas e ou aplicativos de pagamento ou componentes do aplicativo 5 todos os fluxos de dados do propriet rio do cart o 6 mecanismos de criptografia e 7 mecanismos de autentica o A cobertura da orienta o do fornecedor do aplicativo de pagamento deve fornecer aos cliente e revendedores integradores consulte Guia de Implementa o PA DSS mais frente neste documento para garantir que 1 o cliente saiba como implementar o aplicativo de pagamento de uma maneira compat vel com o PCI DSS e que 2 o cliente seja avisado com clareza de que alguns aplicativos de pagamento e configura es de ambiente podem impedir a conformidade PCI DSS Observe que o fornecedor do aplicativo de pagamento deve fornecer orienta o para que mesmo quando a configura o espec fica 1 n o possa ser controlada pelo fornecedor do aplicativo de pagamento j que o aplicativo
9. magn tica valores ou c digos de verifica o do cart o e PINs ou dados de bloqueio de PIN armazenados por vers es anterior do aplicativo de pagamento de acordo com padr es aceitos pela ind stria para exclus o segura como definido por exemplo pela lista de produtos aprovados mantidos pela Ag ncia de seguran a nacional ou por outros padr es ou regulamentos estaduais ou nacionais Observa o Os requisitos aplicam se apenas se as vers es anteriores do aplicativo de pagamento armazenaram dados de autentica o sens vel Alinha se com o Requisito 3 2 do PCI DSS 1 1 5 Exclua com seguran a dados de autentica o sens vel dados pr autoriza o usados para fins de depura o ou solu o de problemas dos arquivos de registros arquivos de depura o e outras fontes de dados recebidas dos cliente para garantir que os dados da faixa magn tica os c digos e valores de verifica o do cart o e os dados de PIN e de bloqueio de PIN n o estejam armazenados nos sistema do fornecedor do software Essas fontes de dados devem ser coletadas em quantias limitadas e apenas quando necess rias para resolver um problema criptografadas enquanto armazenadas e exclu das imediatamente ap s o uso Alinha se com o Requisito do 3 2 PCI DSS 1 1 4 a Revise o Guia de Implementa o PA DSS preparado pelo fornecedor e verifique se a documenta o inclui as instru es a seguir para os clientes e revendedores integradores
10. pida e totalmente No caso de ferramentas ou m todos forenses usados pelos PA QSAs essas ferramentas ou m todo devem localizar com precis o quaisquer dados de autentica o sens vel gravados pelo aplicativo de pagamento Essas ferramentas podem ser comerciais de fonte aberta ou desenvolvidas internamente pelo PA QSA Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 Copyright O 2010 PCI Security Standards Council LLC P gina 19 Outubro de 2010 Security E Standards Council Requisitos do PA DSS Em Fora de funciona funcion Procedimentos de teste mento amento Data de destino Coment rios 1 1 2 Ap s a autoriza o n o armazene o valor de verifica o ou o c digo do cart o n mero de tr s ou quatro d gitos impresso na parte frontal ou de tr s do cart o de pagamento usado para verificar transa es em que o cart o n o estava presente Alinha se com o Requisito 3 2 2 do PCI DSS 1 1 3 Ap s a autoriza o n o armazene o n mero de identifica o pessoal PIN ou o bloqueio de PIN criptografado Alinha se com o Requisito 3 2 3 do PCI DSS 1 1 2 Use as ferramentas e ou m todos ferramentas comercial scripts etc para examinar todas as sa das criadas pelo aplicativo de pagamento e verifique se o c digo de verifica o de tr s ou quatro d gitos impresso na frente do cart o ou no painel de assinaturas dados CVV2 CVC2 CID CAV2 n o estejam armazen
11. rio simula o uso real do aplicativo de pagamento incluindo todos os sistemas e aplicativos onde o aplicativo est implementado Por exemplo uma implementa o padr o do aplicativo de pagamento pode incluir um ambiente cliente servidor dentro de uma loja de varejo com uma m quina POS e ou rede corporativa O laborat rio simula a implementa o total 5 b O laborat rio utiliza somente n meros de cart o de teste O 0O para a simula o teste PANS ativos n o s o utilizados para testes Observa o Os cart es de teste geralmente podem ser obtidos com o fornecedor ou um processador ou adquirente 5 c O laborat rio executa a autoriza o do aplicativo de O 0O pagamento e ou fun es de acordo e todos os resultados s o examinados conforme o item 6 mais adiante 5 d O laborat rio e ou processos mapeia todos os resultados produzidos pelo aplicativo de pagamento para cada situa o poss vel seja tempor ria permanente processamento de erro modo de depura o arquivos de log etc 5 e O laborat rio e ou processos simulam e validam todas as O fun es do aplicativo de pagamento para incluir a gera o de todos os erros e entradas de log usando dados reais simulados e inv lidos Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 59 Ap ndice B Confirma o da configura o do laborat rio de testes espec fico para a avalia o do PA DSS Outubro20
12. 10 do PA DSS a PCs servidores e bancos de dados de acordo com dados com aplicativos os Requisitos 3 1 2 a 3 1 9 do PA DSS de pagamento Clientes e revendedores Integradores Estabelecer e manter IDs de usu rio exclusivos e autentica o segura de acordo com o Guia de Implementa o do PA DSS e os Requisitos 3 1 2 a 3 1 10 do PA DSS 4 1 Implementar trilhas de Definir as configura es de log em conformidade Fornecedor de software Garantir que o aplicativo de auditoria automatizada com o PCI DSS de acordo com os Requisitos 4 2 pagamento ofere a suporte ao cliente para uso de logs 4 3 e 4 4 do PA DSS compat veis de acordo com os Requisitos 4 2 4 3 e Os logs devem ser ativados sua desabilita o 4 4 do PA DSS resultar em n o conformidade com o PCI DSS Clientes e revendedores Integradores Estabelecer e manter logs compat veis com o PCI DSS conforme o Guia de Implementa o do PA DSS e os Requisitos 4 2 4 3 e 4 4 do PA DSS 4 4 Facilitar o registro Oferecer instru es e procedimentos para a Fornecedor de software Assegurar que o aplicativo centralizado incorpora o dos logs do aplicativo de pagamento a um servidor de registro centralizado de pagamento suporte o registro centralizado em ambientes de cliente conforme o Requisito 4 4 do PA DSS Clientes e revendedores Integradores Estabelecer e manter o registro centralizado de acordo com o Guia de Implementa o do PA DSS e do Requisito 4 4 do PA DSS
13. 3 1 20 aplicativo de pagamento emprega ao menos um dos seguintes m todos para autenticar todos os usu rios Algo que voc conhe a como uma senha ou frase de confirma o Algo que voc tenha como um dispositivo de token ou um smart card Algo que voc como a biom trica Alinha se com o Requisito 8 2 do PCI DSS 3 1 2Confirme se o aplicativo de pagamento exige ao menos um dos m todos de autentica o definidos 3 1 2 a Ao concluir o processo de instala o 3 1 2 b Para altera es subsequentes ap s a instala o 3 1 3 O aplicativo de pagamento n o exige ou usa nenhuma conta de grupo compartilhada ou gen rica e nem senhas 3 1 3 Confirme que o aplicativo de pagamento n o usa nem depende de nenhuma conta de grupo compartilhada ou gen rica e nem senhas 3 1 1 a Ao concluir o processo de instala o Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 30 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security Standards Council Requisitos do PA DSS Procedimentos de teste Em Fora de Data de funcion funcion destino amento amento Coment rios Alinha se com o Requisito 8 5 8 do PCI DSS 3 1 3 b Para altera es subsequentes ap s a instala o 3 1 40 aplicativo de pagamento exige altera es senha do usu rio no m nimo a cada 90 dias Alinha se com o Requisito 8 5 9
14. Esses dados hist ricos devem ser removidos dados da faixa magn tica c digo de verifica o do cart o PINs ou bloqueios de PIN armazenados por vers es anteriores do aplicativo de pagamento Como remover dados do hist rico Essa remo o absolutamente necess ria para conformidade PCI DSS 1 1 4 b Verifique se o fornecedor fornece uma ferramenta ou procedimento de limpeza seguros para remover os dados 1 1 4 c Verifique atrav s do uso de ferramentas e ou m todos forenses se a ferramenta ou procedimento de limpeza segura fornecida pelo fornecedor remove os dados com seguran a de acordo com os padr es aceitos pela ind stria para a exclus o segura de dados 1 1 5 a Examine os procedimentos do fornecedor do software para solu o de problemas do cliente e verifique se os procedimentos incluem Coleta de dados de autentica o confidenciais somente quando necess rio para solucionar problemas espec ficos Armazenamento de tais dados em locais espec ficos e conhecidos com acesso limitado Coleta somente de uma quantidade de dados limitada para solucionar algum problema espec fico Criptografia de dados de autentica o confidenciais enquanto estiverem armazenados Exclus o segura de tais dados imediatamente ap s o uso 1 1 5 b Selecione uma amostra de solicita es de resolu o de problemas recentes e verificar cada evento seguido do procedimento examinado no item 1 1 5 a Procedimentos de aval
15. dados s o alternativamente chamados de rastreamento total rastreamento rastreamento 1 rastreamento 2 e dados de faixa magn tica Observa o No curso normal dos neg cios os seguintes elementos de dados da faixa magn tica podem necessitar de reten o Onome do titular da conta On mero da conta prim ria PAN Data de expira o e C digo de servi o Para minimizar Os riscos armazene apenas os elementos de dados necess rios para os neg cios Alinha se com o Requisito 3 2 1 do PCI DSS 1 1 1 Use as ferramentas e ou m todos ferramentas comercial scripts etc a examina todas as sa das criadas pelo aplicativo de pagamento e verifica se todos os conte dos de qualquer rastreamento da faixa magn tica da parte de tr s do cart o ou dados equivalentes no chip n o est o armazenados ap s a autoriza o Inclui pelo menos os seguintes tipos de arquivos assim como qualquer outra entrada gerada pelo aplicativo de pagamento Dados de transa o de entrada Todos os registros por exemplo transa o hist rico depura o erro Arquivos do hist rico Arquivos de rastreamento Mem ria n o vol til incluindo cache n o vol til Esquemas de banco de dados Conte dos do banco de dados Ferramenta ou m todo forense Ferramenta ou m todo para descoberta an lise e apresenta o de dados forenses que fornece uma maneira robusta de autenticar buscar e recuperar evid ncias do computador r
16. de regi es pa ses do aplicativo de pagamento listadas no pagamento a serem testadas foram instaladas relat rio do PA DSS E E P 2 b Verificar se todas as vers es e plataformas do aplicativo 0O de pagamento foram testadas 2 c Verificar se todas as funcionalidades cr ticas do aplicativo L de pagamento foram testadas Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 58 Ap ndice B Confirma o da configura o do laborat rio de testes espec fico para a avalia o do PA DSS Outubro2010 Copyright 2010 Conselho de Padr es de Seguran a LLC do PCI Security Standards Council Requisito do laborat rio Conclu da em Laborat rio Laborat ri Forneced Procedimento de valida o do laborat rio o PA QSA or Coment rios 3 Instalar e implementar todos os dispositivos de seguran a necess rios do PCI DSS 4 Instalar e ou configurar todas as op es de seguran a necess rias do PCI DSS 5 Simular o uso real do aplicativo de pagamento 3 Verificar se todos os dispositivos de seguran a exigidos 0O pelo PCI DSS por exemplo firewalls e software antiv rus foram implementados nos sistemas de teste 4 Verificar todas as configura es do sistema patches etc compat veis com PCI DSS foram implementadas nos sistemas de teste para sistemas operacionais software do sistema e aplicativos utilizados pelo aplicativo de pagamento 5 a O laborat
17. do portador do cart o somente em servidores n o conectados Internet Implementar autentica o de dois fatores para acesso remoto ao aplicativo de pagamento Caso o aplicativo de pagamento estiver implementado em um ambiente wireless use as melhores pr ticas do setor por exemplo IEEE 802 11i para implementar a criptografia robusta para autentica o e transmiss o de dados do portador do cart o N o armazenar dados do portador do cart o em sistemas acess veis pela Internet por exemplo o servidor web e o servidor do banco de dados n o deve estar no mesmo servidor Utilizar autentica o de dois fatores ID de usu rio e senha e um item de autentica o adicional como um token se o aplicativo de pagamento puder ser acessado remotamente Fornecedor de software Orientar clientes e revendedores integradores que se a tecnologia wireless for usada com o aplicativo de pagamento essas transmiss es criptografadas seguras dever o ser implementadas de acordo com o Requisito 6 2 do PA DSS Clientes e revendedores Integradores Para tecnologias wireless implementadas no ambiente de pagamento por clientes ou revendedores integradores utilize transmiss es criptografadas seguras de acordo com o Guia de Implementa o do PA DSS e o Requisito 6 2 do PCI DSS Fornecedor de software Garantir que o aplicativo de pagamento n o requer armazenamento de dados no DMZ ou em sistemas acess veis pela Internet e permiti
18. dos m todos de autentica o de ponta a ponta do aplicativo incluindo o mecanismo de autentica o do aplicativo o banco de dados de autentica o e a seguran a do armazenamento de dados Descri o da fun o do aplicativo de pagamento em uma Implementa o t pica e de quais outros tipos de aplicativos de pagamento s o necess rios para uma Implementa o de pagamento completa Descri o do cliente t pico para quem este produto vendido por exemplo pequenos grandes Observa o Ap ndice B espec ficos para um ramo Internet ou lojas f sicas e a base do cliente do fornecer por exemplo A confirma o da segmento de mercado nomes de grandes clientes Configura o de Defini o da metodologia de vers o do fornecedor para descrever ilustrar como o fornecedor indica laborat rio de testes altera es de vers o maiores ou menores atrav s dos n mero de vers o e para definir quais tipo de espec fica para avalia o altera es o fornecedor inclui nas altera es de vers o maiores ou menores PA DSS tamb m deve ser E conclu da e enviada com 3 Descobertas e observa es o relat rio PA DSS Todos os PA QSAs devem usar o modelo a seguir para fornecer descri es e descobertas de relat rio Conclu do detalhadas Descreve os testes realizados al m daqueles inclu dos na coluna de procedimentos de teste Seo avaliador determina que o requerimento n o aplic vel para um determinado aplicativo de pagam
19. e as capacidades do laborat rio usado para realizar o teste para a avalia o do PA DSS Este documento preenchido deve ser enviado junto com o documento Requisitos e procedimentos de avalia o de seguran a do PA DSS Para cada Procedimento de valida o do laborat rio indique usando as colunas Conclu do no laborat rio do PA QSA ou Conclu do no laborat rio do fornecedor qual foi o laborat rio usado para a avalia o e se laborat rio que passou por esses Procedimentos de valida o foi o laborat rio do PA QSA ou o do fornecedor do software Descreva a arquitetura e o ambiente do teste no laborat rio no local para esta revis o do PA DSS Descreva como o uso real do aplicativo de pagamento foi simulado no laborat rio para esta revis o do PA DSS Conclu da em Laborat rio Laborat ri Forneced Requisito do laborat rio Procedimento de valida o do laborat rio o PA QSA or Coment rios 1 Instalar o aplicativo de 1 Verificar se o manual de instala o do fornecedor ou o pagamento de acordo treinamento oferecido aos clientes foi utilizado para realizar a com as instru es de instala o padr o do produto do aplicativo de pagamento em instala o do fornecedor todas as plataformas listadas no relat rio do PA DSS ou o treinamento fornecido ao cliente 2 Instalare testar todas as 2 a Verificar se todas as implementa es comuns incluindo vers es do aplicativo de vers es espec ficas
20. gina 41 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security X Standards Council Em Fora de Data de Requisitos PA DSS Procedimentos de teste funciona funcion destino mento amento Coment rios 7 Testar aplicativos de pagamento para solucionar vulnerabilidades 7 1 Os fornecedores de software devem 7 1 Obter e examinar os processos para identificar novas estabelecer um processo para identificar e atribuir vulnerabilidades e para testar os aplicativos de pagamento para um ranqueamento de risco s vulnerabilidades na novas vulnerabilidades Esses processos devem incluir o seguran a descobertas recentemente al m de seguinte a da aa S a 7 1 a Verifique se os processos incluem atribuir um ranking de subjacente fornecido ou exigido pelo aplicativo de risco a vulnerabilidades No m nimo as mais cruciais as pagamento por exemplo servidores bibliotecas maiores vulnerabilidades devem ser ranqueadas com o Alta ou programas de tercelfos devem Ser incluidos 7 1 b Verifique se o processo para identificar novas nesse processo E vulnerabilidades no sistema incluem o uso de fontes externas Alinha se com o Requisito 6 2 do PCI DSS para informa es sobre a vulnerabilidade da seguran a Observa o Rankings de risco devem ser 7 1 c Verifique se os processos incluem o teste dos aplicativos baseados nas melhores pr ticas do setor Por de pagamento para novas vulnerabilidades exemplo os crit ri
21. implementar uma criptografia robusta para autentica o e transmiss o Em Procedimentos de teste funciona mento 6 1 a Verifique se as chaves de criptografia foram alteradas do padr o na instala o e s o modificadas a qualquer momento que um funcion rio que conhe a as chaves sai da empresa ou troca de cargo 6 1 b Verifique se as strings de comunidades de SNMP padr o nos dispositivos sem fio foram alteradas 6 1 c Verifique se as senhas passphrases padr o nos pontos de acesso foram alteradas 6 1 d Verifique se o firmware nos dispositivos sem fio foi atualizado para ser compat vel com a criptografia robusta para a autentica o e a transmiss o em redes sem fio 6 1 e Verifique outros padr es do fornecedor sem fio relacionados seguran a se aplic vel 6 1 1 Examine o Guia de Implementa o do PA DSS preparado pelo fornecedor para verificar se os clientes e revendedores integradores est o instru dos se a comunica o sem fio for utilizada para Alterar os padr es de wireless do fornecedor conforme definido em 6 1 a 6 1 ou mais Instalar um firewall entre quaisquer redes e sistemas wireless que armazenem dados de portadores de cart o e Configurar esses firewalls para recusar ou controlar se esse tr fego for necess rio para fins comerciais qualquer tr fego a partir do ambiente sem fio no ambiente de dados do portador do cart o 6 2 a Para aplicativos de pagamento desenvolvidos pelo fornec
22. m dulos tamb m realizarem fun es de pagamento o PA DSS aplica se a esses m dulos tamb m Observe que considerado uma boa pr tica que os fornecedores do software isolem as fun es de pagamento em uma quantidade pequena de m dulos de linha de base reservando outros m dulos para fun es de n o pagamento Esta boa pr tica embora n o seja um requisito pode limitar o n mero de m dulos sujeitos ao PA DSS O PA DSS N O aplica se aos aplicativos de pagamento oferecidos pelos fornecedores de aplicativos ou servi o apenas como servi o a menos que tais aplicativos tamb m sejam vendidos licenciados ou distribu dos a terceiros porque 1 O aplicativo um servi o oferecido aos clientes normalmente comerciantes que n o t m a habilidade de gerenciar instalar ou controlar o aplicativo ou seu ambiente 2 O aplicativo coberto pela revis o PCI DSS do pr prio fornecedor do aplicativo ou do servi o essa cobertura deve ser confirmada pelo cliente e ou 3 O aplicativo n o vendido distribu do ou licenciado a terceiros Exemplos destes aplicativos de pagamento de software como servi o incluem 1 Os aplicativos oferecidos por Fornecedores de servi o de aplicativo ASP que hospedam um aplicativo de pagamento no site para uso do cliente Observe que o PA DSS pode aplicar se no entanto se o aplicativo de pagamento do ASP for tamb m vendido para um site de terceiros e implementado e o aplicativo n o foi coberto pel
23. no compromisso O PCI SSC reserva se o direito de requisitar a revalida o devido a mudan as significativas no Padr o de seguran a de dados de aplicativo de pagamento e ou devido a vulnerabilidades especificamente identificadas em um aplicativo de pagamento listado Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 17 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security r Standards Council Requisitos e procedimentos de avalia o de seguran a PA DSS Em Fora de Data de funciona funcion destino Requisitos do PA DSS Procedimentos de teste mento amento Coment rios 1 N o possui faixa magn tica total c digo de verifica o de cart o ou valor CAV2 CID CVC2 CVV2 ou dados de bloqueio de PIN 1 1 N o armazene dados de autentica o sens vel 1 1 a Se este aplicativo de pagamento armazena dados de ap s a autoriza o mesmo se estiverem autentica o sens vel verifique se o aplicativo foi criptografados desenvolvido apenas para emissores e ou empresas que Os dados de autentica o sens vel incluem os suportam servi os de emiss o dados conforme citado nos Requisitos 1 1 1 at 1 1 b Para todos os outros aplicativos de pagamento se os 1 1 3 dados de autentica o sens vel consulte 1 1 1 1 1 3 abaixo Observa es tiverem sido armazenados anteriormente autoriza o e np depois exclu dos obtiver e revisar a metodologia para exclu
24. o acesso remoto deve ser implementado de forma segura Observa o Exemplos de recursos de seguran a de acesso remoto incluem Altera o das configura es padr o no software de acesso remoto por exemplo altera o de senhas padr o e uso de senhas exclusivas para cada cliente Permitir conex es somente de endere o IP MAC espec ficos conhecidos Usar autentica o robusta e senhas complexas para logins Consulte os Requisitos 3 1 1 a 3 1 10 do PA DSS Ativar a transmiss o de dados criptografados de acordo com o Requisito 12 1 do PCI DSS Ativar o bloqueio de conta ap s um determinado n mero de tentativas de login sem sucesso Consulte o Requisito 3 1 8 do PA DSS Configura o do sistema de modo que um usu rio remoto estabele a uma conex o de rede virtual privada VPN por meio de um firewall antes que o acesso seja permitido Ativa o da fun o de registro em log Restri o do acesso a senhas do cliente equipe do revendedor integrador autorizada Estabelecimento de senhas de cliente de acordo com os Requisitos 3 1 a 3 1 10 do PA DSS Alinha se com o Requisito 8 3 do PCI DSS 10 3 2 a Se o fornecedor do software utilizar produtos de acesso remoto para acesso remoto ao aplicativo do cliente verifique se a equipe do fornecedor implementa e usa recursos de seguran a de acesso remoto 10 3 2 b Se revendedores integradores ou clientes puderem usar o software de acesso remoto exa
25. o substitui os requisitos mais rigorosos em vigor quanto s exibi es dos dados do portador do cart o por exemplo para recebimentos do ponto de venda Alinha se com o Requisito 3 3 do PCI DSS Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 23 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security Standards Council Em Fora de Data de funciona funcion destino Requisitos do PA DSS Procedimentos de teste mento amento Coment rios 2 3Converta o PAN como ileg vel em qualquer 2 3 Verifique se o PAN for convertido como ileg vel em qualquer local onde ele esteja armazenado inclusive em local em que foi armazenado de acordo com o seguinte em midia digital port til m dia de back up em 2 3 a Examine o m todo usado para proteger o PAN inclusive registros utilizando qualquer uma das seguintes E s abordagens os algoritmos de criptografia se aplic vel Verifique se o PAN Rain as con E E for t rmagoilegivel usando um dos seguintes metodos obusia o hash deve s r de dado o RAN Refer ncias nicas com base na criptografia robusta Truncamento a codifica o hash n o pode Truncamento ser usada para substituir o segmento Tokens e blocos de ndice sendo que os blocos s o truncado do PAN armazenados de forma segura Tokens e blocos de ndice os blocos devem Criptografia robusta com processos e procedimentos de ser armazenados de forma
26. ou menos minutos o aplicativo exigira que o usu rio autentique e ative a sess o novamente 3 1 10 a Ao concluir o processo de instala o Alinha se com o Requisito 8 5 15 do PCI DSS 3 1 10 b Para altera es subsequentes ap s a instala o 3 2 O fornecedor do software deve oferecer 3 2 Examine o Guia de Implementa o do PA DSS criado pelo orienta o aos clientes de que todo acesso a fornecedor para verificar se os clientes e PCs servidores e bancos de dados com revendedores integradores foram recomendados a controlar o aplicativos de pagamento devem exigir um ID de acesso por meio de um ID de usu rio exclusivo e uma usu rio exclusivo e uma autentica o segura autentica o segura compat vel com o PCI DSS a qualquer PC servidor e bancos de dados com os aplicativos de Alinha se com o Requisito 8 1 e 8 2 do PCI pagamento e os dados do portador do cart o DSS 3 3 Deixa as senhas do aplicativo de pagamento 3 3 Examine os arquivos de senha do aplicativo de pagamento ileg veis durante a transmiss o e o durante o armazenamento e a transmiss o para verificar se as armazenamento usando criptografia robusta senhas est o ileg veis em todos os momentos baseada nos padr es aprovados Alinha se com o Requisito 8 4 do PCI DSS Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 32 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security X Standards Council Requisitos do PA D
27. rios 13 2 1 Atualize anualmente os materiais de treinamento e sempre que uma nova vers o do aplicativo de pagamento for liberada 13 2 1 a Examine os materiais de treinamento para revendedores e integradores e verifique se os materiais s o revisados anualmente e quando novas vers es do aplicativo de pagamento forem lan adas e atualizadas conforme a necessidade 13 2 1 b Examine o processo de distribui o para novas vers es do aplicativo de pagamento e verifique se a documenta o atualizada distribu da com o aplicativo de pagamento atualizado 13 2 1 b Selecione alguns revendedores e integradores e entreviste os para verificar se receberam os materiais de treinamento Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 49 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security Standards Council Anexo A PA DSS Requisito 1 1 4 1 1 5 Resumo do conte do do Guia de Implementa o do PA DSS O objetivo deste Anexo resumir os requisitos do PA DSS que possuem t picos relacionados ao Guia de Implementa o do PA DSS para explicar o conte do do Guia de Implementa o do PA DSS e para explicar detalhadamente as responsabilidades pela Implementa o dos controles relacionados T pico do PA DSS Exclus o de dados de autentica o confidenciais armazenados por vers es anteriores do aplicativo de pagamento Exclus o de quaisquer d
28. seguran a PCI PA DSS vers o 2 0 P gina 13 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security z Standards Council Armazenamento Processar dados da conta Elemento de dados permitido armazenados ileg veis pelo Requisito 3 4 do PCI DSS O n mero prim rio da conta PAN Sim Sim Dados do TE propriet rio Nome do propriet rio de dados Sim N o E do cart o C digo de servi o Sim N o E Data de expira o Sim N o js Dados da faixa magn tica totais a N o poss vel armazenar o 2 N o A o pelo Requisito 3 2 a Dados ds N o poss vel armazenar autentica o CAV2 CVC2 CVV2 CID N o Requisito 32 sens vel PINs Bloqueio de PIN N o Nade possivel armazenar pelo Requisito 3 2 Os Requisitos 3 3 e 3 4 do PCI DSS aplicam se apenas ao PAN Se o PAN for armazenado com outros elementos dos dados do propriet rio do cart o apenas o PAN deve ser processado como ileg vel de acordo com o Requisito 3 4 do PCI DSS O PCI DSS aplica se apenas se os PANs forem armazenados processados e ou transmitidos Os dados de autentica o sens vel n o devem ser armazenados ap s a autoriza o mesmo se estiverem criptografados Os dados de rastreamento totais da faixa magn tica dados equivalentes do chip ou em qualquer outro lugar Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 14 Copyright O 2010 PCI Security Standards Council LLC Outubro de 201
29. teste antes da da entrega ao cliente entrega ao cliente Alinha se com o Requisito 6 4 4 do PCI DSS 5 1 3 Remo o de contas IDs de usu rio e 5 1 3 Contas IDs de usu rio e senhas personalizadas do senhas personalizadas do aplicativo de aplicativo de pagamento s o removidas antes que seja pagamento antes que seja liberado aos clientes liberado aos clientes Alinha se com o Requisito 6 3 1 do PCI DSS Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 36 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security r Standards Council Em Fora de Data de Requisitos do PA DSS Procedimentos de teste funciona funcion destino mento amento Coment rios 5 1 4 Revis o do c digo do aplicativo de 5 1 4 Confirma que o fornecedor executa revis es de c digo pagamento antes da libera o aos clientes ap s para todas as altera es significativas de c digo do aplicativo qualquer altera o significativa para identificar usando processos manuais ou automatizados conforme se qualquer poss vel vulnerabilidade na codifica o segue Observa o Esse requisito referente s As altera es dos c digos s o analisadas por outras an lises dos c digos se aplica a todos os pessoas al m do autor que originou o c digo e por componentes do aplicativo de pagamento pessoas que est o cientes das t cnicas de an lise dos internos e voltados para o p blico como parte c digos e da
30. 0 Security r Standards Council Instru es e conte do do relat rio de valida o Este documento deve ser usado para os PA QSAs como modelo para criar o Relat rio de Valida o Todos os PA QSAs devem seguir as instru es deste documento a respeito do conte do e formato do relat rio ao concluir um relat rio de valida o O Relat rio de valida o deve conter as seguintes informa es como pref cio para os Procedimentos de avalia o de seguran a e requisitos 1 Descri o do escopo de revis o Descrever o escopo da cobertura da revis o pelo escopo da se o PA DSS acima Intervalo de tempo de valida o Vers o do PA DSS usada para a avalia o Lista da documenta o revisada 2 Resumo executivo Inclui o seguinte Nome do produto Vers o do produto e plataforma relacionada cobertas Lista de revendedores e ou integradores deste produto O s sistema s operacional is com os quais o aplicativo de pagamento foi testado Software de banco de dados usado ou suportado pelo aplicativo de pagamento Descri o breve do aplicativo de pagamento fam lia de produtos 2 3 frases Diagrama de rede de uma Implementa o t pica do aplicativo de pagamento n o necessariamente uma Implementa o espec fica do site do cliente que inclui em alto n vel Conex es dentro e fora da rede do cliente Componentes da rede do cliente incluindo dispositivos POS sistemas bancos de dados e
31. 10 Copyright 2010 Conselho de Padr es de Seguran a LLC do PCI Security Standards Council Requisito do laborat rio Procedimento de valida o do laborat rio Conclu da em Laborat rio Laborat ri Forneced o PA QSA or Coment rios 6 Fornecer condi es e uso de teste para as seguintes metodologias de teste de penetra o 7 Utilizar o laborat rio do fornecedor SOMENTE ap s verificar se todos os requisitos foram atendidos 6 a Uso de ferramentas m todos forenses Ferramentas m todos forenses foram usados para pesquisar todos os resultados identificados para evid ncias de dados de autentica o confidenciais ferramentas comerciais scripts etc conforme o Requisito 1 1 1 1 1 3 do PA DSS 6 b Tentativa de explorar as vulnerabilidades do aplicativo As vulnerabilidaes atuais por exemplo OWASP Top 10 SANS CWE Top 25 CERT Secure Coding etc foram usadas para tentar explorar o s aplicativo s de pagamento de acordo com o Requisito 5 2 do PA DSS 6 c O laborat rio e ou processo tentou executar o c digo arbitr rio durante o processo de atualiza o do aplicativo de pagamento Execute o processo de atualiza o com c digo arbitr rio conforme o requisito 7 2 b do PA DSS 7 a Se o uso do laborat rio do fornecedor de software for necess rio por exemplo o PA QSA n o possui mainframe AS400 ou Tandem o aplicativo de pagamento executado ligado o PA QSA pode 1 usar o equip
32. 5 2 8 Controle incorreto de acesso como refer ncias inseguras diretas a objetos falha ao restringir acesso a URLs e diret rio transversal 5 2 9 Falsifica o de solicita es de site cruzado CSRF 5 3 O fornecedor do software deve seguir os procedimentos de controle de altera o para todas as altera es de configura o do software Os procedimentos devem incluir o seguinte Alinha se com o Requisito 6 4 5 do PCI DSS Em Fora de Procedimentos de teste funciona funcion mento amento 5 2 1 Falhas na inje o particularmente na inje o SQL validar a entrada para verificar se os dados do usu rio n o podem modificar o significado dos comandos e das consultas 5 2 2 Buffer Overflow Valide os limites do buffer e trunque as strings de entrada 5 2 3 Armazenamento criptogr fico inseguro Impe a a ocorr ncia de falhas criptogr ficas 5 2 4 Comunica es inseguras Criptografe de forma adequada todas as comunica es autenticadas e confidenciais 5 2 5 Manuseio incorreto de erros n o deixe vazar informa es por meio de mensagens de erro e outras formas 5 2 6 Todas as vulnerabilidades altas conforme identificadas no processo de identifica o de vulnerabilidade no Requisito 7 1 do PA DSS 5 2 7 Scripting de site cruzado XSS Valide todos os par metros antes da inclus o utilize a sa da sens vel ao contexto etc 5 2 8 Refer ncias inseguras diretas a objetos Autentique os usu rios e transfo
33. A DSS Procedimentos de teste funciona funcion destino mento amento Coment rios 12 Criptografar todos os acessos administrativos n o console 12 1 Orientar clientes a criptografar todos os 12 1 Se o aplicativo de pagamento ou servidor permitir acessos administrativos n o console usando administra o n o console examine o Guia de Implementa o tecnologias como SSH VPN ou SSL TLS para do PA DSS preparado pelo fornecedor e verifique se o gerenciamento baseado em web e outros acessos fornecedor recomenda o uso de SSH VPN ou SSL TLS para administrativos n o console criptografia de acesso administrativo n o console Observa o Nunca se deve utilizar Telnet ou rlogin para acesso administrativo Alinha se com o Requisito 2 3 do PCI DSS 13 Manter documenta o educativa e programas de treinamento para clientes revendedores e integradores 13 1 Desenvolver manter e disseminar o Guia de 13 1 Examine o Guia de Implementa o do PA DSS e os Implementa o do PA DSS para clientes processos relacionados e verifique se o guia disseminado a revendedores e integradores que cumpra o todos os usu rios relevantes do aplicativo de pagamento seguinte incluindo clientes revendedores e integradores 13 1 1 Atendem a todos os requisitos contidos 13 1 1 Verifique se o Guia de Implementa o do PA DSS neste documento sempre que feita refer ncia aborda todos os requisitos relacionados neste documento ao Guia de Implementa
34. A QSAs empregados pelas empresas Avaliadoras de seguran a qualificadas QSA t m permiss o para realizar avalia es PA DSS Consulte a lista de Avaliadores de seguran a qualificados em www pcisecuritystandards org para obter uma lista das empresas qualificadas para realizar as avalia es PA DSS O PA QSA deve utilizar os procedimento de teste documentados neste documento padr o de seguran a de dados do aplicativo de pagamento OPA QSA deve ter acesso a um laborat rio onde o processo de valida o deve ocorrer Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 11 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security Standards Council Laborat rio de teste Podem haver laborat rios de teste em dois locais no local do PA QSA ou no local do fornecedor do software Olaborat rio de teste deve poder simular o uso do aplicativo de pagamento no mundo real O PA QSA deve validar a instala o simples do ambiente do laborat rio para garantir que o ambiente simule com veracidade uma situa o da vida real e que o fornecedor n o tenha modificado ou falsificado o ambiente de qualquer maneira Consulte o Ap ndice B Confirma o da Configura o do laborat rio de testes espec fico para avalia o PA DSS neste documento para requisitos detalhados para o laborat rio e para os processos relacionados ao laborat rio O PA QSA deve preencher e envi
35. SS Em Fora de Procedimentos de teste funciona funcion mento amento 4 Registrar em log a atividade do aplicativo de pagamento 4 1 Ap s a conclus o do processo de instala o a instala o padr o pronta para uso do aplicativo de pagamento deve registrar em log todos os acessos de usu rios especialmente usu rios com privil gios administrativos e deve poder ligar todas as atividades a usu rios individuais Alinha se com o Requisito 10 1 do PCI DSS 4 2 O aplicativo de pagamento deve fornecer uma trilha de auditoria para reconstruir os seguintes eventos Alinha se com o Requisito 10 2 do PCI DSS 4 2 1 Todos os acessos individuais aos dados do portador do cart o a partir do aplicativo 4 2 2 Todas as a es tomadas por qualquer indiv duo com privil gios administrativos conforme atribu das no aplicativo 4 2 3 Acesso s trilhas de auditoria gerenciadas pelo ou no aplicativo 4 2 4 Tentativas inv lidas de acesso l gico 4 1 a Examine as configura es do aplicativo de pagamento para verificar se as trilhas de auditoria do aplicativo de pagamento s o ativadas automaticamente ou ficam dispon veis para ativa o pelos clientes 4 1 b Se as configura es de log do aplicativo de pagamento puderem ser configuradas pelo cliente e revendedores integradores ou os clientes ou revendedores integradores s o respons veis pela Implementa o do log examine o Guia de Implementa o do PA DSS preparado pelo for
36. a es para que os clientes e dan Act cida 940 revendedores integradores utilizem tecnologia de transmiss o A nternet de criptografia segura e protocolos de seguran a Tecnologias sem fio Global System for Mobile communications GSM General Packet Radio Service GPRS Alinha se com o Requisito 4 1 do PCI DSS 11 2 Seo aplicativo de pagamento facilitar o 11 2 a Se o aplicativo de pagamento permitir e ou facilitar o envio de PANSs por tecnologias de mensagem do envio de PANSs por tecnologias de envio de mensagens de usu rio final por exemplo e mail mensagens usu rio final verifique se alguma solu o de criptografia instant neas chat O aplicativo de pagamento robusta fornecida ou se seu uso especificado deve oferecer uma solu o que converta o PAN a a ileg vel implemente criptografia potente ou pd N pa aa e ou facilitar p especifique o uso de uma para criptografar os ENVIO S por odiado nEle me Ce Mensagens gS PANS usu rio final examine o Guia de Implementa o do PA DSS preparado pelo fornecedor e verifique se o fornecedor inclui Alinha se com o Requisito 4 2 do PCI DSS orienta es para clientes e revendedores integradores para utilizar uma solu o de que implemente criptografia robusta Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 47 Copyright 2010 PCI Security Standards Council LLC Outubro de 2010 Standards Council Em Fora de Data de Requisitos do P
37. a criptografar ou verificar os dados do portador z do cando Como criptografar o para irrecuper vel Observa es Essa caracter stica de irrevog vel absolutamente Materiais de chaves criptogr ticas e ou necess ria para conformidade PCI DSS criptogramas podem ser convertidos para Como criptografar novamente dados do hist rico com irrecuper veis atrav s do uso de ferramentas novas chaves de processamento inclusive mas n o se 2 7 b Verificar se o fornecedor oferece uma ferramenta de limitando a limpeza ou procedimento para converter o material criptogr fico Exclus o segura conforme definida para irrecuper vel por exemplo na lista de produtos aprovados mantidos pela National Security Agency Ag ncia Nacional de 2 7 0 Verificar por meio do uso de ferramentas e ou m todos Seguran a ou por outras forenses se a ferramenta de limpeza segura ou procedimento regulamenta es ou padr es nacionais converte o material criptogr fico em irrecuper vel de acordo ou estaduais com os padr es aceitos pelo setor A exclus o da chave de criptografia de chave KEK desde que chaves de criptografia de dados residuais estejam criptografadas pela KEK exclu da Esse requisito aplica se somente se vers es anteriores do aplicativo de pagamento utilizaram materiais de chave criptogr fica ou criptogramas para criptografar dados do portador do cart o Alinha se com o Requisito 3 6 do PCI DSS Procedimentos de avalia o de r
38. a integridade no sistema de destino antes da instala o Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 42 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security X Standards Council Requisitos PA DSS Em Fora de Data de Procedimentos de teste funciona funcion destino mento amento Coment rios 7 2 b Para verificar que a integridade do patch e do c digo de atualiza o mantida execute o processo de atualiza o dom c digo arbitr rio e determine se o sistema n o permite que a atualiza o ocorra 8 Facilitar a Implementa o de rede segura 8 1 O aplicativo de pagamento deve poder ser implementado em um ambiente de rede seguro O aplicativo n o deve interferir com o uso de dispositivos aplicativos ou configura es exigidos para conformidade com o PCI DSS por exemplo o aplicativo de pagamento n o pode interferir com a prote o antiv rus configura es de firewall ou qualquer outro dispositivo aplicativo ou configura o exigidos para conformidade com o PCI DSS Alinha se com o Requisito 8 1 e 8 2 do PCI DSS 8 1 Teste o aplicativo de pagamento em um laborat rio para obter evid ncias de que pode ser executado em uma rede totalmente compat vel com o PCI DSS Verificar se o aplicativo de pagamento n o inibe a instala o de patches ou atualiza es em outros componentes no ambiente 9 Os dados do portador do cart o nunca deve
39. a revis o PCI DSS do ASP 2 Os aplicativos terminais virtuais que est o no site do provedor de servi o e s o usados pelos comerciantes para inserir as transa es de pagamento Observe que o PA DSS se aplicaria se o aplicativo terminal virtual tivesse uma parte distribu da para o site do comerciante e fosse implementada nele e n o fosse coberta pela revis o PCI DSS do fornecedor terminal virtual O PA DSS N O aplica se a aplicativos que n o sejam de pagamento que fa am parte do conjunto de aplicativos de pagamento Tais aplicativos por exemplo aplicativo de monitora o de fraude pontua o ou detec o inclu do no conjunto podem ser mas n o obrigat rio cobertos pelo PA DSS se todo o conjunto for avaliado junto No entanto se o aplicativo de pagamento for parte de um conjunto que baseia se nos requisitos do PA DSS sendo atingidos pelos controles em outros aplicativos do conjunto deve se realizar uma nica avalia o PA DSS do aplicativo de pagamento e todos os outros aplicativos do conjunto no qual se baseia Os aplicativos n o Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 5 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security r Standards Council devem ser avaliadas separadamente dos aplicativos em que se baseiam j que todos os requisitos do PA DSS n o s o preenchidos em um nico aplicativo O PA DSS N O se aplica a aplicativos de paga
40. ados ap s a autoriza o Inclui pelo menos os seguintes tipos de arquivos assim como qualquer outra entrada gerada pelo aplicativo de pagamento Dados de transa o de entrada Todos os registros por exemplo transa o hist rico depura o erro Arquivos do hist rico Arquivos de rastreamento Mem ria n o vol til incluindo cache n o vol til Esquemas de banco de dados Conte dos do banco de dados 1 1 3 Use as ferramentas e ou m todos ferramentas comercial scripts etc para examinar todas as sa das criadas pelo aplicativo de pagamento e verifique se os PINs e os bloqueios de PIN criptografados n o s o armazenados ap s a autoriza o Inclui pelo menos os seguintes tipos de arquivos assim como qualquer outra entrada gerada pelo aplicativo de pagamento Dados de transa o de entrada Todos os registros por exemplo transa o hist rico depura o erro Arquivos do hist rico Arquivos de rastreamento Mem ria n o vol til incluindo cache n o vol til Esquemas de banco de dados Conte dos do banco de dados Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 Copyright O 2010 PCI Security Standards Council LLC P gina 20 Outubro de 2010 Security r Standards Council Requisitos do PA DSS Em Fora de funciona funcion Procedimentos de teste mento amento Data de destino Coment rios 1 1 4 Exclua com seguran a dados da faixa
41. ados de autentica o confidenciais pr autoriza o recolhidos como resultado da resolu o de problemas com o aplicativo de pagamento Conte do do Guia de Implementa o Os dados hist ricos devem ser removidos dados da faixa magn tica c digo de verifica o do cart o PINs ou bloqueios de PIN armazenados por vers es anteriores do aplicativo de pagamento Como remover dados do hist rico Tal remo o absolutamente necess ria para a conformidade com o PCI DSS Dados de autentica o confidenciais pr autoriza o somente devem ser coletados quando necess rio para resolver problemas espec ficos Tais dados devem ser armazenados somente em locais espec ficos e conhecidos com acesso limitado Coleta somente de uma quantidade limitada de tais dados para solucionar algum problema espec fico Os dados de autentica o confidenciais devem ser criptografados enquanto estiverem armazenados Tais dados devem ser exclu dos de forma segura imediatamente ap s o uso Responsabilidade da Implementa o de controle Fornecedor de software Fornecer ferramenta ou procedimento para que os clientes removam com seguran a os dados armazenados por vers es anteriores de acordo com o Requisito 1 1 4 do PA DSS Clientes e revendedores Integradores Excluir quaisquer dados do hist rico conforme o Guia de Implementa o do PA DSS e o Requisito 1 1 4 do PA DSS Fornecedor de software Solucione qu
42. ados pelo fornecedor e verifica o se a documenta o inclui as do portador do cart o ap s o vencimento do seguintes orienta es para clientes e per odo de reten o definido pelo cliente revendedores integradores Exclus o dos dados do portador do cart o que excedem o Alinha se com o Requisito 3 1 do PCI DSS per odo de reten o definido pelo cliente Uma lista com todos os locais onde o aplicativo de pagamento armazena dados do portador do cart o para que o cliente saiba os locais dos dados que precisam ser exclu dos Instru es para configurar os softwares ou sistemas subjacentes como SO bancos de dados etc para evitar captura ou reten o inadvertidas de dados do portador do cart o Por exemplo o sistema faz backup ou recupera pontos 2 2 Mascare o PAN quando exibido os primeiros 2 2 Revise as exibi es de dados do cart o de cr dito incluindo seis e quatro ltimos d gitos s o o n mero sem limita es os dispositivos de pontos de venda telas logs e m ximo de d gitos a serem exibidos recibos para determinar se os n meros de cart es de cr dito Observa es s o mascarados ao exibir os dados do portador do cart o O exceto para aqueles com uma necessidade empresarial Esse requisito n o se aplica aos espec fica de visualizar todos os n meros do cart o de cr dito funcion rios e outras partes interessadas em um neg cio leg timo que precisam visualizar o PAN completo Este requisito n
43. agn ticos totais c digos de verifica o de cart o e valores CAV2 CID CVC2 CVV2 PINs e bloqueios de PIN e fraude resultando em brechas Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 4 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security Standards Council Escopo do PA DSS O PA DSS aplica se aos fornecedores de software e outro que desenvolvem aplicativos de pagamento que armazenam processam ou transmitem dados do propriet rio do cart o como parte da autoriza o ou determina o casos em que os aplicativos de pagamento s o vendidos distribu dos ou licenciados a terceiros O guia a seguir pode ser usado para determinar se o PA DSS aplica se a um determinado aplicativo do pagamento O PA DSS aplica se aos aplicativos de pagamento que normalmente s o vendidos e instalados do modo Observa o como vieram sem muita personaliza o pelos fornecedores de software Todos os produtos do O PA DSS n o aplica se aos aplicativos de pagamento fornecidos em m dulos o que normalmente inclui aplicativo de pagamento um m dulo de linha de base e outros m dulos espec ficos dos tipos e fun es do cliente ou validados n o devem ser personalizados por solicita o do cliente O PA DSS pode aplicar se apenas ao m dulo de linha de base se Vers o beta o m dulo for o nico realizando fun es de pagamento uma vez confirmado por PA QSA Se outros
44. aixo conforme exigido para conformidade com o PCI DSS 2 6 b Verifique se o aplicativo de pagamento implementa t cnicas de gerenciamento de chaves conforme o Requisito 3 6 do PCI DSS 2 6 1 Gera o de chaves criptogr ficas robustas 2 6 1 Verifique se os procedimentos de gerenciamento chave foram implementados para exigir a gera o de chaves robustas 2 6 2 Distribui o segura de chaves 2 6 2 Verifique se os procedimentos do gerenciamento chave criptogr ficas foram implementados para exigir a distribui o segura de chaves 2 6 3 Armazenamento seguro de chaves 2 6 3 Verifique se os procedimentos do gerenciamento chave criptogr ficas foram implementados para exigir o armazenamento seguro de chaves 2 6 4 Altera es em chaves criptogr ficas para 2 6 4 Verifique se os procedimentos de gerenciamento de chaves que alcan aram o final de seu chave foram implementados para refor ar as altera es de criptoper odo por exemplo ap s um per odo de chave ao final do criptoper odo tempo definido ter passado e ou ap s certa quantidade de texto cifrado ter sido produzido por determinada chave conforme definido pelo fornecedor associado do aplicativo ou pelo propriet rio da chave e baseado nas melhores pr ticas e orienta es da ind stria por exemplo a NIST Special Publication 800 57 Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 26 Copyright O 2010 PCI Security Standards Council LLC Outubro
45. alquer problema do cliente de acordo com o Requisito 1 1 5 a do PA DSS Clientes e revendedores Integradores Solucione quaisquer problemas conforme o Guia de Implementa o do PA DSS e o Requisito 1 1 6 a do PA DSS Procedimentos de avalia o de requisitos e seguran a PCI PA DSS v2 0 Anexo A Resumo do conte do do Guia de Implementa o do PA DSS Outubro de 2010 Copyright 2010 Conselho de Padr es de Seguran a LLC do PCI P gina Security Standards Council PA DSS Requisito T pico do PA DSS Conte do do Guia de Implementa o Responsabilidade da Implementa o de controle 2 1 Elimina o dos dados Os dados do portador do cart o devem ser Fornecedor de software Oferecer orienta o a do portador do cart o eliminados assim que excederem o per odo de clientes informando que os dados do portador do cart o ap s o per odo de reten o definido pelo cliente que excedem o per odo de reten o definido pelo reten o definido pelo Todos os locais onde o aplicativo de pagamento cliente devem ser eliminados e onde tais dados s o cliente armazena dados do portador do cart o armazenados pelo aplicativo de pagamento Clientes e revendedores Integradores Eliminar os dados do portador do cart o que excedem o per odo de reten o definido pelo cliente 2 5 Prote o das chaves Restringir o acesso s chaves ao menor n mero Fornecedor de software Orientar os clientes que as de criptografia necess rio d
46. amento sob empr stimo do fornecedor ou 2 usar as instala es do laborat rio do fornecedor contanto que isso seja detalhado no relat rio junto com o local dos testes Para cada op o o PA QSA verificou que o equipamento do fornecedor e o laborat rio atendem aos seguintes requisitos 7 b O PA QSA verifica que o laborat rio do fornecedor atende a todos os requisitos anteriores especificados neste documento e lista os detalhes no relat rio E O Ferramenta ou m todo forense Ferramenta ou m todo para descoberta an lise e apresenta o de dados forenses que fornece uma maneira robusta de autenticar buscar e recuperar evid ncias do computador r pida e totalmente No caso de ferramentas ou m todos forenses usados pelos PA QSAs essas ferramentas ou m todo devem localizar com precis o quaisquer dados de autentica o sens vel gravados pelo aplicativo de pagamento Essas ferramentas podem ser comerciais de fonte aberta ou desenvolvidas internamente pelo PA QSA Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 Ap ndice B Confirma o da configura o do laborat rio de testes espec fico para a avalia o do PA DSS Outubro2010 Copyright 2010 Conselho de Padr es de Seguran a LLC do PCI P gina 60 Security Standards Council Conclu da em Laborat rio Laborat ri Forneced Requisito do laborat rio Procedimento de valida o do laborat rio o PA QSA or Coment
47. aplicativo de pagamento ao concluir o proceso de instala o Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 29 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 TID icon Requisitos do PA DSS Em Fora de Data de funcion funcion destino Procedimentos de teste amento amento Coment rios 3 1 dPara contas que s o geradas ou gerenciadas pelo aplicativo teste o aplicativo para verificar se ele refor a IDs de usu rio exclusivos e autentica o segura de acordo com o 3 1 1 at 3 1 10 abaixo para todo acesso administrativo e todo acesso aos dados de portadores do cart o Assegure se que os requisitos de autentica o segura sejam refor ados Ao concluir o processo de instala o e Para altera es subsequentes ap s a instala o Exemplos de altera es subsequentes incluem mas n o se limitam a quaisquer altera es que resultem na revers o de contas de usu rios para defini es padr o quaisquer altera es em defini es de contas existentes e altera es que gerem novas contas ou recriem contas existentes 3 1 1 O aplicativo de pagamento atribui IDs nicas para contas de usu rios Alinha se com o Requisito 8 1 do PCI DSS 3 1 1 Confirme que o aplicativo de pagamento atribui IDs nicas para contas de usu rios 3 1 1 a Ao concluir o processo de instala o 3 1 1 b Para altera es subsequentes ap s a instala o
48. ar o Ap ndice B preenchido para o laborat rio espec fico usado pelo aplicativo de pagamento sob revis o como parte do relat rio PA DSS completo Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 12 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security X Standards Council Informa es de aplicabilidade PCI DSS Retirada do PCI DSS O Padr o de seguran a de dados da ind stria de cart es de pagamento PCI DSS aplica se sempre que os dados da conta s o armazenados processados ou transmitidos Os dados da conta s o formados porDados do propriet rio do cart o mais Dados de autentica o sens vel conforme segue Os dados do propriet rio do cart o incluem Os dados de autenii cacao SENSI vel incluem O n mero prim rio da conta PAN Dados da faixa magn tica totais ou Nome do propriet rio de dados equivalente em um chip Data de expira o CAV2 CVC2 CVV2 CID C digo de servi o PINs Bloqueios de PIN O n mero da conta prim ria PAN um fator decisivo na aplicabilidade dos requisitos PCI DSS e do PA DSS Os requisitos do PCI DSS s o aplic veis se o n mero da conta prim ria PAN for armazenado processado ou transmitido Se o PAN n o for armazenado processado ou transmitido o PCI DSS e o PA DSS n o se aplica Se o nome do propriet rio do cart o o c digo do servi o e ou a data de expira o forem armazenadas processad
49. as ou transmitidas com o PAN ou estiverem de qualquer outra forma presentes no ambiente dos dados do propriet rio do cart o eles devem estar protegidos de acordo com todos os requisitos do PCI DSS exceto os Requisitos 3 3 e 3 4 que aplicam se apenas ao PAN O PCI DSS representa um conjunto m nimo de objetivos de controle que podem ser alcan ados por leis e regulamentos locais regionais ou de setor Al m disso os requisitos de legisla o ou regulat rios podem solicitar prote o espec fica de informa es identific veis pessoalmente ou outros elementos de dados por exemplo nome do propriet rio do cart o ou definir as pr ticas de divulga o relacionadas s informa es do cliente da entidade Os exemplos incluem legisla o relacionada prote o de dados do consumidor privacidade roubo de identidade ou seguran a de dados O PCI DSS n o substitui leis locais ou regionais regulamentos do governo ou outros requisitos legais A tabela a seguir do Padr o de seguran a de dados da ind stria de cart es de pagamento PCI DSS ilustra elementos comumente utilizados de dados do propriet rio do cart o e dados de autentica o sens vel se o armazenamento desses dados for permitido ou proibido e se os dados precisam ser protegidos Esta tabela n o tem a inten o de ser completa mas apresentada para ilustrar o tipo diferente de requisito que aplica se a cada elemento de dados Procedimentos de avalia o de requisitos e
50. avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 Copyright O 2010 PCI Security Standards Council LLC P gina 34 Outubro de 2010 Security r Standards Council Requisitos do PA DSS 4 4 O aplicativo de pagamento deve facilitar o registro centralizado Observa o Os exemplos dessa funcionalidade podem incluir mas n o s o limitados a Registro por meio de mecanismos padr o de arquivos de log do setor tais como o Sistema Comum de Arquivos de Log CLFS Syslog texto delimitado etc Fornecimento de funcionalidade e documenta o para converter o formato de log pr prio do aplicativo em formatos padr o do setor adequados para logs centralizados de notifica o Alinha se com o Requisito 10 5 3 do PCI DSS Em Fora de Procedimentos de teste funciona funcion mento amento 4 4 a Valide que o aplicativo de pagamento forne a funcionalidade que facilite a habilidade de um comerciante assimilar logs em seu servidor de logs centralizado 4 4 b Examine o Guia de Implementa o PA DSS preparado pelo fornecedor para verificar se clientes e revendedores integradores tenham recebido instru es e procedimentos para a incorpora o dos logs do aplicativo de pagamento em um ambiente centralizado de log Data de destino Coment rios Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 Copyright O 2010 PCI Security Standards Council LLC P gina 35 Outubro de 2010
51. b Security te Standards Council Ind stria de pagamento de cart o PCI Padr o de dados do aplicativo de pagamento Requisitos e procedimentos de avalia o de seguran a Vers o 2 0 Outubro de 2010 Security z Standards Council Altera es do documento Data Vers o Descri o P ginas 1 de outubro de Para alinhar o conte do com o novo PCI DSS v1 2 e para implementar altera es menores 1 2 e 2008 observadas desde o original v1 1 Em Escopo do PA DSS alinhe o conte do com o Guia do programa PA DSS v 1 2 1 para v vi esclarecer em que casos o PA DSS aplic vel Julho de 2009 121 Sob o Requisito de laborat rio 6 a escrita correta de OWASP 30 No atestado de valida o Parte 2a atualize a funcionalidade de aplicativo de pagamento para que esteja consistente com os tipos de aplica o listadas no Guia de programa PA DSS e 32 33 esclare a os procedimentos anuais de revalida o na Parte 3b Atualize e implemente altera es menores da vers o 1 2 1 e alinhe a com o novo PCI DSS Outubro de 2010 2 0 vers o 2 0 Para obter detalhes consulte PA DSS Resumo das altera es do PA DSS Vers o 1 2 1 para 2 0 Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 2 Copyright 2010 PCI Security Standards Council LLC Outubro de 2010 Security r Standards Council Indice Altera es do documento 2 5 5 21 402trasscasss
52. cess rio que os fornecedores do software forne am um Guia de Implementa o PA DSS que instruam seus clientes e revendedores integradores sobre a Implementa o segura do produto que documentem as especificidades de configura o segura mencionadas no documento e que delineiem com clareza as responsabilidades do fornecedor do revendedor integrador e do cliente para estar em conformidade com os requisitos do PCI DSS Ele deve detalhar como o cliente e ou o revendedor integrador deve ativar as configura es de seguran a na rede do cliente Por exemplo o Guia de Implementa o PA DSS deve tratar das responsabilidade e dos recursos b sicos de seguran a de senha PCI DSS mesmo se isso n o for controlado pelo aplicativo de pagamento para que o cliente ou revendedor integrador entenda como implementar senhas seguras para conformidade com o PCI DSS Aplicativos de pagamentos quando implementados de acordo com o Guia de Implementa o PA DSS e quando implementados em um ambiente em conformidade com o PCI DSS devem facilitar e fornecer suporte conformidade com o PCI DSS do cliente Consulte o ap ndice A Resumo do conte do do Guia de Implementa o do PA DSS para compara o das responsabilidades para Implementa o dos controles especificados no Guia de Implementa o PA DSS Requisitos do Avaliador de seguran a qualificado do aplicativo de pagamento PA QSA Apenas os Avaliadores de seguran a qualificados do aplicativo de pagamento P
53. configura o do laborat rio de testes espec fico para a avalia o do PA DSS Outubro2010 Copyright 2010 Conselho de Padr es de Seguran a LLC do PCI
54. dade para verificar se a 5 3 3 a Para toda amostra de altera o verifique se altera o n o tem impacto adverso sobre a o teste de funcionalidade foi realizado para verificar se a seguran a do sistema altera o n o tem impacto adverso sobre a seguran a do sistema 5 3 3 b Verifique se todas as altera es inclusive de patches foram testadas quanto a conformidade com o 5 2 antes de serem lan adas 5 3 4 Procedimentos de desist ncia ou 5 3 4 Verifique se os procedimentos de desist ncia ou desinstala o do produto desinstala o do produto est o preparados para cada altera o 5 4 O aplicativo de pagamento deve utilizar ou 5 4 a Examine os servi os protocolos daemons requisitar o uso de servi os protocolos daemons componentes assim como softwares e hardwares dependentes componentes assim como softwares e hardwares do sistema ativados ou exigidos pelo aplicativo do sistema dependentes necess rios e seguros inclusive os Verifique se somente os servi os protocolos daemons fornecidos por terceiros para qualquer componentes assim como softwares e hardwares dependentes funcionalidade do aplicativo de pagamento por do sistema necess rios est o ativados como prontos para o exemplo caso NetBIOS compartilhamento de uso por padr o arquivos Telnet FTP etc sejam requisitados 54bC licati t ol pelo aplicativo ser o segurados pela SSH a S A aSo O APIEAUVO SUPOT EAUASAS SOVICO POLOT FTP SSL IPSec ou outra t
55. de 2010 Security r Standards Council Em Fora de Data de funciona funcion destino Requisitos do PA DSS Procedimentos de teste mento amento Coment rios 2 6 5 Inutiliza o ou substitui o de chaves por 2 6 5 aVerifique se os procedimentos de gerenciamento de exemplo por arquivamento destrui o e ou chaves foram implementados para inutilizar chaves quando a revoga o conforme for aplic vel conforme for integridade da chave tiver sido enfraquecida considerado necess rio quando a integridade da chave estiver enfraquecida por exemplo a 2 6 5 b Verifique se os procedimentos do gerenciamento de sa da de um funcion rio com conhecimento de chaves foram implementados para substituir chaves suposta uma chave em texto simples etc ou chaves ou sabidamente comprometidas estiverem supostamente comprometidas 2 6 5 c Caso chaves criptogr ficas sejam retidas verifique Observa o Caso chaves criptogr ficas qual alicativo n o usa essas chaves para opera es de inutilizadas ou recolocadas precisarem ser codifica o retidas essas chaves dever o ser arquivadas em seguran a por exemplo usando uma chave de criptografia de chaves Chaves criptogr ficas arquivadas deveriam ser usadas somente para fins de decodifica o verifica o 2 6 6Se o aplicativo do pagamento suportar 2 6 6 Verifique se o manual sobre os procedimentos de opera es de gerenciamento manual em texto gerenciamento de chaves em texto simpl
56. de firewall pessoal para proteger as conex es sempre ativas Alinha se com o Requisito 1 e 12 3 9 do PCI DSS 10 3 Verifique se todo acesso remoto feito do seguinte modo 10 3 1 Se o fornecedor entregar o aplicativo de pagamento e ou atualiza es por meio de acesso remoto s redes do cliente examine o Guia de Implementa o do PA DSS preparado pelo fornecedor e verifique se nele cont m Instru es para clientes e revendedores integradores a cerca do uso seguro de tecnologias de acesso remoto especificando que as tecnologias de acesso remoto usadas por fornecedores e parceiros comerciais devem ser ativadas somente quando necess rio e desativadas imediatamente ap s o uso Recomenda es para clientes e revendedores integradores a utilizar um firewall configurado com seguran a ou produto de firewall pessoal se o computador estiver conectado via VPN ou outra conex o de alta velocidade para proteger conex es sempre ativas de acordo com o Requisito 1 do PCI DSS Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 Copyright O 2010 PCI Security Standards Council LLC P gina 45 Outubro de 2010 Security z Standards Council Requisitos PA DSS Em Fora de Procedimentos de teste funciona funcion mento amento Data de destino Coment rios 10 3 2 Se fornecedores revendedores integradores ou clientes puderem acessar remotamente os aplicativos de pagamento do cliente
57. de pagamento imediatamente ap s a conclus o do download seguran a atualiza es remotas do aplicativo de conforme o Requisito 12 3 9 do PCI DSS pagamento pelo fornecedor de acordo com o Guia de Se o computador n o estiver conectado via VPN Implementa o do PA DSS e os Requisitos 1 1 3 9 e ou outra conex o de alta velocidade receber as 12 3 9 do PCI DSS atualiza es remotas do aplicativo de pagamento por meio de um firewall configurado com seguran a ou firewall pessoal de acordo com o Requisito 1 ou 1 3 9 do PCI DSS 10 3 2 Implementar com Implementar e usar os recursos de seguran a do Fornecedor de software 1 Se o fornecedor usar seguran a o acesso software de acesso remoto se o software for usado produtos de acesso remoto para acessar sites do remoto ao software para acessar remotamente o aplicativo de pagamento cliente utilizar os recursos de seguran a para acesso ou seu ambiente remoto como aqueles especificados no Requisito 10 3 2 do PA DSS 2 Garantir que o aplicativo de pagamento ofere a suporte ao cliente para o uso de recursos de seguran a para acesso remoto Clientes e revendedores Integradores Utilizar os recursos de seguran a do acesso remoto se permitir o acesso remoto a aplicativos de pagamento de acordo com o Guia de implementa o do PA DSS e o Requisito 11 3 b do PA DSS 11 1 Proteger transmiss es Implementar e usar criptografia robusta e protocolos de Fornecedor de software Garant
58. de trilhas de auditoria para cada evento Alinha se com o Requisito 10 3 do PCI DSS 4 3 1 Identifica o do usu rio 4 3 2 Tipo de evento 4 3 3 Data e hor rio 4 3 4 Indica o de sucesso ou falha 4 3 5 Origem do evento 4 3 6A identidade ou o nome dos dados afetados componentes do sistema ou recurso Em funciona mento Procedimentos de teste 4 2 5Verifique se o uso dos mecanismos de identifica o e autentica o do aplicativo est registrado 4 2 6Verifique se a inicializa o dos registros de auditoria est registrada 4 2 7 Verifique se a cria o e exclus o de objetos no n vel do sistema no ou pelo aplicativo est o registradas 4 3 Teste o aplicativo de pagamento e examine os logs de auditoria e suas defini es ent o para cada evento audit vel desde o 4 2 realize o seguinte 4 3 1Verifique se a identifica o do usu rio est inclu da nas entradas do registro 4 3 2Verifique se o tipo de evento est inclu do nas entradas do registro 4 3 3Verifique se a data e o hor rio est o inclu dos nas entradas do registro 4 3 4Verifique se a indica o de xito ou falha est inclu da nas entradas do registro 4 3 5Verifique se a origem do evento est inclu da nas entradas do registro 4 3 6Verifique se a identidade ou o nome dos dados afetados componentes do sistema ou recursos est o inclu dos nas entradas do registro Data de destino Coment rios Procedimentos de
59. denciais de autentica o n o forem geradas ou gerenciadas pelo aplicativo de pagamento assegurar que o Guia de Implementa o do PA DSS ofere a orienta es claras e precisas para clientes e revendedores integradores sobre como alterar e criar credenciais de autentica o seguras conforme os Requisitos 3 1 1 a 3 1 10 do PA DSS Clientes e revendedores Integradores Estabelecer e manter IDs de usu rio exclusivos e autentica o segura de acordo com o Guia de Implementa o do PA DSS e os Requisitos 3 1 1 a 3 1 10 do PCI DSS Procedimentos de avalia o de requisitos e seguran a PCI PA DSS v2 0 P gina Anexo A Resumo do conte do do Guia de Implementa o do PA DSS Outubro de 2010 Copyright 2010 Conselho de Padr es de Seguran a LLC do PCI Security Standards Council PA DSS Requisito T pico do PA DSS Conte do do Guia de Implementa o Responsabilidade da Implementa o de controle 3 2 Uso de IDs de usu rio Uso de nomes de usu rio exclusivos e autentica o Fornecedor de software Garantir que o aplicativo de exclusivos e segura para acesso a qualquer PC servidor e bancos pagamento ofere a suporte ao cliente para uso de IDs autentica o segura de dados com aplicativos de pagamento e ou dados do de usu rio exclusivos e autentica o segura para para acesso a PCs portador do cart o de acordo com os Requisitos 3 1 1 contas senhas se definido pelo fornecedor para acesso servidores e bancos de amp 3 1
60. do PA QSA declarar se o aplicativo de pagamento alcan ou a conformidade O PCI SSC n o aprova os ROVs de uma perspectiva de conformidade t cnica mas realiza revis es de QA nos ROVs para garantir que os relat rios documentem adequadamente a demonstra o de conformidade Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 9 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security Standards Council Revendedores e integradores Os revendedores e integradores s o as entidades que vendem instalam e ou prestam servi o de aplicativos de pagamento em nome dos fornecedores do software ou outros Os revendedores e integradores s o respons veis Pela Implementa o de um aplicativo de pagamento em conformidade com o PA DSS em um ambiente em conformidade com o PCI DSS ou por instruir o comerciante a faz lo Pela configura o do aplicativo de pagamento onde s o fornecidas as op es de configura o de acordo com o Guia de Implementa o PA DSS do fornecedor Pela configura o do aplicativo de pagamento ou por instruir o comerciante a faz lo de um modo compat vel com o PCI DSS Fornecer servi o de aplicativos de pagamento por exemplo solu o de problemas entrega de atualiza es remotas e fornecimento de suporte remoto de acordo com o Guia de Implementa o PA DSS e o PCI DSS Os revendedores e integradores n o enviam os aplicativos de pagame
61. do PCI DSS 3 1 4 Confirme se o aplicativo de pagamento exige que os usu rios alterem suas senhas no m nimo a cada 90 dias 3 1 4 a Ao concluir o processo de instala o 3 1 4 b Para altera es subsequentes ap s a instala o 3 1 5 O aplicativo de pagamento exige um tamanho m nimo de senha se pelo menos sete caracteres Alinha se com o Requisito 8 5 10 do PCI DSS 3 1 5 Confirme se o pagamento exige que as senhas tenham pelo menos sete caracteres de tamanho 3 1 5 a Ao concluir o processo de instala o 3 1 5 b Para altera es subsequentes ap s a instala o 3 1 6 O aplicativo de pagamento exige que senhas contenham tanto caracteres num ricos quanto alfab ticos Alinha se com o Requisito 8 5 11 do PCI DSS 3 1 6 Confirme que o aplicativo de pagamento exige que as senhas contenham tanto caracteres num ricos quanto alfab ticos 3 1 6 a Ao concluir o processo de instala o 3 1 6 b Para altera es subsequentes ap s a instala o 3 1 7 O aplicativo de pagamento mant m o hist rico de senhas e exige que uma nova senha seja diferente das ltimas quatro senhas usadas Alinha se com o Requisito 8 5 12 do PCI DSS 3 1 7 Confirme se o aplicativo de pagamento mant m o hist rico de senhas e exige que uma nova senha seja diferente das ltimas quatro senhas usadas 3 1 7 a Ao concluir o processo de instala o 3 1 7 b Para altera es sub
62. e respons veis pela prote o chaves usadas para dar seguran a aos dados do utilizadas para Armazenar chaves de forma segura no menor portador do cart o devem ser armazenadas em criptografia de dados n mero poss vel de locais e formatos seguran a no menor n mero de locais poss vel e com do portador do cart o acesso restrito ao menor n mero poss vel de em rela o a respons veis divulga es ou mau Clientes e revendedores Integradores Armazenar as USO chaves em seguran a no menor n mero de locais poss vel e restringir o acesso ao menor n mero poss vel de respons veis 2 6 Implementa o Como gerar distribuir proteger alterar Fornecedor de software Orientar os clientes que processos e procedimentos de gerenciamento para chaves criptografadas usadas para a criptografia de dados do portador do cart o armazenar e inutilizar substituir chaves de criptografia onde os clientes ou revendedores integradores estiverem envolvidos nessas atividades de gerenciamento de chaves Uma amostra de formul rio para que os respons veis por chaves confirmem que compreendem e aceitam suas responsabilidades como respons vel por chave Como realizar fun es de gerenciamento de chaves definidas no 2 6 1 at o 2 6 7 abaixo acessam as chaves criptogr ficas usadas na criptografia dos dados do portador do cart o para implementarem os processos e procedimentos de gerenciamento de chaves Clientes e revendedores Integ
63. ecedor e verifique se os clientes e os revendedores e integradores sejam aconselhados a Restringir o acesso s chaves ao menor n mero necess rio de respons veis pela prote o Armazenar chaves de forma segura no menor n mero poss vel de locais e formatos Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 25 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security r Standards Council Em Fora de Data de funciona funcion destino Requisitos do PA DSS Procedimentos de teste mento amento Coment rios 2 6 O aplicativo de pagamento deve implementar 2 7 a Revise o Guia de Implementa o do PA DSS preparado processos e procedimentos de gerenciamento de pelo fornecedor e verifica o se a documenta o inclui as chaves criptogr ficas para as chaves utilizadas seguintes instru es para clientes e revendedores integradores para criptografia de dados do portador do cart o Como gerar distribuir proteger alterar armazenar e inutilizar substituir chaves de criptografia onde os clientes Alinha se com o Requisito 3 6 do PCI DSS ou revendedores integradores estiverem envolvidos nessas atividades de gerenciamento de chaves Uma amostra de formul rio para que os respons veis por chaves confirmem que compreendem e aceitam suas responsabilidades como respons vel por chave Como realizar fun es de gerenciamento de chaves definidas no 2 6 1 at o 2 6 7 ab
64. ecnologia daemons ou comonentes inseguros verifique se eles est o configurados por padr o como prontos para o uso Alinha se com o Requisito 2 2 2 do PCI DSS 5 4 c Verifique se o Guia de Implementa o do PA DSS documenta todos os protocolos servi os componentes bem como softwares e hardwares dependentes que s necess rios para qualquer funcionalidade do aplicativo de pagamento inclusive aquelas oferecidas por terceiros 6 Proteger transmiss es wireless 6 1 Para aplicativos de pagamento que utilizem a 6 1 Para aplicativos de pagamento desenvolvidos pelo tecnologia wireless altere o padr o de wireless fornecedor utilizando tecnologia wireless e outros aplicativos do fornecedor inclusive mas n o limitado a suas wireless em conjunto com o aplicativo de pagamento verifique chaves de criptografia senhas e strings de se os aplicativos wireless n o utilizam as configura es padr o comunidade de SNMP A tecnologia wireless do fornecedor como a seguir Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 39 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security r Standards Council Requisitos do PA DSS deve ser implementada com seguran a Alinha se com o Requisito 1 2 3 e 2 1 1 do PCI DSS 6 2 Para aplicativos de pagamento usando tecnologia wireless o aplicativo de pagamento deve facilitar o uso das melhores pr ticas do setor por exemplo IEEE 802 11i para
65. edor usando tecnologia wireless e para outros aplicativos wireless fornecidos com o aplicativo do fornecedor verifique se as melhores pr ticas do setor por exemplo IEEE 802 11 i foram usadas para incluir ou para disponibilizar criptografia robusta para autentica o e transmiss o Fora de Data de funcion destino amento Coment rios Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 Copyright O 2010 PCI Security Standards Council LLC P gina 40 Outubro de 2010 Security r Standards Council Requisitos do PA DSS Observa o O uso de WEP como controle de seguran a foi proibido em 30 de junho de 2010 Alinha se com o Requisito 4 1 1 do PCI DSS Em Fora de Data de Procedimentos de teste funciona funcion destino mento amento Coment rios 6 2 b Se os clientes puderem armazenar dados do portador do cart o em um servidor conectado Internet examine o Guia de Implementa o do PA DSS preparado pelo fornecedor para verificar se os clientes e revendedores integradores s o instru dos sobre as configura es wireless compat veis com o PCI DSS inclusive sore a altera o de padr es do fornecedor em 6 1 a p 1 ou mais e sobre o uso das melhores pr ticas do setor para implementar uma criptografia robusta para a autentica o e transmiss o de dados do portador do cart o em 6 2 3 Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P
66. ens de dados s o recebidas de mesmo fora do aplicativo de pagamento clientes para fins de depura o e resolu o de problemas verifique se o PAN convertido como ileg vel de acordo com os Alinha se com o Requisito 3 4 do PCI DSS Requisitos 2 3 a at o 2 3 d do PCI DSS acima Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 24 Copyright 2010 PCI Security Standards Council LLC Outubro de 2010 Security Standards Council Em Fora de Data de funciona funcion destino Requisitos do PA DSS Procedimentos de teste mento amento Coment rios 2 4 Se a criptografia de disco for utilizada em vez 2 4 Se a criptografia de disco for usada verifique se foi da criptografia de bancos de dados no n vel de implementada da seguinte maneira arquivo ou coluna o acesso l gico deve ser m Eme f gerenciamento independentemente de 2 4 a Verifique se 0 acesso l gico aos sistemas de arquivos mecanismos de controle de acesso a sistemas criptografados i implementado por mea ge um mecanismo RE o a que seja separado do mecanismo de sistemas operacionais operacionais nativos por exemplo n o utilizando E bancos de dados de contas de usu rio locais As nativos por exemplo nao usando OSbancos ce dados das chaves da descri o n o devem estar ligadas s cone CE USUND LOCAIS contas de usu rio 2 4 bVerifique se as chaves criptogr ficas s o armazenadas de forma segura por exemplo armazenadas
67. ento deve se incluir uma explica o na coluna Em funcionamento do requisito 4 Informa es de contato e data do relat rio Informa es de contato do fornecedor de software inclui URL n mero de telefone e endere o de e mail Informa es de contato do PA QSA inclui nome n mero de telefone e endere o de e mail Informa es de contato prim rias de Garantia de qualidade QA do PA QSA inclui nome do contato de QA prim rio n mero de telefone e endere o de e mail Data do relat rio Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 16 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security Standards Council Etapas de conclus o PA DSS Este documento cont m a tabela de Procedimentos de avalia o de seguran a e requisitos assim como no Ap ndice B Confirma o da Configura o de laborat rio de testes espec fico para avalia o PA DSS Os Procedimentos de avalia o de seguran a e requisitos detalham os procedimento que devem ser realizados pelo PA QSA O Ap ndice B A confirma o da Configura o de laborat rio de testes espec fica para avalia o PA DSS deve ser conclu da pelo PA QSA para confirmar o status e as capacidades do laborat rio de testes usado para conduzir esta avalia o O PA QSA deve realizar as seguintes etapas 1 Conclua o relat rio de valida o usando este documento como modelo a Conclua o p
68. ento devem apoiar para facilitar a conformidade do cliente com PCI DSS A conformidade tradicional com o Padr o de seguran a de dados PCI pode n o aplicar se diretamente aos fornecedores do aplicativo de pagamento j que a maioria dos fornecedor n o armazena processa ou transmite dados do propriet rio do cart o No entanto j que esses aplicativos de pagamento s o usados pelos cliente para armazenar processar e transmitir dados do propriet rio do cart o e os clientes devem estar em conformidade com o Padr o de seguran a de dados PCI os aplicativos de pagamento devem facilitar e n o evitar estar em conformidade com o Padr o de seguran a de dados PC do cliente Seguem apenas algumas maneiras de como poss vel para os aplicativos de pagamento evitar a conformidade 1 O armazenamento de dados na faixa magn tica e ou dados equivalentes no chip da rede do cliente ap s autoriza o 2 Os aplicativos que necessitam de cliente devem desabilitar outros recursos requisitados pelo Padr o de seguran a de dados PCI como softwares antiv rus ou firewalls para fazer com que o aplicativo de pagamento funcione adequadamente e 3 Os uso dos fornecedores de m todos inseguros para conectar se ao aplicativo para fornecer suporte ao cliente Os aplicativos de pagamento seguro quando implementados em um ambiente em conformidade com PCI DSS minimizar o potencial de brechas na seguran a o que leva ao comprometimento de dados em faixas m
69. equisitos e seguran a PCI PA DSS vers o 2 0 P gina 28 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security r Standards Council Em Fora de Data de funcion funcion destino Requisitos do PA DSS Procedimentos de teste amento amento Coment rios 3 Fornecer recursos de autentica o segura 3 1 O aplicativo de pagamento deve suportar e 3 1 c Examine o Guia de Implementa o do PA DSS criado para refor ar o uso de IDs de usu rio exclusivos e verificar o seguinte assegurar a autentica o para todo acesso a i do administrativo e para todo acesso aos dados de um portador de cartao A aulentica o segura ura a todas he E m o aplicativo Ra ao deve ser refor ada para todas as contas geradas gura p y q p f 9 ou gerenciadas pelo aplicativo pela conclus o da Refor ar altera es seguras nas credenciais de g instala o e pelas altera es subsequentes ap s autentica o no momento da conclus o da instala o a instala o Consulte abaixo do 3 1 1 at o 3 1 10 O aplicativo deve exigir o seguinte Refor ar altera es seguras para as que forem a subsequentes ap s a instala o para as credenciais Observa o Esses controles de senha n o se de autentica o Consulte abaixo do 3 1 1 at o destinam a aplicar se a equipes que somente 3 1 10 m m n mer o n a ave E iani to pode e pn Ped Clientes e revendedores integradores devem atribuir Esses controles s o a
70. es simples de chaves criptogr ficas essas opera es dever o refor ar o conhecimento partilhado e o controle duplo por exemplo a exig ncia para que duas ou tr s pessoas cada uma conhecendo somente sua parte da chave Observa o Exemplo de opera es de gerenciamento manual de chaves incluem n o se limitam a gera o da chave transmiss o carregamento armazenamento e destrui o 2 6 7 Preven o contra a substitui o n o 2 6 7 Verifique se os procedimentos do gerenciamento autorizada de chaves criptogr ficas de chaves foram implementados para exigir a preven o contra a substitui o n o autorizada das chaves Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 27 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security z Standards Council Em Fora de Data de funcion funcion destino Requisitos do PA DSS Procedimentos de teste amento amento Coment rios 2 7 Converta o material da chave irrecuper vel ou 2 7 a Revise o Guia de Implementa o do PA DSS preparado qualquer material criptografado armazenado por pelo fornecedor e verifica o se a documenta o inclui as vers es anteriores do aplicativo de pagamento seguintes instru es para clientes e revendedores integradores de acordo com os padr es aceitos pelo setor Esse material criptografado deve ser convertido para Essas s o as chaves criptogr ficas utilizadas irrecuper vel par
71. es relacionadas listadas Marcas de pagamento American Express Discover Financial Services JCB International MasterCard Worldwide e Visa Inc s o as marcas de pagamento que fundaram o PCI SSC Essas marcas de pagamento s o respons veis pelo desenvolvimento e no refor o de programas relacionados com a conformidade PA DSS incluindo mas n o limitando se ao seguinte Qualquer requisito mandato ou data para uso dos aplicativos de pagamento em conformidade com PA DSS Qualquer multa ou penalidade relacionada ao uso de aplicativos de pagamento que n o est o em conformidade As marcas de pagamento podem definir os programas mandatos datas etc de conformidade usando PA DSS e os aplicativos de pagamento validados listados pelo PCI SSC Atrav s destes programas de conformidade as marcas de pagamento promovem o uso dos aplicativos de pagamentos validados da lista Conselho dos padr es de seguran a da ind stria de cart es de pagamento PCI SSC O PCI SSC o corpo padronizador que mant m os padr es da ind stria de cart es de pagamento incluindo o PCI DSS e o PA DSS Em rela o com o PA DSS o PCI SSC o reposit rio centralizado dos Relat rios de valida o PA DSS ROVs g Realize as revis es de Garantia de qualidade QA dos ROVs PA DSS para confirmar a consist ncia e a qualidade do relat rio g Lista os aplicativos de pagamento validados PA DSS no site Qualifica e treina os PA QSAs para realizar revis es PA DSS
72. foi instalado pelo cliente ou 2 seja de responsabilidade do cliente n o do fornecedor de aplicativo de pagamento Cobertura de todas as plataformas selecionada para a vers o do aplicativo de pagamento revisado as plataformas inclu das devem ser especificadas Cobertura das ferramentas usadas pelo aplicativo de pagamento para acessar e ou visualizar os dados do propriet rio do cart o ferramentas de relat rio ferramentas de registro etc Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 6 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security r Standards Council PA DSS Aplicabilidade aos aplicativos de pagamento em terminais de hardware Aplicativos de pagamento desenvolvidos para operar em terminais de hardware tamb m conhecidos como terminais independentes ou POS dedicados podem passar por revis o PA DSS se o fornecedor desejar alcan ar a valida o e se os requisitos de conformidade do PA DSS puderem ser atendidos As raz es pelas quais o fornecedor pode desejar passar um aplicativo de pagamento pela valida o PA DSS no terminal de hardware incluem mas n o limitam se a necessidades de neg cios e obriga o de conformidade Esta se o fornece orienta o para os fornecedores que desejam obter valida o PA DSS para aplica es de pagamento residentes em terminais de hardware H duas maneiras de o aplicativo de pagamento residente no terminal de
73. hardware alcan ar a valida o PA DSS 1 O aplicativo de pagamento residente atende diretamente todos os requisitos do PA DSS e validado de acordo com os procedimento PA DSS 2 O aplicativo de pagamento residente n o atende todos os requisitos do PA DSS mas o hardware onde reside o aplicativo listado na Lista de dispositivos de seguran a de transa o PIN aprovados PTS do PCI SSC como dispositivo de Ponto de intera o POI atualmente aprovado pelo PCI PTS Neste cen rio pode ser poss vel que o aplicativo satisfa a os requisitos do PA DSS atrav s de uma combina o dos controles validades PA DSS e PTS O resto dessa se o aplica se apenas aos aplicativos de pagamento que residem em um dispositivo POI aprovado PCI PTS validado Se um ou mais requisitos do PA DSS n o forem atendidos diretamente pelo aplicativo de pagamento eles podem ser atendidos indiretamente pelos controles estados como parte da valida o PCI PTS Para que um dispositivo de hardware seja considerado para inclus o em uma revis o PA DSS o dispositivo de hardware DEVE ser validado como dispositivo POI aprovado PCI PTS e inclu do na Lista de dispositivos PTS aprovados PCI SSC O dispositivo POI validado PTS que fornece um ambiente de computa o confi vel se tornar uma depend ncia necess ria para o aplicativo do pagamento e a combina o do aplicativo e do hardware ser inclu da na Lista de aplicativos de pagamento validados PA DSS Ao co
74. hist rico conforme o Guia de Implementa o do PA DSS e o Requisito 1 1 5 do PA DSS 3 1 Uso de IDs de usu rio O aplicativo de pagamento refor a a autentica o Fornecedor de software Quando o aplicativo de exclusivos e autentica o segura para acesso administrativo e acesso a dados do portador do cart o segura para todas as credenciais de autentica o como usu rios senhas que o aplicativo gera ao Refor ar as altera es seguras nas credenciais de autentica o no momento da conclus o da instala o para qualquer altera o subsequente ap s a instala o conforme os requisitos Consulte abaixo do 3 1 1 at o 3 1 Atribuir autentica o segura para todas as contas padr o mesmo se n o utilizadas e desativar ou n o utilizar as contas Como alterar e criar credenciais de autentica o quando tais credenciais n o s o geradas ou gerenciadas pelo aplicativo de pagamento conforme os Requisitos 8 5 a 8 5 15 no momento da conclus o da instala o e para altera es subsequentes ap s a instala o para contas de todos os n veis do aplicativo com acesso administrativo ou acesso aos dados do portador do cart o pagamento gerar ou gerenciar credenciais de autentica o assegurar que o aplicativo de pagamento reforce o uso do cliente de IDs de usu rio exclusivos e tornar segura a autentica o para contas senhas do aplicativo conforme os Requerimentos 3 1 1 a 3 1 1 do PA_DSS Quando as cre
75. ia o de requisitos e seguran a PCI PA DSS vers o 2 0 Copyright O 2010 PCI Security Standards Council LLC P gina 21 Outubro de 2010 Security E Standards Council Em Fora de Data de funciona funcion destino Requisitos do PA DSS Procedimentos de teste mento amento Coment rios 1 1 5 c Revise o Guia de Implementa o do PA DSS preparado pelo fornecedor e verifica o se a documenta o inclui as seguintes instru es para clientes e revendedores integradores Coletar de autentica o confidencial somente quando necess rio para solucionar problemas espec ficos Armazenar tais dados somente em locais espec ficos e conhecidos com acesso limitado Coletar somente de uma quantidade limitada de dados para solucionar algum problema espec fico Criptografar dados de autentica o confidenciais enquanto estiverem armazenados Excluir com seguran a de tais dados imediatamente ap s o uso Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 22 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security r Standards Council Em Fora de Data de funciona funcion destino Requisitos do PA DSS Procedimentos de teste mento amento Coment rios 2 Proteger os dados armazenados do titular do cart o 2 1 O fornecedor do software deve oferecer 2 1 Revise o Guia de Implementa o do PA DSS preparado orienta es a clientes sobre o expurgo de d
76. idios Bos Pala T E Estadia di DES hodica SOR Sa aSo E Doado ds datadas di Cosho dios Bliss E 2 Introdu o ssisssssasssscsassomasacasassass das ssnasiapradd Eaa aa E n aariaa isso aaa aeaaeai aA EA dad des Ronca da ca dai sas anne da damas due pis 4 Prop sito d ste documento sesiis nianus a ra doa pad ad e gana iG ui caderas eaa e a dida Road od aana aaa hai Rd de adiar a pala cuido aaeain 4 Rela o entre PCI DSS e PADS Siiner aneia anenai aaoi ara aeaaea Dei ea a aaa a Sae do ada D efa ada due aaa a aaaea pa duda sup ag dao 4 Escopo do PA DPS fo DR PRO RR OR RO RR DR RR EU RR A Reen 5 PA DSS Aplicabilidade aos aplicativos de pagamento em terminais de hardware seit ereaaaaraaaaananaaaaanaa ana aa aaa nennen nnna 7 Fun es e responsabilidadeS ananena an aS AAE AERA AE AR EEN N STRAE AE S E AA 8 Guia de Implementa o PA DSS irsreiniiicaninanieaan aeaaea aaaea a aa aaa Daaa aaa aaea aaa Aaa aAA Eae Gaaah Aaa ER AEAEE 11 Requisitos do Avaliador de seguran a qualificado do aplicativo de pagamento PA QSA ee reecare ear aaraaneaanas 11 Laborat rio de Leste snssmasera nina tan catraca Ed a aa ad TU aq e aa SUGAR AE ada ta GS A qa R aaa das 12 Informa es de aplicabilidade PCI DSS sn eeececrasosnaaonnasanensananas anna aannna anna sena nana nao aRRa aaa aa aan aaa Ra anna asas anna anna 13 Instru es e conte do do relat rio de valida o 2 22220222zaisasosstaseeisoassasdcptaacsiapoeacenio
77. ir Ao proibir o ar mazenamento dos dados de os dados para determinar que os dados sejam autentica o sens vel ap s a autoriza o irrecuper veis assume se que a transa o tenha conclu do o processo de autoriza o e que o cliente tenha 1 1 c Para cada item dos dados de autentica o sens vel recebido a aprova o da transa o final Ap s abaixo realize as etapas a seguir ap s concluir diversas a conclus o da autoriza o estes dados de transa es de teste que simulam todas as fun es do autentica o sens vel n o podem ser aplicativo de pagamento para incluir gera o de condi es armazenados de erro e de entradas de log permiss vel para os emissores e empresas que suportam os servi os de emiss o para armazenar dados de autentica o sens vel se houver justifica o de neg cios e se os dados forem armazenados com seguran a Alinha se com o Requisito 3 2 PCI DSS Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 18 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security Standards Council Requisitos do PA DSS Em funciona Procedimentos de teste mento Fora de Data de funcion destino amento Coment rios 1 1 1 Ap s a autoriza o n o armazene todo o conte do de qualquer rastreamento da faixa magn tica localizada na parte de tr s do cart o dados equivalentes contidos no chip ou em qualquer outro lugar Esses
78. ir que o aplicativo de de dados do portador do cart o em redes p blicas seguran a para manter segura a transmiss o de dados do portador do cart o em redes p blicas pagamento ofere a suporte ao cliente para o uso de transmiss es seguras de dados do portador do cart o em redes p blicas de acordo com o Requisito 11 1 do PA DSS Clientes e revendedores Integradores Estabelecer e manter transmiss es seguras de dados do portador do cart o de acordo com o Guia de implementa o do PA DSS e o Requisito 11 1 do PA DSS Procedimentos de avalia o de requisitos e seguran a PCI PA DSS v2 0 Anexo A Resumo do conte do do Guia de Implementa o do PA DSS Outubro de 2010 Copyright 2010 Conselho de Padr es de Seguran a LLC do PCI P gina Security Standards Council PA DSS Requisito T pico do PA DSS Conte do do Guia de Implementa o Responsabilidade da Implementa o de controle 11 2 Criptografar dados do portador do cart o enviados por meio de tecnologias de envio de mensagens de usu rio final Implementar e usar uma solu o que converta o PAN ileg vel ou implemente criptografia robusta caso os PANs possam ser enviados por tecnologias de mensagem do usu rio final Fornecedor de software Garantir que o aplicativo de pagamento ofere a suporte ao cliente para criptografia de PANS se enviados com tecnologias de envio de mensagens de usu rio final de acordo com o Requisito
79. m ser armazenados em servidores conectados Internet 9 1 O aplicativo de pagamento deve ser desenvolvido de modo que o servidor do banco de dados e o servidor web n o precisem estar no mesmo servidor nem o servidor do banco de dados precise estar no DMZ com o servidor web Alinha se com o Requisito 1 3 7 do PCI DSS 9 1 a Para verificar se o aplicativo de pagamento armazena os dados do portador do cart o na rede interna e nunca no DMZ obtenha evid ncias de que o aplicativo de pagamento n o exija armazenamento de dados no DMZ e permita o uso de um DMZ para separar a Internet de sistemas que armazenam dados do portador do cart o por exemplo o aplicativo de pagamento n o deve exigir que o servidor do banco de dados e o servidor web estejam no mesmo servidor ou no DMZ com o servidor web 9 1 b Se os clientes puderem armazenar dados do portador do cart o em um servidor conectado Internet examine o Guia de Implementa o do PA DSS preparado pelo fornecedor para verificar se os clientes e revendedores integradores sabem que n o podem armazenar os dados do portador do cart o em sistemas acess veis para Internet por exemplo o servidor web e o servidor do banco de dados n o devem estar no mesmo servidor Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 43 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security X Standards Council Requisitos PA DSS
80. mento desenvolvidos e vendidos para um nico cliente para uso exclusivo dele j que este aplicativo ser coberto como parte da revis o de conformidade PCI DSS normal do cliente Observe que o aplicativo que pode ser referido como o aplicativo j mencionado vendido para apenas um cliente normalmente um comerciante grande ou provedor de servi o e foi desenvolvido de acordo com as especifica es fornecidas pelo cliente O PA DSS N O aplica se a aplicativos de pagamento desenvolvidos por comerciantes e fornecedores de servi o se forem usados apenas internamente n o vendidos distribu dos ou licenciados para terceiros j que o aplicativo de pagamento desenvolvido internamente seria coberto como parte da conformidade PCI DSS normal do provedor de servi o Por exemplo para os ltimos dois t picos acima se os lugares que vendem o aplicativo de pagamento desenvolvido internamente ou j mencionado pro bem a autentica o sens vel de dados ou permitem senhas complexas ser o cobertos como parte dos esfor os de conformidade PCI DSS normais do comerciante ou do provedor de servi o e n o requerem uma avalia o PA DSS separada A lista a seguir embora n o inclua tudo ilustra os aplicativos que N O s o aplicativos de pagamento para fins de PA DSS e portanto n o precisam passar por revis es PA DSS Sistemas operacionais em que o aplicativo de pagamento esteja instalado por exemplo Windows Observa o O PCI SSC lista
81. mine o Guia de Implementa o do PA DSS preparado pelo fornecedor de software e verifique se os clientes e revendedores integradores foram orientados a usar e implementar os recursos de seguran a de acesso remoto Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 Copyright 2010 PCI Security Standards Council LLC P gina 46 Outubro de 2010 Security r Standards Council Em Fora de Data de Requisitos PA DSS Procedimentos de teste funciona funcion destino mento amento Coment rios 11 Criptografar tr fego sens vel por redes p blicas 11 1 Se o aplicativo de pagamento enviar ou 11 1 a Se o aplicativo de pagamento enviar ou facilitar o envio facilitar o envio de dados do portador do cart o de dados do portador do cart o por redes p blicas verifique se por redes p blicas o aplicativo de pagamento s o fornecidos cripografia potente e protocolos de seguran a deve apoiar o uso de criptografia potente e ou se seu uso especificado protocolos de seguran a por exemplo SSL TLS e internet protocol security IPSEC SSH etc para para proteger dados confidenciais do o portador do cart o durante a transmiss o em 11 1 b Se o aplicativo de pagamento permitir a transmiss o de redes p blicas abertas dados por rede p blicas examine o Guia de Implementa o do o ios dada saia ibli PA DSS preparado pelo fornecedor e verifique se o fornecedor Hana e f oo e pu SES JAG inclui orient
82. n a PCI PA DSS vers o 2 0 P gina 7 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security r Standards Council 1 Forne a juntamente para o cliente terminal de hardwawre e aplicativo OU se fornecido separadamente o fornecedor de aplicativo e ou o revendedor integrador deve empacotar o aplicativo para distribui o de forma que opere apenas no terminal de hardware em que foi validado para executar Ativado por padr o para suporte da conformidade PCI DSS do cliente Inclui suporte cont nuo e atualiza es para manter a conformidade PCI DSS Se o aplicativo for vendido separadamente distribu do ou licenciado para clientes o fornecedor deve fornecer detalhes do hardware dependente requisitado para o uso com o aplicativo de acordo com a listagem de valida o PA DSS Fun es e responsabilidades H v rias partes interessadas na comunidade de aplicativos de pagamento Algumas dessas partes interessadas t m uma participa o mais direta no processo de avalia o PA DSS fornecedores PA QSAs e PSI SSC Outras partes interessadas que n o est o diretamente envolvidas com o processo de avalia o devem estar conscientes do processo geral para facilitar suas decis es de neg cios associadas A seguir s o definidas as fun es e responsabilidades das partes interessadas na comunidade de aplicativos de pagamento Estas partes interessadas envolvidas no processo de avalia o t m as responsabilidad
83. nas m dias Alinha se com o Requisito 3 4 2 do PCI DSS remov veis que est o protegidas adequadamente com controles de acesso robustos 2 4 c Se o aplicativo criar ou gerar arquivos em m dias remov veis verifique se os dados do portador do cart o nas m dias remov veis est o cripografadas em qualquer lugar que estejam 2 5 O aplicativo de pagamento deve proteger as 2 5 Verifique se aplicativo de pagamento deve proteger as chaves de criptografia utilizadas para criptografia chaves de criptografia utilizadas para criptografia de dados do de dados do portador do cart o em rela o a portador do cart o em rela o a divulga es ou mau uso da divulga es ou mau uso seguinte maneira Observa o Este requisito tamb m se aplica s 2 5 a Analise a metodologia usada pelo aplicativo para proteger principais chaves de criptografia usadas para as chaves para verificar se os controles foram implementados proteger chaves de criptografia de dados tais para restringir o acesso s chaves chaves de criptografia de chaves devem ser ao E menos t o robustas quanto a chave de 2 5 bAnalise os arquivos de configura o do sistema para criptografia de dados verificar se as chaves est o armazenadas no formato criptografado e se as chaves de criptografia de chaves est o Alinha se com o Requisito 3 5 do PCI DSS armazenadas separadamente das chaves de criptografia de dados 2 5 c Analise o Guia de Implementa o PA DSS preparado pelo forn
84. nduzir a avalia o PA DSS o PA QSA deve testar totalmente o aplicativo de pagamento com seu hardware dependente em compara o com todos os requisitos do PA DSS Se o PA QSA determina que um ou mais requisitos do PA DSS n o podem ser atendidos pelo aplicativo de pagamento residente mas s o atendidos por controles validados no PCI PTS o PA QSA deve 1 Documentar claramente quais requisitos s o atendidos conforme declarado pelo PA DSS como sempre Documentar claramente quais requisitos foram atendidos atrav s do PCI PTS na caixa Em funcionamento para este requisito Incluir uma explica o completa de por que o aplicativo de pagamento n o pode atender o requisito do PA DSS P Sn Documente os procedimentos conduzidos para determinar como o requisito foi totalmente atendido atrav s do controle validado PCI PTS 5 Liste o terminal de hardware validade PCI PTS como depend ncia requisitada na Resumo executivo do relat rio de valida o Uma vez que a valida o do PA QSA do aplicativo de pagamento esteja conclu da e subsequentemente aceita pelo PCI SSC o o dispositivo de hardware validado PTS ser listado como depend ncia para o aplicativo de pagamento na Lista de aplicativos validados PA DSS Os aplicativos de pagamento residentes em terminais de hardware que s o validados atrav s de uma combina o de controles PA DSS e PCI PTS devem atender os seguintes crit rios Procedimentos de avalia o de requisitos e segura
85. necedor para verificar se as seguintes informa es foram inclu das Como definir as configura es de log em conformidade com o PCI DSS de acordo com os Requisitos 4 2 e 4 4 do PA DSS abaixo Os logs n o devem ser desabilitados e caso isso ocorra resultar em inconformidade com o PCI DSS 4 2 Teste o aplicativo de pagamento e examine os logs de auditoria e suas defini es ent o realize o seguinte 4 2 1 Verifique se todos os acessos individuais aos dados do portador do cart o por meio do aplicativo de pagamento est o registrados 4 2 2 Verifique se todas as a es tomadas por qualquer indiv duo com privil gios administrativos no aplicativo de pagamento est o registradas 4 2 3 Verifique se o acesso s trilhas de auditoria gerenciadas pelo ou no aplicativo est registrado 4 2 4 Verifique se as tentativas inv lidas de acesso l gico est o registradas Data de destino Coment rios Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 Copyright O 2010 PCI Security Standards Council LLC P gina 33 Outubro de 2010 Security r Standards Council Requisitos do PA DSS 4 2 5Uso dos mecanismos de identifica o e autentica o do aplicativo 4 2 6 Inicializa o dos registros de auditoria do aplicativo 4 2 7 Cria o e exclus o de objetos no n vel do sistema no ou pelo aplicativo 4 3 O aplicativo de pagamento deve registrar no m nimo as seguintes entradas
86. nte a solu o de problemas do cliente Pelacria o do Guia de Implementa o PA DSS espec fico para cada aplicativo de pagamento de acordo com os requisitos deste documento Pela orienta o dos clientes revendedores e integradores sobre como instalar e configurar os aplicativos de pagamento de uma maneira compat vel com o PCI DSS Por garantir que os aplicativos de pagamento estejam em conformidade com o PA DSS ao garantir que passem com sucesso na revis o PA DSS conforme especificado neste documento PA QSAs Os PA QSAs s o os QSAs que foram qualificados e treinados pelo PCI SSC para realizar as revis es PA DSS Os PA QSAs s o respons veis Observa o Nem todos os Pela realiza o de avalia es em aplicativos de pagamento de acordo com os Procedimentos de QSAs s o PA QSAs h avalia o de seguran a e com os Requisitos de valida o PA QSA requisitos adicionais de Pelo fornecimento de uma opini o a respeito da conformidade do aplicativo de pagamento com os qualifica o que devem ser requisitos do PA DSS atendidos para que o QSA Pelo fornecimento de documenta o adequada no ROV para demonstrar que o aplicativo de passe a ser um PA QSA pagamento est em conformidade com o PA DSS Pelo envio do ROV para o PCI SSC juntamente com o Atestado de valida o assinado pelo PA QSA e pelo fornecedor Pela manuten o de um processo de garantia de qualidade interno para alcan ar o PA QSA responsabilidade
87. nto para avalia o Os produtos apenas s o enviados pelo fornecedor Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 10 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security r Standards Council Clientes Os clientes s o comerciantes fornecedores de servi o ou outros que compram ou recebem um aplicativo de pagamento de terceiros para armazenar processar ou transmitir dados do propriet rio do cart o como parte da autoriza o ou estabelecimento das transa es de pagamento Os cliente que quiserem usar os aplicativo que Observa o Apenas um aplicativo de pagamento em conformidade com o PA est o em conformidade com o PA DSS s o respons veis DSS n o garante que Pela Implementa o de um aplicativo de pagamento em conformidade com o PA DSS em um ambiente esteja em conformidade em conformidade com o PCI DSS com o PCI DSS Pela configura o do aplicativo de pagamento onde s o fornecidas as op es de configura o de acordo com o Guia de Implementa o PA DSS do fornecedor Pela configura o do aplicativo de pagamento de um modo em conformidade com o PCI DSS Pela manuten o do status de conformidade com o PCI DSS para o ambiente e para a configura o do aplicativo de pagamento Guia de Implementa o PA DSS Os aplicativos de pagamento validados devem ser capazes de ser implementados de um modo em conformidade com o PCI DSS ne
88. o deve ser usado pelos Avaliadores de seguran a qualificados do aplicativo de pagamento PA QSAs ao conduzir revis es no aplicativo de pagamento para que os fornecedores do software possam validar que o aplicativo de pagamento est de acordo com o Padr o de seguran a de dados do aplicativo de pagamento PCI PA DSS Este documento tamb m deve ser usado para os PA QSAs como modelo para criar o Relat rio na Valida o Recursos adicionais incluindo Atestados de valida o Perguntas frequentes FAQs eo Gloss rio de termos abrevia es e acr nimos PCI DSS e PA DSS est o dispon veis no site do Conselho de padr es de seguran a PCI PCI SSC www pcisecuritystandards org Rela o entre PCI DSS e PA DSS O uso de um aplicativo em conformidade com o PA DSS por si s n o torna a entidade compat vel com PCI DSS j que o aplicativo deve ser implementar em um ambiente compat vel com PCI DSS e de acordo com o Guia de Implementa o PA DSS fornecido pelo fornecedor do aplicativo de pagamento por Requisito do PA DSS 13 1 Os requisitos do Padr o de seguran a de dados do aplicativo de pagamento PA DSS s o derivados dos Procedimentos de avalia o de seguran a e requisitos do padr o de seguran a de dados da ind stria de cart es de pagamento PCI DSS Este documento que pode ser encontrado em www pcisecuritystandards org detalha o que necess rio para estar de acordo com o PCI DSS e portanto o que um aplicativo de pagam
89. o do PA DSS 13 1 2 Incluem uma revis o pelo menos anual e 13 1 2 a Verifique se o Guia de Implementa o do PA DSS fazem atualiza es para manter a revisado anualmente e atualizado conforme a necessidade documenta o em dia com todas as altera es para documentar todas as altera es grandes e pequenas no de software grandes e pequenas em rela o aplicativo de pagamento aos requisitos deste documento 13 1 2 b Verifique se o Guia de Implementa o do PA DSS revisado anualmente e atualizado conforme a necessidade para documentar todas as altera es aos requisitos do PA DSS 13 2 Desenvolver e implementar programas de 13 2 Examine os materiais de treinamento e o programa de treinamento e comunica o para garantir que os comunica o para revendedores e integradores e confirme se revendedores e integradores do aplicativo de os materiais abordam todos os itens observados relacionados pagamento saibam implementar o aplicativo de ao Guia de Implementa o do PA DSS em todo o documento pagamento e os sistemas e redes relacionados de acordo com o Guia de Implementa o do PA DSS e de forma compat vel com o PCI DSS Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 48 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security E Standards Council Requisitos do PA DSS Em Fora de Data de Procedimentos de teste funciona funcion destino mento amento Coment
90. os para ranquear 7 1 b Verificar se os processos para identificar novas vulnerabilidades como Alta risco deve incluir vulnerabilidades e implementar corre es no aplicativo de uma pontua o base no CVSS de 4 0 ou mais pagamento aplicam se a todos os softwares fornecidos ou e ou um patch oferecido pelo fornecedor que este exigidos pelo aplicativo de pagamento por exemplo servidores classifique como crucial e ou uma web bibliotecas e programas de terceiros vulnerabilidade que afete um componente crucial do aplicativo 7 2 Os fornecedores de software devem 7 2 a Obter e examinar os processos para desenvolver e estabelecer um processo para o desenvolvimento implantar patches de seguran a e upgrades para software e implanta o oportunos de patches e upgrades Verifique se os processos incluem a Implementa o pontual e de seguran a que incluem ofertas de a Implementa o de patches para os clientes atualiza es e patches de forma segura com uma 7 2 b Revi ifi h cadeira de confian a conhecida e manuten o da RA RE Rap paa verificar 4 95 patcnes e integridade do c digo de patch e atualiza o atualiza es foram fornecidos de forma segura com uma uma durante a oferta e a implanta o conhecida corrente de conhecimento 7 2 c Revise os processos para verificar se os patches e atualiza es de modo a manter a integridade dessas ofertas 7 2 d Revise os processos para verificar se os patches e atualiza es foram testados quanto a su
91. plic veis para o ACESSO autentica o segura a quaisquer contas padr o mesmo se pelo pessoal com capacidades administrativas n o Peol e ent o desativar ou n o utilizar para acesso a sistemas com dados do portador essas contas e ENSE do cart o e para acesso controlado pelo aplicativo Quando credenciais de autentica o s o usadas pelo de pagamento aplicativo de pagamento mas n o s o geradas ou Esse requisito destina se ao aplicativo de gerenciadas pelo aplicativo clientes e revendedores pagamento e todas as ferramentas associadas recebem dire es claras e precisas sobre como ao para visualizar ou acessar os dados do portador concluir a instala o e para quaisquer altera es ap s a Jo Canao instala o alterar as credenciais de autentica o e criar uma autentica o forte pelos Requisitos 3 1 1 at 3 1 10 E e abaixo para todas as contas do n vel do aplicativo com P Requlsitos de PCIDSS 8 1 acesso administrativo e para todos os acessos aos dados TA do portador do cart o 3 1 b Testar o aplicativo de pagamento para verificar se o aplicativo n o utiliza ou requer o uso de contas administrativas padr o para outros softwares necess rios por exemplo o aplicativo de pagamento n o deve usar a conta administrativa para software de banco de dados 3 1 cCaso o aplicativo de pagamento gere ou gerencie credenciais de autentica o teste o aplicativo para verificar se ele refor a altera es a quaisquer senhas padr o do
92. r o uso do DMZ de acordo com o Requisito 9 do PA DSS Clientes e revendedores Integradores Estabelecer e manter aplicativos de pagamento de modo que os dados do portador do cart o n o sejam armazenados em sistemas acess veis pela Internet de acordo com o Guia de Implementa o do PA DSS e o Requisito 9 do PA DSS Fornecedor de software Garantir que o aplicativo de pagamento ofere a suporte ao cliente para uso de autentica o de dois fatores de acordo com o Requisito 10 2 do PA DSS Clientes e revendedores Integradores Estabelecer e manter autentica o de dois fatores para acesso remoto ao aplicativo de pagamento de acordo com o Guia de Implementa o do PA DSS e o Requisito 8 3 do PA DSS Procedimentos de avalia o de requisitos e seguran a PCI PA DSS v2 0 Anexo A Resumo do conte do do Guia de Implementa o do PA DSS Outubro de 2010 Copyright 2010 Conselho de Padr es de Seguran a LLC do PCI P gina Security Standards Council PA DSS Requisito T pico do PA DSS Conte do do Guia de Implementa o Responsabilidade da Implementa o de controle 10 3 1 Oferecer com Ativar tecnologias de acesso remoto para Fornecedor de software Oferecer com seguran a seguran a atualiza es atualiza es do aplicativo de pagamento somente atualiza es remotas do aplicativo de pagamento remotas do aplicativo quando necess ria para downloads e desligar Clientes e revendedores Integradores Receber com
93. radores Implementar processos e procedimentos de gerenciamento para chaves criptogr ficas usadas para a criptografia dos dados do portador do cart o segundo o Guia de Implementa o do PA DSS e o Requisito 2 6 do PA DSS Procedimentos de avalia o de requisitos e seguran a PCI PA DSS v2 0 P gina Anexo A Resumo do conte do do Guia de Implementa o do PA DSS Outubro de 2010 Copyright 2010 Conselho de Padr es de Seguran a LLC do PCI Security Standards Council PA DSS Requisito T pico do PA DSS Conte do do Guia de Implementa o Responsabilidade da Implementa o de controle 2 7 Convers o de material O material criptografado deve ser convertido para Fornecedor de software Oferecer ferramenta ou chave criptogr fico irrecuper vel procedimento para remover com seguran a o material irrecuper vel ou Como criptografar o material criptogr fico para chave criptogr fico ou criptogramas armazenados por criptogramas irecuper vel vers es anteriores de acordo com o Requisito 1 1 5 do armazenados por Essa caracteristica de irrevog vel PA DSS fornecer ferramenta ou procedimento para vers es anteriores do bsol tariente n sri A nformidade PCI criptografar novamente os dados do hist rico com aplicativo de RADM a enie necessara pole Rodo a E novas chaves pagamento Como criptografar novamente dados do hist rico Crentes e revendedores Integradores Excluir com novas craves quaisquer materiais criptogr ficos do
94. ref cio do relat rio de valida o de acordo com a se o intitulada Instru es e conte do dos relat rios de valida o b Conclua e documente todas as etapas detalhadas nos Procedimentos de avalia o de seguran a e requisitos incluindo descri es breves dos controles observados na coluna Em funcionamento e anotando coment rios Observe que o relat rio com qualquer opini o Em funcionamento n o deve ser enviado para o PCI SSC at que todos os itens sejam anotados como Em funcionamento 2 Ap ndice B completo Confirma o da Configura o de laborat rio de testes espec fico para avalia o PA DSS 3 Conclua e assine um Atestado de valida o PA QSA e fornecedor do software O Atestado de valida o est dispon vel no site do PCI SSC www pcisecuritystandards org 4 Ap s a conclus o envie todos os documentos acima para o PCI SSC de acordo com o Guia do programa PA DSS Guia do programa PA DSS Consulte o Guia do programa PA DSS para obter informa es sobre o gerenciamento de programa PA DSS incluindo os t picos Processos de aceita o e envio de relat rio PA DSS Processo de renova o anual para aplicativos de pagamento inclu dos na lista de aplicativos PA DSS validados Transi o de aplicativos validados para PABP para a lista de aplicativos de pagamento PA DSS validados As responsabilidades de notifica o do evento um aplicativo de pagamento listado determinado para ser falha
95. rios 7 c O PA QSA deve validar a instala o simples do ambiente do laborat rio para garantir que o ambiente simule com veracidade uma situa o da vida real e que o fornecedor n o tenha modificado ou falsificado o ambiente de qualquer maneira 7 d Todos os testes s o executados pelo PA QSA o fornecedor n o pode executar testes em seu pr prio aplicativo 7 e Todos os testes s o 1 realizados nas instala es do fornecedor ou 2 remotamente por meio de uma conex o de rede que usa um link seguro por exemplo VPN 7 4 Utilize somente n meros de cart o de teste para a simula o teste n o utilize PANs ativos no teste Esses cart es de teste geralmente podem ser obtidos com o fornecedor ou um processador ou adquirente 8 Mantenha um processo 8 a A equipe de QA do PA QSA verifica se todas as O 0O de controle de qualidade plataformas identificadas no relat rio do PA DSS foram QA eficaz inclu das no teste 8 b A equipe de QA do PA QSA verifica se todos os requisitos O do PA DSS foram testados 8 c A equipe de QA do PA QSA verifica se as configura es e processos do laborat rio do PA QSA atendem aos requisitos e foram documentados com precis o no relat rio 8 d A equipe de QA do PA QSA verifica se o relat rio apresenta com precis o os resultados do teste Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 61 Ap ndice B Confirma o da
96. rme a entrada adequadamente N o exponha refer ncias de objetos internos aos usu rios 5 2 5 Falsifica o de solicita es de site cruzado CSRF n o responda as credenciais e tokens de autoriza o enviados automaticamente pelos navegadores 5 3 a Obtenha e examine os procedimentos de controle de altera es para modifica es no software e verificar se os procedimentos exigem os requisitos 5 3 1 5 3 4 a seguir 5 3 b Examinar altera es recentes no aplicativo de pagamento e rastrear essas altera es com a documenta o de controle de altera o relacionada Verificar se para cada altera o examinada o seguinte foi documentado de acordo com os procedimentos de controle de altera o Data de destino Coment rios Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 38 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security X Standards Council Em Fora de Data de Requisitos do PA DSS Procedimentos de teste funciona funcion destino mento amento Coment rios 5 3 1 Documenta o de impacto 5 3 1 Verifique se a documenta o do impacto no cliente est inclu da na documenta o de controle de altera o para cada altera o 5 3 2 Aprova o documentada da altera o por 5 3 2 Verifique se a aprova o documentada da altera o partes autorizadas por partes autorizadas est presente em todas as altera es 5 3 3 Teste de funcionali
97. s pr ticas de codifica o seguras integrante do ciclo de vida de desenvolvimento As revis es de c digo garantem que o c digo seja do sistema As an lises dos c digos podem ser desenvolvido segundo diretrizes de codifica o seguras realizadas por equipes internas instru das ou Consulte o Requisito do 5 2 PA DSS terceiros As corre es adequadas s o implementadas antes da o libera o Alinha se com o Requisito 6 3 2 do PCI DSS Os resultados das an lises dos c digos s o revisados e aprovados pela ger ncia antes da libera o 5 2 Desenvolver todos os aplicativos de 5 2 a Obtenha e revise os processos de desenvolvimento de pagamento internos e externos e inclusive software para qualquer aplicativo de pagamento interno e acesso administrativo ao produto pela web com externo inclusive acesso administrativo na web ao produto base nas orienta es de codifica o seguras Verifique se o processo inclui treinamento em t cnicas de Cobrir a preven o de vulnerabilidades de codifica o segura para desenvolvedores com base nas codifica o comuns nos processos de melhores pr ticas e orienta es do setor arsendolImento co somara pele mela 5 2 b Entreviste alguns desenvolvedores e obtenha uma Observa o As vulnerabilidades listadas nos comprova o de que eles est o instru dos sobre as t cnicas Requisitos 5 2 1 a 5 2 9 do PA DSS e 6 5 1 a de codifica o seguras 6 5 9 do PCI DSS estavam atualizadas com as E E
98. segura gerenciamento chave associados Criptografia robusta com processos e 2 3 b Examine muitas tabelas ou arquivos dos reposit rios de procedimentos de gerenciamento chave dados criados ou gerados pelo aplicativo para verificar se o associados PAN foi tornado ileg vel Observa es 2 3 c Se o aplicativo criar ou gerar arquivos para o uso em E um esfor o relativamente pequeno para outros aplicativos por exemplo arquivos gerados para que um indiv duo malicioso reconstrua os exporta o ou backup inclusive para armazenamento em dados do PAN original caso ele tenha m dias remov veis examine uma amostra de de arquivos acesso tanto vers o truncada quanto gerados inclusive aqueles gerados em m dias remov veis por hash de um PAN Onde as vers es hashe exemplo fitas de beakup para confirmar que o PAN foi truncada de um mesmo PAN forem geradas convertido ileg vel por um aplicativo de pagamento controles adicionais devem estar posicionados para 2 3 d Examine uma amostra de logs de auditoria criados ou assegurar que as vers es truncada e hash gerados pelo aplicativo para confirmar que o PAN foi convertido n o possam estar correlacionadas para ileg vel ou removido dos logs reconstruir o PAN original 2 3 e Se o fornecedor do software armazenar o PAN por O PAN deve ser convertido como ileg vel qualquer motivo por exemplo porque arquivos de log arquivos em qualquer local que armazenado de depura o e outras orig
99. sequentes ap s a instala o Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 Copyright O 2010 PCI Security Standards Council LLC P gina 31 Outubro de 2010 Security r Standards Council Em Fora de Data de funcion funcion destino Requisitos do PA DSS Procedimentos de teste amento amento Coment rios 3 1 8 O aplicativo de pagamento limita as 3 1 8 Confirme que o pagamento bloqueia a conta de usu rio tentativas repetidas de acesso ao bloquear a depois de n o mais do que seis tentativas de logon inv lidas conta de usu rio depois de n o mais do que 3182 lui de i stalac seis tentativas de logon 1 8 a Ao concluir o processo de instala o Alinha se com o Requisito 8 5 13 do PCI DSS 3 1 8 b Para altera es subsequentes ap s a instala o 3 1 9 O aplicativo de pagamento define a 3 1 9 Confirme se o aplicativo de pagamento bloqueia as dura o do bloqueio para um m nimo de 30 contas de usu rio por um m nimo de 30 minutos ou at um minutos ou at o administrador ativar o ID do administrador do sistema reiniciar a conta usu rio a 3 1 9 a Ao concluir o processo de instala o Alinha se com o Requisito 8 5 14 do PCI DSS 3 1 9 b Para altera es subsequentes ap s a instala o 3 1 10 Se uma sess o do aplicativo de 3 1 10 Confirme se o pagamento define o tempo limite de pagamento estiver ociosa por mais do que 15 ociosidade de uma sess o para 15 minutos
100. servidores web conforme aplic vel Outro aplicativo de pagamento componente necess rio conforme aplic vel Descri o ou diagrama de cada parte do link de comunica o incluindo 1 LAN WAN ou Internet 2 hospedagem da comunica o do software e 3 no host onde o software implantado por exemplo como dois processos diferentes comunicam se entre si no mesmo host Um diagrama de fluxo de dados que mostra todos os fluxos dos dados do propriet rio do cart o incluindo os fluxos de autoriza o captura ajuste e de cobran a retroativa conforme aplic vel Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 P gina 15 Copyright O 2010 PCI Security Standards Council LLC Outubro de 2010 Security r Standards Council Descri o breve dos arquivos e tabelas que armazenam os dados do propriet rio do cart o suportado por um invent rio criado ou obtido do fornecedor do software e pertencente ao PA QSA nos papeis de trabalho este invent rio deve incluir para cada armazenamento de dados do propriet rio do cart o arquivo tabela etc Lista de todos os elementos dos dados do propriet rio do cart o armazenados Como o armazenamento de dados mantido em seguran a Como o acesso ao armazenamento de dados registrado Liste todos os aplicativos de pagamento relacionado aos componentes do software incluindo requisitos de software de terceiros e depend ncias Descri o
101. tac abas onde chadiqdacaapanaa anna awaasa eanan aeiaai aana inaaianei a 15 Etapas de conclusao PA DSS ssa ps aaa aeaa aaa esa GS ug e a aea aaa Ea aa aii 17 Quia do programa PA DSS 225 0220siesos aeaa e Aaaa epa Ae aaa e fed od onda Dan Et rali ao Aa ea aae ee Aeee Ea Ea Erare caindo pus foa tema Doda a aaae E aa aaa ato enaa e Eai 17 Requisitos e procedimentos de avalia o de seguran a PA DSS nsssnssenssenneennunnnnnnnnnnnnnnnnnnnnnnnnnnnn ennn nnnn nann nnnnnnnnnnnn nnan nnan nannan annann nnan nnan nennen nnen 18 1 N o possui faixa magn tica total c digo de verifica o de cart o ou valor CAV2 CID CVC2 CVV2 ou dados de bloqueio de PIN 18 2 Proteger os dados armazenados do titular do cart o nnan Na aE AESA AEAN nana arena near ana aa arena near eae aaa rena aaa rena aaaren nada 23 3 Fornecer recursos de autentica o segura aroser in aa NK aaan A SEERE a EE EANA Eaa a EATA EERE A Eaa 29 4 Registrar em log a atividade do aplicativo de pagamento rea aaareeaaaarenaaaar anna na arena aa arena aaa rena aa arena aereas 33 5 Desenvolver aplicativos de pagamento seguros ereta aaareaa near anna nana anna nana anna aaa ren na aa arena aaa rena aa arena aa arena aaarannaaa 36 6 Proteger transmiss es wireless ires rrataeaaenaaaaaaanaaaanana aa an ana EA AAAA E NENE A ANANA aaa AR NANE ENA AAE ARAE NE A 39 7 Testar aplicativos de pagamento para solucionar vulnerabilidades
102. te o aplicativo de pagamento em um laborat rio para obter a evid ncia de que ele n o interfere nas tecnologias de autentica o de dois fatores 10 2 Se o aplicativo de pagamento puder ser acessado remotamente examine o Guia de Implementa o do PA DSS preparado pelo fornecedor do software e verifique se cont m instru es para clientes e revendedores integradores a respeito do uso de autentica o de dois fatores dois dos tr s m todos de autentica o descritos no Req 10 1 do PA DSS P gina 44 Procedimentos de avalia o de requisitos e seguran a PCI PA DSS vers o 2 0 Copyright 2010 PCI Security Standards Council LLC Outubro de 2010 Security r Standards Council Requisitos PA DSS Procedimentos de teste Em Fora de Data de funciona funcion destino mento amento Coment rios 10 3 Qualquer acesso remoto ao aplicativo de pagamento deve ser feito em seguran a conforme se segue 10 3 1 Se as atualiza es do aplicativo de pagamento forem entregues por meio de acesso remoto nos sistemas dos clientes os fornecedores de software devem avisar os clientes para ativar as tecnologias de acesso remoto somente quando necess rio para efetuar downloads do fornecedor e desativar imediatamente ap s sua conclus o De forma alternativa se entregue via VPN ou outra conex o de alta velocidade os fornecedores de software devem avisar os clientes para configurar corretamente um firewall ou produto
103. ura Caso o wireless seja usado no ambiente de Fornecedor de software Orientar clientes e de tecnologia wireless pagamento revendedores integradores que se a tecnologia wireless Alterar for usada no aplicativo de pagamento essas Install a firewall Instalar um firewall entre quaisquer redes e sistemas wireless que armazenem dados de portadores de cart o e Configurar esses firewalls para recusar ou controlar se esse tr fego for necess rio para fins comerciais qualquer tr fego a partir do ambiente sem fio no ambiente de dados do portador do cart o configura es padr o wireless do fornecedor dever o ser alteradas de acordo com o Requisito 2 1 1 do PCI DSS Clientes e revendedores Integradores Para tecnologias wireless implementadas no ambiente de pagamento por clientes ou revendedores integradores instale um firewall de acordo com o Guia de Implementa o do PA DSS e o Requisito 2 1 1 do PCI DSS Procedimentos de avalia o de requisitos e seguran a PCI PA DSS v2 0 Anexo A Resumo do conte do do Guia de Implementa o do PA DSS Outubro de 2010 Copyright 2010 Conselho de Padr es de Seguran a LLC do PCI P gina Security Standards Council PA DSS Requisito T pico do PA DSS Conte do do Guia de Implementa o Responsabilidade da Implementa o de controle 6 2 9 1 10 2 Proteger transmiss es de dados do portador do cart o em redes wireless Armazenar dados
Download Pdf Manuals
Related Search