Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Procedimentos de Auditoria de Segurança Versão 1.1 Distribuição: Setembro de 2006 Índice Procedimentos de Auditoria de Segurança ................................................................................................................................................................................... 1 Versão 1.1 ...................................................................................................................................................................................................................................... 1 Índice ...................................................................................................................................................................................................................................... 2 Introdução ...................................................................................................................................................................................................................................... 3 Aplicabilidade das Informações do PCI DSS ................................................................................................................................................................................. 4 Âmbito da Avaliação da Compliance com as Exigências do PCI DSS ............................................................................... ...
Índice ProcedimentVersão1.1......................................................................................................................................................................................................................................1Índice......................................................................................................................................................................................................................................2Introdução ...................................................................................................................................................................................................................................... 3AplicabilidadedasInformaçõesdoPCIDSS.................................................................................................................................................................................4Âmbito da Avaliação daCompliance........................................................................................................SS.CID................gêncExidoPiasmsaoc................5Wireless .................................................................................................................................................................................................................................. 6PrestadordeServiçoExterno.................................................................................................................................................................................................6Amostragem...........................................................................................................................................................................................................................6Controles de Compensação ................................................................................................................................................................................................... 7Instruções e Conteúdo para o Relatório de Compliance ............................................................................................................................................................... 7RevalidaçãodeItensemAberto....................................................................................................................................................................................................8Construa e Mantenha uma Rede Segura ...................................................................................................................................................................................... 9Exigência 1: Instale e mantenha uma configuração de firewall para proteger os dados do portador de cartão ................................................................... 9Exigência 2: Não use as senhas padrão de sistema e outros parâmetros de segurança fornecidos pelos prestadores de serviços. ............................... 13ProtejaosDadosdoPortadordeCartão.....................................................................................................................................................................................17Exigência3:Protejaosdadosarmazenadosdoportadordecartão...................................................................................................................................17Exigência 4: Codifique a transmissão dos dados do portador de cartão nas redes públicas e abertas.............................................................................. 24Mantenha um Programa de Administração da Vulnerabilidade .................................................................................................................................................. 26Exigência 5: Use e atualize regularmente o software ou programas antivírus .................................................................................................................... 26Exigência 6: Desenvolva e mantenha sistemas e aplicativos seguros ................................................................................................................................ 28ImplementeMedidasRígidasdeControledeAcesso.................................................................................................................................................................34Exigência 7: Restrinja o acesso aos dados do portador de cartão a apenas aqueles que necessitam conhecê-los para a execução dos trabalhos ....... 34Exigência 8: Atribua um ID único para cada pessoa que possua acesso ao computador. ................................................................................................. 35Exigência9:Restrinjaoacessofísicoaosdadosdoportadordecartão.............................................................................................................................42AcompanheeTesteRegularmenteasRedes.............................................................................................................................................................................46Exigência 11: Teste regularmente os sistemas e processos de segurança. ....................................................................................................................... 50MantenhaumaPolíticadeSegurançadaInformação................................................................................................................................................................53Exigência 12: Mantenha uma política que atenda à segurança da informação para funcionários e prestadores de serviços. .......................................... 53Anexo A: Aplicabilidade do PCI DSS para Prestadores de Serviço de Hosting (com Procedimentos de Teste) ....................................................................... 59Exigência A.1: Os provedores de serviço de hosting devem proteger o ambiente o ambiente dos dados do portador de cartão ..................................... 59Anexo B Controles Compensatórios......................................................................................................................................................................................... 62Controles Compensatórios Geral ..................................................................................................................................................................................... 62Controles Compensatórios para a Exigência 3.4 ................................................................................................................................................................. 62AnexoC:Planilha/ExemploPreenchidodosControlesCompensatórios...................................................................................................................................64