padrão de segurança de dados do setor de cartões de ... · adicionadas informações sobre...

Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI)

Resumo de Alterações da Versão 1.2.1 para a 2.0 do PCI-DSS Outubro de 2010

Resumo de Alterações da Versão 1.2.1 para a 2.0 do PCI-DSS Outubro de 2010 Copyright 2010 Conselho de Padrões de Segurança LLC do PCI Página 2 de 21

Seção ou Requisito

Antigo Novo Alteração Tipo i

Geral Geral Completamente Removidas as referências específicas ao glossário uma vez que não são fornecidas referências a outros termos do glossário.

Esclarecimento

Geral Geral Atestado de conformidade � Atestados de conformidade removidos dos

apêndices e documentos separados criados. � Títulos de referências e apêndices atualizados

adequadamente em todo o documento.

Esclarecimento

Geral Geral Introdução e visão geral do padrão de segurança de dados do PCI � Adicionadas informações sobre a função do PCI

DSS na proteção dos dados do titular do cartão. � Atualizado o gráfico 'visão geral de alto nível'

para refletir os títulos de requisitos. � Esclarecido que o PCI DSS é uma ferramenta

de avaliação para o uso durante avaliações de conformidade.

� Adicionadas informações sobre recursos disponíveis no site do PCI SSC.

Orientação adicional

Geral Geral Informações de aplicabilidade do PCI DSS � Adicionado o termo "dados da conta" para se

alinhar ao módulo PTS de Troca e Leitura de Dados Segura (SRED).

� Fornecidos mais detalhes sobre "dados do titular do cartão" e "dados confidenciais de autenticação"

� Esclarecido que os dados da conta primária (PAN) é o fator determinante para a aplicabilidade do PCI DSS.

� Removida a nota de rodapé abordando outra legislação e substituída por texto atualizado no parágrafo.

� Atualizados o texto do parágrafo e tabela de aplicabilidade para esclarecer quais elementos de dados devem ser convertidos como ilegíveis de acordo com o Requisito 3.4 do PCI DSS.

Esclarecimento

N/D Geral Relação entre PCI DSS e PA-DSS � Adicionada nova seção para refletir o conteúdo

no PA-DSS. � Esclarecido que o uso de um aplicativo em

conformidade com o PA-DSS sozinho não atribui conformidade com o PCI DSS a uma entidade.





Geral Geral Escopo da avaliação quanto à conformidade com os requisitos do PCI DSS � Adicionado "componentes de virtualização"à

definição de "componentes do sistema". � Esclarecido que o ambiente de dados do titular

do cartão compreende "pessoas, processos e tecnologia que armazenam, processam e transmitem os dados do titular do cartão ou dados de autenticação confidenciais".


Geral Geral Escopo da avaliação quanto à conformidade com os requisitos do PCI DSS Adicionado um parágrafo detalhado para esclarecer que o primeiro passo de uma revisão do PCI DSS é determinar precisamente o escopo da avaliação, identificado todos os locais e fluxos de dados do titular do cartão e assegurando que todos esses locais sejam incluídos na avaliação.


Geral Geral Segmentação da rede � Adicionados esclarecimentos, inclusive de que

a segmentação deve ser atingida por meios físicos ou lógicos.

� Pequenas substituições de algumas terminologias para esclarecer seu significado.

Esclarecimento

Geral Geral Sem fio Esclarecido o foco na presença de uma WLAN em vez de uma LAN.

Esclarecimento

Geral Geral Terceiros/Terceirização Pequenas alterações de terminologia para obter consistência.

Esclarecimento

Geral Geral Exemplos de áreas de negócios e componentes do sistema � Esclarecido que a amostragem é conduzida

independentemente pelo avaliador e que a amostragem deve ser realizada primeiramente para as áreas de negócios e depois para os componentes do sistema em cada área selecionada.

� Esclarecido que a amostragem não reduz o escopo do ambiente de dados do titular do cartão ou a aplicabilidade do PCI DSS e a amostragem de requisitos PCI DSS individuais não é permitida.

� Esclarecidos os critérios específicos que os avaliadores devem registrar ao usar a amostragem. Adicionados os critérios que avaliadores devem revalidar o argumento da amostragem para cada avaliação





Geral Geral Instruções e conteúdo para o relatório sobre conformidade � Adicionados critérios para o avaliador relatar

como a precisão do escopo do PCI DSS foi validada para a avaliação na parte 2.

� Atualizados os detalhes do relatório para o argumento da amostragem e a validação do tamanho da amostra na parte 2, para se alinhar ao conteúdo esclarecido na seção de amostragem.

� Esclarecido na parte 3 que a lista de indivíduos entrevistados deve incluir suas empresas e os tópicos abordados.

� Movida a "programação da revisão" da parte 2 para a parte 4 e adicionado que a programação deve indicar a duração e especificar o período de tempo em que a avaliação ocorreu.

� Alterado "Procedimentos de varredura de segurança do PCI DSS" para "Guia do programa de fornecedores de varredura aprovados" na parte 5.

� Adicionada explicação para as respostas N/D na parte 6.

� Pequenas alterações de terminologia para obter consistência.


Geral Geral Conformidade do PCI DSS – Etapas de conclusão Atualizada a referência aos Atestados de conformidade no site do PCI SSC.

Esclarecimento

Geral Geral Requisitos detalhados do PCI DSS e procedimentos da avaliação de segurança Adicionado esclarecimento de que as respostas N/D devem ser relatadas na coluna "Implementado".

Esclarecimento

1 1 Parágrafo introdutório � Pequenas alterações de terminologia para obter

consistência. � Adicionada explicação de que componentes de

outro sistema que oferecem a funcionalidade de firewall devem ser tratados de acordo com o requisito 1.


1.1.3 1.1.3.a, 1.1.3.b

Procedimentos de teste Separado o procedimento de teste 1.1.3 nos procedimentos de teste individuais 1.1.3.a até 1.1.3.b.

Esclarecimento




1.1.5 1.1.5 Requisito Adicionados exemplos de serviços inseguros, protocolos ou portas.


1.2 1.2 Requisito Adicionado o requisito para se alinhar ao procedimento.

Esclarecimento

1.3 1.3 Procedimento de teste Reestruturado para esclarecer a intenção do procedimento.

Esclarecimento

1.3.1 1.3.1 Requisitos e procedimentos de teste Esclarecida a intenção do requisito para que a DMZ restringisse o tráfego de entrada aos componentes do sistema que oferecem serviços autorizados, protocolos e portas.

Esclarecimento

1.3.3 1.3.3 Requisitos e procedimentos de teste Esclarecido que as conexões diretas não devem ser permitidas entre a internet e as redes internas.

Esclarecimento

1.3.5 1.3.5 Requisitos e procedimentos de teste Esclarecida a intenção de que somente o tráfego de saída seja permitido.

Esclarecimento

1.3.6 1.3.6 Procedimento de teste Permitida maior flexibilidade no procedimento de teste ao remover a especificação do uso do varredor de porta.

Esclarecimento

1.3.7 1.3.7 Requisitos e procedimentos de teste Esclarecido que o requisito se aplica a qualquer tipo de armazenagem de dados do titular do cartão,

Esclarecimento

1.3.8 1.3.8.a – 1.3.8.b

Requisitos e procedimentos de teste � Esclarecida a intenção de evitar a divulgação de

endereços IP privados na Internet e garantir que qualquer divulgação a entidade.

� Removidas as referências específicas ao mascaramento de IP e ao uso de tecnologias de tradução do endereço de rede e adicionados exemplos de métodos para evitar a divulgação de endereço de IP

� Separado o procedimento de teste em dois subprojetos.


1.4.b 1.4.b Procedimento de teste Esclarecido que o software do firewall pessoal não deve ser alterável pelos usuários do computador de propriedade do funcionário para se alinhar o procedimento de teste com o requisito.

Esclarecimento




2.1 2.1 Requisito Pequenas alterações para esclarecimento. Esclarecimento

2.1.1 2.1.1.a – 2.1.1.e

Requisitos e procedimentos de teste � Removido o conteúdo sobreposto pelo

Requisito 4.1.1, para esclarecer que a intenção desse requisito é garantir que os padrões do fornecedor sarjem alterados.

� Separado o procedimento de teste 2.1.1 nos procedimentos de teste individuais 2.1.1a até 2.1.1.e.

� Removida a referência ao WPA, uma vez que não é mais considerado uma criptografia robusta por si só.

Esclarecimento

2.2 2.2 Requisitos e procedimentos de teste Movidos os exemplos de padrões de proteção do sistema dos procedimentos de teste para o requisito e adicionado o ISO como origem para os padrões de proteção.

Esclarecimento

6.2.b 2.2.b Procedimento de teste Movido o conteúdo do procedimento de teste 6.2.b ao 2.2.b para assegurar que os padrões de configuração do sistema estejam atualizados com as vulnerabilidades identificadas no Requisito 6.2.

Esclarecimento

2.2.b 2.2.d Procedimento de teste Renumerado o procedimento de teste 2.2.b para 2.2.d.

Esclarecimento

2.2.1 2.2.1 Requisito Atualizado o requisito para esclarecer a tentativa de "uma função primária por servidor" e uso de virtualização.


N/D 2.2.1.b Procedimentos de teste � Novo procedimento de teste opcional para

tecnologias de virtualização. � Renumerado o procedimento de teste 2.2.1

para 2.2.1.a


2.2.2 2.2.2, 2.2.2.a – 2.2.2.b

Requisitos e procedimentos de teste � Esclarecido que somente serviços, protocolos,

daemons, etc. seguros e necessários devem ser ativados, e recursos de segurança devem ser implementados para quaisquer desses serviços, etc. inseguros.

� Separado o procedimento de teste 2.2.2 nos procedimentos individuais 2.2.2.a e 2.2.2.b.

Esclarecimento




2.2.4 2.1.1a Procedimentos de teste Separado o procedimento de teste 2.2.4 nos procedimentos individuais 2.2.4.a e 2.2.4.c.

Esclarecimento

2.3 2.3, 2.3.a – 2.3.c

Requisitos e procedimentos de teste � Esclarecido que é necessária a criptografia

robusta. � Separado o procedimento de teste 2.3 nos

procedimentos individuais 2.3.a até o 2.3.c.

Esclarecimento

3 3 Parágrafo introdutório Esclarecido que "PANs desprotegidos não devem ser enviados usando tecnologias de mensagem de usuário final como e-mail e mensagem instantânea."

Esclarecimento

3.1 3.1 Requisitos e procedimentos de teste Transformado em um requisito mais geral e movidos os procedimentos de teste no 3.1 para o novo requisito e procedimento de teste 3.1.1 (veja abaixo).

Esclarecimento

N/D 3.1.1, 3.1.1.a – 3.1.1.e

Requisitos e procedimentos de teste � Renumerado e separado o procedimento de

teste 3.1 em procedimentos individuais 3.1.1.a até 3.1.1.d.

� Adicionado detalhe ao requisito para se alinhar aos procedimentos de teste.

� Novo procedimento de teste 3.1.1 para esclarecer que o avaliador deve verificar se os dados armazenados não excedem os requisitos de retenção definidos na política.

Esclarecimento

3.2 3.2 Requisitos e procedimentos de teste � Adicionada observação para esclarecer que é

permitido a emissores e empresas que suportam o processo de emissão armazenar dados confidenciais quando houver uma justificativa comercial dos dados armazenados em segurança.

� Novo procedimento de teste 3.2.a adicionado para que emissoras e empresas que suportam serviços de emissão verifiquem se há justificativa comercial, caso haja SAD armazenado.

� Renumerado o procedimento de teste 3.2 para 3.2.b, e recebeu o prefácio "Para todas as outras entidades".

Esclarecimento

3.2.1 3.2.1 Requisitos e procedimentos de teste Substituido "em um chip" para "dados equivalentes em um chip" para obter consistência.

Esclarecimento




3.2.1 – 3.2.3 3.2.1 – 3.2.3 Procedimentos de teste Esclarecidos os procedimentos de teste para "analisar as fontes dos dados inclusive mas não limitado ao que segue".

Esclarecimento

3.4 3.4 Requisito � Esclarecido que o requisito se aplica somente

ao PAN. � Removida a observação sobre o mínimo de

informações da conta uma vez que isso tenha sido esclarecido no requisito e na Tabela de Aplicabilidade do PCI DSS.

� Esclarecido os requisitos caso hash ou truncamento sejam usados para converter o PAN em ilegível.

� Adicionada uma observação para identificar o risco de PANs com hash ou truncamento no mesmo ambiente e que os controles de segurança são exigidos para assegurar que o PAN original não pode ser recuperado.

� Excluída a observação sobre o uso de controles de compensação (desde que controles de compensação possam ser aplicados para a maioria dos requisitos do PCI DSS.

Esclarecimento

3.4.d 3.4.d Procedimento de teste Esclarecido que o PAN deve ser "convertido para ilegível ou excluído" em vez de "transformado ou removido".

Esclarecimento

3.4.1.c 3.4.1.c Procedimento de teste Esclarecida a nota para verificar que se a criptografia do disco não for usada para criptografar as mídias removíveis.

Esclarecimento

3.5 3.5 Requisito � Esclarecido que qualquer chave usada para

tornar os dados do titular do cartão seguros deve ser protegida contra divulgação e mal uso.

� Adicionada uma observação para esclarecer como esse requisito se aplica a chaves de criptografia de chaves, se usadas.

Esclarecimento

3.5.1 3.5.1 Procedimento de teste Atualizado o procedimento de teste para se alinhar ao requisito.

Esclarecimento

3.5.2 3.5.2, 3.5.2.a – 3.5.2.b

Requisitos e procedimentos de teste Adicionado o procedimento de teste para se alinhar ao requisito.

Esclarecimento




3.6 3.6 Requisitos e procedimentos de teste � Movida a nota de um procedimento de teste

para o requisito. � Esclarecido no procedimento de teste 3.6.b que

os fornecedores de serviço devem fornecer orientação de gerenciamento de chaves aos clientes, abordando a transmissão, o armazenamento e a atualização das chaves do cliente (não apenas armazenamento), de acordo com o Sub-requisito 3.6.1 até 3.6.8.

� Excluída a nota sobre a transmissão de tais chaves conforme abordado nos subrequisitos.

Esclarecimento

3.6.4 3.6.4 Requisitos e procedimentos de teste � Esclarecido que as trocas de chave são

exigidas quando as chaves atingem o final de seu criptoperíodo, em vez de "pelo menos anualmente."

� Adicionada orientação para as melhores práticas do setor.

Esclarecimento

3.6.5 3.6.5 Requisitos e procedimentos de teste � Alterada a terminologia para esclarecer que as

chaves devem ser inutilizadas ou substituídas quando sua integridade estiver enfraquecida, e fornecidos exemplos.

� Adicionada uma observação de que se as chaves inutilizadas ou substituídas forem mantidas, elas deverão ser arquivadas em segurança e mantidas somente para fins de decodificação ou verificação.

� Adicionado procedimento de teste para verificar que, se as chaves inutilizadas ou substituídas são mantidas, elas não são usadas em operações de codificação.

Esclarecimento

3.6.6 3.6.6 Requisitos e procedimentos de teste � Esclarecido que "conhecimento compartilhado e

controle duplo" se aplicam somente a operações de gerenciamento de chaves criptográficas em texto simples.

� Adicionada uma observação para fornecer exemplos de operações de gerenciamento de chaves.

Esclarecimento

3.6.8 3.6.8 Requisitos e procedimentos de teste Esclarecido que os responsáveis pela proteção das chaves devem "confirmar formalmente" suas responsabilidades de proteção das chaves em vez de "assinar um formulário".

Esclarecimento




4.1 4.1, 4.1.a – 4.1.e

Requisitos e procedimentos de teste � Incluído o SSH como exemplo de protocolo de

segurança, removidos exemplos de procedimentos de teste.

� Separado o procedimento de teste 4.1 nos procedimentos de teste individuais 4.1.a até 4.1.e.

� Esclarecido no procedimento de teste 4.1.b que chaves e/ou certificados confiáveis são necessários para todos os tipos de transmissão, não apenas SSL/TLS.

� Esclarecido no procedimento 4.1.c que o protocolo deve ser implementados para usar configurações seguras.

Esclarecimento

4.1.1 4.1.1 Requisito Atualizada observação acerca do uso de WEP de 30 de junho de 2010.

Esclarecimento

4.2 4.2 Requisitos e procedimentos de teste Alterada a terminologia para esclarecer que os PANs desprotegidos (em vez de não criptografados) não devem nunca ser enviados por tecnologias de mensagem do usuário final.

Esclarecimento

5.2 5.2 Requisitos e procedimentos de teste Esclarecido que mecanismos antivírus devem gerar logs de auditoria, em vez de apenas serem "capazes de gerar" tais logs.

Esclarecimento

6.1 6.1 Requisitos Esclarecida a intenção de proteger os componentes e os softwares do sistema de vulnerabilidades conhecidas.

Esclarecimento

Requisitos e procedimentos de teste Adicionado que além de identificar vulnerabilidades, os processos devem incluir o ranqueamento das vulnerabilidades de acordo com o risco. Fornecida orientação sobre como atribuir o ranqueamento do risco.

6.2

6.2

Observação: O ranqueamento de vulnerabilidades conforme definido em 6.2.a é considerado uma das melhores práticas até 30 de junho de 2012 quando passará a ser um requisito.

Requisito envolvido




6.3 6.3, 6.3.a – 6.3.d

Requisitos e procedimentos de teste � Adicionados os tipos de aplicativos de software

a que as práticas de desenvolvimento seguro se aplicariam.

� Separado o procedimento de teste 6.3 nos procedimentos de teste individuais 6.3.a até 6.3.d.

Esclarecimento

6.3.1 N/D Requisitos e procedimentos de teste Removidos os requisitos e procedimentos de teste uma vez que os testes de vulnerabilidade no 6.3.1 são abordados do 6.5.1 até o 6.5.9.

Esclarecimento

6.3.2 – 6.3.5 6.4.1 – 6.4.4 Requisitos e procedimentos de teste Movidos os requerimentos e procedimentos de teste para o 6.4, para esclarecer a intenção de aplicar os requisitos aos ambientes de desenvolvimento e de teste, não apenas os de desenvolvimento.

Esclarecimento

6.3.6 – 6.3.7 6.3.1 – 6.3.2 Requisitos e procedimentos de teste Renumerados os requisitos e procedimentos de teste devido a uniões ou mudanças de requisitos anteriores.

Esclarecimento

6.3.7 6.3.2 Requisitos e procedimentos de teste � Removida a referência circular da observação. � Consolidados os procedimentos de teste (antes

6.3.7.a e 6.3.7.b) em um único procedimento 6.3.2.a, para combinar aplicativos "internos" e "da Web" em um único procedimento.

� Removida a referência específica aos aplicativos da Web e ao Guia OWASP para consolidar os requisitos de codificação segura para os aplicativos no escopo, inclusive aplicativos fora da Web.

� Renumerado o procedimento de teste 6.3.7.c para 6.3.2.b.

Esclarecimento

6.4 6.4 Requisitos e procedimentos de teste � Esclarecido que os requisitos e procedimentos

de teste se aplicam a processos e procedimentos de controle de alterações.

� Importado o conteúdo do procedimento de teste 6.3. para se alinhar aos procedimentos de teste que eram do 6.3.2 a 6.3.5.

Esclarecimento

6.3.4 6.4.3 Procedimento de teste Removido o texto "nem são sanitizados antes do uso" para esclarecer a intenção.

Esclarecimento




6.4,

6.4.a – 6.4.b

6.4.5, 6.4.5.a – 6.4.5.b

Requisitos e procedimentos de teste Atualizado o requisito 6.4 para se alinhar aos procedimentos de teste 6.4.a até 6.4.b, para abordar os caminhos de segurança e modificações de software.

Esclarecimento

6.4.1 – 6.4.4 6.4.5.1 – 6.4.5.4

Requisitos e procedimentos de teste Renumerados para se alinharem aos requisitos e procedimentos de teste importados (antes 6.3.2 a 6.3.5).

Esclarecimento

6.4.1 6.4.5.1 Procedimento de teste Esclarecido que a documentação do impacto é necessária no procedimento de teste, para se alinhar ao requisito existente.

Esclarecimento

6.4.2 6.4.5.2 Requisitos e procedimentos de teste Esclarecido no requisito e no procedimento de teste que é necessária uma aprovação pelas "partes autorizadas" não apenas o "gerenciamento".

Esclarecimento

6.4.3 6.4.5.3, 6.4.5.3.a – 6.4.5.3.b

Requisitos e procedimentos de teste � Esclarecida a intenção do requisito e do

procedimento de teste 6.4.3 do "teste de funcionalidade para verificar se alterações não têm impacto adverso na segurança do sistema."

� O requisito 6.3.1 uniu-se ao novo procedimento de teste 6.4.5.3.b, para abordar o teste de alterações com referência ao 6.5.

Esclarecimento

6.5 6.5 Requisitos e procedimentos de teste � Esclarecimento de que a codificação segura e a

prevenção de vulnerabilidades se aplicam a todos os tipos de aplicativos personalizados no escopo, não apenas aos aplicativos da Web.

� Removida a dependência do OWASP e incluídos outros exemplos do setor: SANS CWE e CERT.

Esclarecimento

6.5.1 – 6.5.10

6.5.1 – 6.5.9 Requisitos e procedimentos de teste � Vulnerabilidades 6.5.1 a 6.5.10 atualizadas e

combinadas com os requisitos 6.3.1 para refletirem a orientação atual sobre CWE, CERT e OWASP.

� 6.5.7 a 6.5.9 identificados como vulnerabilidades específicas para os aplicativos da web.

Esclarecimento

N/D 6.5.6 Requisitos e procedimentos de teste Adicionado um novo requisito para abordar vulnerabilidades de alto-risco identificadas em 6.2.

Requisito envolvido




Observação: O ranqueamento de vulnerabilidades conforme definido no Requisito 6.2.a é considerado uma das melhores práticas até 30 de junho de 2012 quando passará a ser um requisito.

7.1.3 7.1.3 Requisitos e procedimentos de teste Esclarecido o requisito para aprovação documentada por parte autorizadas, em vez de "um formulário assinado pela gerência".

Esclarecimento

7.2.3 7.2.3 Requisitos e procedimentos de teste Observação movida de um procedimento de teste para o requisito.

Esclarecimento

8 8 Parágrafo introdutório Adicionada observação para se alinhar ao Requisito 3.2 do PA-DSS referente à aplicabilidade do ID de usuário único e os controles da autenticação segura para "contas de usuário com aplicativo de pagamento de um ponto de venda que possua acesso somente a um número de cartão por vez para facilitar a transação única (como contas de caixa)."

Esclarecimento

8.2 8.2 Requisito Adicionado esclarecimento e métodos de autenticação de exemplos.

Esclarecimento

8.3 8.3 Requisitos e procedimentos de teste Esclarecidos os exemplos da autenticação de dois fatores para incluir o Radius "com tokens" e "outras tecnologias que suportam autenticação robusta." A nota adicionada esclarece a intenção da autenticação de dois fatores.

Esclarecimento

8.5 8.5 Requisitos e procedimentos de teste Adicionado o termo “identificação.”

Esclarecimento

8.5.2, 8.5.7, 8.5.8, 8.5.13

8.5.2, 8.5.7, 8.5.8, 8.5.13

Requisitos e procedimentos de teste Adicionada a “autenticação” para permitir maior flexibilidade às empresas outros mecanismos de autenticação além de senhas.

Esclarecimento

8.5.3 8.5.3 Requisitos e procedimentos de teste Incluídas as “redefinições de senha” como exigência de valor único e alteração imediata após o primeiro uso.

Esclarecimento




8.5.6 8.5.6, 8.5.6.a – 8.5.6.b

Requisitos e procedimentos de teste � Esclarecido o "acesso" por fornecedores.

Adicionado o requisito para se alinhar ao procedimento.

� Separado o procedimento de teste 8.5.6 nos procedimentos individuais 8.5.6.a até o 8.5.6.b.

Esclarecimento

8.5.9 – 8.5.13

8.5.9 – 8.5.13 Procedimentos de teste � Esclarecer os requisitos do gerenciamento de

senhas para "usuários que não sejam clientes" sob uma perspectiva de um fornecedor de serviços.

� Separado o procedimento de teste único para distinguir o procedimento para fornecedores de serviço, para cada requisito.

Esclarecimento

8.5.16,

8.5.16.a

8.5.16, 8.5.16.a – 8.5.16.d

Requisitos e procedimentos de teste � Esclarecido que restrições de acesso direto ou

de consultas aos bancos de dados se aplicam ao acesso do usuário.

� Separado o procedimento de teste 8.5.16.a nos procedimentos de teste individuais 8.5.16.a.a até 8.5.16.d.

Esclarecimento

9 9 Parágrafo introdutório � Adicionados os termos e definições para

"funcionário", "visitante" e "mídia" para serem usados ao longo do requisito.

� A nova definição de "funcionário" substitui a antiga para esclarecer a intenção de abrangência.

Esclarecimento

9.1.1 9.1.1.a – 9.1.1.c

Procedimentos de teste � Separado o procedimento de teste 9.1.1 nos

procedimentos de teste individuais 9.1.1.a até 9.1.1.c.

� Alterado para "câmeras de vídeo e/ou mecanismos de controle de acesso" nos procedimentos de teste, uma vez que câmeras de vídeo são mecanismos de monitoramento de acesso que podem ser usados com mecanismo de controle de acesso.

Esclarecimento

9.1.2 9.1.2 Requisitos e procedimentos de teste Substituída a definição de "funcionário". Adicionado exemplo de áreas fisicamente acessíveis.

Esclarecimento

9.1.3 9.1.3 Requisitos e procedimentos de teste Adicionado "hardwares de rede/comunicação e linhas de telecomunicação" à lista de itens para restringir o acesso físico. Esses estavam incluídos antes no Requisito 9.6.

Esclarecimento




9.2,

9.2.a

9.2, 9.2.a – 9.2.b

Requisitos e procedimentos de teste � Substituída a definição de "funcionário". � Separado o procedimento de teste 9.2.a nos

procedimentos individuais 9.2.a até o 9.2.b.

Esclarecimento

9.2.b 9.2.c Procedimentos de teste Esclarecido para verificar se os crachás de visitante são facilmente distinguíveis dos de funcionário.

Esclarecimento

9.3 9.3 Procedimento de teste Esclarecido que o procedimento de teste se aplica aos controles do visitante para se alinhar ao requisito.

Esclarecimento

9.3.1 9.3.1 Procedimentos de teste Esclarecido o procedimento de tentativa de obter acesso para assegurar que não seja permitido aos visitantes acessar fisicamente aquelas áreas desacompanhados.

Esclarecimento

9.3.2 9.3.2, 9.3.2.a – 9.3.2.b

Requisitos e procedimentos de teste � Substituída a definição de "funcionário". � Separado o procedimento de teste 9.3.2 nos

procedimentos individuais 9.3.2.a até o 9.3.2.b. � Esclarecido que o procedimento de teste 9.3.2 é

para verificar se os crachás de identificação de visitante são usados e se eles são distinguíveis dos funcionários.

Esclarecimento

9.4 9.4 Requisitos e procedimentos de teste Substituída a definição de "funcionário".

Esclarecimento

9.5 9.5.a – 9.5.b Procedimentos de teste � Separado o procedimento de teste 9.5 nos

procedimentos individuais 9.5.a até o 9.5.b. � Esclarecido que o procedimento de teste 9.5.a é

para observar a segurança física do local de armazenamento.

Esclarecimento

9.6 9.6 Requisitos e procedimentos de teste � Substituído "documentos impressos e as mídias

eletrônicas" por "todas as mídias" conforme definido no parágrafo introdutório.

� Movido "sistemas de redes e hardwares de comunicação, linhas de telecomunicação" para o procedimento de teste 9.1.3.

Esclarecimento

9.7 - 9.9 9.7 - 9.9. Requisitos e procedimentos de teste Substituídas as referências para "mídia que contenha dados do titular do cartão" por "mídia" conforme já foi definido no parágrafo introdutório.

Esclarecimento




9.7.1 9.7.1 Requisitos e procedimentos de teste Esclarecida a intenção de ser capaz de determinar a confidencialidade dos dados na mídia.

Esclarecimento

10.4 10.4, 10.4.1 – 10.4.3

Requisitos e procedimentos de teste � Esclarecido que a intenção é usar a tecnologia

de sincronização de horário para sincronizar os relógios e os horários do sistema e assegurar que o horário seja adequadamente adquirido, distribuído e armazenado.

� Alterados "sincronização de horário" e "NTP" para "tecnologia de sincronização de horário" ao longo do 10.4 e esclarecido que "NTP" é um exemplo de tecnologia de sincronização de horário.

� Separados os procedimentos de teste 10.4.a até 10.4.c em novos subrequisitos e nos procedimentos de teste 10.4.1 até 10.4.3 (veja abaixo).

Esclarecimento

10.4 10.4.1 Requisitos e procedimentos de teste � Novo subrequisito do procedimento de teste

10.4.b, para assegurar que sistemas críticos tenham o horáriocorreto e consistente.

� Reestruturado o procedimento 10.4.1.b nos novos procedimentos 10.4.1.a e 10.4.1.b, para abordar como o horário é adquirido e distribuído.

Esclarecimento

10.4 10.4.2 Requisitos e procedimentos de teste Novos subrequisitos e procedimentos de teste 10.4.2.a e 10.4.2.b para esclarecer que os dados de horário são protegidos e as alterações de horário são autorizadas.

Esclarecimento

10.4.c 10.4.3 Requisitos e procedimentos de teste Reestruturado o 10.4.c em nogos subrequisitos para assegurar que o horário seja recebido de origens aceitas pelo setor.

Esclarecimento

10.7.b 10.7.b Procedimentos de teste Esclarecido que o teste deve confirmar que os processos de registro de auditoria estejam implementados para "restaurar imediatamente" os dados de log, em vez de os dados de log estarem "imediatamente disponíveis" para análise.

Esclarecimento




11.1 11.1 Requisitos e procedimentos de teste � Esclarecido que o processo deve estar

implementado para "detectar trimestralmente pontos de acesso sem fio não autorizados".

� Adicionada flexibilidade para que os métodos usados possam incluir varreduras de rede sem fio, inspeções lógicas/físicas dos componentes e da infraestrutura do sistema, controle de acesso à rede (NAC) ou IDS/IPS sem fio e que qualquer método que seja usado, deve ser suficiente para detectar e identificar qualquer dispositivo não autorizado.


11.1.a – 11.1.c

11.1.a – 11.1.e

Procedimentos de teste � Separado o procedimento de teste 11.1.a em

procedimentos individuais 11.1.a até 11.1.c. � Adicionado o novo procedimento de teste 11.1.b

para testar se a metodologia é adequada para detectar pontos de acesso sem fio não autorizados.

� Renumerados os procedimentos de teste 11.1.b até 11.1.d e esclarecido que a configuração para gerar alertas aos funcionários se aplicarão se o monitoramento automático for usado.

� Renumerado o procedimento de teste 11.1.c para 11.1.e

Esclarecimento

11.2 11.2, 11.2.1 – 11.2.3

Requisitos e procedimentos de teste � Separados e renumerados os requerimentos de

varredura interna e externa 11.2 para subrequisitos e procedimentos de teste 11.2.1 até 11.2.3.

� Movida a observação do procedimento de teste 11.2.b para o Requisito 11.2 para esclarecer que quatro varreduras internas e externas devem ser verificadas.

Esclarecimento

11.2.a 11.2.1.a – 11.2.1.c

Procedimento de teste � Esclarecido que o processo de varredura inclui

novas varreduras até que os resultados aprovados sejam obtidos ou todas as vulnerabilidades definidas como "Alto", conforme definido no Requisito 6.2 do PCI DSS, estejam solucionadas.

� Esclarecido que varreduras internas devem ser realizadas por partes qualificadas.

Esclarecimento




11.2.b 11.2.2.a – 11.2.2.b

Procedimentos de teste � Substituído "Procedimentos de varredura de

segurança do PCI DSS" por "Requisitos do guia do programa ASV".

� Esclarecido que os ASVs são selecionados pelo PCI Security Standards Council (PCE SSC).

Esclarecimento

11.2.c 11.2.3.a – 11.2.3.c

Procedimentos de teste Esclarecidos os requisitos para que as varreduras internas e externas incluam novas varreduras até que as vulnerabilidades de alto risco sejam abordadas e sejam realizadas por partes qualificadas.

Esclarecimento

11.3 11.3 Requisitos e procedimentos de teste � Esclarecido que vulnerabilidades exploráveis

devem ser abordadas. � Separado o procedimento de teste 11.3.a nos

procedimentos de teste individuais 11.3.a até 11.3.b.

Esclarecimento

11.3.2 11.3.2 Requisitos e procedimentos de teste Esclarecido que o teste de penetração do aplicativo deve testar as vulnerabilidades relevantes e abranger todos os tipos de aplicativo no escopo.

Esclarecimento

11.4 11.4 Requisitos e procedimentos de teste Esclarecido que IDS/IPS monitoram o tráfego no perímetro e nos pontos principais no CDE, em vez de todo o tráfego no CDE.

Esclarecimento

11.5 11.5, 11.5.a – 11.5.b

Requisitos e procedimentos de teste � Substituído "software" por "ferramentas" para

esclarecer a intenção de que o software comercial não é o único meio de atender ao requisito.

� Adicionado o procedimento de teste 11.5.b para se alinhar ao requisito existente para alertar os funcionários sobre modificações não autorizadas e para executar comparações críticas pelo menos semanalmente.

Esclarecimento

12 12 Título do Requisito Substituído "funcionários e prestadores de serviços" por "todas as equipes".

Esclarecimento

12 12 Parágrafo introdutório Substituído "funcionários" por "equipes" com uma definição revisada em alguns aspectos.

Esclarecimento

12.1 12.1 Procedimentos de teste Substituído "funcionários" por "equipes".

Esclarecimento




12.1.2 12.1.2 Requisitos e procedimentos de teste � Adicionados exemplos de metodologias de

avaliação. � Esclarecido que o teste deve verificar a

documentação da avaliação de risco.


12.1.3 12.1.3 Requisito Substituído "uma vez por ano" por "anualmente".

Esclarecimento

12.3 12.3 Requisitos e procedimentos de teste � Removido "voltadas aos funcionários" para

esclarecer. � Adicionado "tablet" como exemplo de

tecnologias.

Esclarecimento

12.3.1 12.3.1 Requisitos e procedimentos de teste Substituído "gerência" por "partes autorizadas."

Esclarecimento

12.3.4 12.3.4 Requisitos e procedimentos de teste Esclarecido para permitir a identificação lógica.

Esclarecimento

12.3.9 12.3.9 Requisitos e procedimentos de teste Adicionado "parceiros comerciais" ao requisito juntamente a "fornecedores".

Esclarecimento

12.3.10 12.3.10, 12.3.10.a – 12.3.10.b

Requisitos e procedimentos de teste � Fornecida flexibilidade para limitar proibições às

equipes sem autorização. � Renumerado o procedimento de teste 12.3.10

para 12.3.10.a. Adicionado o novo procedimento de teste 12.3.10.b para verificar se as equipes com autorização adequada estão protegendo os dados do titular do cartão de acordo com os requisitos PCI DSS.

Esclarecimento

12.4 12.4 Requisitos e procedimentos de teste Substituído "funcionários e prestadores de serviços" por "todas as equipes".

Esclarecimento

12.6 12.6 Requisitos e procedimentos de teste Substituído "funcionários" por "equipes".

Esclarecimento

12.6.1 12.6.1 Requisitos e procedimentos de teste � Substituído "funcionários" por "equipes". � Adicionada observação para fornecer

orientações sobre métodos variáveis dependendo da função da equipe.


12.6.2 12.6.2 Requisitos e procedimentos de teste � Substituído "funcionários" por "equipes". � Substituído "empresa" por "entidade".

Esclarecimento




12.7 12.7 Requisitos e procedimentos de teste � Substituído "funcionários" por "equipes". � Movido o exemplo de um procedimento de teste

para o requisito. � Esclarecida a nota no Requisito 12.7 para

aplicar a "potenciais equipes a serem contratadas para certas funções".

Esclarecimento

12.8 12.8 Procedimento de teste Substituído "entidade que estiver sendo avaliada" por "entidade" para obter consistência.

Esclarecimento

12.8.4 12.8.4 Requisitos e procedimentos de teste Esclarecido o requisito para monitorar a conformidade dos fornecedores de serviço da PCI DSS. Substituir "entidade avaliada" por "entidade".


12.9.1 12.9.1, 12.9.1.a – 12.9.1.b

Procedimento de teste � Adicionado o procedimento de teste 12.9.1.b

para esclarecer se o teste deve incluir a verificação do seguimento dos procedimentos documentados.

� Renumerado o procedimento de teste 12.9.1 para 12.9.1.a

Esclarecimento

12.9.3 12.9.3 Procedimento de teste Esclarecido que as equipes designadas devem estar disponíveis para atender a incidentes 24 hs, 7 dias na semana, para se alinhar ao requerimento.

Esclarecimento

Apêndice D Atestado de conformidade

– Comerciantes

Atestado de conformidade � Removido do Apêndice como um documento

separado. � Reorganizadas as informações de contato do

avaliador e do comerciante.

Esclarecimento

Apêndice E Atestado de conformidade – Prestadores de serviços

Atestado de conformidade � Removido do Apêndice como um documento

separado. � Reorganizadas as informações de contato do

avaliador e do fornecedor de serviço. � Opções adicionais fornecidas na lista de

"serviços que estavam incluídos no escopo da avaliação do PCI DSS" e adicionada lista de serviços não abordados pela avaliação do PCI DSS.

Esclarecimento




Apêndice F Apêndice D Segmentação e amostragem de áreas de negócios/componentes do sistema � Renomeado para esclarecer o fluxo de

processo para segmentação e amostragem. � Criados títulos separados de seção para

segmentação e amostragem. � Atualizados para se alinharem com a seção de

amostragem da introdução.

Esclarecimento

i Explicações do "Tipo":

Tipo novo Tipo antigo Definição

Esclarecimento Esclarecimento Esclarece o propósito do requisito. Garante que um texto conciso nos padrões retratem a intenção desejada dos requisitos.


Explicativo Explicações e/ou definições para melhorar a compreensão ou fornecer mais informações sobre um tópico específico.

Requisito envolvido Aperfeiçoamentos Alterações para assegurar que os padrões estejam atualizados em relação às ameaças emergentes e às alterações no mercado.

padrão de segurança de dados do setor de cartões de ... · adicionadas informações sobre...

Documents