• Criado por Usuário desconhecido (rodrigo.dias) em jun 16, 2017
Sobre

Aplica-se a todos os envolvidos no processamento de cartões:

  • usuários, fornecedores;
  • integradores, revendedores, distribuidores, comerciantes;
  • emissores, adquirentes;
  • prestadores de serviço;
Geral

PCI (Payment Card Industry) Security Standards Council: organização internacional de bandeiras (Visa, Mastercard, Amex, Discover e JCB) com o objetivo de definir, implementar, aprimorar, divulgar e incentivar padrões de segurança para todos os envolvidos no mundo das transações eletrônicas.
PCI DSS (Data Security Standard): conjunto de requisitos a serem atendidos por organizações que desejam ser “PCI compliant”. Os requisitos PCI se aplicam àquele que coleta, processa, armazena ou transmite informações de cartões.
PCI PA DSS (Payment Application DSS): conjun.to de requisitos a serem atendidos por aplicações de pagamento que precisam receber o certificado “PCI compliant”.

Classificação dos dados

Dados de autenticação confidenciais: não podem ser armazenados depois da autorização.
PAN: pode ser armazenado, mas de forma ilegível (hash ou criptografia).

Requisitos PA-DSS
  1. não reter dados de cartão: trilha, senha, código de segurança;
  2. proteger os dados do portador;
  3. oferecer funcionalidades de autenticação segura;
  4. registrar a atividade da aplicação de pagamento;
  5. desenvolver aplicações de pagamento seguras;
  6. proteger as transmissões wireless;
  7. testar as aplicações de pagamento para eliminar vulnerabilidades e manter atualizações das aplicações;
  8. facilitar a implementação de rede segura;
  9. dados de cartão não devem ser armazenados em servidor conectado na internet;
  10. acesso remoto seguro;
  11. criptografar dados críticos em redes públicas;
  12. acesso administrativo sem console de forma segura;
  13. manter um guia de implementação para clientes, revendedores, integradores e distribuidores;
  14. designar responsabilidades a indivíduos para manutenção de programas de treinamento;
Guia de Implementação
  • guia de como realizar a implementação (instalação do TEF) de forma segura;
  • controle de acesso;
  • configuração de banco de dados;
  • configuração da rede;
  • acesso remoto;
  • redes sem fio;
  • criptografia;
  • segmentação da rede;
  • política de segurança da informação;
  • monitoração e teste da rede;
  • configuração do D-TEF e aplicativos;
Controle de acesso
  • não utilize senhas genéricas ou senhas padrão;
  • as senhas devem ser atualizadas a cada 90 dias;
  • senhas complexas;
  • senhas não podem ser repetidas;
  • não utilizar contas padrão (por exemplo, conta "sa" ou "administrador");
  • bloquear por tentativas repetidas sem sucesso, por pelo menos 30 min;
  • desativar o acesso por no máximo 15 min de inatividade;
Controle de acesso - configurações

No Guia de Implementação há instruções para:

  • criação de usuário administrador no SQL Server;
  • criação de usuário administrador no Linux;
  • criação de usuário administrador no Windows;
Configuração da rede e usuários

Definição de uma política de uso de servidores e tecnologias “críticas”, como redes sem fio e dispositivos de armazenamento:

  • lista de funcionários com acesso;
  • controle de criação de usuários e alteração de senhas;
  • controle de usuários;
  • desativação de armazenagem de dados de portador de cartão quando o dispositivo for acessado remotamente;
  • controle de senhas;
  • autenticação de acesso a ambientes com dados do portador do cartão;
Configuração da rede e usuários - configurações

No Guia de Implementação há instruções para:

  • desabilitar redirecionamento de dispositivos e recursos locais (impressoras, unidades de disco, área de transferência);
  • desativar usuário do D-TEF Web;
  • excluir usuário do D-TEF Web;
Acesso remoto
  • o acesso deve ser feito através de rede com protocolos de criptografia seguros, como SSH versão 2, VPN IPSec com criptogafia 3DES de 168 bits, TLSv1.1 em diante;
  • o acesso deverá estar ativo somente pelo tempo necessário para o acesso remoto;
  • controle de usuários e senhas;
  • habilitar log de registros de acessos;
  • uma senha para cada cliente;
Redes sem fio
  • instalação de firewall entre as redes sem fio e o ambiente da rede pagamento;
  • alterar senhas padrão dos equipamentos;
  • usar criptografia forte com tecnologias como WPA, WPA2, TLSv1.1;
    (WEP, SSL, TLSv1.0 não podem ser mais utilizados);
Segmentação da rede
  • o servidor de TEF não pode estar disponível diretamente na Internet;
  • deve haver um firewall entre a internet e os servidores onde forem armazenados dados de cartão;
  • o servidor Web e o servidor do D-TEF devem ser instalados em máquinas separadas;


Política de segurança da informação
  • ter conhecimento da norma PCI;
  • manter uma cultura de segurança;
  • identificar as mudanças necessárias e criar um plano de ação para as atividades;
  • recorrer a consultorias especializadas, caso necessário;
Monitoração e teste da rede
  • monitoração dos logs dos aplicativos;
  • revisão dos logs do sistema operacional;
  • revisão de logs de firewalls, servidores Web e outros aplicativos, procurando por tentativas de acesso não autorizados;
Monitoração de testes e rede - configurações

No Guia de Implementação há instruções para:

  • acessar logs de segurança do D-TEF Web;
  • acessar logs de eventos do Windows;
  • acessar logs de eventos do Linux;
  • acessar logs do Apache;
  • acessar logs do IIS;
Configuração dos aplicativos
  • configuração do servidor Web para usar HTTPS
  • remoção de dados históricos
     - no D-TEF, usar os aplicativos RemoveLogsAntigos.exe e SegurancaInformacoes.exe;
     - no banco de dados, usar os comandos vacum para PostGreSQL e shrink para MS SQL Server;
     - no Windows, usar o comando sdelete (secure delete) para limpar áreas do disco que não são mais utilizadas;
     - no Linux, usar um script (descrito no Guia de Implementação) para fazer a limpeza do disco
  • usar o aplicativo SegurancaInformacoes.exe para fazer a troca da chave de criptografia, pelo menos uma vez ao ano
  • configuração de um servidor de log para centralizar os registros
  • atualização do sistema operacional com os updates mais recentes
  • configuração do sistema operacional
     - cada usuário deve ter o seu próprio login
     - contas de administrador não devem ser utilizadas regularmente
     - contas default devem ser desabilitadas
     - configuração do log de eventos
     - serviços e protocolos não utilizados deverão ser desabilitados
  • configuração de políticas de senha
     - senhas complexas
     - configuração de histórico de senhas, para não permitir que a nova senha seja igual de uma das 4 últimas
     - tamanho mínimo da senha de 7 caracteres
     - tempo de vida máximo de 90 dias
  • diretivas de bloqueio de conta
     - duração do bloqueio da conta de 30 min
     - limite de 6 tentativas de logon inválidas antes do bloqueio
  • e-mail
     - o D-TEF não envia dados de cartão por e-mail, mas se isso for necessário o usuário deverá criptografar a mensagem. O Microsoft Outlook possui uma opção para isso;
  • antivírus / antispyware / firewall
     - deve ser instalado para qualquer servidor
  • log de eventos do D-TEF Web, com as informações:
     - identificação do usuário, tipo do evento, data/hora, indicação de sucesso ou falha, origem do evento e identificação do recurso afetado;
Requisitos de hardware e software
  • manual de configuração e instalação do D-TEF;
  • habilitação da rede TCP/IP em todas as máquinas e servidores;
  • portas TCP a serem liberadas:
    6800: D-TEF
    6801: serviço de atualização automática
    6802: sondas para status do sistema
    6803: serviço TarefasDTEF8.exe
    6804: serviço ComandosDTEF.8exe
    6850: comunicação com aplicações POS/Mobile
    5432: banco de dados PostGreSQL
    1433: banco de dados SQL Server
    443: serviço web HTTPS
Suporte
  • coleta de logs:
     - coleta de logs e informações em quantidade limitada;
     - armazenamento desses logs em local específico;
     - criptografia dos dados coletados;
     - remoção dos logs após o uso;
  • os logs podem ser coletados pela ferramenta ColetaLogs. Os arquivos já são criptografados;
  • o acesso para suporte deverá ser feito através de VPN;
Distribuição de aplicativos
Versionamento das aplicações
  • O versionamento das aplicações do D-TEF é feito utilizando 4 componentes, separados pelo caractere ponto (“.”), no formato 8.AB.XX.YYZZ, onde:
     - 8: 8 (fixo) – identifica o produto D-TEF 8.
     - A: representa alterações na aplicação com alto impacto para o PA-DSS. Formato: N (dígito numérico de 0 a 9).
     - B: representa alterações na aplicação com baixo impacto para os requisitos PA-DSS. Formato: N (um dígito numérico de 0 a 9). Se este identificador não estiver presente, possui valor 0.
     - XX: versão atualizada quando há implementações e evolução do produto, sem impacto para os requisitos PCI PA-DSS. Formato: NN (dois dígitos numéricos).
     - YY: versão atualizada quando há implementações de funcionalidades mais simples ou inclusão de novas redes de pequeno porte, sem impacto para os requisitos PCI PA-DSS. Formato: NN (dois dígitos numéricos).
     - ZZ: versão atualizada quando há correções de bugs ou ajustes pontuais, sem impacto para os requisitos PCI PA-DSS. Formato: NN (dois dígitos numéricos). Se esse identificador não estiver presente, possui valor 00.
Acompanhamento