Aplica-se a todos os envolvidos no processamento de cartões:
- usuários, fornecedores;
- integradores, revendedores, distribuidores, comerciantes;
- emissores, adquirentes;
- prestadores de serviço;
PCI (Payment Card Industry) Security Standards Council: organização internacional de bandeiras (Visa, Mastercard, Amex, Discover e JCB) com o objetivo de definir, implementar, aprimorar, divulgar e incentivar padrões de segurança para todos os envolvidos no mundo das transações eletrônicas.
PCI DSS (Data Security Standard): conjunto de requisitos a serem atendidos por organizações que desejam ser “PCI compliant”. Os requisitos PCI se aplicam àquele que coleta, processa, armazena ou transmite informações de cartões.
PCI PA DSS (Payment Application DSS): conjun.to de requisitos a serem atendidos por aplicações de pagamento que precisam receber o certificado “PCI compliant”.
Dados de autenticação confidenciais: não podem ser armazenados depois da autorização.
PAN: pode ser armazenado, mas de forma ilegível (hash ou criptografia).
- não reter dados de cartão: trilha, senha, código de segurança;
- proteger os dados do portador;
- oferecer funcionalidades de autenticação segura;
- registrar a atividade da aplicação de pagamento;
- desenvolver aplicações de pagamento seguras;
- proteger as transmissões wireless;
- testar as aplicações de pagamento para eliminar vulnerabilidades e manter atualizações das aplicações;
- facilitar a implementação de rede segura;
- dados de cartão não devem ser armazenados em servidor conectado na internet;
- acesso remoto seguro;
- criptografar dados críticos em redes públicas;
- acesso administrativo sem console de forma segura;
- manter um guia de implementação para clientes, revendedores, integradores e distribuidores;
- designar responsabilidades a indivíduos para manutenção de programas de treinamento;
- guia de como realizar a implementação (instalação do TEF) de forma segura;
- controle de acesso;
- configuração de banco de dados;
- configuração da rede;
- acesso remoto;
- redes sem fio;
- criptografia;
- segmentação da rede;
- política de segurança da informação;
- monitoração e teste da rede;
- configuração do D-TEF e aplicativos;
- não utilize senhas genéricas ou senhas padrão;
- as senhas devem ser atualizadas a cada 90 dias;
- senhas complexas;
- senhas não podem ser repetidas;
- não utilizar contas padrão (por exemplo, conta "sa" ou "administrador");
- bloquear por tentativas repetidas sem sucesso, por pelo menos 30 min;
- desativar o acesso por no máximo 15 min de inatividade;
No Guia de Implementação há instruções para:
- criação de usuário administrador no SQL Server;
- criação de usuário administrador no Linux;
- criação de usuário administrador no Windows;
Definição de uma política de uso de servidores e tecnologias “críticas”, como redes sem fio e dispositivos de armazenamento:
- lista de funcionários com acesso;
- controle de criação de usuários e alteração de senhas;
- controle de usuários;
- desativação de armazenagem de dados de portador de cartão quando o dispositivo for acessado remotamente;
- controle de senhas;
- autenticação de acesso a ambientes com dados do portador do cartão;
No Guia de Implementação há instruções para:
- desabilitar redirecionamento de dispositivos e recursos locais (impressoras, unidades de disco, área de transferência);
- desativar usuário do D-TEF Web;
- excluir usuário do D-TEF Web;
- o acesso deve ser feito através de rede com protocolos de criptografia seguros, como SSH versão 2, VPN IPSec com criptogafia 3DES de 168 bits, TLSv1.1 em diante;
- o acesso deverá estar ativo somente pelo tempo necessário para o acesso remoto;
- controle de usuários e senhas;
- habilitar log de registros de acessos;
- uma senha para cada cliente;
- instalação de firewall entre as redes sem fio e o ambiente da rede pagamento;
- alterar senhas padrão dos equipamentos;
- usar criptografia forte com tecnologias como WPA, WPA2, TLSv1.1;
(WEP, SSL, TLSv1.0 não podem ser mais utilizados);
- o servidor de TEF não pode estar disponível diretamente na Internet;
- deve haver um firewall entre a internet e os servidores onde forem armazenados dados de cartão;
- o servidor Web e o servidor do D-TEF devem ser instalados em máquinas separadas;
- ter conhecimento da norma PCI;
- manter uma cultura de segurança;
- identificar as mudanças necessárias e criar um plano de ação para as atividades;
- recorrer a consultorias especializadas, caso necessário;
- monitoração dos logs dos aplicativos;
- revisão dos logs do sistema operacional;
- revisão de logs de firewalls, servidores Web e outros aplicativos, procurando por tentativas de acesso não autorizados;
No Guia de Implementação há instruções para:
- acessar logs de segurança do D-TEF Web;
- acessar logs de eventos do Windows;
- acessar logs de eventos do Linux;
- acessar logs do Apache;
- acessar logs do IIS;
- configuração do servidor Web para usar HTTPS
- remoção de dados históricos
- no D-TEF, usar os aplicativos RemoveLogsAntigos.exe e SegurancaInformacoes.exe;
- no banco de dados, usar os comandos vacum para PostGreSQL e shrink para MS SQL Server;
- no Windows, usar o comando sdelete (secure delete) para limpar áreas do disco que não são mais utilizadas;
- no Linux, usar um script (descrito no Guia de Implementação) para fazer a limpeza do disco
- usar o aplicativo SegurancaInformacoes.exe para fazer a troca da chave de criptografia, pelo menos uma vez ao ano
- configuração de um servidor de log para centralizar os registros
- atualização do sistema operacional com os updates mais recentes
- configuração do sistema operacional
- cada usuário deve ter o seu próprio login
- contas de administrador não devem ser utilizadas regularmente
- contas default devem ser desabilitadas
- configuração do log de eventos
- serviços e protocolos não utilizados deverão ser desabilitados - configuração de políticas de senha
- senhas complexas
- configuração de histórico de senhas, para não permitir que a nova senha seja igual de uma das 4 últimas
- tamanho mínimo da senha de 7 caracteres
- tempo de vida máximo de 90 dias - diretivas de bloqueio de conta
- duração do bloqueio da conta de 30 min
- limite de 6 tentativas de logon inválidas antes do bloqueio - e-mail
- o D-TEF não envia dados de cartão por e-mail, mas se isso for necessário o usuário deverá criptografar a mensagem. O Microsoft Outlook possui uma opção para isso; - antivírus / antispyware / firewall
- deve ser instalado para qualquer servidor - log de eventos do D-TEF Web, com as informações:
- identificação do usuário, tipo do evento, data/hora, indicação de sucesso ou falha, origem do evento e identificação do recurso afetado;
- manual de configuração e instalação do D-TEF;
- habilitação da rede TCP/IP em todas as máquinas e servidores;
- portas TCP a serem liberadas:
6800: D-TEF
6801: serviço de atualização automática
6802: sondas para status do sistema
6803: serviço TarefasDTEF8.exe
6804: serviço ComandosDTEF.8exe
6850: comunicação com aplicações POS/Mobile
5432: banco de dados PostGreSQL
1433: banco de dados SQL Server
443: serviço web HTTPS
- coleta de logs:
- coleta de logs e informações em quantidade limitada;
- armazenamento desses logs em local específico;
- criptografia dos dados coletados;
- remoção dos logs após o uso; - os logs podem ser coletados pela ferramenta ColetaLogs. Os arquivos já são criptografados;
- o acesso para suporte deverá ser feito através de VPN;
- utilizar página de downloads:
https://www9.direção.com/downloads - verificar MD5;
- O versionamento das aplicações do D-TEF é feito utilizando 4 componentes, separados pelo caractere ponto (“.”), no formato 8.AB.XX.YYZZ, onde:
- 8: 8 (fixo) – identifica o produto D-TEF 8.
- A: representa alterações na aplicação com alto impacto para o PA-DSS. Formato: N (dígito numérico de 0 a 9).
- B: representa alterações na aplicação com baixo impacto para os requisitos PA-DSS. Formato: N (um dígito numérico de 0 a 9). Se este identificador não estiver presente, possui valor 0.
- XX: versão atualizada quando há implementações e evolução do produto, sem impacto para os requisitos PCI PA-DSS. Formato: NN (dois dígitos numéricos).
- YY: versão atualizada quando há implementações de funcionalidades mais simples ou inclusão de novas redes de pequeno porte, sem impacto para os requisitos PCI PA-DSS. Formato: NN (dois dígitos numéricos).
- ZZ: versão atualizada quando há correções de bugs ou ajustes pontuais, sem impacto para os requisitos PCI PA-DSS. Formato: NN (dois dígitos numéricos). Se esse identificador não estiver presente, possui valor 00.
- Documentação PCI:
- manter-se atualizado com a documentação disponível em https://www.pcisecuritystandards.org - Listas de segurança:
- acompanhar listas de segurança com relatórios de novas vulnerabilidades descobertas
- exemplo: http://www.securityfocus.com