Com o surgimento das ocorrências de fraudes com cartões, as maiores companhias do ramo no mundo (Visa, Mastercard, American Express, JCB, Discover) reuniram-se e formaram o Payment Card Industry Security Standards Council (PCI SSC) em setembro de 2006 para coordenar as atualizações ao PCI Data Security Standard (PCI DSS). O PCI DSS determina requisitos de segurança a serem seguidos pelos usuários, desenvolvedores e fornecedores de serviços de pagamento com cartão.
Em resumo os requisitos do PCI DSS são os seguintes:
- Construa e mantenha uma rede segura
- Instale e mantenha uma configuração de firewall para proteger os dados.
- Não use as senhas padrão de sistema e outros parâmetros de segurança fornecidos pelos prestadores de serviços.
- Proteja os dados do portador do cartão
- Proteja os dados armazenados.
- codifique a transmissão dos dados do portador de cartão e as informações importantes que transitam nas redes públicas.
- Mantenha um programa de administração da vulnerabilidade
- Use e atualize regularmente o software antivírus.
- Desenvolva e mantenha seguros os aplicativos.
- Implemente medidas rígidas de controle de acesso
- restrinja o acesso aos dados e apenas aqueles que necessitam conhecê-los para a execução dos trabalhos.
- atribua um ID único para cada pessoa que possua acesso ao computador.
- restrinja ao máximo o acesso físico aos dados do portador do cartão.
- Acompanhe e teste regularmente as redes
- acompanhe e monitore todo o acesso aos recursos da rede e dados do portador de cartão.
- teste regularmente os sistemas e os processos de segurança.
- Mantenha uma política de segurança de informação
- mantenha uma política que atenda à segurança da informação.
Este documento tem por objetivo descrever as atividades necessárias para adequar a instalação do D-TEF aos requisitos de segurança exigidos pelo PCI DSS. Para atender a esses requisitos, seguem regras para configuração e instalação do ambiente de servidores e rede, além da utilização dos aplicativos do D-TEF.
Este documento é revisado e atualizado anualmente de acordo com a última versão do PA-DSS e com as alterações no software D-TEF.