• Criado por Usuário desconhecido (rodrigo.dias) em jul 03, 2017

Regras para utilização segura de modems e servidores:

  • Desenvolva políticas definindo o uso por funcionários que lidam com tecnologias críticas, tais como modems e wireless, para definir o uso apropriado destas tecnologias para todos os funcionários e prestadores de serviços. Certifique-se de que estas políticas de uso exijam:
  • aprovação explícita pela administração;
  • aprovação explícita pela administração;
  • autenticação para o uso da tecnologia;
  • uma lista de todos os dispositivos e funcionários com acesso;
  • etiquetagem dos dispositivos com indicação do proprietário, informação de contato e objetivo;
  • uso aceitável da tecnologia;
  • localização aceitável da rede para estas tecnologias;
  • uma lista de produtos aprovados pela empresa;
  • desligamento automático da sessão com modem após um período de inatividade específico;
  • ativação dos modems para os prestadores de serviço apenas quando for necessário, com imediata desativação após o uso;
  • desativação da armazenagem de dados do portador de cartão nas unidades de disco locais, floppy disks ou outra mídia externa quando os dados do portador de cartão forem acessados remotamente via modem. Também desativar as funções "copiar-e-colar", e "imprimir" durante o acesso remoto. Os procedimentos de configuração estão na seção abaixo.

Regras para identificação de usuários no acesso aos servidores:

  • Identifique todos os usuários com um nome de usuário único antes que tenham permissão para acessar os componentes do sistema ou os dados do portador de cartão;
  • Utilize pelo menos um dos métodos abaixo, em adição a uma identificação exclusiva, para autenticar todos os usuários:
  • senha;
  • dispositivos de identificação física (ex: ID de Segurança, certificados ou chaves públicas);
  • autenticação biométrica.
  • codifique todas as senhas durante a transmissão e armazenamento em todos os componentes do sistema.
  • garanta a autenticação eficiente do usuário e administração da senha para os usuários não consumidores e administradores em todos os componentes do sistema:
  • controle a adição, exclusão e modificação dos IDs dos usuários, credenciais e outros métodos de identificação;
  • verifique a identidade do usuário antes de executar a mudança de senhas;
  • estabeleça senhas de uso inicial com um valor único por usuário e faça uma mudança imediata após ser usada pela primeira vez;
  • revogue imediatamente o acesso para usuários cancelados. Os procedimentos de configuração estão na seção abaixo.
  • remova as contas de usuários inativos pelo menos a cada 90 dias. Os procedimentos de configuração estão na seção abaixo.
  • habilite as contas usadas pelos prestadores de serviço para a manutenção remota apenas durante o tempo estritamente necessário;
  • distribua os procedimentos de senha e os regulamentos para todos os usuários que possuam acesso à informação do portador de cartão;
  • autentique todo o acesso a qualquer banco de dados contendo informações do portador de cartão. Estes incluem o acesso via aplicativos, administradores e todos os demais usuários.

(Referências: PA-DSS 3.1)

  • Sem rótulos