setor de cartões de pagamento (pci) padrão de segurança de ... · (autorização e acordo), 2)...

Setor de Cartões de Pagamento (PCI) Padrão de Segurança de Dados de Aplicativos de Pagamento

Requisitos e procedimentos de avaliação de segurança

Versão 1.2.1 Julho de 2009

Requisitos do PCI PA-DSS e Procedimentos de Avaliação de Segurança, v1.2 Página i Copyright 2008 PCI Security Standards Council LLC Outubro de 2008

Alterações no documento Date Version Description Pages

1 de outubro de 2008 1.2 Alinhar o conteúdo com o novo PCI DSS v1.2 e implementar pequenas alterações observadas

desde o original v1.1.

Em “Escopo de PA-DSS”, alinhar o conteúdo com o Guia do Programa PA-DSS, v1.2.1, para esclarecer as aplicações para asquais o PA-DSS se aplica. v, vi

Em Requisito de laboratório 6, corrigir a grafia de “OWASP.” 36 Julho de 2009 1.2.1 Em Atestado de validade, Parte 2a, atualizar Funcionalidade de aplicativo de pagamento para ser consistente com os tipos de aplicativos listados no Guia do Programa PA-DSS, e esclarecer os procedimentos de revalidação na Parte 3b.

38

Requisitos do PCI PA-DSS e Procedimentos de Avaliação de Segurança, v1.2 Página ii Copyright 2008 PCI Security Standards Council LLC Outubro de 2008

Índice Alterações no documento............................................................................................................................................................................................ i Introdução.................................................................................................................................................................................................................... iv

Objetivo deste documento..........................................................................................................................................................................................iv Relação entre PCI DSS e PA-DSS ............................................................................................................................................................................iv Escopo de PA-DSS .....................................................................................................................................................................................................v Aplicabilidade do PA-DSS a terminais de hardware ................................................................................................................................................. vii Funções e responsabilidades.................................................................................................................................................................................... vii Guia de implementação do PA-DSS...........................................................................................................................................................................x Requisitos do assessor de segurança qualificado para o aplicativo de pagamento (PA-QSA) .................................................................................x Laboratório de testes..................................................................................................................................................................................................xi

Informações de aplicabilidade do PCI DSS............................................................................................................................................................. xii Instruções e conteúdo para relatório de validação............................................................................................................................................... xiii Etapas para preenchimento do PA-DSS.................................................................................................................................................................. xv Guia de programa do PA-DSS .................................................................................................................................................................................. xv Requisitos do PA-DSS e procedimentos da avaliação de segurança.................................................................................................................... 1

1. Não reter todos os dados da tarja magnética, do código ou valor de validação do cartão (CAV2, CID, CVC2, CVV2) ou bloqueio do PIN.. 1 2. Proteger os dados armazenados do portador do cartão .................................................................................................................................. 6 3. Fornecer recursos de autenticação segura ...................................................................................................................................................... 9 4. Registrar em log a atividade do aplicativo de pagamento .............................................................................................................................. 12 5. Desenvolver aplicativos de pagamento seguros ............................................................................................................................................ 13 6. Proteger transmissões wireless ...................................................................................................................................................................... 18 7. Testar aplicativos de pagamento para solucionar vulnerabilidades ............................................................................................................... 20 8. Facilitar a implementação de rede segura...................................................................................................................................................... 21 9. Os dados do portador do cartão nunca devem ser armazenados em servidores conectados à Internet ...................................................... 21 10. Facilitar atualizações de software remotas seguras ....................................................................................................................................... 22 11. Facilitar o acesso remoto seguro ao aplicativo de pagamento....................................................................................................................... 23 12. Criptografar tráfego sensível por redes públicas ............................................................................................................................................ 26 13. Criptografar todos os acessos administrativos não-console........................................................................................................................... 27 14. Manter documentação educativa e programas de treinamento para clientes, revendedores e integradores................................................ 27

Requisitos do PCI PA-DSS e Procedimentos de Avaliação de Segurança, v1.2 Página iii Copyright 2008 PCI Security Standards Council LLC Outubro de 2008

Anexo A: Resumo do conteúdo do Guia de implementação do PA-DSS ........................................................................................................... 29 Anexo B: Confirmação da configuração do laboratório de testes específico para a avaliação do PA-DSS .................................................. 34 Anexo C: Atestado de validação ............................................................................................................................................................................. 38

Requisitos do PCI PA-DSS e Procedimentos de Avaliação de Segurança, v1.2 Página iv Copyright 2008 PCI Security Standards Council LLC Outubro de 2008

Introdução Objetivo deste documento Este documento destina-se a ser utilizado por Assessores de segurança qualificados de aplicativos de pagamento (PA-QSAs) na realização de revisões de aplicativos de pagamento, de modo que os fornecedores de software possam validar que o aplicativo de pagamento está em conformidade com o Padrão de segurança de dados de aplicativos de pagamento (PA-DSS) do PCI. Este documento também deve ser usado pelos PA-QSAs como um modelo para criar o Relatório de validação.

Relação entre PCI DSS e PA-DSS Os requisitos para o Padrão de segurança de dados de aplicativos de pagamento (PA-DSS) derivam-se do Requisitos do padrão de segurança de dados do setor de cartões de pagamento (PCI) – Requisitos e procedimentos de avaliação de segurança. Esse documento, que pode ser encontrado no site www.pcisecuritystandards.org, detalha o que necessário para ficar em conformidade com o PCI DSS (e portanto, a que aplicativo de pagamento deve oferecer suporte para facilitar a conformidade com o PCI DSS do cliente). A conformidade tradicional do Padrão de segurança de dados do PCI pode não se aplicar diretamente aos fornecedores de aplicativos de pagamento, visto que a maioria não armazena, processa ou transmite dados do portador do cartão. No entanto, visto que esses aplicativos de pagamento são usados pelo cliente para armazenar, processar e transmitir dados de portador de cartão, e os clientes precisam estar em conformidade com o Padrão de segurança de dados do PCI, os aplicativos devem facilitar e não impedir a conformidade com o Padrão de segurança de dados do PCI do cliente. Veja a seguir algumas formas nas quais os aplicativos de pagamento podem impedir a conformidade.

1. Armazenamento de dados de tarja magnética na rede do cliente após a autorização. 2. Aplicativos que exigem que os clientes desabilitem outros recursos necessários pelo Padrão de segurança de dados do PCI, como

software antivírus ou firewalls, para que o aplicativo de pagamento funcione corretamente. 3. Uso por parte do fornecedor de métodos não seguros para conectar-se ao aplicativo para oferecer suporte ao cliente.

Os aplicativos de pagamento seguros, quando implementados em um ambiente compatível com PCI-DSS, minimizarão as possibilidades de quebras na segurança, levando ao comprometimento de todos os dados da tarja magnética, códigos e valores de validação do cartão (CAV2, CID, CVC2 e CVV2), PINs e bloqueios de PIN e a fraudes destruidoras resultantes dessas quebras.

Requisitos do PCI PA-DSS e Procedimentos de Avaliação de Segurança, v1.2 Página v Copyright 2008 PCI Security Standards Council LLC Outubro de 2008

Escopo de PA-DSS

O PA-DSS aplica-se a fornecedores de software e outros desenvolvedores de aplicativos de pagamento que armazenam, processam ou transmitem dados de portador de cartão como parte da autorização ou acordo, em que esses aplicativos de pagamento são vendidos, distribuídos ou licenciados a terceiros.

O seguinte guia pode ser utilizado para determinar se o PA-DSS aplica-se a um determinado aplicativo:

Observação: Nenhum produto de aplicativos de pagamento validados deverá ser versão beta.

O PA-DSS destina-se a aplicativos de pagamento que geralmente são vendidos e instalados de forma pré-definida sem muita personalização dos fornecedores de software.

O PA-DSS destina-se a aplicativos de pagamento fornecidos em módulos, que geralmente incluem um módulo “base” e outros específicos aos tipos ou às funções do cliente, ou personalizados conforme a solicitação do cliente. O PA-DSS pode destinar-se apenas ao módulo base se esse módulo for o único que realiza funções de pagamento (assim que confirmado por um PA-QSA). Se os outros módulos também realizarem funções de pagamento, o PA-DSS também irá aplicar-se a esses módulos. Observe que isso é considerado uma “prática recomendada” para fornecedores de software de modo a isolar as funções de pagamento em um único ou pequeno número de módulos base, reservando os outros para funções que não sejam de pagamento. Essa prática recomendada (embora não seja um requisito) pode limitar o número de módulos sujeitos ao PA-DSS.

O PA-DSS NÃO se aplica a aplicativos de pagamento oferecidos por provedores de aplicativos ou de serviços apenas como serviço (a não ser que esses aplicativos sejam também vendidos, licenciados ou distribuídos para tecerceiros) porque:

1) O aplicativo é um serviçi oferecido para clientes (geralmente comerciantes) e os clientes não têm a capaciadade de gerenciar, instalar ou controlar o aplicativo em seu ambiente;

2) O aplicativo é coberto pela revisão de PCI DSS do provedor do aplicativo ou do serviço (essa cobertura deve ser confirmada pelo cliente); e/ou

3) O aplicativo não é vendido, distribuído ou licenciado para terceiros.

Exemplos desses aplicativos de pagamento “software como serviço” incluem:

1) Os oferecidos por Provedores de Serviços de Aplicativos (ASP) que hospedam um aplicativo de pagamento em seu site para uso pelos seus clientes. Observe que o PA-DSS se aplicará, entretanto, se o aplicativo de pagamento do ASP for também vendido para ou implementado em um site de terceiro e o aplicativo não estiver coberto por uma revisão ede API DSS do ASP.

2) Aplicativos de terminal virtual que residam no site de um provedor de serviços e são usados por comerciantes para inserir suas transações de pagamento. Observe que o PA-DSS se aplicará se o aplicativo de terminal virtual tiver uma porção que seja distribuída para ou implementada no site do comerciante e não estiver coberto prla revisão de PCI DSS do fornecedor de terminar virtual.

O PA-DSS NÃO se aplica a aplicativos que não sejam de pagamento que sejam parte de um conjunto de aplicativos de pagamento. Esses aplicativos (por exemplo, um aplicativo de monitoramento, classificação ou detecção de fraude incluído em um conjunto ) pode ser, mas não é obrigado a ser, coberto por PA-DSS se o conjunto inteiro for avaliado em conjunto. No entanto, se um aplicativo de

Requisitos do PCI PA-DSS e Procedimentos de Avaliação de Segurança, v1.2 Página vi Copyright 2008 PCI Security Standards Council LLC Outubro de 2008

pagamento for parte de um conjunto que depende dos requisitos do PA-DSS serem atendidos por controles em outros aplicativos no conjunto, uma única avaliação de PA-DSS deve ser executada para o aplicativo de pagamento e todos os outros aplicativos do conjunto de que ele depende. Esses aplicativos nãodevem ser avaliados separadamente de outros aplicativos de que dependen, uma vez que todos os os requisitos de PA-DSS não são atendidos dentro de um único aplicativo.

O PA-DSS NÃO se destina a aplicativos de pagamento desenvolvidos e vendidos somente para um cliente, pois esse aplicativo será coberto como parte da revisão de conformidade normal do PCI DSS do cliente. Observe que tal aplicativo (que pode ser referido como um aplicativo “sob medida”) é vendido apenas a um cliente (geralmente um grande comerciante ou fornecedor de serviços) e é projetado e desenvolvido de acordo com as especificações fornecidas pelo cliente.

O PA-DSS NÃO se destina a aplicativos de pagamento desenvolvidos por comerciantes e fornecedores de serviço se utilizados apenas internamente (não vendido a terceiros), visto que esse aplicativo de pagamento desenvolvido internamente deveria ser coberto como parte da conformidade normal do comerciante ou fornecedor de serviço do PCI DSS.

Por exemplo, para os últimos itens anteriores, caso o aplicativo de pagamento desenvolvido internamente ou sob medida armazene dados de autenticação confidenciais proibidos ou permita que senhas complexas sejam cobertas como parte dos esforços de conformidade normal do comerciante ou do fornecedor de serviço do PCI DSS e não exijam uma avaliação separada do PA-DSS.

A lista a seguir, embora não seja totalmente inclusiva, ilustra os aplicativos que NÃO são aplicativos de pagamento para a finalidade do PA-DSS (e, portanto, não precisam passar pelas revisões do PA-DSS):

Sistemas operacionais nos quais o aplicativo é instalado (por exemplo, Windows, Unix). Sistemas de bancos de dados que armazenam dados de portador de cartão (por exemplo, Oracle). Sistemas de back-office que armazenam dados do portador do cartão (por exemplo, para emissão de

relatórios ou serviços ao cliente).

Observação:

O PCI SSC listará SOMENTE os aplicativos que são de pagamento.

Requisitos do PCI PA-DSS e Procedimentos de Avaliação de Segurança, v1.2 Página vii Copyright 2008 PCI Security Standards Council LLC Outubro de 2008

O escopo da revisão do PA-DSS deve incluir o seguinte:

Cobertura de todas as funcionalidades do aplicativo de pagamento, incluindo sem limitações 1) funções de pagamento ponta-a-ponta (autorização e acordo), 2) entrada e saída, 3) condições de erro, 4) interfaces e conexões a outros arquivos, sistemas, e/ou aplicativos de pagamento ou componentes desses aplicativos, 5) todos os fluxos de dados de portadores de cartão, 6) mecanismos de criptografia e 7) mecanismos de autenticação.

Cobertura da orientação do fornecedor do aplicativo de pagamento esperada pelos clientes e revendedores/integradores (consulte o Guia de implementação do PA-DSS posteriormente neste documento) para garantir que 1) o cliente saiba como implementar o aplicativo de pagamento de uma forma compatível com o PCI DSS e 2) o cliente seja informado claramente que determinados aplicativos de pagamento e configurações de ambiente podem impedir sua conformidade com o PCI DSS. Observe que se espera que o fornecedor do aplicativo de pagamento forneça tal orientação mesmo quando a configuração específica 1) não puder ser controlada pelo fornecedor do aplicativo de pagamento assim que o aplicativo for instalado pelo cliente ou 2) for de responsabilidade do cliente e não for fornecedor do aplicativo.

Cobertura de todas as plataformas selecionadas para a versão revisada do aplicativo de pagamento (as plataformas incluídas devem ser especificadas).

Cobertura das ferramentas utilizadas pelo aplicativo ou dentro dele para acessar e/ou visualizar dados do portador do cartão (ferramentas de relatório, de log, etc.).

Aplicabilidade do PA-DSS a terminais de hardware Os terminais de hardware com aplicativos de pagamento residentes (também chamados terminais POS “burros” ou terminais POS autônomos) não precisam passar pela revisão do PA-DSS se todas as afirmações a seguir forem verdadeiras:

O terminal não possui conexões a qualquer sistema ou rede do comerciante. O terminal conecta-se somente ao adquirente ou processador. O fornecedor do aplicativo de pagamento fornece 1) atualizações, 2) resolução de problemas, 3) acesso e 4) manutenção remotas

seguras. Os seguintes itens nunca são armazenados após a autorização: o conteúdo completo de qualquer rastro da tarja magnética (que está na

parte traseira do cartão, em um chip ou outro local), o código ou valor de validação do cartão (número de três ou quatro dígitos impresso na frente ou no versão do cartão de pagamento), o PIN ou o bloqueio criptografado do PIN.

Funções e responsabilidades

Existem vários interessados na comunidade do aplicativo de pagamento. Alguns desses interessados possuem uma participação mais direta no processo de avaliação do PA-DSS – fornecedores, PA-QSAs e PCI SSC. Os outros que não estão diretamente envolvidos no processo de avaliação devem estar cientes do processo geral para facilitar suas decisões de negócios associadas.

A seguir encontram-se as definições das funções e das responsabilidades dos participantes da comunidade do aplicativo de pagamento. Esses interessados envolvidos no processo de avaliação possuem as responsabilidades relacionadas listadas a seguir.

Requisitos do PCI PA-DSS e Procedimentos de Avaliação de Segurança, v1.2 Página viii Copyright 2008 PCI Security Standards Council LLC Outubro de 2008

Bandeiras de pagamento A American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc. são as bandeiras de pagamento que fundaram o PCI SSC. Essas empresas são responsáveis pelo desenvolvimento e utilização de quaisquer programas relacionados à conformidade do PA-DSS, incluindo sem limitações o seguinte:

Quaisquer requisitos, mandatos ou datas para uso dos aplicativos de pagamento em conformidade com o PA-DSS. Quaisquer multas ou penalidades relacionadas ao uso de aplicativos de pagamento não conformes.

As bandeiras podem definir a conformidade dos programas, mandatos, datas, etc. usando o PA-DSS e os aplicativos de pagamento validados listados pelo PCI SSC. Por meio desses programas de conformidade, as bandeiras promovem o uso dos aplicativos de pagamento validados relacionados.

Conselho de padrões de segurança do setor de cartões de pagamento (PCI SSC) O PCI SSC é o organismo de normas que mantém os padrões do setor de cartões de pagamento, incluindo o PCI DSS e o PA-DSS. Em relação ao PA-DSS, o PCI SSC:

É um repositório centralizado para Relatórios de validação (ROVs) do PA-DSS. Realiza revisões de Controle de qualidade (QA) dos ROVs do PA-DSS para confirmar a consistência e a qualidade do relatório. Lista os aplicativos de pagamento validados do PA-DSS no site. Qualifica e treina os PA-QSAs para realizar revisões do PA-DSS. Mantém e atualiza os padrões do PA-DSS e a documentação relacionada de acordo com o processo de gerenciamento do ciclo de vida

dos padrões. Observe que o PCI SSC não aprova relatório de uma perspectiva de validação. A função do PA-QSA é documentar a conformidade do aplicativo de pagamento ao PA-DSS a partir da data da avaliação. Adicionalmente, o PCI SSC realiza o QA para garantir que os PA-QSAs documentaram de forma completa e precisa as avaliações do PA-DSS.

Fornecedores de software Os fornecedores de software (“fornecedores”) desenvolvem aplicativos de pagamento que armazenam, processam ou transmitem dados do portador do cartão como parte da autorização ou acordo e então vendem, distribuem ou licenciam esses aplicativos de pagamento a terceiros (clientes ou revendedores/integradores). Os fornecedores são responsáveis pelo seguinte:

Criação de aplicativos de pagamento em conformidade com o PA-DSS que facilitam e não impedem a conformidade com o PCI DSS dos clientes (O aplicativo não requer uma implementação ou configuração que viole os requisitos do PCI DSS.).

Cumprimento dos requisitos do PCI DSS sempre que o fornecedor armazena, processa ou transmite dados do portador do cartão (por exemplo, durante soluções de problemas com o cliente).

Criação de um Guia de implementação do PA-DSS, específico a cada aplicativo de pagamento, de acordo com os requisitos contidos neste documento.

Orientação aos clientes, revendedores e integradores sobre como instalar e configurar os aplicativos de pagamento em conformidade com o PCI DSS.

Garantia de que os aplicativos de pagamento atendam aos requisitos do PA-DSS passando com êxito pela revisão do PA-DSS, conforme especificado neste documento.

Requisitos do PCI PA-DSS e Procedimentos de Avaliação de Segurança, v1.2 Página ix Copyright 2008 PCI Security Standards Council LLC Outubro de 2008

PA-QSAs Os PA-QSAs são QSAs que foram qualificados e treinados pelo PCI SSC para realizar revisões do PA-DSS. Observe que nem todos os QSAs são PA-QSAs – existem requisitos de qualificação adicionais que devem ser atendidos para que um QSA torne-se um PA-QSA.

Os PA-QSAs são responsáveis pelo seguinte: Realização de avaliações dos aplicativos de pagamento de acordo com os Procedimentos de avaliação de segurança e os Requisitos de

validação do PA-QSA. Fornecimento de opiniões indicando se o aplicativo de pagamento atende aos requisitos do PA-DSS. Fornecimento da documentação adequada dentro do ROV para demonstrar a conformidade do aplicativo de pagamento com o PA-DSS. Envio do ROV ao PCI SSC, junto com o Atestado de validação (assinado pelo PA-QSA e pelo fornecedor). Manutenção de um processo de controle de qualidade interno para seus esforços do PA-QSA.

É responsabilidade do PA-QSA informar se o aplicativo de pagamento obteve a conformidade. O PCI SSC não aprova ROVs de uma perspectiva técnica de conformidade, mas realiza revisões de QA nos ROVs para garantir que os relatórios documentam corretamente a demonstração da conformidade.

Revendedores e integradores Revendedores e integradores são as entidades que vendem, instalam e/ou consertam aplicativos de pagamento em nome de fornecedores de software ou outros. Os revendedores e integradores são responsáveis pelo seguinte:

Implementação de aplicativos de pagamento em conformidade com o PA-DSS em um ambiente compatível com o PCI DSS (ou orientação ao comerciante sobre como fazê-lo).

Configuração do aplicativo de pagamento (em que as opções de configuração são fornecidas) de acordo com o Guia de implementação do PA-DSS oferecido pelo fornecedor.

Configuração do aplicativo de pagamento (ou orientação ao comerciante sobre como fazê-lo) em conformidade com o PCI DSS. Manutenção de aplicativos de pagamento (por exemplo, resolução de problemas, ofertas de atualizações remotas e suporte remoto) de

acordo com o Guia de implementação do PA-DSS e o PCI DSS.

Os revendedores e integradores não enviam aplicativos de pagamento para avaliação. Os produtos somente podem ser enviados pelo fornecedor.

Requisitos do PCI PA-DSS e Procedimentos de Avaliação de Segurança, v1.2 Página x Copyright 2008 PCI Security Standards Council LLC Outubro de 2008

Clientes Os clientes são comerciantes, provedores de serviço e outros que compram ou recebem um aplicativo de pagamento de terceiro para armazenar, processar ou transmitir dados do portador do cartão como parte da autorização ou acordo de transações de pagamento. Os clientes que desejam usar os aplicativos de pagamento em conformidade com o PA-DSS são responsáveis pelo seguinte:

Implementação de um aplicativo de pagamento em conformidade com o PA-DSS em um ambiente compatível com o PCI DSS.

Configuração do aplicativo de pagamento (em que as opções de configuração são fornecidas) de acordo com o Guia de implementação do PA-DSS oferecido pelo fornecedor.

Observação:

O aplicativo de pagamento compatível com o PA-DSS somente não é garantia de conformidade com o PCI DSS.

Configuração do aplicativo de pagamento em conformidade com o PCI DSS. Manutenção do status de conformidade com o PCI DSS para o ambiente e a configuração do aplicativo de pagamento.

Guia de implementação do PA-DSS Os aplicativos de pagamento validados devem ser capazes de ser implementados em conformidade com o PCI DSS. Os fornecedores de software precisam fornecer um Guia de implementação do PA-DSS para instruir seus clientes e revendedores/integradores sobre a implementação segura do aplicativo, para documentar as especificações de configuração seguras mencionadas neste documento e para delinear claramente as responsabilidades do fornecedor, revendedor/integrador e cliente no atendimento aos requisitos do PCI DSS. Nele deve estar detalhado como o cliente e/ou revendedor/integrador deve habilitar as configurações de segurança na rede do cliente. Por exemplo, o Guia de implementação do PA-DSS deve abordar as responsabilidades e os recursos básicos da segurança do PCI DSS mesmo se isso não for controlado pelo aplicativo de pagamento, de modo que o cliente ou revendedor/integrador compreenda como implementar senhas seguras para a conformidade com o PCI DSS. Os aplicativos de pagamento, quando implementados de acordo com o Guia de implementação do PA-DSS, e quando implementados em um ambiente em conformidade com o PCI DSS, deve facilitar e oferecer suporta para a conformidade com o PCI DSS do cliente. Consulte o “Anexo A: Resumo do conteúdo do Guia de implementação do PA-DSS” para ver uma comparação das responsabilidades para implementação dos controles especificados no Guia de implementação do PA-DSS.

Requisitos do assessor de segurança qualificado para o aplicativo de pagamento (PA-QSA) Somente os Assessores de segurança qualificados para o aplicativo de pagamento (PA-QSAs) empregados pelas empresas de

Assessores de segurança qualificados (QSA) podem realizar avaliações do PA-DSS. Consulte a lista de Assessores de segurança qualificados no site www.pcisecuritystandards.org para obter a lista de empresas qualificadas que realizam as avaliações do PA-DSS.

O PA-QSA deve utilizar os procedimentos de teste documentados neste Padrão de segurança de dados de aplicativos de pagamento.

Requisitos do PCI PA-DSS e Procedimentos de Avaliação de Segurança, v1.2 Página xi Copyright 2008 PCI Security Standards Council LLC Outubro de 2008

Laboratório de testes

O PA-QSA deve ter acesso ao laboratório quando o processo de validação estiver prestes a ocorrer. Esse laboratório deve ter condições de simular o uso real do aplicativo de pagamento.

Consulte o Anexo B: Confirmação da configuração do laboratório de testes específico para a avaliação do PA-DSS neste documento para conhecer em detalhes os requisitos para os processos do relatório e relacionados.

O PA-QSA deve preencher e enviar o Anexo B, preenchido para o laboratório específico utilizado para o aplicativo de pagamento em revisão, como parte do relatório do PA-DSS preenchido.

Requisitos do PCI PA-DSS e Procedimentos de Avaliação de Segurança, v1.2 Página xii Copyright 2008 PCI Security Standards Council LLC Outubro de 2008

Informações de aplicabilidade do PCI DSS (retirado do PCI DSS v1.2) A tabela a seguir do Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) ilustra os elementos utilizados comumente dos dados do portador do cartão e dos dados de autenticação confidenciais, seja o armazenamento dos dados permitido ou proibido e caso o cartão precise ser protegido. Esta tabela não é detalhada, destina-se apenas a ilustrar os diferentes tipos de requisitos que se aplicam a cada elemento de dados. O Número de conta principal (PAN) é o fator decisivo na aplicabilidade dos requisitos do PCI DSS e do PA-DSS. Se o PAN não for armazenado, processado ou transmitido, o PCI DSS e o PA-DSS não se aplicam.

Elemento de dados

Armazenamento permitido

Proteção necessária

Req. do PCI DSS 3, 4

Número da conta principal Sim Sim Sim

Nome do portador do cartão 1

Sim Sim 1 Não

Código de serviço 1 Sim Sim 1 Não

Dados do portador do cartão

Data de vencimento 1 Sim Sim 1 Não Dados completos da tarja

magnética3 Não N/D N/D

CAV2/CID/CVC2/CVV2 Não N/D N/D

Dados de autenticação

confidenciais 2 PIN/Bloco de PIN Não N/D N/D

1 Esses elementos de dados devem ser protegidos se forem armazenados em conjunto com o PAN. Essa proteção deve ser feita com base

nos requisitos do PCI DSS para proteção geral do ambiente do portador do cartão. Além disso, outras legislações (por exemplo, relacionadas à proteção de dados do consumidor, privacidade, roubo de identidade ou segurança de dados) podem exigir uma proteção específica desses dados ou a divulgação adequada das práticas de empresas se os dados pessoais do cliente estiverem sendo coletados durante o curso dos negócios. O PCI DSS, no entanto, não se aplica se o PAN não for armazenado, processado ou transmitido.

2 Não armazenar dados de autenticação confidenciais após a autorização (mesmo se estiverem criptografados). 3 Dados de acompanhamento completo da tarja magnética, imagem da tarja magnética no chip ou outro local.

Requisitos do PCI PA-DSS e Procedimentos de Avaliação de Segurança, v1.2 Página xiii Copyright 2008 PCI Security Standards Council LLC Outubro de 2008

Instruções e conteúdo para relatório de validação Este documento deve ser utilizado por PA-QSAs como o modelo para a criação do Relatório de validação. Todos os PA-QSAs devem seguir as instruções contidas neste documento em relação ao conteúdo e formato do relatório ao concluir o Relatório de validação. Esse relatório deve conter as seguintes informações como prefácio dos Requisitos e procedimentos de avaliação de segurança detalhados:

1. Descrição do escopo da revisão Descreve o escopo da cobertura da revisão, conforme a seção Escopo do PA-DSS, anteriormente. Período da validação. Versão do PA-DSS usada para a avaliação A lista da documentação revisada.

2. Resumo executivo Inclui o seguinte:

Nome do produto. Versão do produto e plataformas relacionadas cobertas. Lista de revendedores e/ou integradores deste produto. Sistemas operacionais com os quais o aplicativo de pagamento foi testado. Software de banco de dados utilizado ou suportado pelo aplicativo de pagamento. Breve descrição do aplicativo de pagamento/família de produtos (2-3 linhas). Diagrama de rede de uma implementação típica do aplicativo de pagamento (não necessariamente uma implementação específica

no local do cliente) que inclua, em alto nível: o Conexões para entrar e sair da rede do cliente. o Componentes na rede do cliente, incluindo dispositivos POS, sistemas, bancos de dados e servidores web, conforme

aplicável. o Outros aplicativos/componentes de pagamento, conforme aplicável.

Descrição ou diagrama de cada parte do link de comunicação, incluindo (1) LAN, WAN ou Internet, (2) comunicação de software host-a-host e (3) dentro do host onde o software é implantado (por exemplo, com dois processos diferentes comunicam-se no mesmo host).

Um diagrama de fluxo de dados que mostra todos os fluxos de dados do portador do cartão, incluindo autorização, captura, acordo e fluxos de chargeback, conforme aplicável.

Requisitos do PCI PA-DSS e Procedimentos de Avaliação de Segurança, v1.2 Página xiv Copyright 2008 PCI Security Standards Council LLC Outubro de 2008

Descrição breve dos arquivos e tabelas que armazenam os dados do portador do cartão, suportado por um inventário criado (ou obtido de um fornecedor de software) e retidos pelo PA-QSA na documentação – esse inventário deve incluir, para cada armazenamento de dados do portador do cartão (arquivo, tabela, etc.):

- Lista de todos os elementos dos dados de portador do cartão armazenados. - Como o armazenamento de dados é protegido. - Como o acesso ao armazenamento de dados é registrado.

Lista de todos os aplicativos de pagamento relacionados a componentes de software, incluindo requisitos e dependências de software de terceiros.

Descrição dos métodos de autenticação ponta-a-ponta dos aplicativos de pagamento, incluindo o mecanismo de autenticação do aplicativos, o banco de dados de autenticação e a segurança do armazenamento de dados.

Descrição da função do aplicativo de pagamento em uma implementação típica e quais outros tipos de aplicativos de pagamento são necessários para uma implementação de pagamento completa.

Descrição do cliente típico para o qual esse produto é vendido (por exemplo, por exemplo, pequeno, grande, específico do setor, real, virtual) e da base de clientes do fornecedor (por exemplo, segmento do mercado, grandes clientes).

Definição da metodologia de versão do fornecedor, para descrever/ilustrar como o fornecedor indica mudanças de versão grandes e pequenas por meio dos números de versão e para definir quais tipos de alterações o fornecedor inclui nessas mudanças.

Observe que o Anexo B: Confirmação da configuração do laboratório de testes específico para a avaliação do PA-DSS também deve ser preenchido e enviado com o relatório do PA-DSS preenchido.

3. Descobertas e observações Todos os PA-QSAs devem utilizar o seguinte modelo para informar com detalhes as descrições e descobertas no relatório. Descrição dos testes realizados diferentes daqueles incluídos na coluna de procedimentos de teste.

4. Informações de contato e data do relatório Informações de contato do fornecedor de software (incluir URL, número de telefone e endereço de e-mail). Informações de contato do PA-QSA (incluir nome, número de telefone e endereço de e-mail). Informações de contato principais do Controle de qualidade (QA) do PA-QSA (incluir o nome do contato principal de QA, o número

de telefone e o endereço de e-mail). A data do relatório

Requisitos do PCI PA-DSS e Procedimentos de Avaliação de Segurança, v1.2 Página xv Copyright 2008 PCI Security Standards Council LLC Outubro de 2008

Etapas para preenchimento do PA-DSS Este documento contém a tabela de Requisitos e procedimentos de avaliação de segurança, além do Anexo B: Confirmação da Configuração do Laboratório de Testes Específico para a Avaliação do PA-DSS e Anexo C: Atestado de validação. Os Requisitos e procedimentos de avaliação de segurança detalham os procedimentos que devem ser realizados pelo PA-QSA. O Anexo B: Confirmação da configuração do laboratório de testes específico para a avaliação do PA-DSS deve ser preenchido pelo PA-QSA para confirmar o status e as capacidades do laboratório de testes utilizado para conduzir a avaliação do PA-DSS. O PA-QSA e o fornecedor de software devem assinar e preencher o Anexo C: Atestado de validação após a conclusão do Relatório de validação.

O PA-QSA deve concluir as seguintes etapas: 1. Preencher o Relatório de validação utilizando este documento como modelo:

a. Preencher o prefácio do Relatório de validação de acordo com a seção “Instruções e conteúdo para o relatório de validação”. b. Preencher e documentar todas as etapas detalhadas nos Requisitos e procedimentos de avaliação de segurança, incluindo uma

breve descrição dos controles observados na coluna “Implementado” e anotando quaisquer comentários. Observe que um relatório com as opiniões “Fora do lugar” não deve ser enviado ao PCI SSC até que todos os itens estejam anotados como “Implementado”.

2. Preencha o Anexo B: Confirmação da configuração do laboratório de testes específico para a avaliação do PA-DSS. 3. Preencha e assine o Anexo C: Atestado de validação (tanto PA-QSA quando fornecedor do software). 4. Após a conclusão, envie ao PCI SSC todos os documentos descritos anteriormente, de acordo com o Guia do programa do PA-DSS.

Guia de programa do PA-DSS Consulte o Guia do programa PA-DSS para obter informações sobre o gerenciamento do programa PA-DSS, incluindo os seguintes tópicos:

Envio do relatório do PA-DSS e aceitação dos processos. Processo de renovação anual para aplicativos de pagamento incluídos na lista de Aplicativos validados pelo PA-DSS. Transição de aplicativos validados pelo PABP para a lista de Aplicativos de pagamento validados pelo PA-DSS. Notificação das responsabilidades caso algum aplicativo de pagamento listado tenha cometido falha em algum compromisso.

O PCI SSC reserva-se o direito de exigir revalidação devido a alterações significativas ao Padrão de segurança de dados do aplicativo de pagamento e/ou devido a vulnerabilidades identificadas especificamente em um aplicativo de pagamento listado.

Requisitos do PCI PA-DSS e Procedimentos de Avaliação de Segurança, v1.2 Página 1 Copyright 2008 PCI Security Standards Council LLC Outubro de 2008

Requisitos do PA-DSS e procedimentos da avaliação de segurança

Requisitos do PA-DSS

Procedimentos de teste Implementado

Não implementado

Data prevista/

Comentários

1. Não reter todos os dados da tarja magnética, do código ou valor de validação do cartão (CAV2, CID, CVC2, CVV2) ou bloqueio do PIN

1.1 Não armazenar dados de autenticação confidenciais após a autorização (mesmo se estiverem criptografados): Os dados de autenticação confidenciais incluem os dados conforme mencionados nos seguintes Requisitos 1.1.1 até 1.1.3. Requisito do padrão de segurança de dados do PCI 3.2 Observação: Por meio da proibição do armazenamento de dados de autenticação confidenciais após a autorização, a hipótese é que a transação concluiu o processo de autorização e o cliente recebeu a aprovação final da transação. Após a conclusão da autorização, esses dados de autenticação confidenciais não podem ser armazenados.

1.1 Se os dados de autenticação confidenciais (veja os itens 1.1.1–1.1.3 a seguir) forem armazenados antes da autorização e depois excluídos, obtenha e revise a metodologia para exclusão de dados para determinar se os dados não pode ser recuperados. Para cada item dos dados de autenticação confidenciais a seguir, proceda da seguinte forma após a conclusão de diversas transações de teste que simulam todas as funções do aplicativo de pagamento, para incluir a geração de condições de erro e entradas de log.




Não implementado

Data prevista/

Comentários

1.1.1 Depois da autorização, não armazene o conteúdo completo de qualquer rastro da tarja magnética (localizada na parte posterior do cartão, em um chio ou outro local). Esses dados também são denominados como rastro completo, rastro, rastro 1, rastro 2 e dados da tarja magnética.

No curso normal dos negócios, os seguintes elementos de dados da tarja magnética talvez precisem ser retidos: O nome do portador da conta. O número da conta principal (PAN), A data de vencimento e O código de serviço

Para minimizar o risco, armazene somente os elementos de dados necessários para os negócios.

Observação: Veja Glossário de termos, abreviações e acrônimos do PCI DSS e PA-DSS para obter mais informações. Requisito do padrão de segurança de dados do PCI 3.2.1

1.1.1 Uso de ferramentas e/ou métodos forenses (ferramentas comerciais, scripts, etc.)4 para examinar todo o resultado criado pelo aplicativo de pagamento e para verificar se todo o conteúdo de qualquer rastro na tarja magnética na parte traseira do cartão não está armazenado após a autorização. Inclusão dos seguintes tipos de arquivos (assim como qualquer outro resultado gerado pelo aplicativo de pagamento): Dados de transação de entrada Todos os registros (por exemplo,

transação, histórico, depuração, erro) Arquivos do histórico Arquivos de rastros Memória não-volátil, incluindo o cache não-volátil

Esquemas do banco de dados Conteúdo do bancos de dados

4 Ferramenta ou método forense: Uma ferramenta ou método utilizado para descobrir, analisar e apresentar dados forenses, que fornecem uma forma robusta

de autenticar, pesquisar e recuperar evidências no computador de forma rápida e ampla. No caso das ferramentas ou métodos forenses utilizados pelos PA-QSAs, essas ferramentas ou métodos devem localizar com precisão qualquer dados de autenticação confidencial gravado pelo aplicativo de pagamento. Essas ferramentas podem ser comerciais, de código aberto ou desenvolvidas internamente pelo PA-QSA.




Não implementado

Data prevista/

Comentários

1.1.2 Após a autorização, não armazene valores ou códigos de validação do cartão (número de três ou quatro dígitos na frente ou no verso do cartão de pagamento) utilizados para verificar transações virtuais com o cartão. Observação: Veja Glossário de termos, abreviações e acrônimos do PCI DSS e PA-DSS para obter mais informações. Requisito do padrão de segurança de dados do PCI 3.2.2

1.1.2 Uso de ferramentas e/ou métodos forenses (ferramentas comerciais, scripts, etc.)5 para examinar todo o resultado criado pelo aplicativo de pagamento e para verificar se o código de validação de três ou quatro dígitos impresso na frente do cartão ou no painel de assinatura (dados CVV2, CVC2, CID, CAV2) não é armazenado após a autorização. Inclusão dos seguintes tipos de arquivos (assim como qualquer outro resultado gerado pelo aplicativo de pagamento): Dados de transação de entrada Todos os registros (por exemplo, transação, histórico, depuração, erro)

Arquivos do histórico Arquivos de rastros Memória não-volátil, incluindo o cache não-volátil


5 Ferramenta ou método forense: Uma ferramenta ou método utilizado para descobrir, analisar e apresentar dados forenses, que fornecem uma forma robusta de autenticar,

pesquisar e recuperar evidências no computador de forma rápida e ampla. No caso das ferramentas ou métodos forenses utilizados pelos PA-QSAs, essas ferramentas ou métodos devem localizar com precisão qualquer dados de autenticação confidencial gravado pelo aplicativo de pagamento. Essas ferramentas podem ser comerciais, de código aberto ou desenvolvidas internamente pelo PA-QSA.




Não implementado

Data prevista/

Comentários

1.1.3 Após a autorização, não armazene o número de identificação pessoal (PIN) ou o bloqueio de PIN criptografado. Observação: Veja Glossário de termos, abreviações e acrônimos do PCI DSS e PA-DSS para obter mais informações. Requisito do padrão de segurança de dados do PCI 3.2.3

1.1.3 Uso de ferramentas e/ou métodos forenses (ferramentas comerciais, scripts, etc.)5 para examinar todo o resultado criado pelo aplicativo de pagamento e para verificar se os PINs e bloqueios PIN criptografados não são armazenados após a autorização. Inclusão dos seguintes tipos de arquivos (assim como qualquer outro resultado gerado pelo aplicativo de pagamento): Dados de transação de entrada Todos os registros (por exemplo, transação, histórico, depuração, erro)

Arquivos do histórico Arquivos de rastros Memória não-volátil, incluindo o cache não-volátil


1.1.4.a Revisão do Guia de implementação do PA-DSS preparado pelo fornecedor e verificação se a documentação inclui as seguintes instruções para clientes e revendedores/integradores: Se os dados do histórico devem ser removidos (dados da tarja magnética, códigos de validação do cartão, PINs ou bloqueios de PIN armazenados por versões anteriores do aplicativo de pagamento).

Como remover dados do histórico. Se tal remoção é absolutamente necessária para a conformidade com o PCI DSS.

1.1.4 Exclusão segura de quaisquer dados da tarja magnética, valores ou códigos de validação do cartão e PINs ou dados de bloqueio de PIN armazenados por versões anteriores do aplicativo de pagamento, de acordo com os padrões aceitos pelo setor para exclusão segura, conforme definidos, por exemplo, pela lista de produtos aprovados mantida pela Agência de segurança nacional ou por outros padrões ou normas estaduais ou nacionais. Requisito do padrão de segurança de dados do PCI 3.2 Observação: esse requisito aplica-se somente se versões anteriores do aplicativo de pagamento armazenavam dados de autenticação confidenciais.

1.1.4.b Verificar se o fornecedor oferece uma ferramenta de limpeza segura ou procedimento para remover os dados.




Não implementado

Data prevista/

Comentários

1.1.4.c Verificar, por meio do uso de ferramentas e/ou métodos forenses, se a ferramenta de limpeza segura ou procedimento oferecido pelo fornecedor remove os dados com segurança, de acordo com os padrões aceitos pelo setor para exclusão de dados.

1.1.5.a Examinar os procedimentos do fornecedor do software para resolução de problemas dos clientes e verificar se os procedimentos incluem: Coleta de dados de autenticação confidenciais somente quando necessário para solucionar problemas específicos.

Armazenamento de tais dados em locais específicos e conhecidos, com acesso limitado.

Coleta somente de uma quantidade de dados limitada para solucionar algum problema específico.

Criptografia de dados de autenticação confidenciais enquanto estiverem armazenados.

Exclusão segura de tais dados, imediatamente após o uso.

1.1.5 Excluir com segurança quaisquer dados de autenticação confidenciais (dados de pré-autorização) utilizados para fins de depuração ou resolução de problemas de arquivos de log, arquivos de depuração e outras origens de dados de clientes, para garantir que os dados da tarja magnética, os códigos ou valores de validação do cartão e os dados de PINs ou bloqueios de PIN não sejam armazenados nos sistemas do fornecedor do software. Essas origens de dados devem ser coletadas em quantias limitadas e somente quando necessário para resolver problemas, criptografadas quando armazenadas e excluídas imediatamente após o uso. Requisito do padrão de segurança de dados do PCI 3.2

1.1.5.b Selecionar uma amostra de solicitações de resolução de problemas recentes e verificar cada evento seguido do procedimento examinado no item 1.1.5.a.




Não implementado

Data prevista/

Comentários

1.1.5.c Revisar o Guia de implementação do PA-DSS preparado pelo fornecedor e verificar se a documentação inclui as seguintes instruções para clientes e revendedores/integradores: Coletar de autenticação confidencial somente quando necessário para solucionar problemas específicos.

Armazenar tais dados somente em locais específicos e conhecidos, com acesso limitado.

Coletar somente de uma quantidade limitada de dados para solucionar algum problema específico.

Criptografar dados de autenticação confidenciais enquanto estiverem armazenados.

Excluir com segurança de tais dados imediatamente após o uso.

2. Proteger os dados armazenados do portador do cartão

2.1 O fornecedor do software deve oferecer orientações a clientes sobre o expurgo de dados do portador do cartão após o vencimento do período de retenção definido pelo cliente.

Requisito do padrão de segurança de dados do PCI 3.1

2.1.a Revisão do Guia de implementação do PA-DSS preparado pelo fornecedor e verificação se a documentação inclui as seguintes orientações para clientes e revendedores/integradores:

Exclusão dos dados do portador do cartão que excedem o período de retenção definido pelo cliente.

Uma lista com todos os locais onde o aplicativo de pagamento armazena dados do portador do cartão (para que o cliente saiba os locais dos dados que precisam ser excluídos).




Não implementado

Data prevista/

Comentários2.2 Mascarar o PAN quando exibido (os primeiros seis e quatro últimos dígitos são o número máximo de dígitos a serem exibidos).

Observações:

Esse requisito não se aplica aos funcionários e outras partes interessadas em um negócio legítimo que precisam visualizar o PAN completo.

Este requisito não substitui os requisitos mais rigorosos em vigor quanto às exibições dos dados do portador do cartão - por exemplo, para recebimentos do ponto de venda.


2.2 Revisar exibições de dados do cartão de crédito, incluindo sem limitações os dispositivos de pontos de venda, telas, logs e recibos, para determinar se os números de cartões de crédito são mascarados ao exibir os dados do portador do cartão, exceto para aqueles com uma necessidade empresarial específica de visualizar todos os números do cartão de crédito.

2.3.a Verifique se o PAN foi convertido como ilegível em qualquer local que foi armazenado, de acordo com o Requisito 3.4 do PCI DSS.

2.3 Tornar o PAN, no mínimo, ilegível em qualquer local onde ele esteja armazenado em mídia digital portátil, mídia de back-up, em registros) utilizando qualquer uma das seguintes abordagens:

Hashing de direção única com base na criptografia robusta

Truncamento Tokens de índice e pads (os pads devem ser

armazenados de forma segura) Criptografia robusta com processos e

procedimentos de gerenciamento-chave associados.

As informações de conta MÍNIMAS que precisam ser convertidas como ilegíveis são o PAN. Requisito do padrão de segurança de dados do PCI 3.4

O PAN deve ser convertido como ilegível em qualquer local que é armazenado, mesmo fora do aplicativo de pagamento. Observação: “Criptografia robusta” é definida em Glossário de termos, abreviações e acrônimos do PCI DSS e PA-DSS.

2.3.b Se o fornecedor do software armazenar o PAN por qualquer motivo (por exemplo, porque arquivos de log, arquivos de depuração e outras origens de dados são recebidas de clientes para fins de depuração e resolução de problemas), verifique se o PAN é convertido como ilegível de acordo com o Requisito 3.4 do PCI DSS.




Não implementado

Data prevista/

Comentários

2.4 Se a criptografia de disco for utilizada (em vez da criptografia de bancos de dados no nível de arquivo ou coluna), o acesso lógico deve ser gerenciamento independentemente de mecanismos de controle de acesso a sistemas operacionais nativos (por exemplo, não utilizando bancos de dados de contas de usuário locais). As chaves da descrição não devem estar ligadas às contas de usuário. Requisito do padrão de segurança de dados do PCI 3.4.1

2.4 Se for utilizada criptografia de disco, verifique se foi implementado de acordo com os Requisitos 3.4.1.a a 3.4.1.c do PCI DSS.

2.5 O aplicativo de pagamento deve proteger as chaves criptográficas utilizadas para criptografia de dados do portador do cartão em relação a divulgações ou mau uso.


2.5 Verifique se o aplicativo de pagamento protege chaves em relação a divulgações ou mau uso, conforme o Requisito 3.5 do PCI DSS.

2.6 O aplicativo de pagamento deve implementar processos e procedimentos de gerenciamento de chaves criptográficas para as chaves utilizadas para criptografia de dados do portador do cartão.


2.6 Verifique se o aplicativo de pagamento implementa técnicas de gerenciamento para as chaves, segundo os Requisitos de PCI DSS 3.6.1 a 3.6.8.




Não implementado

Data prevista/

Comentários

2.7.a Revisão do Guia de implementação do PA-DSS preparado pelo fornecedor e verificação se a documentação inclui as seguintes instruções para clientes e revendedores/integradores:

Se o material criptográfico deve ser removido.

Como remover o material criptográfico. Se tal remoção é absolutamente

necessária para a conformidade com o PCI DSS.

Como criptografar novamente dados do histórico com novas chaves.

2.7.b Verificar se o fornecedor oferece uma ferramenta de limpeza segura ou procedimento para remover o material criptográfico.

2.7 Exclusão segura de quaisquer materiais de chave criptográficos ou criptogramas armazenados por versões anteriores do aplicativo de pagamento, de acordo com os padrões aceitos pelo setor para exclusão segura, conforme definidos, por exemplo, pela lista de produtos aprovados mantida pela Agência de segurança nacional ou por outros padrões ou normas estaduais ou nacionais. Essas são as chaves criptográficas utilizadas para criptografar ou verificar os dados do portador do cartão.


Observação: esse requisito aplica-se somente se versões anteriores do aplicativo de pagamento utilizaram materiais de chave criptográficos ou criptogramas para criptografar dados do portador do cartão.

2.7.c Verificar, por meio do uso de ferramentas e/ou métodos forenses, se a ferramenta de limpeza segura ou procedimento remove com segurança o material criptográfico, de acordo com os padrões aceitos pelo setor para exclusão de dados.

3. Fornecer recursos de autenticação segura

3.1 3.1 A instalação pronta para uso do aplicativo de pagamento no lugar no momento da conclusão do processo de instalação deve facilitar o uso de IDs de usuário exclusivos e autenticação segura (definidos nos Requisitos 8.1, 8.2 e 8.5.8–8.5.15 do PCI DSS) para todos os acessos administrativos e para todos os acessos aos

3.1.a Testar o aplicativo de pagamento para verificar se os IDs de usuário exclusivos e a autenticação segura são necessários para todos os acessos administrativos e para todos os acessos aos dados do portador do cartão, de acordo com os Requisitos 8.1, 8.2 e 8.5.8–8.5.15 do PCI DSS.




Não implementado

Data prevista/

Comentários3.1.b Testar o aplicativo de pagamento para verificar se o aplicativo não utiliza (ou requer o uso de) contas administrativas padrão para outros softwares necessários (por exemplo, o aplicativo de pagamento não deve usar a conta administrativa para software de banco de dados).

dados do portador do cartão.

Requisitos do padrão de segurança de dados do PCI 8.1, 8.2 e 8.5.8–8.5.15

Observação: Esses controles de senha não se destinam a aplicar-se a funcionários que somente possuem acesso a um número de cartão no momento para facilitar uma única transação. Esses controles são aplicáveis para acesso por funcionários com capacidades administrativas, para acesso a servidores com dados do portador do cartão e para acesso controlado pelo aplicativo de pagamento. Esse requisito destina-se ao aplicativo de pagamento e todas as ferramentas associadas para visualizar ou acessar os dados do portador do cartão.

3.1.c Examine o Guia de implementação do PA-DSS criado para verificar o seguinte: Clientes e revendedores/integradores

devem utilizar contas administrativas para logins no aplicativo de pagamento (por exemplo, não utilize a conta “sa” para acesso do aplicativo de pagamento ao banco de dados).

Clientes e revendedores/integradores devem atribuir autenticação segura a essas contas padrão (mesmo se não forem utilizadas) e então desativar ou não utilizar essas contas.

Clientes e revendedores/integradores devem atribuir autenticação segura para aplicativos de pagamento e sistemas sempre que possível.

Clientes e revendedores/integradores recebem informações sobre como criar a autenticação segura em conformidade com o PCI DSS para acessar o aplicativo de pagamento, de acordo com os Requisitos 8.5.8 a 8.5.15 do PCI DSS.

Clientes e revendedores/integradores são informados que a alteração das configurações da instalação pronta para uso para IDs de usuários exclusivos e autenticação segura não resultarão em inconformidade com o PCI DSS.




Não implementado

Data prevista/

Comentários3.2 O acesso a PCs, servidores e bancos de dados com aplicativos de pagamento deve exigir um IDs de usuário exclusivo e uma autenticação segura.

Requisitos de padrão de segurança de dados do PCI 8.1 e 8.2

3.2 Examine o Guia de implementação do PA-DSS criado pelo fornecedor para verificar se os clientes e revendedores/integradores foram recomendados a controlar o acesso, por meio de um ID de usuário exclusivo e uma autenticação segura compatível com o PCI DSS, a qualquer PC, servidor e bancos de dados com os aplicativos de pagamento e os dados do portador do cartão.

3.3 Deixa as senhas do aplicativo de pagamento ilegíveis durante a transmissão e o armazenamento, usando criptografia robusta baseada nos padrões aprovados Observação: A “criptografia robusta” é definida no Glossário de termos, abreviações e acrônimos do PCI DSS e PA-DSS. Requisito do padrão de segurança de dados do PCI 8.4

3.3 Examine os arquivos de senha do aplicativo de pagamento durante o armazenamento e a transmissão para verificar se as senhas estão ilegíveis em todos os momentos.




Não implementado

Data prevista/

Comentários

4. Registrar em log a atividade do aplicativo de pagamento

4.1 Após a conclusão do processo de instalação, a instalação padrão pronta para uso do aplicativo de pagamento deve registrar em log todos os acessos de usuários (especialmente usuários com privilégios administrativos) e deve poder ligar todas as atividades a usuários individuais.


4.1 Examine as configurações do aplicativo de pagamento para verificar se as trilhas de auditoria do aplicativo de pagamento são ativadas automaticamente ou ficam disponíveis para ativação pelos clientes.

4.2.a Examine os parâmetros de log do aplicativo e verifique se os logs contêm os dados exigidos nos Requisitos 10.2.1 a 10.2.7 e 10.3.1 a 10.3.6 do PCI DSS.

4.2 O aplicativo de pagamento deve implementar uma trilha de auditoria automatizada para rastrear e monitorar o acesso.

Requisitos de padrão de segurança de dados do PCI 10.2 e 10.3 4.2.b Se as configurações de log do aplicativo

de pagamento puderem ser configuradas pelo cliente e revendedores/ integradores, ou os clientes ou revendedores/integradores são responsáveis pela implementação do log, examine o Guia de implementação do PA-DSS preparado pelo fornecedor para verificar se as seguintes informações foram incluídas: Como definir as configurações de log em

conformidade com o PCI DSS, de acordo com os Requisitos 10.2.1 a 10.2.7 e 10.3.1 a 10.3.6 do PCI DSS.

A desabilitação dos logs não deve ser realizada e resultará em inconformidade com o PCI DSS.




Não implementado

Data prevista/

Comentários

5. Desenvolver aplicativos de pagamento seguros

5.1 Desenvolver aplicativos de pagamento de acordo com o PCI DSS (por exemplo, autenticação segura e registros) e com base nas melhores práticas do setor, além de incorporar a segurança das informações em todo o ciclo de vida do desenvolvimento dos softwares. Esses processos devem incluir o seguinte: Requisito do padrão de segurança de dados do PCI 6.3

5.1 Obtenha e analise os processos de desenvolvimento de softwares por escrito para verificar se os processos estão baseados nos padrões do setor, se a segurança está incluída em todo o ciclo de vida e se os aplicativos de software foram desenvolvidos de acordo com o PCI DSS. De um exame dos processos de desenvolvimento do software gravado, entrevistas com desenvolvedores de software e exame dos dados relevantes (documentação de configuração de rede, dados de produção e teste, etc.), verifique se:

5.1.1 Teste de todos os patches de segurança e alterações no sistema e no software antes da implantação, incluindo, mas sem limitações, os seguintes testes.

5.1.1 Todos os patches de segurança e alterações no sistema e no software são testados antes da implantação, incluindo, mas sem limitações, os seguintes testes.

5.1.1.1 Validação de toda entrada (para impedir scripting de site cruzado, falhas na injeção, execução de arquivos maliciosos, etc.).

5.1.1.1 Validação de toda entrada (para impedir scripting de site cruzado, falhas na injeção, execução de arquivos maliciosos, etc.).

5.1.1.2 Validação de manuseio de erros adequado.

5.1.1.2 Validação de manuseio de erros adequado.

5.1.1.3 Validação de armazenamento criptográfico seguro.

5.1.1.3 Validação de armazenamento criptográfico seguro.

5.1.1.4 Validação de comunicações seguras. 5.1.1.4 Validação de comunicações seguras.

5.1.1.5 Validação de controle de acesso adequado baseado na função (RBAC).

5.1.1.5 Validação de controle de acesso adequado baseado na função (RBAC).




Não implementado

Data prevista/

Comentários

5.1.2 Ambientes de desenvolvimento/testes e de produção separados.

5.1.2 Os ambientes de teste/desenvolvimento são separados do ambiente de produção, com controle de acesso no local para obrigar a separação.

5.1.3 Separação dos deveres entre os ambientes de desenvolvimento/teste e de produção.

5.1.3 Existe uma separação das tarefas entre a equipe atribuída aos ambientes de desenvolvimento/teste e a atribuída ao ambiente de produção.

5.1.4 PANs reais não são utilizados para testes ou desenvolvimento.

5.1.4 PANs reais não são utilizados para testes e desenvolvimento nem são sanitizados antes do uso.

5.1.5 Remoção dos dados de teste e contas antes que os sistemas de produção tornem-se ativos.

5.1.5 Os dados e as contas de teste são removidos antes que o sistema de produção torne-se ativo.

5.1.6 Remoção de contas, IDs de usuário e senhas personalizadas do aplicativo de pagamento antes que seja liberado aos clientes.

5.1.6 Contas, IDs de usuário e senhas personalizadas do aplicativo de pagamento são removidas antes que seja liberado aos clientes.

5.1.7 Revisão do código do aplicativo de pagamento antes da liberação aos clientes após qualquer alteração significativa, para identificar qualquer possível vulnerabilidade na codificação.

Observação: Esse requisito referente às análises dos códigos se aplica a todos os componentes do aplicativo de pagamento (internos e voltados para o público), como parte integrante do ciclo de vida de desenvolvimento do sistema exigida pelo Requisito 5.1 do PCI DSS e pelo Requisito 6.3 do PCI DSS. As análises dos códigos podem ser realizadas por equipes internas instruídas ou terceiros.

5.1.7.a Confirma que o fornecedor executa revisões de código para todas as alterações de código do aplicativo para aplicativos internos (seja usando processos manuais ou automatizados), conforme se segue:

As alterações dos códigos são analisadas por outras pessoas além do autor que originou o código e por pessoas que estão cientes das técnicas de análise dos códigos e das práticas de codificação seguras.

As correções adequadas são implementadas antes da liberação.

Os resultados das análises dos códigos são revisados e aprovados pela gerência antes da liberação.




Não implementado

Data prevista/

Comentários5.1.7.b Confirma que o fornecedor executa revisões de código para todas as alterações de código do aplicativo para aplicativos da Web (usando processos manuais ou automatizados), conforme se segue:

As alterações dos códigos são analisadas por outras pessoas além do autor que originou o código e por pessoas que estão cientes das técnicas de análise dos códigos e das práticas de codificação seguras.

As revisões de código garantem que o código seja desenvolvido segundo diretrizes de codificação seguras, como o Guia do projeto de segurança do aplicativo aberto na Web (veja o Requisito 5.2 de PA-DSS e o Requisito 6.5 de PCI DSS).

As correções adequadas são implementadas antes da liberação.

Os resultados das análises dos códigos são revisados e aprovados pela gerência antes da liberação.

5.2 Desenvolver todos os aplicativos de pagamento na web (internos e externos e inclusive acesso administrativo ao produto) com base nas orientações de codificação seguras como o Guia do projeto de segurança do aplicativo aberto da web. Cobrir a prevenção de vulnerabilidades de codificação comuns nos processos de desenvolvimento do software, para incluir: Observação: As vulnerabilidades listadas nos Requisitos 5.2.1 a 5.2.10 do PA-DSS e 6.5.1 a 6.5.10 do PCI DSS estavam atualizadas no guia

5.2.a Obtenção e revisão dos processos de desenvolvimento de software para qualquer aplicativo de pagamento baseado na web (interno e externo, inclusive acesso administrativo na web ao produto). Verificação do que processo inclui treinamento em técnicas de codificação segura para desenvolvedores e baseia-se em orientações como as do Guia OWASP (http://www.owasp.org). Entrevista com alguns desenvolvedores e obtenção de evidências de que possuem conhecimento em técnicas de codificação seguras.




Não implementado

Data prevista/

ComentáriosOWASP quando o PCI DSS v1.2 foi publicado. No entanto, se e quando o guia do projeto de segurança do aplicativo aberto da Web for atualizado, a versão atual deverá ser usada para esses requisitos. Requisito do padrão de segurança de dados do PCI 6.5

5.2.b Para aplicativos baseados na web incluídos na revisão, verificação de que os aplicativos de pagamento não estão sujeitos a vulnerabilidades de codificação comuns por meio da realização de testes de penetração manuais ou automáticos que especificamente tentam explorar cada um dos seguintes itens:

5.2.1 Scripting de site cruzado (XSS). 5.2.1 Scripting de site cruzado (XSS) (validar todos os parâmetros antes da inclusão).

5.2.2 Falhas na injeção, particularmente na injeção SQL. Também considere as falhas de injeção LDAP e Xpath, assim como outras falhas.

5.2.2 Falhas na injeção, particularmente na injeção SQL (validar a entrada para verificar se os dados do usuário não podem modificar o significado dos comandos e das consultas).

5.2.3 Execução de arquivo malicioso. 5.2.3 Execução de arquivo malicioso (validar a entrada para verificar se o aplicativo não aceita nomes de arquivos ou arquivos de outros usuários).

5.2.4 Referências diretas a objetos inseguros. 5.2.4 Referências diretas a objetos inseguros (não exponha referências a objetos internos aos usuários).

5.2.5 Falsificação de solicitações de site cruzado (CSRF).

5.2.5 Falsificação de solicitações de site cruzado (CSRF) (não confie nas credenciais e tokens de autorização enviados automaticamente pelos navegadores).

5.2.6 Vazamento de informações e manuseio incorreto de erros.

5.2.6 Vazamento de informações e manuseio incorreto de erros (não deixe vazar informações por meio de mensagens de erro e outras formas).

5.2.7 Autenticação quebrada e gerenciamento de sessão.

5.2.7 Autenticação quebrada e gerenciamento de sessão (autentique corretamente os usuários e proteja as credenciais da conta e tokens de sessão).




Não implementado

Data prevista/

Comentários5.2.8 Armazenamento criptográfico seguro. 5.2.8 Armazenamento criptográfico seguro

(impede falhas criptográficas).

5.2.9 Comunicações inseguras. 5.2.9 Comunicações inseguras (criptografa corretamente todas as comunicações autenticadas e confidenciais).

5.2.10 Falha em restringir o acesso a URLs. 5.2.10 Falha em restringir o acesso a URLs (força de forma consistente o controle de acesso em camadas de apresentação e lógica de negócios para todos os URLs).

5.3.a Obter e examinar os procedimentos de controle de alterações para modificações no software e verificar se os procedimentos exigem os requisitos 5.3.1–5.3.4, a seguir.

5.3 O fornecedor do software deve seguir os procedimentos de controle de alteração para todas as alterações de configuração do software. Os procedimentos devem incluir o seguinte: Requisito do padrão de segurança de dados do PCI 6.4

5.3.b Examinar alterações recentes no aplicativo de pagamento e rastrear essas alterações com a documentação de controle de alteração relacionada. Verificar se, para cada alteração examinada, o seguinte foi documentado de acordo com os procedimentos de controle de alteração:

5.3.1 Documentação de impacto. 5.3.1 Verificar se a documentação do impacto no cliente está incluída na documentação de controle de alteração para cada alteração.

5.3.2 Endosso da gerência pelas partes apropriadas.

5.3.2 Verificar se o endosso da gerência pelas partes apropriadas está presente para cada alteração.

5.3.3 Teste da funcionalidade operacional. 5.3.3 Verificar se o teste da funcionalidade operacional foi realizado para cada alteração.

5.3.4 Procedimentos de desistência ou desinstalação do produto.

5.3.4 Verificar se os procedimentos de desistência ou desinstalação do produto estão preparados para cada alteração.




Não implementado

Data prevista/

Comentários5.4 O aplicativo de pagamento não deve utilizar ou exigir o uso de serviços e protocolos desnecessários e inseguros (por exemplo, NetBIOS, compartilhamento de arquivos, Telnet, FTP não criptografado, etc.).

Requisito do padrão de segurança de dados do PCI 2.2.2

5.4 Examinar os serviços do sistema, daemons e protocolos habilitados ou exigidos pelo aplicativo de pagamento. Verificar se serviços e protocolos desnecessários e inseguros não estão habilitados por padrão ou não são exigidos pelo aplicativo de pagamento (por exemplo, FTP não ativado ou criptografado pelo SSH ou outra tecnologia).

6. Proteger transmissões wireless

6.1.a Para aplicativos de pagamento desenvolvidos pelo fornecedor utilizando tecnologia wireless, e outros aplicativos wireless em conjunto com o aplicativo de pagamento, verifique se os aplicativos wireless não utilizam as configurações padrão do fornecedor e estão configurados de acordo com os Requisitos de segurança de dados 2.1.1 do PCI.

6.1 Para aplicativos de pagamento que utilizam tecnologia wireless, tal tecnologia deve ser implementada de forma segura.

Requisitos do padrão de segurança de dados do PCI 1.3.8 e 2.1.1

6.1.b Exame do Guia de implementação do PA-DSS preparado pelo fornecedor para verificar se os clientes e revendedores/integradores estão instruídos, se a comunicação wireless for utilizada, para instalar um firewall conforme os requisitos 1.2.3 do PCI DSS.

6.2 Para aplicativos de pagamento usando tecnologia wireless, o aplicativo de pagamento deve facilitar o uso das melhores práticas do setor (por exemplo, IEEE 802.11i) para implementar uma criptografia robusta para autenticação e transmissão. Aplicativos de pagamento usando tecnologia wireless devem facilitar o seguinte, em relação ao uso de WEP:

Para novas implementações wireless, será

6.2.a Para aplicativos de pagamento desenvolvidos pelo fornecedor usando tecnologia wireless, e para outros aplicativos wireless fornecidos com o aplicativo do fornecedor, verifique se as melhores práticas do setor (por exemplo, IEEE 802.11.i) foram usadas para incluir ou para disponibilizar criptografia robusta para autenticação e transmissão, segundo o Requisito 4.1.1 do PCI DSS.




Não implementado

Data prevista/

Comentáriosproibido implementar o WEP após 31 de março de 2009.

Para as implementações wireless atuais, será proibido implementar o WEP após 30 de junho de 2010.


6.2.b Se os clientes puderem implementar o aplicativo de pagamento em um ambiente wireless, examine o Guia de implementação do PA-DSS preparado pelo fornecedor para verificar se os clientes e revendedores/integradores estão informados quanto às configurações wireless em conformidade com o PCI DSS, de acordo com Requisitos 1.2.3, 2.1.1 e 4.1.1 do PCI DSS.



Procedimentos de teste Implementado Não

implementado Data prevista/ Comentários

7. Testar aplicativos de pagamento para solucionar vulnerabilidades

7.1.a Obter e examinar os processos para identificar novas vulnerabilidades e para testar os aplicativos de pagamento para novas vulnerabilidades. Verificar se os processos incluem: Uso de origens externas para obter informações sobre vulnerabilidade da segurança.

Teste dos aplicativos de pagamento quanto a novas vulnerabilidades.

7.1 Os fornecedores de software devem estabelecer um processo para identificar vulnerabilidades na segurança descobertas recentemente (por exemplo, assinatura a alertas de serviços disponíveis gratuitamente na Internet) e para testar seus aplicativos de pagamento quanto a vulnerabilidades. Qualquer software ou sistema subjacente fornecido ou exigido pelo aplicativo de pagamento (por exemplo, servidores, bibliotecas ou programas de terceiros) devem ser incluídos nesse processo.


7.1.b Verificar se os processos para identificar novas vulnerabilidades e implementar correções no aplicativo de pagamento aplicam-se a todos os softwares fornecidos ou exigidos pelo aplicativo de pagamento (por exemplo, servidores web, bibliotecas e programas de terceiros).

7.2 Os fornecedores de software devem estabelecer um processo para o desenvolvimento e implantação oportunos de patches e upgrades de segurança, que incluem ofertas de atualizações e patches de forma segura com uma cadeira de confiança conhecida e manutenção da integridade do código de patch e atualização durante a oferta e a implantação.

7.2.a Obter e examinar os processos para desenvolver e implantar patches de segurança e upgrades para software. Verificar se os processos incluem: Desenvolvimento e implantação oportunos de patches a clientes.

Oferta de patches e atualizações de forma segura com uma cadeia de confiança conhecida.

Oferta de patches e atualizações de uma forma que mantenha a integridade dessas ofertas.

Teste de integridade do patch ou atualização pelo sistema de destino antes da instalação.




Não implementado

Data prevista/ Comentários

7.2.b Para verificar que a integridade do patch e do código de atualização é mantida, execute o processo de atualização dom código arbitrário e determine se o sistema não permite que a atualização ocorra.

8. Facilitar a implementação de rede segura

8.1 O aplicativo de pagamento deve poder ser implementado em um ambiente de rede seguro. O aplicativo não deve interferir com o uso de dispositivos, aplicativos ou configurações exigidos para conformidade com o PCI DSS (por exemplo, o aplicativo de pagamento não pode interferir com a proteção antivírus, configurações de firewall ou qualquer outro dispositivo, aplicativo ou configuração exigidos para conformidade com o PCI DSS).

Requisitos do padrão de segurança de dados do PCI 1, 3, 4, 5 e 6.6

8.1 Testar o aplicativo de pagamento em um laboratório para obter evidências de que pode ser executado em uma rede totalmente compatível com o PCI DSS. Verificar se o aplicativo de pagamento não inibe a instalação de patches ou atualizações em outros componentes no ambiente.

9. Os dados do portador do cartão nunca devem ser armazenados em servidores conectados à Internet

9.1 O aplicativo de pagamento deve ser desenvolvido de modo que o servidor do banco de dados e o servidor web não precisem estar no mesmo servidor, nem o servidor do banco de dados precise estar no DMZ com o servidor web.


9.1.a Para verificar se o aplicativo de pagamento armazena os dados do portador do cartão na rede interna, e nunca no DMZ, obtenha evidências de que o aplicativo de pagamento não exija armazenamento de dados no DMZ, e permita o uso de um DMZ para separar a Internet de sistemas que armazenam dados do portador do cartão (por exemplo, o aplicativo de pagamento não deve exigir que o servidor do banco de dados e o servidor web estejam no mesmo servidor ou no DMZ com o servidor web).




Não implementado


9.1.b Se os clientes puderem armazenar dados do portador do cartão em um servidor conectado à Internet, examine o Guia de implementação do PA-DSS preparado pelo fornecedor para verificar se os clientes e revendedores/integradores sabem que não podem armazenar os dados do portador do cartão em sistemas acessíveis para Internet (por exemplo, o servidor web e o servidor do banco de dados não devem estar no mesmo servidor).

10. Facilitar atualizações de software remotas seguras

10.1 Se as atualizações do aplicativo de pagamento forem entregues por meio de acesso remoto nos sistemas dos clientes, os fornecedores de software devem avisar os clientes para ativar as tecnologias de acesso remoto somente quando necessário para efetuar downloads do fornecedor e desativar imediatamente após sua conclusão. De forma alternativa, se entregue via VPN ou outra conexão de alta velocidade, os fornecedores de software devem avisar os clientes para configurar corretamente um firewall ou produto de firewall pessoal para proteger as conexões sempre ativas. Requisitos de padrão de segurança de dados do PCI 1 e 12.3.9

10.1 Se o fornecedor entregar o aplicativo de pagamento e/ou atualizações por meio de acesso remoto às redes do cliente, examine o Guia de implementação do PA-DSS preparado pelo fornecedor e verifique se nele contém: Instruções para clientes e

revendedores/integradores a respeito do uso seguro de tecnologias de acesso remoto, de acordo com o Requisito 12.3.9 do PCI DSS.

Recomendações para clientes e revendedores/integradores a utilizar um firewall ou produto de firewall pessoal se o computador estiver conectado via VPN ou outra conexão de alta velocidade para proteger conexões sempre ativas, de acordo com o Requisito 1




Não implementado


11. Facilitar o acesso remoto seguro ao aplicativo de pagamento

11.1 O aplicativo de pagamento não deve interferir com o uso de mecanismos de autenticação de dois fatores. O aplicativo de pagamento deve permitir tecnologias como RADIUS ou TACACS com tokens ou VPN com certificados individuais. Requisito do padrão de segurança de dados do PCI 8.3

11.1 Teste o aplicativo de pagamento em um laboratório para obter evidências de que pode ser executado com um mecanismo de autenticação de dois fatores (o aplicativo de pagamento não deve proibir a possibilidade de a organização implementar autenticação de dois fatores).

11.2 Se o aplicativo de pagamento puder ser acessado remotamente, o acesso remoto ao aplicativo de pagamento deve ser autenticado usando um mecanismo de autenticação de dois fatores.


11.2 Se o aplicativo de pagamento puder ser acessado remotamente, examine o Guia de implementação do PA-DSS preparado pelo fornecedor do software e verifique se contém instruções para clientes e revendedores/integradores a respeito do uso de autenticação de dois fatores (ID de usuário e senha e um item de autenticação adicional como um smart card, token ou PIN).




Não implementado


11.3 Se fornecedores, revendedores/integradores ou clientes puderem acessar remotamente os aplicativos de pagamento do cliente, o acesso remoto deve ser implementado de forma segura.


11.3.a Se o fornecedor do software utilizar produtos de acesso remoto para acesso remoto ao aplicativo do cliente, verifique se a equipe do fornecedor implementa e usa recursos de segurança de acesso remoto.

Observação: Exemplos de recursos de segurança de acesso remoto incluem:

Alteração das configurações padrão no software de acesso remoto (por exemplo, alteração de senhas padrão e uso de senhas exclusivas para cada cliente).

Permitir conexões somente de endereço IP/MAC específicos (conhecidos).

Uso de autenticação potente e senhas complexas para logins, de acordo com os Requisitos 8.1, 8.3 e 8.5.8–8.5.15 do PCI DSS.

Ativação de transmissão de dados criptografados de acordo com o Requisito 4.1 do PCI DSS.

Ativação do bloqueio de conta após um determinado número de tentativas de login sem sucesso, de acordo com o Requisito 8.5.13 do PCI DSS.

Configuração do sistema de modo que um usuário remoto estabeleça uma conexão de rede virtual privada (“VPN”) por meio de um firewall antes que o acesso seja permitido.

Ativação da função de registro em log. Restrição do acesso a senhas do cliente à

equipe do revendedor/integrador autorizada.

Estabelecimento de senhas de cliente de acordo com os Requisitos 8.1, 8.2, 8.4 e 8.5 do PCI DSS.




Não implementado


11.3.b Se revendedores/integradores ou clientes puderem usar o software de acesso remoto, examine o Guia de implementação do PA-DSS preparado pelo fornecedor de software e verifique se os clientes e revendedores/integradores foram orientados a usar e implementar os recursos de segurança de acesso remoto. Observação: Exemplos de recursos de segurança de acesso remoto incluem:

Alteração das configurações padrão no software de acesso remoto (por exemplo, alteração de senhas padrão e uso de senhas exclusivas para cada cliente).

Permitir conexões somente de endereço IP/MAC específicos (conhecidos).

Uso de autenticação potente e senhas complexas para logins, de acordo com os Requisitos 8.1, 8.3 e 8.5.8–8.50.15 do PCI DSS.

Ativação de transmissão de dados criptografados de acordo com o Requisito 4.1 do PCI DSS.

Ativação do bloqueio de conta após um determinado número de tentativas de login sem sucesso, de acordo com o Requisito 8.5.13 do PCI DSS.

Configuração do sistema de modo que um usuário remoto estabeleça uma conexão de rede virtual privada (“VPN”) por meio de um firewall antes que o acesso seja permitido.

Ativação da função de registro em log. Restrição do acesso a senhas do cliente à

equipe do revendedor/integrador autorizada.

Estabelecimento de senhas de cliente de acordo com os Requisitos 8.1, 8.2, 8.4 e 8.5 do PCI DSS.




Não implementado


12. Criptografar tráfego sensível por redes públicas

12.1.a Se o aplicativo de pagamento enviar, ou facilitar o envio, dos dados do portador do cartão por redes públicas, verifique se a tecnologia de transmissão de criptografia segura (por exemplo, IPSEC, VPN ou SSL/TLS) é fornecida, ou se seu uso é especificado.

12.1 Se o aplicativo de pagamento enviar ou facilitar o envio de dados do portador do cartão por redes públicas, o aplicativo de pagamento deve apoiar o uso de criptografia potente e protocolos de segurança como SSL/TLS e internet protocol security (IPSEC) para proteger dados confidenciais do portador do cartão durante a transmissão em redes públicas, abertas. Os exemplos de redes abertas e públicas que estão no escopo do PCI DSS são:

A Internet Tecnologias wireless Global System for Mobile

communications (GSM) General Packet Radio Service (GPRS).


12.1.b Se o aplicativo de pagamento permitir a transmissão de dados por rede públicas, examine o Guia de implementação do PA-DSS preparado pelo fornecedor e verifique se o fornecedor inclui orientações para que os clientes e revendedores/integradores utilizem tecnologia de transmissão de criptografia segura (por exemplo, IPSEC, VPN ou SSL/TLS).

12.2.a Se o aplicativo de pagamento permitir e/ou facilitar o envio de PANs por tecnologias de envio de mensagens de usuário final, verifique se alguma solução de criptografia robusta é fornecida ou se seu uso é especificado.

12.2 O aplicativo de pagamento nunca deve enviar PANs não criptografados usando tecnologias de envio de mensagens de usuário final (por exemplo, e-mail, sistemas de mensagens instantâneas, bate-papo).

Requisito do padrão de segurança de dados do PCI 4.2 12.2.b Se o aplicativo de pagamento permitir

e/ou facilitar o envio de PANs por tecnologias de sistema de mensagens de usuário final, examine o Guia de implementação do PA-DSS preparado pelo fornecedor e verifique se o fornecedor inclui orientações para clientes e revendedores/integradores para utilizar uma solução de que implemente criptografia robusta.



Procedimentos de teste Implementado Não

implementado Data prevista/ Comentários

13. Criptografar todos os acessos administrativos não-console

13.1 Orientar clientes a criptografar todos os acessos administrativos não-console usando tecnologias como SSH, VPN ou SSL/TLS para gerenciamento baseado em web e outros acessos administrativos não-console.


Nunca se deve utilizar Telnet ou rlogin para acesso administrativo.

13.1 Se o aplicativo de pagamento ou servidor permitir administração não-console, examine o Guia de implementação do PA-DSS preparado pelo fornecedor e verifique se o fornecedor recomenda o uso de SSH, VPN ou SSL/TLS para criptografia de acesso administrativo não-console.

14. Manter documentação educativa e programas de treinamento para clientes, revendedores e integradores

14.1 Desenvolver, manter e disseminar o Guia de implementação do PA-DSS para clientes, revendedores e integradores que cumprem o seguinte:

14.1 Examine o Guia de implementação do PA-DSS e os processos relacionados e verifique se o guia é disseminado a todos os usuários relevantes do aplicativo de pagamento (incluindo clientes, revendedores e integradores).

14.1.1 Atendem a todos os requisitos contidos neste documento sempre que é feita referência ao Guia de implementação do PA-DSS.

14.1.1 Verifique se o Guia de implementação do PA-DSS aborda todos os requisitos relacionados neste documento.

14.1.2.a Verifique se o Guia de implementação do PA-DSS é revisado anualmente e atualizado conforme a necessidade para documentar todas as alterações grandes e pequenas no aplicativo de pagamento.

14.1.2 Incluem uma revisão pelo menos anual e fazem atualizações para manter a documentação em dia com todas as alterações de software grandes e pequenas em relação aos requisitos deste documento.

14.1.2.b Verifique se o Guia de implementação do PA-DSS é revisado anualmente e atualizado conforme a necessidade para documentar todas as alterações aos requisitos do PA-DSS.




Não implementado


14.2 Desenvolver e implementar programas de treinamento e comunicação para garantir que os revendedores e integradores do aplicativo de pagamento saibam implementar o aplicativo de pagamento e os sistemas e redes relacionados de acordo com o Guia de implementação do PA-DSS e de forma compatível com o PCI DSS.

14.2 Examine os materiais de treinamento e o programa de comunicação para revendedores e integradores e confirme se os materiais abordam todos os itens observados relacionados ao Guia de implementação do PA-DSS em todo o documento.

14.2.1.a Examine os materiais de treinamento para revendedores e integradores e verifique se os materiais são revisados anualmente e quando novas versões do aplicativo de pagamento forem lançadas e atualizadas conforme a necessidade.

14.2.1.b Examine o processo de distribuição para novas versões do aplicativo de pagamento e verifique se a documentação atualizada é distribuída com o aplicativo de pagamento atualizado.

14.2.1 Atualize anualmente os materiais de treinamento e sempre que uma nova versão do aplicativo de pagamento for liberada.

14.2.1.c Selecione alguns revendedores e integradores e entreviste-os para verificar se receberam os materiais de treinamento.

Requisitos do PCI PA-DSS e Procedimentos de Avaliação de Segurança, v1.2 Página 29 Anexo A: Resumo do conteúdo do Guia de implementação do PA-DSS Outubro de 2008 Copyright 2008 PCI Security Standards Council LLC

Anexo A: Resumo do conteúdo do Guia de implementação do PA-DSS O objetivo deste Anexo é resumir os requisitos do PA-DSS que possuem tópicos relacionados ao Guia de implementação do PA-DSS, para explicar o conteúdo do Guia de implementação do PA-DSS, e para explicar detalhadamente as responsabilidades pela implementação dos controles relacionados. Requisito do

PA-DSS

Tópico do PA-DSS

Conteúdo do Guia de implementação

Responsabilidade da implementação de controle

1.1.4 Exclusão de dados de autenticação confidenciais armazenados por versões anteriores do aplicativo de pagamento.

Os dados do histórico devem ser removidos (dados da tarja magnética, códigos de validação do cartão, PINs ou bloqueios de PIN armazenados por versões anteriores do aplicativo de pagamento).

Como remover dados do histórico. Tal remoção é absolutamente necessária para a

conformidade com o PCI DSS.

Fornecedor de software: Fornecer ferramenta ou procedimento para que os clientes removam com segurança os dados armazenados por versões anteriores, de acordo com o Requisito 1.1.4 do PA-DSS. Clientes e revendedores/Integradores: Excluir quaisquer dados do histórico conforme o Guia de implementação do PA-DSS e o Requisito 1.1.4 do PA-DSS.

1.1.5 Exclusão de quaisquer dados de autenticação confidenciais (pré-autorização) recolhidos como resultado da resolução de problemas com o aplicativo de pagamento.

Dados de autenticação confidenciais (pré-autorização) somente devem ser coletados quando necessário para resolver problemas específicos.

Tais dados devem ser armazenados somente em locais específicos e conhecidos, com acesso limitado.

Coleta somente de uma quantidade limitada de tais dados para solucionar algum problema específico.

Os dados de autenticação confidenciais devem ser criptografados enquanto estiverem armazenados.

Tais dados devem ser excluídos de forma segura imediatamente após o uso.

Fornecedor de software: Solucione qualquer problema do cliente de acordo com o Requisito 1.1.6.a do PA-DSS. Clientes e revendedores/Integradores: Solucione quaisquer problemas conforme o Guia de implementação do PA-DSS e o Requisito 1.1.6.a do PA-DSS.

2.1 Eliminação dos dados do portador do cartão após o período de retenção definido pelo cliente.

Os dados do portador do cartão devem ser eliminados assim que excederem o período de retenção definido pelo cliente.

Todos os locais onde o aplicativo de pagamento armazena dados do portador do cartão.

Fornecedor de software: Oferecer orientação a clientes informando que os dados do portador do cartão que excedem o período de retenção definido pelo cliente devem ser eliminados e onde tais dados são armazenados pelo aplicativo de pagamento.


Requisito do PA-DSS

Tópico do PA-DSS


Responsabilidade da implementação de controle Clientes e revendedores/Integradores: Eliminar os dados do portador do cartão que excedem o período de retenção definido pelo cliente.

2.7 Exclusão de material chave criptográfico ou criptogramas armazenados por versões anteriores do aplicativo de pagamento.

O material criptográfico deve ser removido. Como remover o material criptográfico. Tal remoção é absolutamente necessária para a

conformidade com o PCI. Como criptografar novamente dados do histórico

com novas chaves.

Fornecedor de software: Oferecer ferramenta ou procedimento para remover com segurança o material chave criptográfico ou criptogramas armazenados por versões anteriores, de acordo com o Requisito 1.1.5 do PA-DSS, fornecer ferramenta ou procedimento para criptografar novamente os dados do histórico com novas chaves. Clientes e revendedores/Integradores: Excluir quaisquer materiais criptográficos do histórico conforme o Guia de implementação do PA-DSS e o Requisito 1.1.5 do PA-DSS.

3.1 Uso de IDs de usuário exclusivos e autenticação segura para acesso administrativo e acesso a dados do portador do cartão.

Não utilizar contas administrativas padrão para logins do aplicativo de pagamento.

Atribuir autenticação segura para todas as contas padrão (mesmo se não utilizadas) e desativar ou não utilizar as contas.

Uso de autenticação segura para o aplicativo de pagamento e o sistema sempre que possível.

Como criar autenticação segura para acessar o aplicativo de pagamento, conforme os Requisitos 8.5.8 a 8.5.15 do PCI.

Fornecedor de software: Garantir que o aplicativo de pagamento suporte o uso do cliente de IDs de usuário exclusivos e autenticação segura para contas/senhas de aplicativos de pagamento, de acordo com os Requisitos 8.1 e 8.2 do PCI DSS. Clientes e revendedores/Integradores: Estabelecer e manter IDs de usuário exclusivos e autenticação segura de acordo com o Guia de implementação do PA-DSS e os Requisitos 8.1 e 8.2 do PCI DSS.

3.2 Uso de IDs de usuário exclusivos e autenticação segura para acesso a PCs, servidores e bancos de dados com aplicativos de pagamento.

Uso de nomes de usuário exclusivos e autenticação segura para acesso a qualquer PC, servidor e bancos de dados com aplicativos de pagamento e/ou dados do portador do cartão, de acordo com os Requisitos 8.5.8 a 8.5.15 do PCI DSS.

Fornecedor de software: Garantir que o aplicativo de pagamento ofereça suporte ao cliente para uso de IDs de usuário exclusivos e autenticação segura para contas/senhas se definido pelo fornecedor para acesso a PCs, servidores e bancos de dados, de acordo com os Requisitos 8.1, 8.2 e 8.5.8–8.5.15 do PCI DSS. Clientes e revendedores/Integradores: Estabelecer e manter IDs de usuário exclusivos e autenticação segura de acordo com o Guia de implementação do PA-DSS e os Requisitos 8.1, 8.2 e 8.5.8–8.5.15 do PCI DSS.


Requisito do PA-DSS

Tópico do PA-DSS



4.2 Implementar trilhas de auditoria automatizada.

Definir as configurações de log compatíveis com o PCI DSS, de acordo com o Requisito 10 do PCI DSS.

Os logs devem ser ativados, sua desabilitação resultará em não conformidade com o PCI DSS.

Fornecedor de software: Garantir que o aplicativo de pagamento ofereça suporte ao cliente para uso de logs compatíveis, de acordo com o Requisito 10 do PCI DSS. Clientes e revendedores/Integradores: Estabelecer e manter logs compatíveis com o PCI DSS, de acordo com o Guia de implementação do PA-DSS e o Requisito 10 do PCI DSS.

6.1 Implementação segura de tecnologia wireless.

Se a tecnologia wireless for utilizada no ambiente do aplicativo, instale um firewall de acordo com o Requisito 1.3.8 do PCI DSS.

Fornecedor de software: Orientar clientes e revendedores/integradores que se a tecnologia wireless for usada no aplicativo de pagamento, essas configurações padrão wireless do fornecedor deverão ser alteradas de acordo com o Requisito 2.1.1 do PCI DSS. Clientes e revendedores/Integradores: Para tecnologias wireless implementadas no ambiente de pagamento por clientes ou revendedores/integradores, instale um firewall de acordo com o Guia de implementação do PA-DSS e o Requisito 2.1.1 do PCI DSS.

6.2 Proteger transmissões de dados do portador do cartão em redes wireless.

Se o aplicativo de pagamento for implementado em um ambiente wireless, utilize as configurações wireless compatíveis com PCI DSS, de acordo com o Requisito 4.1.1 do PCI DSS.

Fornecedor de software: Orientar clientes e revendedores/integradores que se a tecnologia wireless for usada com o aplicativo de pagamento, essas transmissões criptografadas seguras deverão ser implementadas de acordo com o Requisito 4.1.1 do PCI DSS. Clientes e revendedores/Integradores: Para tecnologias wireless implementadas no ambiente de pagamento por clientes ou revendedores/integradores, utilize transmissões criptografadas seguras, de acordo com o Guia de implementação do PA-DSS e o Requisito 4.1.1 do PCI DSS.


Requisito do PA-DSS

Tópico do PA-DSS



9.1 Armazenar dados do portador do cartão somente em servidores não conectados à Internet.

Não armazenar dados do portador do cartão em sistemas acessíveis pela Internet (por exemplo, o servidor web e o servidor do banco de dados não deve estar no mesmo servidor).

Fornecedor de software: Garantir que o aplicativo de pagamento não requer armazenamento de dados no DMZ ou em sistemas acessíveis pela Internet e permitir o uso do DMZ de acordo com o Requisito 1.3.4 do PCI DSS. Clientes e revendedores/Integradores: Estabelecer e manter aplicativos de pagamento de modo que os dados do portador do cartão não sejam armazenados em sistemas acessíveis pela Internet, de acordo com o Guia de implementação do PA-DSS e o Requisito 1.3.4 do PCI DSS.

10.1 Oferecer com segurança atualizações remotas do aplicativo de pagamento.

Receber atualizações remotas do aplicativo de pagamento por meio de modems seguros, de acordo com o Requisito 12.3 do PCI DSS.

Se o computador não conectado via VPN ou outra conexão de alta velocidade, receber as atualizações remotas do aplicativo de pagamento por meio de um firewall ou firewall pessoal, de acordo com o Requisito 1 ou 1.3.9 do PCI DSS.

Fornecedor de software: Oferecer com segurança atualizações remotas do aplicativo de pagamento, de acordo com os Requisitos 1, 1.3.9 e 12.3.9 do PCI DSS. Clientes e revendedores/Integradores: Receber com segurança atualizações remotas do aplicativo de pagamento pelo fornecedor, de acordo com o Guia de implementação do PA-DSS e os Requisitos 1, 1.3.9 e 12.3.9 do PCI DSS.

11.2 Implementar autenticação de dois fatores para acesso remoto ao aplicativo de pagamento.

Utilizar autenticação de dois fatores (ID de usuário e senha e um item de autenticação adicional, como um token) se o aplicativo de pagamento puder ser acessado remotamente.

Fornecedor de software: Garantir que o aplicativo de pagamento ofereça suporte ao cliente para uso de autenticação de dois fatores, de acordo com o Requisito 8.3 do PCI DSS. Clientes e revendedores/Integradores: Estabelecer e manter autenticação de dois fatores para acesso remoto ao aplicativo de pagamento, de acordo com o Guia de implementação do PA-DSS e o Requisito 8.3 do PCI DSS.

11.3 Implementar com segurança o acesso remoto ao software.

Implementar e usar os recursos de segurança do software de acesso remoto se o software for usado para acessar remotamente o aplicativo de pagamento ou seu ambiente.

Fornecedor de software: (1) Se o fornecedor usar produtos de acesso remoto para acessar sites do cliente, utilizar os recursos de segurança para acesso remoto como aqueles especificados no Requisito 11.3.a do PA-DSS. (2) Garantir que o aplicativo de pagamento ofereça suporte ao cliente para o uso de


Requisito do PA-DSS

Tópico do PA-DSS


Responsabilidade da implementação de controle recursos de segurança para acesso remoto. Clientes e revendedores/Integradores: Utilizar os recursos de segurança do acesso remoto se permitir o acesso remoto a aplicativos de pagamento, de acordo com o Guia de implementação do PA-DSS e o Requisito 11.3.b do PA-DSS.

12.1 Proteger transmissões de dados do portador do cartão em redes públicas.

Implementar e usar o SSL para transmissão segura de dados do portador do cartão,de acordo com o Requisito 4.1 do PCI DSS

Fornecedor de software: Garantir que o aplicativo de pagamento ofereça suporte ao cliente para o uso de transmissões seguras de dados do portador do cartão em redes públicas, de acordo com o Requisito 4 do PCI DSS. Clientes e revendedores/Integradores: Estabelecer e manter transmissões seguras de dados do portador do cartão, de acordo com o Guia de implementação do PA-DSS e o Requisito 4 do PCI DSS.

12.2 Criptografar dados do portador do cartão enviados por meio de tecnologias de envio de mensagens de usuário final.

Implementar e usar uma solução de criptografia se PANs puderem ser enviados com tecnologias de envio de mensagens de usuário final.

Fornecedor de software: Garantir que o aplicativo de pagamento ofereça suporte ao cliente para criptografia de PANs, se enviados com tecnologias de envio de mensagens de usuário final, de acordo com o Requisito 4.2 do PCI DSS. Clientes e revendedores/Integradores: Criptografar todos os PANs enviados com tecnologias de envio de mensagens de usuário final, de acordo com o Guia de implementação do PA-DSS e o Requisito 4.2 do PCI DSS.

13.1 Criptografar os acessos administrativos não-console.

Implementar e usar SSH, VPN ou SSL/TLS para criptografia de qualquer acesso administrativo não-console ao aplicativo de pagamento ou servidores no ambiente de dados do portador do cartão.

Fornecedor de software: Garantir que o aplicativo de pagamento ofereça suporte ao cliente para criptografia de quer acesso administrativo não-console, de acordo com o Requisito 2.3 do PCI DSS. Clientes e revendedores/Integradores: Criptografar todos os acessos administrativos não-console, de acordo com o Guia de implementação do PA-DSS e o Requisito 2.3 do PCI DSS.

Requisitos do PCI PA-DSS e Procedimentos de Avaliação de Segurança, v1.2 Página 34 Anexo B: Confirmação da configuração do laboratório de testes específico para a avaliação do PA-DSS Outubro de 2008 Copyright 2008 PCI Security Standards Council LLC

Anexo B: Confirmação da configuração do laboratório de testes específico para a avaliação do PA-DSS Para: Fornecedor de software Nome do aplicativo Número da versão

Para cada avaliação do PA-DSS conduzida, o PA-QSA deve preencher este documento para confirmar o status e as capacidades do laboratório usado para realizar o teste para a avaliação do PA-DSS. Este documento preenchido deve ser enviado junto com o documento Requisitos e procedimentos de avaliação de segurança do PA-DSS. Para cada Procedimento de validação do laboratório, indique (usando as colunas “Concluído no laboratório do PA-QSA” ou “Concluído no laboratório do fornecedor”) qual foi o laboratório usado para a avaliação e se laboratório que passou por esses Procedimentos de validação foi o laboratório do PA-QSA ou o do fornecedor do software. Descreva a arquitetura e o ambiente do teste no laboratório no local para esta revisão do PA-DSS:

Descreva como o uso real do aplicativo de pagamento foi simulado no laboratório para esta revisão do PA-DSS:

Requisito do laboratório Procedimento de validação do laboratório

Preenchido no laboratório do

PA-QSA

Concluído no laboratório do

fornecedor Comentários

1. Instalar o aplicativo de pagamento de acordo com as instruções de instalação do fornecedor ou o treinamento fornecido ao cliente

1. Verifique se o manual de instalação do fornecedor ou o treinamento oferecido aos clientes foi utilizado para realizar a instalação padrão do produto do aplicativo de pagamento em todas as plataformas listadas no relatório do PA-DSS.

2.a Verificar se todas as implementações comuns (incluindo versões específicas de regiões/países) do aplicativo de pagamento a serem testadas foram instaladas.

2.b Verificar se todas as versões e plataformas do aplicativo de pagamento foram testadas.

2. Instalar e testar todas as versões do aplicativo de pagamento listadas no relatório do PA-DSS.

2.c Verificar se todas as funcionalidades críticas do aplicativo de pagamento foram testadas.




PA-QSA



3. Instalar e implementar todos os dispositivos de segurança necessários do PCI DSS.

3. Verificar se todos os dispositivos de segurança exigidos pelo PCI DSS (por exemplo, firewalls e software anti-vírus) foram implementados nos sistemas de teste.

4. Instalar e/ou configurar todas as opções de segurança necessárias do PCI DSS.

4. Verificar todas as configurações do sistema, patches, etc. compatíveis com PCI DSS foram implementadas nos sistemas de teste para sistemas operacionais, software do sistema e aplicativos utilizados pelo aplicativo de pagamento.

5.a O laboratório simula o uso real do aplicativo de pagamento, incluindo todos os sistemas e aplicativos onde o aplicativo está implementado. Por exemplo, uma implementação padrão do aplicativo de pagamento pode incluir um ambiente cliente/servidor dentro de uma loja de varejo com uma máquina POS e ou rede corporativa. O laboratório simula a implementação total.

5.c O laboratório executa a autorização do aplicativo de pagamento e/ou funções de acordo e todos os resultados são examinados conforme o item 6, mais adiante.

5.d O laboratório e/ou processos mapeia todos os resultados produzidos pelo aplicativo de pagamento para cada situação possível, seja temporária, permanente, processamento de erro, modo de depuração, arquivos de log, etc.

5. Simular o uso real do aplicativo de pagamento.

5.e O laboratório e/ou processos simulam e validam todas as funções do aplicativo de pagamento, para incluir a geração de todos os erros e entradas de log usando dados reais simulados e inválidos.




PA-QSA



6.a Uso de ferramentas/métodos forenses6: Ferramentas/métodos forenses foram usados para pesquisar todos os resultados identificados para evidências de dados de autenticação confidenciais (ferramentas comerciais, scripts, etc.), conforme o requisito 1.1.1–1.1.3 do PA-DSS.6

6.b Tentativa de explorar as vulnerabilidades do OWASP: As vulnerabilidades do OWASP foram usadas para tentar explorar o aplicativo de pagamento, conforme o requisito 5.1.1–5.1.10 do PA-DSS.

6. Fornecer condições e uso de teste para as seguintes metodologias de teste de penetração:

6.c O laboratório e/ou processo tentou executar o código arbitrário durante o processo de atualização do aplicativo de pagamento: Execute o processo de atualização com código arbitrário conforme o requisito 7.2.b do PA-DSS.

7.a Se o uso do laboratório do fornecedor de software for necessário (por exemplo, o PA-QSA não possui mainframe, AS400 ou Tandem o aplicativo de pagamento é executado ligado), o PA-QSA pode (1) usar o equipamento, sob empréstimo do fornecedor ou (2) usar as instalações do laboratório do fornecedor, contanto que isso seja detalhado no relatório junto com o local dos testes. Para cada opção, o PA-QSA verificou que o equipamento do fornecedor e o laboratório atendem aos seguintes requisitos:

7. Utilizar o laboratório do fornecedor SOMENTE após verificar se todos os requisitos foram atendidos.

7.b O PA-QSA verifica que o laboratório do fornecedor atende a todos os requisitos anteriores especificados neste documento e lista os detalhes no relatório.

6 Ferramenta ou método forense: Uma ferramenta ou método utilizado para descobrir, analisar e apresentar dados forenses, que fornecem uma forma robusta

de autenticar, pesquisar e recuperar evidências no computador de forma rápida e ampla. No caso das ferramentas ou métodos forenses utilizados pelos PA-QSAs, essas ferramentas ou métodos devem localizar com precisão qualquer dados de autenticação confidencial gravado pelo aplicativo de pagamento. Essas ferramentas podem ser comerciais, de código aberto ou desenvolvidas internamente pelo PA-QSA.




PA-QSA



7.c Todos os testes são executados pelo PA-QSA (o fornecedor não pode executar testes em seu próprio aplicativo).

7.d Todos os testes são (1) realizados nas instalações do fornecedor ou (2) remotamente por meio de uma conexão de rede que usa um link seguro (por exemplo, VPN).

7.e Utilize somente números de cartão de teste para a simulação/teste — não utilize PANs ativos no teste. Esses cartões de teste geralmente podem ser obtidos com o fornecedor ou um processador ou adquirente.

8.a A equipe de QA do PA-QSA verifica se todas as plataformas identificadas no relatório do PA-DSS foram incluídas no teste.

8.b A equipe de QA do PA-QSA verifica se todos os requisitos do PA-DSS foram testados.

8.c A equipe de QA do PA-QSA verifica se as configurações e processos do laboratório do PA-QSA atendem aos requisitos e foram documentados com precisão no relatório.

8. Manter um processo de controle de qualidade (QA) eficaz.

8.d A equipe de QA do PA-QSA verifica se o relatório apresenta com precisão os resultados do teste.

Requisitos do PCI PA-DSS e Procedimentos de Avaliação de Segurança, v1.2 Página 38 Anexo C: Atestado de validação Outubro de 2008 Copyright 2008 PCI Security Standards Council LLC

Anexo C: Atestado de validação Instruções para envio O Assessor de segurança qualificado do aplicativo de pagamento (PA-QSA) deve preencher este documento como uma declaração do status de validação do aplicativo de pagamento com o Padrão de segurança de dados de aplicativos de pagamento (PA-DSS). Preencha todas as seções aplicáveis deste Atestado de validação. Envie o Relatório de validação (ROV) do PA-DSS, este atestado e o Anexo B do PA-DSS preenchido ao PCI SSC. Assim que for aceito pelo PCI SSC, o aplicativo de pagamento será enviado ao site do PCI SSC como um aplicativo de pagamento validado pelo PA-DSS. O PA-QSA e o Fornecedor de software do aplicativo de pagamento devem preencher todas as seções e enviar este documento junto com cópias de toda documentação de validação necessária ao PCI SSC, conforme as instruções do PCI SSC para criptografia e envio de relatórios.

Parte 1. Informações da empresa Assessora de segurança qualificada de aplicativos de pagamento (PA QSA) Nome da empresa:

Nome do PA-QSA líder:

Forma de tratamento:

Telefone: E-mail: Endereço comercial:

Cidade:

Estado/Província: País: CEP: URL:

Parte 2. Informações do fornecedor do aplicativo de pagamento Nome da empresa:

Contato: Forma de tratamento:

Telefone: E-mail: Endereço comercial:

Cidade:

Estado/Província: País: CEP:

URL: Parte 2a. Informações do aplicativo de pagamento Lista de nomes de aplicativos de pagamento e números de versão incluídos na revisão do PA-DSS: Funcionalidade do aplicativo de pagamento (marcar todas as opções aplicáveis):

Ponto de venda Ponto de venda - admin Carrinho de Compra e Loja

Ponto de venda face-a-face Middleware de pagamento

Ponto de venda - quiosque Retaguarda de pagamento

Ponto de venda especializado

Gateway/Switch de pagamento

Outros (especifique):


Mercado alvo para o aplicativo:


Parte 3. Validação do PCI PA-DSS Parte 3a. Confirmação do status validado Com base nos resultados observados no ROV do PA-DSS em (data do ROC), o (Nome do QSA) afirma o seguinte status de validação para o(s) aplicativo(s) e versão(ões) identificado(s) na Parte 2a deste documento a partir de (data) (assinale uma opção):

Totalmente validado: Todos os requisitos no ROV são marcados como “Implementado”, portanto o (Nome e versão do aplicativo de pagamento) obteve a validação total com o Padrão de segurança de dados de aplicativos de pagamento.

O ROV foi concluído de acordo com o PA-DSS, versão (insira o número da versão), em conformidade com as instruções aqui contidas.

Todas as informações contidas no ROV mencionado anteriormente e neste atestado representam adequadamente os resultados desta avaliação em todos os aspectos materiais.

Não há evidência de armazenamento de dados de tarja magnética (ou seja, rastros)7, CAV2, CVC2, CID ou CVV28 ou dados de PIN9 após a autorização de transação em QUALQUER arquivo ou funcionalidade gerada pelo aplicativo durante esta avaliação do PA-DSS.

Parte 3b. Confirmação de revalidação anual: O conteúdo do ROV mencionado anteriormente continua aplicável às seguintes versões de

software: (Nome e versão do aplicativo de pagamento).

Observação: A seção 3b destina-se ao Atestado anual para aplicativos de pagamento listados e SOMENTE deve ser preenchida se nenhuma modificação tiver sido feita ao Aplicativo de pagamento abordado no ROV mencionado anteriormente. Para a revalidação anual, o fornecedor do software pode preencher, assinar e enviar este formulário. O PA-QSA não precisa assinar a revalidação anual. Parte 3c. Autorização do PA-QSA e do fornecedor do aplicativo Assinatura do PA-QSA líder Data

Nome do PA-QSA líder Forma de tratamento Assinatura do diretor de fornecedores do aplicativo Data

Nome do diretor de fornecedores do aplicativo Forma de tratamento

7 Dados de tarja magnética (Dados de rastreamento) – Dados codificados na tarja magnética utilizados para

autorização durante a transação com o cartão. As entidades não podem reter esses dados após a autorização. Os únicos elementos dos dados de rastro que podem ser retidos são o número da conta, a data de vencimento e o nome.

8 O valor de três ou quatro dígitos impresso no painel de assinatura ou na frente do cartão de pagamento usado para verificar transações virtuais com o cartão.

9 Dados do PIN – Número de identificação pessoal inserido pelo portador do cartão durante uma transação com o cartão e/ou bloqueio de PIN criptografado dentro da mensagem da transação.


Representante da empresa fornecedora do aplicativo

setor de cartões de pagamento (pci) padrão de segurança de ... · (autorização e acordo), 2)...

Documents