Description


Manter uma política de segurança de informações



Baixar 1.08 Mb.
Página10/12
Encontro18.09.2019
Tamanho1.08 Mb.
1   ...   4   5   6   7   8   9   10   11   12

Manter uma política de segurança de informações

Requisito 12: Manter uma política que aborde a segurança das informações para todas as equipes








Pergunta do PCI DSS Resposta:

Sim

Não

Especial*

12.1

Existe uma política de segurança estabelecida, publicada, mantida e disseminada para todas as equipes relevantes?

Para as finalidades do Requisito 12, "equipe" refere-se a funcionários que trabalham em período integral e meio-período, funcionários e equipes temporárias, e prestadores de serviços e consultores que "residem" no endereço da entidade ou têm acesso ao ambiente de dados do titular do cartão.





     

12.1.1

A política cumpre todos os requisitos do PCI DSS?





     




12.1.2

(a) Existe algum processo anual documentado de avaliação de risco que identifique ameaças e vulnerabilidades, resultando em uma avaliação de risco formal?

(Os exemplos de metodologias de avaliação de risco incluem, entre outros, OCTAVE, ISO 27005 e NIST SP 800-30.)







     




(b) O processo de avaliação de risco é executado pelo menos uma vez por ano?





     




12.1.3


A política de segurança das informações é analisada pelo menos uma vez por ano e atualizada conforme necessário para refletir as alterações nos objetivos de negócios ou no ambiente de risco?





     




12.2

São desenvolvidos procedimentos de segurança operacional diariamente que estejam em conformidade com os requisitos desta especificação (como procedimentos de manutenção da conta do usuário e procedimentos de análise de logs) que incluem procedimentos técnicos e administrativos para cada requisito?





     

12.3

Existem políticas de utilização para tecnologias críticas (por exemplo: tecnologias de acesso remoto, tecnologias sem fio, mídia eletrônica removível, laptops, tablets, dados pessoais/assistentes digitais (PDAs), uso de e-mail e uso da Internet) desenvolvidas para definir o uso adequado dessas tecnologias para todas as equipes que requerem:










12.3.1

Aprovação explícita pelas partes autorizadas para uso das tecnologias?





     




12.3.2

Autenticação para o uso da tecnologia?





     




12.3.3

Uma lista de todos esses dispositivos e equipes com acesso?





     




12.3.4

Identificação dos dispositivos para determinar o proprietário, informações de contato e a finalidade?





     




12.3.5

Usos aceitáveis das tecnologias?





     




12.3.6

Locais de rede aceitáveis para as tecnologias?





     




12.3.7

Lista dos produtos aprovados pela empresa?





     




12.3.8

Desconexão automática das sessões para tecnologias de acesso remoto após um período específico de inatividade?





     




12.3.9

Ativação de tecnologias de acesso remoto para fornecedores e parceiros de negócio somente quando lhes for necessário, com desativação imediata após o uso?





     




12.3.10

(a) No acesso da equipe aos dados do titular do cartão por meio de tecnologias de acesso remoto, a política especifica a proibição de cópia, transferência e armazenamento dos dados do titular do cartão em discos rígidos locais e mídias eletrônicas removíveis, exceto quando explicitamente autorizado para uma necessidade comercial definida?






     




(b) Para membros da equipe com autorização adequada, a política exige a proteção dos dados do titular do cartão de acordo com os Requisitos do PCI DSS?





     




12.4

A política e os procedimentos de segurança definem claramente as responsabilidades quanto à segurança das informações para todas as equipes?





     

12.5

A responsabilidade pela segurança das informações é atribuída formalmente para uma pessoa responsável pela segurança ou para outro membro da gerência que tenha conhecimento sobre segurança?





     

As seguintes responsabilidades do gerenciamento da segurança da informação são atribuídas formalmente para as pessoas e para as equipes que:










12.5.1

Estabelecem, documentam e distribuem políticas e procedimentos de segurança?





     




12.5.2

Monitoram e analisam os alertas e as informações de segurança e os distribui para as equipes apropriadas?





     




12.5.3

Estabelecem, documentam e distribuem procedimentos de resposta e escalação de incidentes de segurança para assegurar que todas as situações sejam abordadas de modo oportuno e eficiente?





     




12.5.4

Administram as contas dos usuários, incluindo adições, exclusões e modificações?





     




12.5.5

Monitoram e controlam todos os acessos aos dados?





     




12.6

(a) Existe algum programa formal de conscientização da segurança em vigor para conscientizar todas as equipes sobre a importância da segurança dos dados do titular do cartão?





     

(b) Os procedimentos do programa de conscientização da segurança incluem os itens a seguir?










12.6.1

(a) O programa de conscientização da segurança fornece vários métodos para comunicação da conscientização e instrução da equipe (como cartazes, cartas, memorandos, treinamento baseado na Web, reuniões e promoções)?

Observação: Os métodos podem variar dependendo da função de cada funcionário e do nível de acesso aos dados do titular do cartão.





     




(b) As equipes são instruídas na contratação e depois pelo menos uma vez ao ano?





     




12.6.2

Os membros da equipe devem reconhecer, pelo menos uma vez por ano, que leram e compreenderam a política e os procedimentos de segurança da empresa?





     




12.7

Os possíveis funcionários (consulte a definição de "funcionário" no Requisito 12.1 acima) são examinados antes da contratação para minimizar o risco de ataques de fontes internas? (Exemplos de verificações da formação incluem o histórico do emprego anterior, ficha criminal, histórico de crédito e verificações das referências.)

Observação: Para a contratação de funcionários para certas funções, como os caixas de loja que têm acesso somente a um número do cartão por vez ao viabilizar uma transação, este requisito é apenas uma recomendação.





     

12.8

Se os dados do titular do cartão forem compartilhados com prestadores de serviços, existem políticas e procedimentos mantidos e implementados para gerenciar prestadores de serviços, conforme os itens a seguir:










12.8.1

É mantida uma lista de prestadores de serviços?





     




12.8.2

É mantido um acordo por escrito que inclua um reconhecimento de que os prestadores de serviços são responsáveis pela segurança dos dados do titular do cartão que eles possuírem?





     




12.8.3

Existe um processo definido para a contratação dos prestadores de serviços, incluindo uma diligência devida adequada antes da contratação?





     




12.8.4

É mantido um programa para monitorar anualmente o status de conformidade com o PCI DSS dos prestadores de serviços?





     




12.9

Foi implementado um plano de resposta a incidentes para incluir o seguinte, em preparação a reagir imediatamente a uma violação no sistema?










12.9.1

  1. Foi criado um plano de resposta a incidentes para ser implementado em caso de violação do sistema?





     




  1. O plano aborda, pelo menos:













  • Funções, responsabilidades e estratégias de comunicação e contato no caso de um comprometimento, incluindo, no mínimo, a notificação às bandeiras?





     




  • Procedimentos de resposta específicos a incidentes?





     




  • Procedimentos de recuperação e continuidade dos negócios?





     




  • Processos de backup dos dados?





     




  • Análise dos requisitos legais para divulgação dos comprometimentos?





     




  • Abrangência e respostas de todos os componentes críticos do sistema?





     




  • Referência ou inclusão de procedimentos de resposta a incidentes por parte das bandeiras?





     




12.9.2

O plano é testado pelo menos anualmente?





     




12.9.3

Equipes específicas são designadas para estarem disponíveis em tempo integral para reagir aos alertas?





     




12.9.4

O treinamento adequado é prestado à equipe que é responsável pela resposta às falhas do sistema?





     




12.9.5

Os alertas dos sistemas de detecção de invasão, prevenção contra invasões e monitoramento da integridade dos arquivos estão incluídos no plano de resposta a incidentes?





     




12.9.6

Existe algum processo em vigor para modificar e aprimorar o plano de resposta a incidentes, de acordo com as lições aprendidas, para incorporar os desenvolvimentos do setor?





     






1   ...   4   5   6   7   8   9   10   11   12


©aneste.org 2017
enviar mensagem

    Página principal