Description


Anexo A: Requisitos adicionais do PCI DSS para provedores de hospedagem compartilhada



Baixar 1.08 Mb.
Página11/12
Encontro18.09.2019
Tamanho1.08 Mb.
1   ...   4   5   6   7   8   9   10   11   12

Anexo A: Requisitos adicionais do PCI DSS para provedores de hospedagem compartilhada

Requisito A.1: Os provedores de hospedagem compartilhada devem proteger o ambiente de dados do titular do cartão








Pergunta do PCI DSS Resposta:

Sim

Não

Especial*

A.1

O ambiente hospedado e os dados de cada entidade (seja comerciante, prestador de serviços ou outra entidade) estão protegidos de acordo com os itens A.1.1 a A.1.4, conforme a descrição a seguir?

O provedor de hospedagem deve cumprir esses requisitos e todas as outras seções relevantes do PCI DSS.

Observação: Mesmo que o provedor de hospedagem cumpra esses requisitos, a conformidade da entidade que usa o provedor de hospedagem não está assegurada. Cada entidade deve estar em conformidade com o PCI DSS e validar a conformidade, conforme aplicável.










A.1.1

Cada entidade executa processos que acessam somente o ambiente de dados do titular de cartão da entidade e esses processos de aplicativos são executados usando um ID exclusivo da entidade?

Por exemplo:



  • Nenhuma entidade no sistema pode usar um ID de usuário do servidor da Web compartilhado.

  • Todos os scripts CGI usados por uma entidade devem ser criados e executados como o ID do usuário exclusivo da entidade.





     




A.1.2

Os acessos e privilégios de acesso de cada entidade são restritos ao seu ambiente próprio de dados do titular do cartão?













(a) Os IDs de usuário dos processos de aplicativos não são usuários com acesso privilegiado (raiz/admin)?





     




(b) Cada entidade leu, gravou ou executou somente as permissões referentes aos arquivos e diretórios que possui ou para os arquivos de sistema necessários (restringidos por meio das permissões do sistema de arquivo, listas de controle de acesso, chroot, jailshell, etc.)?

Importante: Os arquivos de uma entidade não podem ser compartilhados em grupo.





     




(c) Todos os usuários da entidade não têm acesso de gravação aos arquivos binários compartilhados do sistema?





     




(d) A visualização das entradas de log é restrita à entidade detentora?





     







(e) Existem restrições em vigor para o uso destes recursos do sistema?

  • Espaço em disco,

  • Largura de banda,

  • Memória,

  • CPU

Isso é feito para assegurar que as entidades não possam monopolizar os recursos do servidor para explorar as vulnerabilidades (como condições de erro, aceleração e reinicialização, resultando em excessos de buffer),





     




A.1.3

Os logs e as trilhas de auditoria estão ativados e são exclusivos para o ambiente de dados do titular do cartão de cada entidade, além de estarem em conformidade com o Requisito 10 do PCI DSS?

O log está ativado conforme a descrição a seguir em cada ambiente do comerciante e do prestador de serviços?







     




  • Os logs estão ativados para aplicativos de terceiros comuns?





     




  • Os logs estão ativados por padrão?





     




  • Os logs estão disponíveis para análise pela entidade detentora?





     




  • As localizações dos logs são informadas com clareza à entidade detentora?





     




A.1.4

Existem processos e políticas por escrito ativados para fornecer uma investigação forense oportuna no caso de um comprometimento em qualquer comerciante ou prestador de serviços hospedado?





     








1   ...   4   5   6   7   8   9   10   11   12


©aneste.org 2017
enviar mensagem

    Página principal