Description


Anexo A: Requisitos adicionais do PCI DSS para provedores de hospedagem compartilhada



Baixar 1.08 Mb.
Página11/12
Encontro18.09.2019
Tamanho1.08 Mb.
1   ...   4   5   6   7   8   9   10   11   12

Anexo A: Requisitos adicionais do PCI DSS para provedores de hospedagem compartilhada

Requisito A.1: Os provedores de hospedagem compartilhada devem proteger o ambiente de dados do titular do cartão








Pergunta do PCI DSS Resposta:

Sim

Não

Especial*

A.1

O ambiente hospedado e os dados de cada entidade (seja comerciante, prestador de serviços ou outra entidade) estão protegidos de acordo com os itens A.1.1 a A.1.4, conforme a descrição a seguir?

O provedor de hospedagem deve cumprir esses requisitos e todas as outras seções relevantes do PCI DSS.

Observação: Mesmo que o provedor de hospedagem cumpra esses requisitos, a conformidade da entidade que usa o provedor de hospedagem não está assegurada. Cada entidade deve estar em conformidade com o PCI DSS e validar a conformidade, conforme aplicável.










A.1.1

Cada entidade executa processos que acessam somente o ambiente de dados do titular de cartão da entidade e esses processos de aplicativos são executados usando um ID exclusivo da entidade?

Por exemplo:



  • Nenhuma entidade no sistema pode usar um ID de usuário do servidor da Web compartilhado.

  • Todos os scripts CGI usados por uma entidade devem ser criados e executados como o ID do usuário exclusivo da entidade.





     




A.1.2

Os acessos e privilégios de acesso de cada entidade são restritos ao seu ambiente próprio de dados do titular do cartão?













(a) Os IDs de usuário dos processos de aplicativos não são usuários com acesso privilegiado (raiz/admin)?





     




(b) Cada entidade leu, gravou ou executou somente as permissões referentes aos arquivos e diretórios que possui ou para os arquivos de sistema necessários (restringidos por meio das permissões do sistema de arquivo, listas de controle de acesso, chroot, jailshell, etc.)?

Importante: Os arquivos de uma entidade não podem ser compartilhados em grupo.





     




(c) Todos os usuários da entidade não têm acesso de gravação aos arquivos binários compartilhados do sistema?





     




(d) A visualização das entradas de log é restrita à entidade detentora?





     







(e) Existem restrições em vigor para o uso destes recursos do sistema?

  • Espaço em disco,

  • Largura de banda,

  • Memória,

  • CPU

Isso é feito para assegurar que as entidades não possam monopolizar os recursos do servidor para explorar as vulnerabilidades (como condições de erro, aceleração e reinicialização, resultando em excessos de buffer),





     




A.1.3

Os logs e as trilhas de auditoria estão ativados e são exclusivos para o ambiente de dados do titular do cartão de cada entidade, além de estarem em conformidade com o Requisito 10 do PCI DSS?

O log está ativado conforme a descrição a seguir em cada ambiente do comerciante e do prestador de serviços?







     




  • Os logs estão ativados para aplicativos de terceiros comuns?





     




  • Os logs estão ativados por padrão?





     




  • Os logs estão disponíveis para análise pela entidade detentora?





     




  • As localizações dos logs são informadas com clareza à entidade detentora?





     




A.1.4

Existem processos e políticas por escrito ativados para fornecer uma investigação forense oportuna no caso de um comprometimento em qualquer comerciante ou prestador de serviços hospedado?





     








Compartilhe com seus amigos:
1   ...   4   5   6   7   8   9   10   11   12


©aneste.org 2020
enviar mensagem

    Página principal
Universidade federal
Prefeitura municipal
santa catarina
universidade federal
terapia intensiva
Excelentíssimo senhor
minas gerais
Universidade estadual
união acórdãos
prefeitura municipal
pregão presencial
reunião ordinária
educaçÃo universidade
público federal
outras providências
ensino superior
ensino fundamental
federal rural
Palavras chave
Colégio pedro
ministério público
senhor doutor
Dispõe sobre
Serviço público
Ministério público
língua portuguesa
Relatório técnico
conselho nacional
técnico científico
Concurso público
educaçÃo física
pregão eletrônico
consentimento informado
recursos humanos
ensino médio
concurso público
Curriculum vitae
Atividade física
sujeito passivo
ciências biológicas
científico período
Sociedade brasileira
desenvolvimento rural
catarina centro
física adaptada
Conselho nacional
espírito santo
direitos humanos
Memorial descritivo
conselho municipal
campina grande