Description


Apêndice B: Controles de compensação



Baixar 1.08 Mb.
Página12/12
Encontro18.09.2019
Tamanho1.08 Mb.
1   ...   4   5   6   7   8   9   10   11   12

Apêndice B: Controles de compensação


Os controles de compensação podem ser considerados na maioria dos requisitos do PCI DSS quando uma entidade não for capaz de atender a um requisito de forma explícita, conforme informado, devido a restrições de negócios documentadas ou técnicas legítimas, mas minimizou o risco associado ao requisito de modo suficiente por meio da implementação de outros controles, incluindo os de compensação.

Os controles de compensação devem atender aos seguintes critérios:



  1. Atender a intenção e o rigor do requisito original do PCI DSS.

  2. Fornecer um nível semelhante de defesa ao requisito original do PCI DSS, como o controle de compensação que contrabalança o risco de modo suficiente para o qual o requisito original do PCI DSS tenha sido criado para fornecer uma defesa. (Consulte a seção Navegando no PCI DSS para obter informações sobre a intenção de cada requisito do PCI DSS.)

  3. Estar "acima e além" dos outros requisitos do PCI DSS. (Simplesmente estar em conformidade com os requisitos do PCI DSS não é um controle de compensação.)

Ao utilizar o critério de avaliação "acima e além" para controles de compensação, considere o seguinte:

Observação: Os itens nas alternativas a) a c) abaixo são apenas exemplos. Todos os controles de compensação devem ser analisados e validados quanto à suficiência pelo responsável pela avaliação que realiza a análise do PCI DSS. A efetividade de um controle de compensação depende das especificidades do ambiente no qual o controle está implementado, dos controles de segurança ao redor e da configuração do controle. As empresas devem estar cientes de que um determinado controle de compensação não será efetivo em todos os ambientes.

      1. Os requisitos existentes do PCI DSS NÃO PODERÃO ser considerados como controles de compensação se já tiverem sido exigidos para o item sob análise. Por exemplo: as senhas para o acesso administrativo realizado fora do console devem ser enviadas criptografadas para minimizar o risco de interceptação de senhas administrativas em texto simples. As entidades não podem usar outros requisitos de senha do PCI DSS (bloqueio de intruso, senhas complexas, etc.) para compensar a falta de senhas criptografadas, uma vez que os outros requisitos de senha não diminuem o risco de interceptação de senhas de texto simples. Além disso, os outros controles de senha já são requisitos do PCI DSS referentes ao item sob análise (senhas).

      2. Os requisitos existentes do PCI DSS PODERÃO ser considerados como controles de compensação se forem exigidos para outra área, mas não para o item sob análise. Por exemplo: uma autenticação com dois fatores é um requisito do PCI DSS para o acesso remoto. A autenticação com dois fatores a partir da rede interna também pode ser considerada um controle de compensação para o acesso administrativo fora do console quando não houver suporte para a transmissão de senhas criptografadas. A autenticação com dois fatores poderá ser um controle de compensação aceitável se (1) atender à intenção do requisito original ao abordar o risco de interceptação de senhas administrativas em texto simples e (2) for configurada de modo adequado e em um ambiente seguro.

      3. Os requisitos existentes do PCI DSS podem ser combinados com novos controles para se tornarem um controle de compensação. Por exemplo: se uma empresa não for capaz de tornar os dados do titular do cartão ilegíveis de acordo com o requisito 3.4 (por exemplo, por meio da criptografia), um controle de compensação poderia consistir de um dispositivo ou uma combinação de dispositivos, aplicativos e controles que abordam todos os itens a seguir: (1) segmentação da rede interna; (2) filtragem de endereço IP ou endereço MAC; e (3) autenticação com dois fatores dentro da rede interna.

  1. Ser proporcional ao risco adicional imposto pelo não cumprimento do requisito do PCI DSS.

O responsável pela avaliação deve analisar os controles de compensação por completo durante cada avaliação anual do PCI DSS para validar se cada controle de compensação aborda adequadamente o risco para o qual o requisito do PCI DSS original foi elaborado, de acordo com os itens 1 a 4 acima. Para manter a conformidade, os processos e controles devem estar implementados para assegurar que os controles de compensação permaneçam efetivos após a conclusão da avaliação.

Anexo C: Planilha dos controles de compensação


Use esta planilha para definir os controles de compensação com relação a qualquer requisito no qual a opção "SIM" tenha sido assinalada e os controles de compensação tenham sido mencionados na coluna "Especial".

Observação: Somente as empresas que realizaram uma análise dos riscos e têm restrições de negócios documentadas ou tecnológicas legítimas podem considerar o uso dos controles de compensação para atingir a conformidade.

Número e definição do requisito:      




Informações necessárias

Explicação

  1. Restrições

Listar as restrições que impossibilitam a conformidade com o requisito original.

     

  1. Objetivo

Definir o objetivo do controle original; identificar o objetivo atendido pelo controle de compensação.

     

  1. Risco identificado

Identificar qualquer risco adicional imposto pela ausência do controle original.

     

  1. Definição dos controles de compensação

Definir os controles de compensação e explicar como eles abordam os objetivos do controle original e o aumento dos riscos, caso haja algum.

     

  1. Validação dos controles de compensação

Definir como os controles de compensação foram validados e testados.

     

  1. Manutenção

Definir o processo e os controles implementados para manter os controles de compensação.

     



Planilha dos controles de compensação – Exemplo completo


Use esta planilha para definir os controles de compensação com relação a qualquer requisito no qual a opção "SIM" tenha sido assinalada e os controles de compensação tenham sido mencionados na coluna "Especial".

Número do requisito: 8.1 — Todos os usuários são identificados com um nome de usuário exclusivo antes de permitir que eles acessem os componentes do sistema ou os dados do titular do cartão?




Informações necessárias

Explicação

  1. Restrições

Listar as restrições que impossibilitam a conformidade com o requisito original.

A empresa XYZ utiliza Servidores Unix independentes sem LDAP. Sendo assim, cada um deles requer um login "raiz". A empresa XYZ não pode gerenciar o login "raiz" nem é possível registrar todas as atividades "raiz" por usuário.

  1. Objetivo

Definir o objetivo do controle original; identificar o objetivo atendido pelo controle de compensação.

O objetivo de exigir logins exclusivos é duplo. Primeiro, não é considerado aceitável, da perspectiva de segurança, compartilhar credenciais de login. Segundo, ter logins compartilhados impossibilita afirmar em definitivo quem é responsável por uma determinada ação.

  1. Risco identificado

Identificar qualquer risco adicional imposto pela ausência do controle original.

O risco adicional ocorre no sistema de controle de acesso ao não assegurar que todos os usuários tenham um ID exclusivo e possam ser monitorados.

  1. Definição dos controles de compensação

Definir os controles de compensação e explicar como eles abordam os objetivos do controle original e o aumento dos riscos, caso haja algum.

A empresa XYZ solicitará que todos os usuários efetuem login nos servidores a partir dos seus desktops usando o comando SU. Esse comando permite que um usuário acesse a conta "raiz" e desempenhe ações na conta "raiz", mas possa efetuar login no diretório de log do SU. Nesse caso, as ações de cada usuário podem ser monitoradas por meio da conta do SU.

  1. Validação dos controles de compensação

Definir como os controles de compensação foram validados e testados.

A empresa XYZ demonstra ao responsável pela avaliação o comando SU que está sendo executado e que as pessoas que estão usando o comando efetuaram login para identificar que o indivíduo está desempenhando ações com privilégios raiz.

  1. Manutenção

Definir o processo e os controles implementados para manter os controles de compensação.

A empresa XYZ documenta os processos e procedimentos para assegurar que as configurações do SU não sejam modificadas, alteradas ou removidas para permitir que os usuários individuais executem comandos raiz sem serem monitorados ou efetuarem login individualmente.

Apêndice D: Explicação de não aplicabilidade


Se "N/A" ou "Não aplicável" tiver sido inserido na coluna "Especial", use esta planilha para explicar por que o requisito relacionado não se aplica à sua organização.

Requisito

Motivo pelo qual o requisito não se aplica

Exemplo:

9.3.1

Os visitantes não pode entrar em áreas onde os dados do titular do cartão são processados ou guardados.

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     



1Para determinar o Questionário de auto-avaliação adequado, consulte o Padrão de segurança de dados do PCI: Diretrizes e instruções de auto-avaliação, "Selecionando o SAQ e o Atestado que melhor se aplicam à sua organização".

2 Dados codificados na tarja magnética ou dados equivalentes em um chip usados para autorização durante a transação com o cartão. As entidades não podem manter todos os dados da tarja magnética após a autorização da transação. Os únicos elementos dos dados de rastro que podem ser retidos são o número da conta, a data de vencimento e o nome.

3 O valor de três ou quatro dígitos impresso à direita do painel de assinatura ou na frente do cartão de pagamento usado para verificar transações com cartão não presente.

4 Número de identificação pessoal inserido pelo titular do cartão durante uma transação com o cartão e/ou bloqueio de PIN criptografado dentro da mensagem da transação.

5 Dados codificados na tarja magnética ou dados equivalentes em um chip usados para autorização durante a transação com o cartão. As entidades não podem manter todos os dados da tarja magnética após a autorização da transação. Os únicos elementos dos dados de rastro que podem ser retidos são o número da conta, a data de vencimento e o nome.

6 O valor de três ou quatro dígitos impresso à direita do painel de assinatura ou na frente do cartão de pagamento usado para verificar transações virtuais com o cartão.

7 Número de identificação pessoal inserido pelo titular do cartão durante uma transação com o cartão e/ou bloqueio de PIN criptografado dentro da mensagem da transação.



1   ...   4   5   6   7   8   9   10   11   12


©aneste.org 2017
enviar mensagem

    Página principal