Description


Questionário de auto-avaliação D



Baixar 1.08 Mb.
Página5/12
Encontro18.09.2019
Tamanho1.08 Mb.
1   2   3   4   5   6   7   8   9   ...   12

Questionário de auto-avaliação D


Observação: As perguntas a seguir estão numeradas de acordo com os requisitos e procedimentos de teste do PCI DSS, conforme definido no documento Requisitos do PCI DSS e procedimentos da avaliação de segurança.

Data de preenchimento:      


Construir e manter uma rede segura

Requisito 1: Instalar e manter uma configuração de firewall para proteger os dados





Pergunta do PCI DSS Resposta:

Sim

Não

Especial*

1.1

Os padrões de configuração do firewall e do roteador estão definidos para incluir o seguinte:










1.1.1

Existe um processo formal para aprovar e testar todas as conexões de rede externas e alterações nas configurações do firewall e do roteador?





     




1.1.2

(a) Existe algum diagrama da rede atual (como um diagrama que mostre o fluxo dos dados do titular do cartão na rede) que documente todas as conexões em relação aos dados do titular do cartão, incluindo as redes sem fio?





     




(b) Esse diagrama é mantido atualizado?





     




1.1.3

(a) Os padrões de configuração incluem requisitos para um firewall em cada conexão da Internet e entre qualquer zona desmilitarizada (DMZ) e a zona da rede interna?





     




(b) O diagrama da rede atual está de acordo com os padrões de configuração do firewall?





     




1.1.4

Os padrões de configuração do firewall e do roteador incluem uma descrição dos grupos, funções e responsabilidades para gerenciamento lógico dos componentes da rede?





     




1.1.5

(a) Os padrões de configuração do firewall e do roteador incluem uma lista documentada dos serviços, protocolos e portas necessárias para os negócios (por exemplo: protocolos HTTP (hypertext transfer protocol) e SSL (Secure Sockets Layer), SSH (Secure Shell) e VPN (Virtual Private Network)?





     




(b) Todos os serviços, protocolos e portas não seguros são necessários e existem recursos de segurança documentados e implementados para cada um desses itens?

Observação: Os exemplos de serviços, protocolos ou portas não seguros incluem, entre outros, FTP, Telnet, POP3, IMAP e SNMP.





     




1.1.6

(a) Os padrões de configuração do firewall e do roteador exigem a análise dos conjuntos de regras do firewall e do roteador pelo menos a cada seis meses?





     




(b) Os conjuntos de regras do firewall e do roteador são analisados pelo menos a cada seis meses?





     




1.2

As configurações do firewall e do router restringem as conexões entre redes não confiáveis e qualquer sistema no ambiente de dados do titular do cartão, da seguinte forma:

Observação: Uma "rede não confiável" é qualquer rede externa às redes que pertencem à entidade em análise e/ou qualquer rede que não seja controlada ou gerenciada pela entidade.










1.2.1

(a) O tráfego de entrada e saída está limitado para o tráfego necessário para o ambiente de dados do titular do cartão e as restrições estão documentadas?





     




(b) Todos os outros tráfegos de entrada e saída são recusados de forma específica (como ao usar a opção explícita "recusar todos" ou uma recusa implícita após a declaração de permissão)?





     




1.2.2

Os arquivos de configuração do roteador estão seguros e sincronizados?





     




1.2.3

Existem firewalls de perímetro instalados entre quaisquer redes sem fio e o ambiente de dados do titular do cartão e esses firewalls estão configurados para recusar ou controlar (se esse tráfego for necessário para fins comerciais) qualquer tráfego a partir do ambiente sem fio no ambiente de dados do titular do cartão?





     






1.3

A configuração do firewall proíbe o acesso público direto entre a Internet e qualquer componente do sistema no ambiente de dados do titular do cartão, da seguinte forma:










1.3.1

Existe uma DMA implementada para limitar o tráfego de entrada somente para componentes do sistema que fornecem serviços, portas e protocolos autorizados acessíveis publicamente?





     




1.3.2

O tráfego de Internet de entrada está limitado ao endereço IP dentro da DMZ?





     




1.3.3

As conexões diretas estão proibidas para tráfego de entrada ou saída entre a Internet e o ambiente dos dados do titular do cartão?





     




1.3.4

A passagem de endereços internos da Internet para a DMZ é proibida?





     




1.3.5

O tráfego de saída do ambiente de dados do titular do cartão para a Internet está explicitamente autorizado?





     




1.3.6

A inspeção com status, também conhecida como filtragem de pacote dinâmico, está implementada (ou seja, somente conexões estabelecidas podem entrar na rede)?





     




1.3.7

Os componentes do sistema que armazenam dados do titular do cartão (como banco de dados) estão localizados em uma zona da rede interna, separada da DMZ e de outras redes não confiáveis?





     




1.3.8

(a) Existem métodos em vigor para evitar a divulgação de endereços IP privados e de informações de roteamento pra a Internet?

Observação: Os métodos para ocultar o endereço IP podem incluir, entre outros:

  • Conversão de endereços de rede (NAT)

  • Implementação dos servidores contendo dados do titular do cartão atrás dos servidores de proxy/firewalls ou caches de conteúdo,

  • Remoção ou filtragem das propagandas de rota para redes privadas que empregam endereçamento registrado,

  • Uso interno do espaço de endereço RFC1918 em vez de endereço registrado.





     




(b) A divulgação dos endereços IP privados e das informações de roteamento para entidades externas é autorizada?





     




1.4

(a) Existe um software de firewall pessoal instalado e ativo em todos os computadores móveis e/ou de propriedade do funcionário com conectividade direta à Internet (por exemplo: laptops usados pelos funcionários) usados para acessar a rede da empresa?





     

(b) O software de firewall pessoal está configurado de acordo com padrões específicos e não pode ser alterado pelos usuários de computadores móveis e/ou de propriedade do funcionário?





     


Requisito 2: Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança





Pergunta do PCI DSS Resposta:

Sim

Não

Especial*

2.1

Os valores-padrão entregues pelo fornecedor são sempre alterados antes de instalar um sistema na rede?

Os valores padrão entregues pelo fornecedor incluem, entre outros itens, senhas, strings de comunidade de SNMP (simple network management protocol) e a eliminação de contas desnecessárias.





     

2.1.1

Para ambientes sem fio conectados ao ambiente dos dados do titular do cartão ou para a transmissão dos dados do titular do cartão, os padrões são alterados da seguinte forma:













  1. As chaves de criptografia padrão são alteradas na instalação e são modificadas sempre que um funcionário que conhece as chaves sai da empresa ou troca de cargo?





     




  1. As strings de comunidades de SNMP padrão dos dispositivos sem fio são alteradas?





     




  1. As senhas/frases de senha padrão dos pontos de acesso são alteradas?





     




(d) O firmware dos dispositivos sem fio é atualizado para ser compatível com a criptografia robusta para autenticação e transmissão em redes sem fio?





     




(e) Os outros padrões relacionados à segurança do fornecedor de dispositivos sem fio são alterados, se aplicável?





     




2.2

  1. Os padrões de configuração são desenvolvidos para todos os componentes do sistema e estão de acordo com os padrões de fortalecimento do sistema aceitos pelo setor?
    As fontes para os padrões de fortalecimento do sistema aceitos pelo setor incluem, entre outros, o SysAdmin Audit Network Security (SANS) Institute, o National Institute of Standards Technology (NIST), o International Organization for Standardization (ISO) e o Center for Internet Security (CIS).





     

  1. Os padrões de configuração do sistema são atualizados quando novos problemas de vulnerabilidade são identificados, conforme definido no Requisito 6.2?





     

  1. Os padrões de configuração do sistema são aplicados quando novos sistemas são configurados?





     

  1. Os padrões de configuração do sistema incluem os seguintes itens:










2.2.1

(a) Somente uma função principal é implementada por servidor para evitar funções que exigem diferentes níveis de segurança coexistindo no mesmo servidor?

(Por exemplo: servidores da Web, servidores de banco de dados e DNS devem ser implementados em servidores separados.)







     




(b) Se forem usadas tecnologias de virtualização, somente uma função principal está implementada por componente ou dispositivo do sistema virtual?





     




2.2.2

(a) Somente os serviços, protocolos e daemons necessários, entre outros, são ativados conforme a necessidade para a função do sistema (ou seja, os serviços e protocolos que não são diretamente necessários para a execução da função especificada do dispositivo estão desativados)?





     




(b) Todos os serviços, daemons ou protocolos não seguros ativos são justificáveis e os recursos de segurança estão documentados e implementados?

(Por exemplo: tecnologias seguras como SSH, S-FTP, SSL ou IPSec VPN são usadas para proteger serviços não seguros como NetBIOS, compartilhamento de arquivos, Telnet, FTP, etc.)





     




2.2.3

(a) Os administradores do sistema e/ou equipes que configuram os componentes do sistema estão bem-informados sobre as configurações comuns dos parâmetros de segurança para esses componentes do sistema?





     




(b) As configurações comuns dos parâmetros de segurança estão incluídas nos padrões de configuração do sistema?





     




(c) As configurações dos parâmetros de segurança estão definidas corretamente nos componentes do sistema?





     




2.2.4

(a) Todas as funcionalidades desnecessárias como scripts, drivers, recursos, subsistemas, sistemas de arquivo e servidores da Web desnecessários foram removidas?





     




(b) As funções ativadas estão documentadas e oferecem suporte para uma configuração segura?





     




(c) Existem somente funcionalidades registradas presentes nos componentes do sistema?





     




2.3

Os acessos administrativos fora do console estão criptografados da seguinte forma:

Com o uso tecnologias como SSH, VPN ou SSL/TLS para o gerenciamento baseado na Web e outros acessos administrativos fora do console.
















(a) Todos os acessos administrativos fora do console são criptografados com criptografia robusta e um método de criptografia robusta é invocado antes da solicitação da senha do administrador?





     







(b) Os serviços do sistema e os arquivos de parâmetros são configurados para prevenir o uso de Telnet e outros comandos de login remoto inseguros?





     







(c) O acesso do administrador às interfaces de gerenciamento baseadas na Web é criptografado com uma criptografia robusta?





     




2.4

Se você for um provedor de hospedagem compartilhada, os sistemas estão configurados para proteger o ambiente de hospedagem e os dados do titular do cartão?

Consulte o Anexo A: Requisitos adicionais do PCI DSS para provedores de hospedagem compartilhada para obter informações sobre os requisitos específicos que precisam ser cumpridos.





     






1   2   3   4   5   6   7   8   9   ...   12


©aneste.org 2017
enviar mensagem

    Página principal