Description


Implementar medidas de controle de acesso rigorosas



Baixar 1.08 Mb.
Página8/12
Encontro18.09.2019
Tamanho1.08 Mb.
1   ...   4   5   6   7   8   9   10   11   12

Implementar medidas de controle de acesso rigorosas

Requisito 7: Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio





Pergunta do PCI DSS Resposta:

Sim

Não

Especial*

7.1

O acesso aos componentes do sistema e aos dados do titular do cartão é limitado somente àquelas pessoas cuja função requer tal acesso, conforme itens a seguir:










7.1.1

Os direitos de acesso dos IDs dos usuários privilegiados estão restritos ao menor número de privilégios necessários para o desempenho das responsabilidades da função?





     




7.1.2

Os privilégios são concedidos às pessoas com base na classificação e na atribuição da função (também chamado de "controle de acesso baseado na função" ou RBAC)?





     




7.1.3

A aprovação documentada (por escrito ou eletronicamente) das partes autorizadas é necessária e especifica os privilégios necessários?





     




7.1.4

Os controles de acesso são implementados por meio de um sistema de controle de acesso automático?





     




7.2

Existe um controle de acesso em vigor para sistemas com vários usuários, a fim de restringir o acesso com base na necessidade de conhecimento do usuário, configurado para "negar tudo" a menos que especificamente permitido, conforme os itens a seguir?










7.2.1

Os sistemas de controle de acesso estão implementados em todos os componentes do sistema?





     




7.2.2

Os sistemas de controle de acesso estão configurados para impor os privilégios concedidos às pessoas com base na classificação e na atribuição da função?





     




7.2.3

Os sistemas de controle de acesso têm uma configuração padrão "recusar todos"?

Observação: Alguns sistemas de controle de acesso são definidos, como padrão, como"permitir todos", permitindo portanto o acesso a menos que/até que uma norma seja redigida para recusá-lo de forma específica.





     





Requisito 8: Atribuir uma identidade exclusiva para cada pessoa que tenha acesso ao computador





Pergunta do PCI DSS Resposta:

Sim

Não

Especial*

8.1

Todos os usuários recebem um ID exclusivo antes de permitir que eles acessem os componentes do sistema ou os dados do titular do cartão?





     

8.2


Além de atribuir um ID exclusivo, um ou mais dos seguintes métodos foi empregado para autenticar todos os usuários?

  • Algo que você sabe, como uma senha ou frase de senha

  • Algo que você tem, como um dispositivo de token ou um smart card

  • Algo que você é, como a biométrica





     

8.3

A autenticação com dois fatores foi incorporada ao acesso remoto (acesso no nível da rede que se origina fora dela) à rede pelos funcionários, administradores e terceiros?

(Por exemplo: autenticação remota e serviço de dial-in (RADIUS) com tokens, sistema de controle de acesso ao controlador de acesso ao terminal (TACACS) com tokens ou outras tecnologias que facilitam a autenticação com dois fatores.)

Observação: A autenticação de dois fatores exige que dois dos três métodos de autenticação (consulte o Requisito 8.2 do PCI DSS para obter descrições dos métodos de autenticação) sejam usados para autenticação. O uso duplicado de um fator (como o uso de duas senhas separadas) não é considerado uma autenticação com dois fatores.





     

8.4

(a) Todas as senhas são processadas para se tornarem ilegíveis durante a transmissão e o armazenamento em todos os componentes do sistema usando criptografia robusta?





     

(b) Somente para prestadores de serviços: As senhas do cliente são criptografadas?





     

8.5

Existem controles de gerenciamento adequados de autenticação e identificação de usuários em vigor para administradores e usuários que não são clientes em todos os componentes do sistema, conforme a descrição a seguir?










8.5.1

As adições, exclusões e modificações dos IDs, das credenciais e de outros objetos de identificação do usuários são controladas, de forma que os IDs do usuários sejam implementados somente quando autorizados (incluindo usuários com privilégios específicos)?





     




8.5.2

A identidade do usuário é verificada antes da execução de redefinições de senha nas solicitações do usuário feitas através de métodos não presenciais (como telefone, e-mail ou pela Web)?





     




8.5.3

As senhas iniciais e as senhas redefinidas são configuradas com um valor exclusivo para cada usuário, cabendo a cada um alterar sua senha imediatamente após o primeiro uso?





     




8.5.4

O acesso dos usuários desligados da empresa é imediatamente desativado ou removido?





     




8.5.5

As contas inativas por mais de 90 dias são removidas ou desativadas?





     




8.5.6

(a) As contas usadas pelos fornecedores para acesso remoto, manutenção ou suporte são ativadas somente durante o período necessário?





     




(b) As contas de acesso remoto dos fornecedores são monitoradas durante o uso?





     




8.5.7

Os procedimentos e as políticas de autenticação são transmitidos a todos os usuários que têm acesso aos dados do titular do cartão?





     




8.5.8

As contas e senhas (ou outros métodos de autenticação) de grupo, compartilhadas ou genéricas, são proibidas conforme os itens a seguir?

  • Os IDs e as contas de usuários genéricos são desativadas ou removidas;

  • Não existem IDs de usuários compartilhados para atividades de administração do sistema e outras funções críticas; e

  • Os IDs de usuários compartilhados e genéricos não são usados para administrar quaisquer componentes do sistema.





     




8.5.9

(a) As senhas dos usuários são alteradas pelo menos a cada 90 dias?





     




(b) Somente para prestadores de serviços: As senhas dos usuários que não são clientes são alteradas periodicamente e esses usuários recebem instruções sobre quando e sob quais circunstâncias as senhas devem ser alteradas?





     




8.5.10

(a) É exigido um comprimento mínimo de senha de pelo menos sete caracteres?





     




(b) Somente para prestadores de serviços: As senhas dos usuários que não são clientes devem obrigatoriamente seguir o requisito mínimo de tamanho?





     




8.5.11

(a) As senhas devem conter caracteres numéricos e alfabéticos?





     




(b) Somente para prestadores de serviços: As senhas dos usuários que não são clientes devem conter caracteres numéricos e alfabéticos?





     




8.5.12

(a) A pessoa deve escolher uma nova senha que seja diferente das quatro últimas senhas utilizadas?





     




(b) Somente para prestadores de serviços: As novas senhas dos usuários que não são clientes devem ser diferentes das quatro últimas senhas utilizadas?





     




8.5.13

(a) As tentativas de acesso repetidas são limitadas, bloqueando o ID do usuários após seis tentativas, no máximo?





     




(b) Somente para prestadores de serviços: As senhas dos usuários que não são clientes são temporariamente bloqueadas após seis tentativas de acesso inválidas, no máximo?





     




8.5.14

Após o bloqueio da conta do usuário, a duração do bloqueio está definida para um mínimo de 30 minutos ou até o administrador ativar o ID do usuário?





     




8.5.15

Se uma sessão ficar ociosa por mais de 15 minutos, o usuário é obrigado a se autenticar novamente (informar novamente a senha, por exemplo) para reativar o terminal ou a sessão?





     




8.5.16

(a) Todos os acessos a qualquer banco de dados contendo dados do titular do cartão são autenticado? (Incluindo acesso por meio de aplicativos, administradores e todos os outros usuários).





     




(b) Todos os acessos, consultas e ações dos usuários (como transferências, cópias ou exclusões) nos bancos de dados são feitos somente através de métodos programáticos (como através dos procedimentos armazenados)?





     




(c) O acesso direto ao usuário ou as consultas aos bancos de dados são restritas aos administradores do banco de dados?





     




(d) Os IDs dos aplicativos com acesso ao banco de dados só podem ser usados por aplicativos (e não por usuários individuais ou outros processos)?





     





Requisito 9: Restringir o acesso físico aos dados do titular do cartão





Pergunta do PCI DSS Resposta:

Sim

Não

Especial*

9.1

Existem controles de entrada na instalação adequados em vigor para limitar e monitorar o acesso físico aos sistemas no ambiente de dados do titular do cartão?





     

9.1.1

  1. Existem câmeras de vídeo e/ou mecanismos de controle de acesso em vigor para monitorar o acesso físico individual nas áreas confidenciais?

Observação: "Áreas confidenciais" referem-se a qualquer central de dados, sala de servidores ou qualquer área que contenha sistemas que armazenem dados do titular do cartão. Isso exclui as áreas nas quais há somente terminais do ponto de venda presentes, como as áreas dos caixas em uma loja de varejo.





     




  1. As câmeras de vídeo e/ou os mecanismos de controle de acesso estão protegidos contra interceptação ou desativação?





     




  1. Os dados das câmeras de vídeo e/ou dos mecanismos de controle de acesso são analisados e correlacionados com outras entradas e esses dados são armazenados por pelo menos três meses, a menos que restrito por lei?





     




9.1.2

O acesso físico aos pontos de rede acessíveis ao público é restrito (por exemplo: áreas acessíveis a visitantes não devem ter portas de rede ativadas a não ser que o acesso à rede seja autorizado explicitamente)?

Como alternativa, os visitantes estão sempre acompanhados em áreas com pontos de rede ativos?







     




9.1.3

O acesso físico ao pontos de acesso sem fio, gateways, dispositivos portáteis, hardwares de comunicação/rede e linhas de telecomunicação é restrito?





     




9.2

Existem procedimentos implementados para diferenciar facilmente a equipe interna e os visitantes, conforme os itens a seguir?

Para as finalidades do Requisito 9, "equipe interna" refere-se a funcionários que trabalham em período integral e meio-período e funcionários, prestadores de serviços e consultores temporários que estão fisicamente presente no endereço da entidade. "Visitante” refere-se a um fornecedor, convidado de um funcionário, equipes de serviço ou qualquer pessoa que precise adentrar as dependências por um breve período, normalmente um dia, no máximo.










(a) Os processos e procedimentos de atribuição de crachás para a equipe interna e para os visitantes incluem os itens a seguir?

• Concessão de novos crachás,

• Modificação dos requisitos de acesso e

• Anulação dos crachás dos membros da equipe interna que se desligaram da empresa e dos visitantes que encerraram suas atividades.







     

  1. O acesso ao sistema de crachás é limitado aos funcionários autorizados?





     

(c) Os crachás identificam claramente os visitantes e diferenciam facilmente os visitantes dos membros da equipe interna?





     

9.3

Todos os visitantes passam pelos procedimentos a seguir?










9.3.1

Os visitantes devem obter autorização antes de entrar em áreas nas quais os dados do titular do cartão são processados ou mantidos?





     




9.3.2

(a) Os visitantes recebem um token físico (como um crachá ou dispositivo de acesso) que os identifica e os diferencia dos membros da equipe interna?





     




(b) O cartão do visitante expira?





     




9.3.3

Os visitantes devem entregar o token físico antes de sair das dependências ou quando o token expirar?





     




9.4

  1. Existe um log de visitantes em vigor para registrar o acesso físico às dependências, assim como aos ambientes com computador e centrais de dados onde os dados do titular do cartão são armazenados ou transmitidos?





     

  1. O log de visitantes contém o nome do visitante, a empresa representada e o membro da equipe interna que está autorizando o acesso físico e esse log é mantido por pelo menos três meses?





     

9.5

  1. Os backups de mídia são armazenados em um local seguro, de preferência em uma área externa, como um local alternativo ou de backup, ou uma área de armazenamento comercial?





     

(b) A segurança do local é analisada pelo menos uma vez por ano?





     

9.6

Todas as mídias estão fisicamente seguras (incluindo, entre outros, computadores, mídias eletrônicas removíveis, recibos em papel, relatórios em papel e faxes)?

Para os fins do Requisito 9, "Mídia" refere-se a todas as mídias em papel ou eletrônicas que contêm dados do titular do cartão.





     

9.7

  1. É mantido um controle rigoroso quanto à distribuição interna ou externa de qualquer tipo de mídia?





     

  1. Os controles incluem o seguinte:










9.7.1

A mídia é classificada para que a confidencialidade dos dados possa ser determinada?





     




9.7.2

A mídia é enviada via um mensageiro seguro ou outro método de entrega que possa ser rastreado com precisão?





     




9.8

Existem logs para rastrear todas as mídias que são movidas de uma área segura, com aprovação da gerência antes da transferência da mídia (especialmente quando a mídia é distribuída para pessoas físicas)?





     

9.9

É mantido um controle rigoroso sobre o armazenamento e a acessibilidade das mídias?





     

9.9.1

Os logs de inventário de toda a mídia são mantidos adequadamente e os inventários periódicos das mídias são realizados pelo menos uma vez ao ano?





     




9.10

Todas as mídias são destruídas quando não são mais necessárias por razões corporativas ou legais?





     

A destruição é executada da seguinte forma:










9.10.1

(a) Os materiais impressos são fragmentados, incinerados ou reciclados, de forma que os dados do titular do cartão não possam ser reconstruídos?





     




(b) Os contêineres que armazenam informações são destruídos de forma segura para prevenir o acesso aos conteúdos? (Por exemplo: um contêiner "a ser triturado" tem uma trava que impede o acesso ao seu conteúdo.)





     




9.10.2

Os dados do titular do cartão nas mídias eletrônicas são excluídos por meio de um programa de limpeza segura, de acordo com os padrões do setor para exclusão segura, ou de outra forma, destruindo fisicamente as mídias (por exemplo, desmagnetizando) para que os dados do titular do cartão não possam ser reconstruídos?





     






1   ...   4   5   6   7   8   9   10   11   12


©aneste.org 2017
enviar mensagem

    Página principal