Description


Monitorar e testar as redes regularmente



Baixar 1.08 Mb.
Página9/12
Encontro18.09.2019
Tamanho1.08 Mb.
1   ...   4   5   6   7   8   9   10   11   12

Monitorar e testar as redes regularmente

Requisito 10: Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão





Pergunta do PCI DSS Resposta:

Sim

Não

Especial*

10.1

Existe algum processo em vigor para vincular todos os acessos aos componentes do sistema (principalmente o acesso realizado com privilégios administrativos como raiz) para cada usuário individual?





     

10.2

Foram implementadas trilhas de auditoria automatizadas para todos os componentes do sistema para recuperar os seguintes eventos:










10.2.1

Todos os acessos individuais dos usuários aos dados do titular do cartão?





     




10.2.2

Todas as ações desempenhadas por qualquer pessoa com privilégios raiz ou administrativos?





     




10.2.3

Acesso a todas as trilhas de auditoria?





     




10.2.4

Tentativas de acesso lógico inválidas?





     




10.2 5

Uso de mecanismos de identificação e autenticação?





     




10.2.6

Inicialização dos logs de auditoria?





     




10.2.7

Criação e exclusão de objetos do nível do sistema?





     




10.3

As seguintes entradas da trilha de auditoria são registradas para todos os componentes do sistema para cada um dos eventos a seguir?










10.3.1

Identificação do usuário?





     




10.3.2

Tipo de evento?





     




10.3.3

Data e hora?





     




10.3.4

Indicação de sucesso ou falha?





     




10.3.5

Origem do evento?





     




10.3.6

Identidade ou nome dos dados, componentes do sistema ou recursos afetados?





     




10.4

(a) Todos os relógios e horários dos sistemas críticos estão sincronizados através do uso de uma tecnologia de sincronização e essa tecnologia é mantida atualizada?

Observação: Um exemplo de tecnologia de sincronização de horários é o Network Time Protocol (NTP).





     

(b) Os controles a seguir foram implementados para aquisição, distribuição e armazenamento de horários?










10.4.1

(a) Somente os servidores centrais de horário designados recebem sinais de horário de fontes externas e todos os sistemas críticos possuem o mesmo horário correto, com base na hora internacional do relógio atômico (UTC)?





     




(b) Os servidores centrais de horário designados estão emparelhados para manter o horário preciso e os outros servidores internos recebem o horário somente dos servidores centrais de horário?





     




10.4.2

Os dados de horário são protegidos conforme a descrição a seguir?

(a) O acesso aos dados de horário é restrito somente às equipes com necessidades comerciais de acesso aos dados de horário?







     




(b) As alterações nas configurações de horários dos sistemas críticos são registradas, monitoradas e analisadas?





     




10.4.3


As configurações de horário são recebidas de fontes de horário específicas aceitas pelo setor?

(Isso é feito para evitar a alteração do relógio por um indivíduo mal-intencionado). Além disso, essas atualizações podem ser criptografadas com uma chave simétrica e listas de controle de acesso podem ser criadas para especificar os endereços IP das máquinas clientes que receberão as atualizações de horário (para evitar o uso não autorizado dos servidores de horário internos).







     




10.5

As trilhas de auditoria estão protegidas de forma que não possam ser alteradas, conforme a descrição a seguir?










10.5.1

A visualização das trilhas de auditoria é limitada às pessoas com necessidades relacionadas à função?





     




10.5.2

Os arquivos de trilha de auditoria estão protegidos contra modificações não autorizadas por meio de mecanismos de controle de acesso, separação física e/ou separação da rede?





     




10.5.3

O backup dos arquivos de trilha de auditoria é feito imediatamente em um servidor de log centralizado ou em uma mídia que seja difícil de alterar?





     




10.5.4


Os logs das tecnologias externas (como tecnologias sem fio, firewalls, DNS, e-mail) são transferidos ou copiados em uma mídia ou em um servidor de log centralizado seguro na LAN interna?





     




10.5.5

São usados softwares de monitoramento da integridade dos arquivos ou de detecção de alterações nos logs para assegurar que os dados do log existentes não possam ser alterados sem gerar alertas (embora os novos dados que estejam sendo adicionados não gerem um alerta)?





     




10.6

Os logs de todos os componentes do sistema são analisados diariamente e é necessário o acompanhamento das exceções?

As análises dos logs incluem aqueles servidores que desempenham funções de segurança como sistema de detecção de invasões (IDS) e servidores de protocolo de autenticação, autorização e inventário (AAA) (como o RADIUS).

Observação: Ferramentas de coleta, análise e alerta de logs podem ser usadas para a obtenção da conformidade com o Requisito 10.6.





     

10.7

(a) Existem políticas e procedimentos de retenção de logs de auditoria em vigor que exigem a retenção do histórico das trilhas de auditoria por pelo menos um ano?





     

(b) Os logs de auditoria ficam disponíveis por pelo menos um ano e existem processos em vigor para restaurar imediatamente pelo menos os logs dos três últimos meses para análise?





     

Requisito 11: Testar regularmente os sistemas e processos de segurança





Pergunta do PCI DSS Resposta:

Sim

Não

Especial*

11.1

(a) Existe um processo documentado implementado para detectar e identificar trimestralmente os pontos de acesso sem fio?

Observação: Os métodos que podem ser usados no processo incluem, entre outros, varreduras de rede sem fio, inspeções físicas/lógicas dos componentes e da infraestrutura do sistema, controle de acesso à rede (NAC) ou IDS/IPS sem fio.

Qualquer método usado deve ser suficiente para detectar e identificar qualquer dispositivo não autorizado.





     

(b) A metodologia é adequada para detectar e identificar qualquer ponto de acesso sem fio não autorizado, incluindo ao menos os itens a seguir?

  • Cartões WLAN inseridos nos componentes do sistema;

  • Dispositivos portáteis sem fio conectados aos componentes do sistema (via USB, etc.);

  • Dispositivos sem fio conectados a uma porta de rede ou a um dispositivo de rede.





     

(c) O processo para identificar pontos de acesso sem fio não autorizados é executado ao menos trimestralmente em todos os componentes do sistema e em todas as instalações?





     

(d) Se o monitoramento automatizado for utilizado (como IDS/IPS sem fio, NAC, etc.), o monitoramento está configurado para gerar alertas para a equipe?





     

(e) O Plano de resposta a incidentes (Requisito 12.9) inclui uma resposta em caso de detecção de dispositivos sem fio não autorizados?





     

11.2

São executadas varreduras das vulnerabilidades das redes internas e externas pelo menos trimestralmente e após qualquer alteração significativa na rede (como instalações de novos componentes do sistema, alterações na topologia da rede, modificações das normas do firewall, upgrades de produtos) da seguinte forma?

Observação: Não será necessário que quatro varreduras trimestrais aprovadas sejam concluídas para a conformidade inicial do PCI DSS se 1) o resultado da varredura mais recente foi uma varredura aprovada, 2) a entidade possuir políticas e procedimentos documentados que exigem varreduras trimestrais e 3) as vulnerabilidades observadas nos resultados da varredura tenham sido corrigidas conforme mostrado em uma nova varredura. Nos anos seguintes após a análise inicial do PCI DSS, quatro varreduras trimestrais aprovadas devem ter ocorrido.










11.2.1

(a) São executadas varreduras das vulnerabilidades internas trimestrais?





     







(b) O processo de varredura interna trimestral inclui novas varreduras até que os resultados aprovados sejam obtidos ou todas as vulnerabilidades definidas como "Alto", conforme definido no Requisito 6.2 do PCI DSS, estejam solucionadas?





     







(c) As varreduras são executadas por um recurso interno qualificado ou um terceiro externo qualificado e, caso aplicável, há uma independência organizacional do responsável pelo teste (não é necessário que seja um QSA ou ASV)?





     




11.2.2

(a) São executadas varreduras das vulnerabilidades externas trimestrais?






     




(b) Os resultados da varredura externa trimestral cumprem os requisitos do Guia do programa ASV (por exemplo: nenhuma vulnerabilidade classificada com valor superior a 4.0 pelo CVSS e nenhuma falha automática)?





     




(c) As varreduras das vulnerabilidades externas trimestrais são executadas por um Fornecedor de varredura aprovado (ASV) qualificado pelo Conselho de padrões de segurança do setor de cartões de pagamento (PCI SSC)?





     




11.2.3

(a) São executadas varreduras internas e externas após qualquer alteração significativa na rede (como instalações de novos componentes do sistema, alterações na topologia da rede, modificações das normas do firewall, upgrades de produtos)?

Observação: As varreduras realizadas após as alterações na rede devem ser desempenhadas pela equipe interna da empresa.





     




(b) O processo de varredura inclui novas varreduras até que:

  • Não existam varreduras com pontuação maior do que 4.0 pelo CVSS (para varreduras externas),

  • Um resultado aprovado seja obtido ou todas as vulnerabilidades definidas como "Alto", conforme definido no Requisito 6.2 do PCI DSS, estejam solucionadas (para varreduras internas)?





     




(c) As varreduras são executadas por um recurso interno qualificado ou um terceiro externo qualificado e, caso aplicável, há uma independência organizacional do responsável pelo teste (não é necessário que seja um QSA ou ASV)?





     




11.3

  1. São realizados testes de penetração externos e internos pelo menos uma vez por ano e após qualquer alteração significativa na infra-estrutura ou nos aplicativos (como um upgrade no sistema operacional e a adição de uma sub-rede ou de um servidor da Web ao ambiente)?





     

  1. As vulnerabilidades observadas foram corrigidas e os testes foram repetidos?





     

  1. Os testes são realizados por um recurso interno qualificado ou um terceiro externo qualificado e, caso seja aplicável, há uma independência organizacional do responsável pelo teste (não é necessário que seja um QSA ou ASV)?





     

Esses testes de penetração incluem os itens a seguir?










11.3.1

Testes de penetração na camada de rede?

Observação: Esses testes devem incluir componentes que são compatíveis com as funções da rede e com os sistemas operacionais.





     




11.3.2

Testes de penetração na camada do aplicativo?

Observação: Os testes devem incluir, no mínimo, as vulnerabilidades listadas no Requisito 6.5.





     




11.4

  1. Existem sistemas de detecção de invasão e/ou sistemas de prevenção contra invasão em uso para monitorar todo o tráfego no ambiente de dados do titular do cartão e nos pontos críticos do ambiente dos dados do titular do cartão?





     

  1. Os IDS e/ou os IPS estão configurados para alertar as equipes sobre comprometimentos suspeitos?





     

  1. Todos os mecanismos, diretrizes e assinaturas para detecção e prevenção contra invasões estão atualizados?





     

11.5

  1. Existem ferramentas de monitoramento da integridade dos arquivos implementadas no ambiente dos dados do titular do cartão?

Os exemplos de arquivos que devem ser monitorados incluem:

  • Executáveis do sistema

  • Executáveis dos aplicativos

  • Arquivos de configuração e parâmetro

  • Arquivos de log e auditoria, históricos ou arquivados, armazenados centralmente





     

  1. As ferramentas estão configuradas para alertar a equipe sobre a modificação não autorizada de arquivos dos sistemas críticos e de arquivos de configuração ou de conteúdo, com comparação pelo menos uma vez por semana dos arquivos críticos?

Observação: Para fins de monitoramento da integridade dos arquivos, os arquivos críticos normalmente são aqueles que não são alterados com frequência, mas sua modificação poderia indicar um comprometimento do sistema ou um risco de comprometimento. Normalmente, os produtos de monitoramento da integridade dos arquivos vêm pré-configurados com arquivos críticos para o sistema operacional relacionado. Outros arquivos críticos, como aqueles dos aplicativos personalizados, devem ser avaliados e definidos pela entidade (ou seja, o comerciante ou prestador de serviços).





     



1   ...   4   5   6   7   8   9   10   11   12


©aneste.org 2017
enviar mensagem

    Página principal