quinta-feira, 16 de abril de 2009
O PCI Data Security Standard (PCI DSS), mencionado anteriormente neste blog, constitui um conjunto de requisitos que tem como objetivo intensificar a segurança dos dados nas operações de cartão de crédito/débito. Ele foi desenvolvido e é mantido por um conselho formado por diversas bandeiras internacionais como American Express, MasterCard e Visa. Qualquer empresa que armazene, processe e/ou transmita informações referentes a pagamentos com cartão de crédito/débito deve adotar este padrão.
Recentemente o PCI Security Standards Council atualizou o seu guia para priorização dos requisitos de segurança a fim de ajudar a reduzir os riscos envolvidos no processo de implementação do PCI DSS. O Prioritized Approach utiliza uma abordagem por milestones e pode ser usado para auxiliar na estratégia de implementação do padrão.
O padrão PCI DSS é dividido em 6 grandes grupos e 12 requisitos:
Construir e Manter uma Rede Segura
Requisito 1: Instalar e manter uma configuração de firewall para proteger os dados da operadora de cartão de crédito/débito
Requisito 2: Não usar configuração padrão para senhas do sistema e outros requisitos de segurança
Proteger Dados da Operadora
Requisito 3: Proteger os dados armazenados pela operadora
Requisito 4: Criptografar os dados da operadora em redes públicas e/ou abertas
Manter um Programa de Gerenciamento de Vulnerabilidades
Requisito 5: Usar e atualizar com regularidade um software de anti-virus
Requisito 6: Desenvolver e manter aplicações e sistemas seguros
Implementar Controles de Acesso Rígidos
Requisito 7: Restringir acesso aos dados da operadora somente para pessoas necessárias
Requisito 8: Determinar ID único para cada pessoa com acesso ao computador
Requisito 9: Restringir acesso físico aos dados da operadora
Monitorar e Testar Redes Regularmente
Requisito 10: Monitorar todos os acessos aos recursos de rede e aos dados da operadora
Requisito 11: Testar regularmente a segurança dos sistemas e processos
Manter uma Política de Segurança da Informação
Requisito 12: Manter uma política que enderece a segurança da informação
Mais informações sobre PCI DSS envie um e-mail para grcnews.org@gmail.com
Postado por Philipe Gaspar