Boas Práticas de Segurança da Informação - Cielo

Regras para proteção de dados de

cartões para a pequena e média

empresa.

Boas Práticas de

Segurança da

Informação

Prezado Cliente,

A constante evolução da tecnologia

tornando realidade o que antes era impossível ou até imaginável. As fronteiras

desaparecem, negócios são realizados em

e serviços, antes acessíveis

pudessem ser adquiridos em qualquer parte do planeta.

No entanto, este cenário expõe

inimagináveis quanto aos novos benefícios oferecidos pela revolução

tecnológica. Novas modalidades de frau

tecnologia avança e proteger sua plataforma

fraudadores se tornou tão importante quanto proteger sua loja

Acreditamos que a chave para a proteção do mercado, reside no

compartilhamento do conhecimento. Desta forma, este

regras básicas para segurança das informações

totalidade, serão de grande valia

de ataques, comprometimento de informações

Boa leitura,

A constante evolução da tecnologia está sempre rompendo paradigmas,


negócios são realizados em âmbito global fazendo com que bens

acessíveis somente em escala regional de distribuição

pudessem ser adquiridos em qualquer parte do planeta.

este cenário expõe os negócios a novos riscos tão


gica. Novas modalidades de fraudes são geradas à medida que a

tecnologia avança e proteger sua plataforma tecnológica contra o ataque de

tão importante quanto proteger sua loja fisicamente


nto do conhecimento. Desta forma, este documento contém

regras básicas para segurança das informações que, se aplicadas em sua

serão de grande valia para a proteção seu negócio reduzindo riscos

de ataques, comprometimento de informações confidenciais e fraudes.

2

está sempre rompendo paradigmas,


fazendo com que bens

escala regional de distribuição

a novos riscos tão


des são geradas à medida que a

contra o ataque de

fisicamente.


documento contém

que, se aplicadas em sua

reduzindo riscos

e fraudes.

1.1.1.1. Dados de CartãoDados de CartãoDados de CartãoDados de Cartão ................................

2.2.2.2. Arquitetura de RedeArquitetura de RedeArquitetura de RedeArquitetura de Rede

3.3.3.3. Redes Sem FioRedes Sem FioRedes Sem FioRedes Sem Fio ................................

4.4.4.4. Servidores e Estações de TrabalhoServidores e Estações de TrabalhoServidores e Estações de TrabalhoServidores e Estações de Trabalho

5.5.5.5. Centrais de AtendimentoCentrais de AtendimentoCentrais de AtendimentoCentrais de Atendimento

6.6.6.6. Gestão de SegurançaGestão de SegurançaGestão de SegurançaGestão de Segurança

Sumário

................................................................................................

Arquitetura de RedeArquitetura de RedeArquitetura de RedeArquitetura de Rede ................................................................................................

..............................................................................................................................

Servidores e Estações de TrabalhoServidores e Estações de TrabalhoServidores e Estações de TrabalhoServidores e Estações de Trabalho ................................................................

Centrais de AtendimentoCentrais de AtendimentoCentrais de AtendimentoCentrais de Atendimento ................................................................................................

Gestão de SegurançaGestão de SegurançaGestão de SegurançaGestão de Segurança ................................................................................................

3

......................................................... 4444

................................................. 6666

.............................. 7777

................................................. 9999

................................... 13131313

........................................... 15151515

Os comércios que operam com cartões possuem as mais diversas configurações

de ambiente e especificidades no tratamento do dado de cartão e a obtenção

destes dados é o principal objetivo dos criminosos. No entanto, quais seriam

estas informações?

São considerados como dados de cartões:

• Número do Cartão, ou PAN (Primary Account Number).

• Nome do Portador.

• Data de vencimento do cartão.

• Código de segurança.

• Conteúdo da tarja magnética

1.1. Evite armazenar os dados de cartão após a autorização da transação.

O armazenamento destas informações não é recomendável, porém ao se

cogitar a possibilidade de armazená

critica em que seja questionado se estes dados são realmente necessários

lembrando que a Cielo oferece o TID ou

usado para identificar qualquer transação em nossos sistemas sem a

necessidade do número do cartão.

1.2. Não armazene o Código de Segurança em hipótese alguma.

O armazenamento desta informação em conjunto com os outros dados do

cartão permite que criminosos realizem compras fraudulentas.

1.3. Não envie dados de cartão via email, Skype, MSN, Gtalk, redes sociais ou qualquer outro mecanismo de troca de mensagens via in

A partir do momento em que uma mensagem deste tipo é enviada não é

possível controlar a disseminação desta informação. Proibir o envio de dados

1. Dados de Cartão

operam com cartões possuem as mais diversas configurações



iderados como dados de cartões:

Número do Cartão, ou PAN (Primary Account Number).

Data de vencimento do cartão.

Código de segurança.

Conteúdo da tarja magnética

Evite armazenar os dados de cartão após a autorização da transação.


cogitar a possibilidade de armazená-las, sugerimos que seja feita uma análise


lembrando que a Cielo oferece o TID ou código de transação o qual pode ser


necessidade do número do cartão.

Não armazene o Código de Segurança em hipótese alguma.


cartão permite que criminosos realizem compras fraudulentas.

envie dados de cartão via email, Skype, MSN, Gtalk, redes sociais ou qualquer outro mecanismo de troca de mensagens via internet



Dados de Cartão

4

operam com cartões possuem as mais diversas configurações



Evite armazenar os dados de cartão após a autorização da transação.


las, sugerimos que seja feita uma análise


código de transação o qual pode ser



envie dados de cartão via email, Skype, MSN, Gtalk, redes sociais ou ternet.



de cartão por estes meios de comunicação é necessário para evitar o

vazamento de informações e fraudes.

1.4. Caso os dados de cartão sejam manipulados no ambiente de algum de seus fornecedores, exija contratualmente que a empresa esteja certificada no PCI DSS.

O PCI DSS (em português, Padrão de Segurança de Dados da Indústria de

Cartões de Pagamento) é um padrão

informações de cartão. Nele se encontram mais de 200 regras de segurança a

serem implementadas em ambientes nos quais o dado de cartão é trafegado,

processado ou armazenado.

Recomendamos a conformidade de seu ambiente ao PC

obrigatório que seus fornecedores (gateways de pagamento, data centers e

outros fornecedores de soluções) sejam certificados no padrão e que esta

obrigação se dê contratualmente.


vazamento de informações e fraudes.

Caso os dados de cartão sejam manipulados no ambiente de algum de seus fornecedores, exija contratualmente que a empresa esteja certificada


Cartões de Pagamento) é um padrão internacional para a proteção de



processado ou armazenado.

Recomendamos a conformidade de seu ambiente ao PCI DSS. No entanto, é



obrigação se dê contratualmente.

5


Caso os dados de cartão sejam manipulados no ambiente de algum de seus fornecedores, exija contratualmente que a empresa esteja certificada


internacional para a proteção de



I DSS. No entanto, é



A arquitetura de rede é o de

roteadores, switches e outros dispositivos, além dos métodos de acesso a serem

utilizados.

Na definição de uma arquitetura de rede é importante considerar a segurança

das informações, pois a perspectiva de pr

forma pela qual os dispositivos serão inseridos no desenho.

posteriores mudanças no ambiente porque uma alteração estrutural pode tornar

o ambiente vulnerável.

2.1. Segregue os seus dispositivos em redesfunção para o negócio

Faz parte de uma arquitetura de rede segura a separação de dispositivos em

redes de acordo com a sua função. Por exemplo, a rede do primeiro andar, a

rede dos servidores de banco de dados, etc.

Esta medida melhora o desempenho da sua rede e permite a definição de

política de acessos mais efetiva entre as redes.

2.2. Se seu ambiente possui mais de uma rede, instale firewalls entre elas separando os servidores com informações confidenciais em uma rede específica e bloqueando qualquer acesso com origem na internet e destino na rede interna que não esteja diretamente ligado ao seu negócio.

Firewalls são dispositivos que possuem o objetivo de filtrar o tráfego

redes permitindo ou negando

que estão configurados e podendo atuar como uma camada de proteção

contra ataques.

Proteger uma rede pressupõe definir níveis de segurança para os

equipamentos de acordo com a criticidade da informação neles

armazenados. A melhor

equipamentos com informações de maior criticidade para o negócio e

conceder, através de firewalls o acesso a informações somente as pessoas

necessárias.

2.3. Restrinja o acesso remoto ao seu ambiente ao mpossível

O acesso remoto ao ambiente precisa ser controlado de modo que somente

aqueles que necessitam acessar o ambiente nesta modalidade o façam.

2.4. Criptografe todas as conexões remotas.

Todos os acessos remotos, sobretudo com origem

criptografados, por exemplo

evitar a obtenção de dados confidenciais como usuários e senha através da

captura das informações em trânsito.

2. Arquitetura de Rede

é o desenho de um sistema de comunicações que inclui


uma arquitetura de rede é importante considerar a segurança

das informações, pois a perspectiva de proteção do ambiente pode determinar a

forma pela qual os dispositivos serão inseridos no desenho. O mesmo vale para


Segregue os seus dispositivos em redes específicas de acordo com a sua função para o negócio.



rede dos servidores de banco de dados, etc.

medida melhora o desempenho da sua rede e permite a definição de

política de acessos mais efetiva entre as redes.

Se seu ambiente possui mais de uma rede, instale firewalls entre elas separando os servidores com informações confidenciais em uma rede

fica e bloqueando qualquer acesso com origem na internet e destino na rede interna que não esteja diretamente ligado ao seu negócio.

Firewalls são dispositivos que possuem o objetivo de filtrar o tráfego

redes permitindo ou negando acessos entre elas dependendo da maneira em




armazenados. A melhor forma de realizar isto é criar redes específicas para os



Restrinja o acesso remoto ao seu ambiente ao menor número de pessoas



Criptografe todas as conexões remotas.

Todos os acessos remotos, sobretudo com origem na Internet devem ser

, por exemplo, usando VPNs. Esta medida tem o objetivo de


captura das informações em trânsito.

Arquitetura de Rede

6

senho de um sistema de comunicações que inclui


uma arquitetura de rede é importante considerar a segurança

oteção do ambiente pode determinar a

O mesmo vale para


específicas de acordo com a sua



medida melhora o desempenho da sua rede e permite a definição de

Se seu ambiente possui mais de uma rede, instale firewalls entre elas separando os servidores com informações confidenciais em uma rede

fica e bloqueando qualquer acesso com origem na internet e destino na rede interna que não esteja diretamente ligado ao seu negócio.

Firewalls são dispositivos que possuem o objetivo de filtrar o tráfego entre

dependendo da maneira em




forma de realizar isto é criar redes específicas para os



enor número de pessoas



na Internet devem ser

, usando VPNs. Esta medida tem o objetivo de


O uso da tecnologia de redes sem fio

empresas, sobretudo naquelas que exigem grande mobilidade de seus

colaboradores. No entanto, dispositivos mal configurados ou em uma

arquitetura de rede desprotegida podem colocar em risco todas as infor

da empresa.

3.1. Caso o seu ambiente possua pontos de acesso uma rede separada dfirewall.

Manter pontos de acesso

na ocorrência do acesso não autorizado ao ponto de acesso o criminoso

poderá acessar qualquer computador da rede. A segmentação do acesso

através de firewall cria uma barreira adicional ao ataque.

3.2. Personalize os pontos de acesso desativando todas as configurações de fábrica.

Os pontos de acesso

geralmente reduz o nível de segurança ao mínimo para a seu funcionamento.

Criminosos se aproveitam do baixo nível de segura

dispositivos configurados desta forma para invadir o equipamento à distância

e chegar a rede interna da vítima. Desta forma, é importante que antes de

inserir o ponto de acesso na rede interna sejam alteradas todas as

configurações como no

3.3. Se aplicável, ative o mecanismo de logs do ponto de acesso.

A maioria dos pontos de acesso

armazena registros contendo o histórico de acessos ao equipamento em

arquivos de log. É importante a

obter informações sobre um determinado equipamento invasor no caso de

um acesso não autorizado ao ponto de acesso.

3.4. Nunca utilize o método de autenticação WEP (Wired Equivalent Privacy).

A concessão do acesso a um

uma senha criptografada do computador cliente para o ponto de acesso.

Caso a senha esteja correta, o acesso ao computador cliente é permitido. A

criptografia da senha

atualmente existem alguns métodos de autenticação disponíveis

configurados nos pontos de acesso. Dentre eles

em que é possível capturar facilmente a senha em trânsito. Desta forma,

3. Redes Sem Fio

redes sem fio tem facilitado muito as atividades nas



arquitetura de rede desprotegida podem colocar em risco todas as infor

Caso o seu ambiente possua pontos de acesso sem fio, concentreuma rede separada da rede interna e mantenha seu acesso filtrado por

Manter pontos de acesso sem fio na rede interna é uma vulnerabilidade, pois



através de firewall cria uma barreira adicional ao ataque.

pontos de acesso desativando todas as configurações de

Os pontos de acesso sem fio possuem uma configuração de fábrica que


Criminosos se aproveitam do baixo nível de segurança presente




configurações como nome do equipamento, senhas, etc.

Se aplicável, ative o mecanismo de logs do ponto de acesso.

A maioria dos pontos de acesso sem fio possuem um mecanismo que


arquivos de log. É importante ativar este mecanismo para que seja possível


um acesso não autorizado ao ponto de acesso.

Nunca utilize o método de autenticação WEP (Wired Equivalent Privacy).

A concessão do acesso a uma rede sem fio é realizada por meio do envio de



criptografia da senha é realizada por meio de um método de aute

atualmente existem alguns métodos de autenticação disponíveis

nos pontos de acesso. Dentre eles o mais vulnerável é o WEP


7

tem facilitado muito as atividades nas



arquitetura de rede desprotegida podem colocar em risco todas as informações

concentre-os em rede interna e mantenha seu acesso filtrado por

na rede interna é uma vulnerabilidade, pois



pontos de acesso desativando todas as configurações de

possuem uma configuração de fábrica que


nça presente nos




possuem um mecanismo que


tivar este mecanismo para que seja possível


Nunca utilize o método de autenticação WEP (Wired Equivalent Privacy).

é realizada por meio do envio de



de autenticação e

atualmente existem alguns métodos de autenticação disponíveis pré-

o mais vulnerável é o WEP


recomendamos o uso do método WPA2

robusta.

3.5. Realize periodicamente acesso sem fio.

Esta medida possui o objetivo de evitar que pontos de acesso sejam

instalados de maneira não autorizada. Desta forma, é

varredura periódica

parte do ambiente.

recomendamos o uso do método WPA2 o qual possui uma proteção mais

periodicamente um inventário físico e lógico de seus


instalados de maneira não autorizada. Desta forma, é importante realizar uma

periódica das instalações físicas em busca de redes que não façam

do ambiente.

8

o qual possui uma proteção mais

um inventário físico e lógico de seus pontos de


importante realizar uma

das instalações físicas em busca de redes que não façam

A proteção de servidores e estações compreende todas as atividades para a

configuração destes ativos com o objetivo de implementar medidas de controle

de acesso, atualizações de software, proteção contra vírus e geração trilhas de

auditoria.

4.1. Não utilize softwares não confiáveis em seu ambiente.

Evite utilizar softwares piratas em seu ambiente, bem

passaram por um processo de homologação.

4.2. Instale antivírus em todos os computadores, mantenhaconfigure para realizar scans automáticos periodicamente.

Antivírus é um componente essencial para a proteção dos computado

contra diversas ameaças disseminadas pela internet. Atualmente existem

sistemas deste tipo disponíveis para grande parte dos sistemas operacionais

do mercado. É importante manter estas ferramentas atualizadas e configurá

las para realizar varreduras au

4.3. Ative o firewall do sistema operacional.

Muitos sistemas operacionais possuem esta funcionalidade. É importante

ativá-la, sobretudo nos computadores com acesso direto à internet.

4.4. Instale todas as atualizações de software fsistema.

Todo fabricante de software, eventualmente disponibiliza atualizações para

seu produto. Estas atualizações corrigem problemas no funcionamento do

software e também

processo periódico ou automatizado para a atualização de todo o ambiente.

4.5. Desabilite qualquer funcionalidade ou serviço desnecessário para a função de um servidor.

Geralmente, a ativação de serviços em servidores e estações de trabalho

acarreta na abertura

pressuposto, a ativação de serviços os quais não estão em uso mantém

portas de acesso abertas

situação usando estas portas como ponte para invadir o equ

4.6. Renomeie as contas de administrador instaladas por padrão nos Sistemas Operacionais. Use nomes específicos para o seu ambiente.

Todos os sistemas operacionais são instalados com contas de acesso

administrativo padrão. Por exemplo, a conta adminis

Operacionais da família Windows é “Administrator” e a conta com a

função em sistemas Unix é “root”.

Estas contas de acesso são de conhecimento comum, de maneira que

criminosos as usam em seus ataques automatizados e de grande es

4. Servidores e Estações de Trabalho


ativos com o objetivo de implementar medidas de controle


Não utilize softwares não confiáveis em seu ambiente.

Evite utilizar softwares piratas em seu ambiente, bem como aqueles que não

passaram por um processo de homologação.

Instale antivírus em todos os computadores, mantenha-o atualizado e o configure para realizar scans automáticos periodicamente.

Antivírus é um componente essencial para a proteção dos computado



do mercado. É importante manter estas ferramentas atualizadas e configurá

las para realizar varreduras automáticas ao mínimo semanalmente.

Ative o firewall do sistema operacional.


la, sobretudo nos computadores com acesso direto à internet.

Instale todas as atualizações de software fornecidas pelo fabricante de seu


Estas atualizações corrigem problemas no funcionamento do

software e também falhas de segurança. É importante estabelecer um

periódico ou automatizado para a atualização de todo o ambiente.

Desabilite qualquer funcionalidade ou serviço desnecessário para a função


acarreta na abertura de portas de acesso nestes equipamentos. Partindo deste


portas de acesso abertas sem necessidade. Criminosos se aproveitam desta

situação usando estas portas como ponte para invadir o equipamento.

Renomeie as contas de administrador instaladas por padrão nos Sistemas Operacionais. Use nomes específicos para o seu ambiente.


administrativo padrão. Por exemplo, a conta administrativa dos Sistemas

Operacionais da família Windows é “Administrator” e a conta com a

função em sistemas Unix é “root”.


criminosos as usam em seus ataques automatizados e de grande es

Servidores e Estações de Trabalho

9


ativos com o objetivo de implementar medidas de controle


como aqueles que não

o atualizado e o

Antivírus é um componente essencial para a proteção dos computadores



do mercado. É importante manter estas ferramentas atualizadas e configurá-

o mínimo semanalmente.


la, sobretudo nos computadores com acesso direto à internet.

ornecidas pelo fabricante de seu


Estas atualizações corrigem problemas no funcionamento do

tante estabelecer um

periódico ou automatizado para a atualização de todo o ambiente.

Desabilite qualquer funcionalidade ou serviço desnecessário para a função


de portas de acesso nestes equipamentos. Partindo deste


sem necessidade. Criminosos se aproveitam desta

ipamento.

Renomeie as contas de administrador instaladas por padrão nos Sistemas


trativa dos Sistemas

Operacionais da família Windows é “Administrator” e a conta com a mesma


criminosos as usam em seus ataques automatizados e de grande escala.

É importante que estes nomes de conta sejam alterados para nomes de

conhecimento das equipes que atuam na administração dos equipamentos

de sua empresa.

4.7. Atribua uma conta de acesso para cada funcionário ou prestador de serviços com acesso ao ambient

O uso de contas individuais permite que sejam concedidos acessos

específicos para cada funcionário ou prestador de serviço e também que no

caso de incidente (

identificada com qual conta de acesso

4.8. Não permita o compartilhamento de contas de acesso ou o uso de contas de acesso genéricas em seu ambiente.

A senha de uma conta de acesso somente deve ser de conhecimento de seu

dono.

Compartilhar senhas ou usar contas genéricas para o

risco de se conceder mais acessos do que o necessário para um usuário.

Além disso, esta situação expõe o ambiente ao risco de vazamento de

informações ou sabotagem, pois com o uso de senhas de conhecimento

comum se torna quase im

através da análise dos logs.

4.9. Implemente uma política de controle de acessos lógicos concedendo aos funcionários e prestadores de serviços somente o acesso necessário para a realização de suas atividades.

A concessão de acessos totais a todos os funcionários não é uma boa medida

de segurança, pois

de pagamento a equipes não ligadas às atividades de Recursos Humanos.

A concessão de acessos às informações pr

não serem concedidos mais acessos do o que o necessário para os

funcionários e prestadores de serviços

4.10. Estabeleça um processo para a desativação dos logins dos funcionários demitidos logo após o seu desligamento da empresa.

Esta medida é importante para evitar ocorrências de sabotagem ou

vazamento de informações com o uso de contas de acesso de demitidos. É

importante também manter um controle das contas dos prestadores de

serviços.

4.11. Estabeleça uma política de senhas da seguinte maneira:

4.11.1. Comprimento mínimo de 8 caracteres;

4.11.2. Período de expiração de no mínimo

4.11.3. Obrigatoriedade de que a senha seja composta de

4.11.4. Obrigatoriedade de o usuário, ao compor uma nova senha não utilize nenhuma das quatro senhas anteriores;

4.11.5. Bloquear a conta do usuário após cinco tentativas de acesso sem sucesso;



Atribua uma conta de acesso para cada funcionário ou prestador de serviços com acesso ao ambiente.



caso de incidente (invasão, fraude, sabotagem ou erro operacional) seja

identificada com qual conta de acesso ocorreu o problema.

Não permita o compartilhamento de contas de acesso ou o uso de contas de acesso genéricas em seu ambiente.


Compartilhar senhas ou usar contas genéricas para o uso coletivo acarreta no




comum se torna quase impossível chegar ao usuário que realizou a ação

através da análise dos logs.

Implemente uma política de controle de acessos lógicos concedendo aos funcionários e prestadores de serviços somente o acesso necessário para a realização de suas atividades.

cessão de acessos totais a todos os funcionários não é uma boa medida

, pois permitiria, por exemplo, o acesso a informações de folha


A concessão de acessos às informações precisa ser controlada de maneira a


funcionários e prestadores de serviços que realizarem o seu trabalho

um processo para a desativação dos logins dos funcionários demitidos logo após o seu desligamento da empresa.



e também manter um controle das contas dos prestadores de

Estabeleça uma política de senhas da seguinte maneira:

Comprimento mínimo de 8 caracteres;

Período de expiração de no mínimo 90 dias;

Obrigatoriedade de que a senha seja composta de número

Obrigatoriedade de o usuário, ao compor uma nova senha não utilize nenhuma das quatro senhas anteriores;

Bloquear a conta do usuário após cinco tentativas de acesso sem

10



Atribua uma conta de acesso para cada funcionário ou prestador de



fraude, sabotagem ou erro operacional) seja

Não permita o compartilhamento de contas de acesso ou o uso de contas


uso coletivo acarreta no




possível chegar ao usuário que realizou a ação

Implemente uma política de controle de acessos lógicos concedendo aos funcionários e prestadores de serviços somente o acesso necessário para a

cessão de acessos totais a todos os funcionários não é uma boa medida

permitiria, por exemplo, o acesso a informações de folha


ecisa ser controlada de maneira a


que realizarem o seu trabalho.

um processo para a desativação dos logins dos funcionários



e também manter um controle das contas dos prestadores de

números e letras;

Obrigatoriedade de o usuário, ao compor uma nova senha não utilize

Bloquear a conta do usuário após cinco tentativas de acesso sem

4.11.6. Manter o usuário bloqueado de acordo com a regra 30 minutos ou até o desbloqueio do administrador.

A definição de critérios para a construção de senhas deve privilegiar a

segurança. Senhas complexas podem ser fáceis de serem lembradas e difíceis

de serem adivinhadas o que as tornam mais seguras.

O uso de senhas complexas, somado ao bloqueio da conta no caso de um

número específico de tentativas mal sucedidas também dificulta o êxito de

ferramentas de ataque automatizado.

4.12. Ative a funcionalidade de geração de logs em todos os computadores e dispositivos de rede os configurando conforme as regras abaixo:

4.12.1. Configure os computadores e dispositivos de rede para gerar logs de todos os eventos realizados a partir de usuários com privilégios administrativos.

4.12.2. Configure os computadores e dispositivos de rede para todos os eventos cuja tentativa de acesso resultou em falha.

4.12.3. Configure os mecanismos de logs para gerar eventos contendo: data/hora do evento; identificação do usuário; tipo de eventoindicação de sucesso ou falha

4.12.4. Estabeleça mecanismos dearquivos de log do acesso não autorizado. Exemplo: Somente a conta de administrador local que possui privilégios de escrita no arquivo de log, todas as outras possuem somente acesso de leitura.

4.12.5. Configure o prazo de retemínimo.

4.12.6. Insira os arquivos de logs na rotina de backup dos servidores

Nos logs são registradas as atividades realizadas em um computador. É

importante ativar a geração de logs para que, na ocorrência de um incident

(invasão, fraude, sabotagem ou erro operacional) seja possível obter

informações de como este ocorreu e quais contas de acesso foram utilizadas

em sua execução.

4.13. Estabeleça o bloqueio de unidades de mídia removível (USB, CD, e outros drives) em todos os e

Geralmente os computadores envolvidos no processo de pagamento não

necessitam que sejam ativados os drives de mídia removível para a sua

execução. Desabilite estes recursos para evitar a infecção por

ameaças semelhantes

4.14. Estabeleça mecanismos de filtro de conteúdo e controle de acesso à internet de maneira que os funcionários e prestadores se serviço somente possuam os acessos necessários para a execução de seu trabalho.

Atualmente é possível implementar sistemas

do conteúdo a ser acessado na Internet de maneira a bloquear ou restringir o

acesso a determinados

Manter o usuário bloqueado de acordo com a regra 4.11.530 minutos ou até o desbloqueio do administrador.



de serem adivinhadas o que as tornam mais seguras.

de senhas complexas, somado ao bloqueio da conta no caso de um


ferramentas de ataque automatizado.

Ative a funcionalidade de geração de logs em todos os computadores e e rede os configurando conforme as regras abaixo:

Configure os computadores e dispositivos de rede para gerar logs de todos os eventos realizados a partir de usuários com privilégios administrativos.

Configure os computadores e dispositivos de rede para todos os eventos cuja tentativa de acesso resultou em falha.

Configure os mecanismos de logs para gerar eventos contendo: data/hora do evento; identificação do usuário; tipo de eventoindicação de sucesso ou falha.

Estabeleça mecanismos de controle de acesso para proteger os arquivos de log do acesso não autorizado. Exemplo: Somente a conta de administrador local que possui privilégios de escrita no arquivo de log, todas as outras possuem somente acesso de leitura.

Configure o prazo de retenção dos arquivos de log para 30 dias, no

Insira os arquivos de logs na rotina de backup dos servidores


importante ativar a geração de logs para que, na ocorrência de um incident



Estabeleça o bloqueio de unidades de mídia removível (USB, CD, e outros drives) em todos os equipamentos nos quais este recurso não é necessário.



execução. Desabilite estes recursos para evitar a infecção por vírus ou outras

ameaças semelhantes.

Estabeleça mecanismos de filtro de conteúdo e controle de acesso à internet de maneira que os funcionários e prestadores se serviço somente possuam os acessos necessários para a execução de seu trabalho.

ssível implementar sistemas de baixo custo para o controle


acesso a determinados sites.

11

.11.5 (acima) por



de senhas complexas, somado ao bloqueio da conta no caso de um


Ative a funcionalidade de geração de logs em todos os computadores e e rede os configurando conforme as regras abaixo:

Configure os computadores e dispositivos de rede para gerar logs de todos os eventos realizados a partir de usuários com privilégios

Configure os computadores e dispositivos de rede para gerar logs de todos os eventos cuja tentativa de acesso resultou em falha.

Configure os mecanismos de logs para gerar eventos contendo: data/hora do evento; identificação do usuário; tipo de evento e

controle de acesso para proteger os arquivos de log do acesso não autorizado. Exemplo: Somente a conta de administrador local que possui privilégios de escrita no arquivo de

nção dos arquivos de log para 30 dias, no

Insira os arquivos de logs na rotina de backup dos servidores


importante ativar a geração de logs para que, na ocorrência de um incidente



Estabeleça o bloqueio de unidades de mídia removível (USB, CD, e outros quipamentos nos quais este recurso não é necessário.



vírus ou outras

Estabeleça mecanismos de filtro de conteúdo e controle de acesso à internet de maneira que os funcionários e prestadores se serviço somente possuam os acessos necessários para a execução de seu trabalho.

de baixo custo para o controle


Esta medida protege o computador da incidência de vírus ou outras ameaças

que buscam obter

4.15. Mantenha os equipamentos com informações confidenciais em local protegido.

Servidores e estações de trabalho usados na manipulação de informações

confidenciais precisam estar em um ambiente protegido (sala fechada) e de

preferência sendo monitorados por câmeras de segurança.


que buscam obter informações de forma não autorizada.

Mantenha os equipamentos com informações confidenciais em local



preferência sendo monitorados por câmeras de segurança.

12


Mantenha os equipamentos com informações confidenciais em local



A atividade de vendas por telefone

para a proteção das informações de cartões. Abaixo os principais requisitos:

5.1. Isole fisicamente as ilhas que manipulam dados de cartões.

Nem todas as ilhas de atendimento precisam operar sob um criterioso regime

de segurança. Recomendamos a separação das ilhas de que manipulam

informações confidenciais, como dados de cartão e a aplicação

de segurança específicos (abaixo) para elas.

5.2. Instale mecanismos de controle de acesso físico para as ilhas que manipulam dados de cartõesnecessárias e armazene os registros de entrada e saída

É importante conceder acesso somente às pessoas as quais suas atividades

demandam a necessidade de permanecer na ilha que manipula dados de

cartão.

Instale algum tipo de solução

de impressão digital, crachá, entre outras

entrar na sala e armazene os dados de entrada e saída.

Recomendamos o armazenamento destas informações por

dias.

5.3. Monitore o ambiente por câmeras, armazene as imagenrotina de verificação

O monitoramento de ambientes por câmeras é reconhecidamente eficaz

como fonte de informações para a elucidação de crimes, mas também para

criar um fator de intimidação que colabora em evitar que in

aconteçam. Desta maneira, é i

menores, que instalem

É recomendável também

razoável (recomendamos 90 dias)

mínimo por amostragem, haja a atividade periódica de verificação das

imagens.

5.4. Bloqueie o acesso à sala em que os dados de cartão serão manipulados qualquer mecanismo que po

Lápis, canetas, telefones celulares ou câmeras fotográficas são exemplos de

objetos que podem sem utilizados para

importante que os profissionais das centrais de atendimento que manipulam

dados de cartões somente interajam com sistemas

entrada com objetos deste tipo seja proibida.

5. Centrais de Atendimento

de vendas por telefone demanda controles de segurança específicos


fisicamente as ilhas que manipulam dados de cartões.

ilhas de atendimento precisam operar sob um criterioso regime


informações confidenciais, como dados de cartão e a aplicação

nça específicos (abaixo) para elas.

mecanismos de controle de acesso físico para as ilhas que manipulam dados de cartões, conceda acesso somente

e armazene os registros de entrada e saída.

e conceder acesso somente às pessoas as quais suas atividades


Instale algum tipo de solução, por exemplo, por digitação de código, leitura

impressão digital, crachá, entre outras. Determine quais pessoas podem

e armazene os dados de entrada e saída.

Recomendamos o armazenamento destas informações por, no mínimo

Monitore o ambiente por câmeras, armazene as imagens e mantenha uma rotina de verificação do que foi gravado.



criar um fator de intimidação que colabora em evitar que in

aconteçam. Desta maneira, é importante até para os lojistas com operações

instalem estes dispositivos.

também que as imagens sejam armazenadas por um período

(recomendamos 90 dias) e também que, de forma proati


à sala em que os dados de cartão serão manipulados qualquer mecanismo que possa ser utilizado para copiar informações

telefones celulares ou câmeras fotográficas são exemplos de

que podem sem utilizados para armazenar informações de cartões. É


dados de cartões somente interajam com sistemas corporativos e

entrada com objetos deste tipo seja proibida.

Centrais de Atendimento

13

demanda controles de segurança específicos


ilhas de atendimento precisam operar sob um criterioso regime


informações confidenciais, como dados de cartão e a aplicação dos controles

mecanismos de controle de acesso físico para as ilhas que somente às pessoas

e conceder acesso somente às pessoas as quais suas atividades


por digitação de código, leitura

etermine quais pessoas podem

, no mínimo, 90

s e mantenha uma



criar um fator de intimidação que colabora em evitar que incidentes

mportante até para os lojistas com operações

por um período

e também que, de forma proativa e no


à sala em que os dados de cartão serão manipulados de informações.

telefones celulares ou câmeras fotográficas são exemplos de

informações de cartões. É


corporativos e que a

5.5. Implemente bloqueioshardware utilizado pelos operadores de telemarketing que manipulam dados de cartão.

A manipulação de dados de cartão exige q

pelos operadores possuam controles

Recomendamos o

telas dos sistemas

possua ligação com a atividade do operador e também os bloqueios

Internet e de unidades de mídia removível

bloqueios de segurança específicos para o hardware utilizado pelos operadores de telemarketing que manipulam

A manipulação de dados de cartão exige que as estações de trabalho

operadores possuam controles de segurança

Recomendamos o bloqueio de funcionalidades que permitam

telas dos sistemas (Print Screen), o bloqueio de qualquer aplicativo que não

o com a atividade do operador e também os bloqueios

unidades de mídia removível (citados no item 4.13 acima

14

o software e hardware utilizado pelos operadores de telemarketing que manipulam

ue as estações de trabalho em uso

diferenciados.

permitam a captura de

, o bloqueio de qualquer aplicativo que não

o com a atividade do operador e também os bloqueios da

.13 acima).

Manter um ambiente protegido requer a execução de procedimentos periódicos

com o objetivo de testar a segurança do ambiente e garantir que todos os

envolvidos nos processos de negócio sejam informados de suas obrigações para a

manutenção da segurança das informações das empresas

requisitos sobre este tópico:

6.1. Eleja uma pessoa e área para ser responsável pelos assuntos de Segurança da Informação.

Formalizar a responsabilidade por proteger o ambiente é uma medida

essencial para que as demandas de segurança ganhem prioridade de tenham

o acompanhamento adequado.

6.2. Realize scans de vulnerabilidades em seu ambiente pelo menos trimestralmente.

Scans de vulnerabilidades são mecanismos automatizados de realizam uma

varredura em equipamentos em busca de vulnerabilidades.

Como os ambientes mudam continuamente é importante realizar esta

atividade periodicamente.

6.3. Realize testes de intrusão na modalidade de rede e de aplicação pelo menos uma vez ao ano.

Testes de intrusão são projetos nos quais um especialista em segurança

simula uma série de ataques no ambiente.

Estes ataques podem ser r

aplicações expostas na internet ou vulnerabilidades de rede.

É importante realizar estes

6.4. Corrija as vulnerabilidades apontadas como “críticas” pelo scan de vulnerabilidade e pelo

A incidência de vulnerabilidades “críticas” n

seu ambiente está em sério risco. É vital que se atue na correção das

vulnerabilidades imediatamente.

6.5. Solicite formalmente aos seus pinformações em todas as operações terceirizadas

A maioria das atividades de terceirização contempla

confidenciais entre as empresas contratante e contratada. Recomendamos

que existam garantias

a definição de controles de segurança da informação.

6. Gestão de Segurança


testar a segurança do ambiente e garantir que todos os


manutenção da segurança das informações das empresas. Abaixo os principais

e área para ser responsável pelos assuntos de Segurança


para que as demandas de segurança ganhem prioridade de tenham

o acompanhamento adequado.

de vulnerabilidades em seu ambiente pelo menos


varredura em equipamentos em busca de vulnerabilidades.


atividade periodicamente.

Realize testes de intrusão na modalidade de rede e de aplicação pelo menos uma vez ao ano.


simula uma série de ataques no ambiente.

Estes ataques podem ser realizados buscando explorar vulnerabilidades nas

aplicações expostas na internet ou vulnerabilidades de rede.

É importante realizar estes testes ao mínimo anualmente.

Corrija as vulnerabilidades apontadas como “críticas” pelo scan de vulnerabilidade e pelo teste de intrusão em caráter emergencial.

A incidência de vulnerabilidades “críticas” no resultado dos testes indica

está em sério risco. É vital que se atue na correção das

vulnerabilidades imediatamente.

Solicite formalmente aos seus prestadores de serviço que protejam as informações em todas as operações terceirizadas.

A maioria das atividades de terceirização contempla a troca de informações


garantias definidas nos contratos de terceirização que garantam

a definição de controles de segurança da informação.

Gestão de Segurança

15


testar a segurança do ambiente e garantir que todos os


. Abaixo os principais

e área para ser responsável pelos assuntos de Segurança


para que as demandas de segurança ganhem prioridade de tenham

de vulnerabilidades em seu ambiente pelo menos



Realize testes de intrusão na modalidade de rede e de aplicação pelo


ealizados buscando explorar vulnerabilidades nas

Corrija as vulnerabilidades apontadas como “críticas” pelo scan de teste de intrusão em caráter emergencial.

o resultado dos testes indica que

está em sério risco. É vital que se atue na correção das

restadores de serviço que protejam as

a troca de informações


efinidas nos contratos de terceirização que garantam

6.6. Conscientize as equipes com relação à segurança.

O Compartilhamento do conhecimento sobre a segurança das informações é

uma ferramenta importantíss

Recomendamos a disseminação das regras para a proteção do ambiente

entre todos os funcionários e prestadores de serviço

Conscientize as equipes com relação à segurança.


uma ferramenta importantíssima para a proteção do ambiente.


entre todos os funcionários e prestadores de serviço.

16


ima para a proteção do ambiente.


Documents

Boas Práticas de Segurança da Informação - Cielo