Professional Documents
Culture Documents
Procedimentos para o
Scanning de Segurança
Version 1.1
Portuguese
Objetivo ........................................................................................................... 1
Introdução........................................................................................................ 1
Relatório de Cumprimento............................................................................... 4
Introdução
A PCI DSS detalha as exigências de segurança para os estabelecimentos e
prestadores de serviço que armazenam, processam ou transmitem os dados
do portador de cartão. Para demonstrar o cumprimento das exigências da
PCI DSS, pode ser requerido que os estabelecimentos e prestadores de
serviço efetuem Scans de Segurança PCI periódicos de acordo com o
definido por cada empresa de cartão de pagamento.
Procedimento de Scanning
Para serem considerados como cumpridores da exigência do Scanning de
Segurança PCI, os estabelecimentos e prestadores de serviço devem
executar o scan dos seus websites ou infraestruturas de IT com endereços
de IP externos, de acordo com as seguintes diretrizes:
1. Todos os scans devem ser realizados por um ASV selecionado de uma
lista de prestadores de serviços de scanning fornecida pela PCI Security
Standards Council
Os ASVs devem efetuar os scans de acordo com os procedimento
descritos nas “Exigências Técnicas e Operacionais para os
Prestadores de Serviços de Scanning” (Technical and Operational
Requirements for Approved Scanning Vendors - ASVs). Estes
procedimentos estabelecem que a operação normal do ambiente do
cliente não deve sofrer impacto e que o ASV não deve nunca
penetrar ou alterar o ambiente do cliente.
2. São exigidos scans trimestrais de acordo com a exigência 11.2 do PCI
DSS
3. Antes de fazer o scanning no website e na infraestrutura de IT, os
estabelecimentos e provedores de serviços devem:
• Prover ao ASV uma lista de todos os endereços ativos de IP externos
Relatório de Cumprimento
Os estabelecimentos e prestadores de serviços deverão seguir os requisitos
para os relatórios de cumprimento respectivos para cada companhia de
cartão de crédito com o objetivo de assegurar que cada uma reconheça o
status de cumprimento de uma entidade. Embora os relatórios de scan
devam ter um formato comum, os resultados devem ser submetidos de
acordo com os requisitos da companhia de cartão de crédito. Favor entrar
em contato com o seu banco adquirente ou verificar o website regional de
cada companhia de cartão de crédito a quem os resultados devam ser
encaminhados.
Para ser considerado aprovado, um scan não pode conter um alto nível de
vulnerabilidades. O relatório de scan não deve conter quaisquer
vulnerabilidades que indiquem características ou configurações que estão
em violação da PCI DSS. Se estas violações existirem, o ASV deve consultar
o cliente para determinar se estes são de fato, violações da PCI DSS e
portanto motivo de um relatório de scan mostrando resultados de não
atendimento.
Nível 5
As vulnerabilidades de nível 5 proporcionam aos intrusos remotos uma raiz
(root) remota ou capacidades remotas de administração. Com este nível de
vulnerabilidade, os hackers podem comprometer o host inteiro. O nível 5
inclui vulnerabilidades que dão aos hackers remotos capacidades completas
de leitura e escrita do sistema de arquivo, execução remota de comandos
como uma raiz ou usuário administrador. A presença de backdoors e Trojans
também se qualificam para uma vulnerabilidade de nível 5.
Nível 4
As vulnerabilidades de nível 4 oferecem aos intrusos o uso remoto, mas não
com capacidades de usuário administrador ou de raiz. As vulnerabilidades de
nível 4 proporcionam aos hackers um acesso parcial aos sistemas de
arquivo (por exemplo, acesso completo à leitura sem acesso completo à
escrita). As vulnerabilidades que expõem as informações altamente
sensíveis também são classificadas como vulnerabilidades de nível 4.
Nível 3
As vulnerabilidades de nível 3 proporcionam aos hackers o acesso a
informações específicas armazenadas no host, incluindo configurações de
segurança. Este nível de vulnerabilidades pode resultar em potencial uso
indevido do host por intrusos. Exemplos das vulnerabilidades de nível 3
incluem a revelação parcial do conteúdo do arquivo, acesso a determinados
arquivos no host, navegação dos diretórios, descoberta de regras de
filtragem e mecanismos de segurança, susceptibilidade para recusa de
ataques ao serviço (DoS), e uso não autorizado de serviços tais como a
substituição de correspondência.
Nível 1
As vulnerabilidades de nível 1 expõem informações, tais como portos
abertos.