Padrão de segurança de dados - PCI Security Standards Council

Transcrição

Indústria de Cartões de Pagamento (PCI)
Padrão de segurança de dados
Resumo de Alterações da
Versão 2.0 para a 3.0 do PCI-DSS
Novembro de 2013
Introdução
Este documento fornece um resumo de alterações da v2.0 para a v3.0 do PCI DSS. A Tabela 1
apresenta uma visão geral dos tipos de alterações incluídas na v3.0 do PCI DSS. A Tabela 2 apresenta
um resumo das alterações substanciais encontradas na v3.0 do PCI DSS.
Tabela 1: Tipos de alterações
Tipo de
alteração
Definição
Esclarecimento
Esclarece o propósito do requisito. Garante que um texto conciso nos padrões retrate o
objetivo desejado dos requisitos.
Orientação
adicional
Explicações, definições e/ou instruções para melhorar a compreensão ou fornecer mais
informações ou orientações sobre um tópico específico.
Requisito
expandido
Alterações para assegurar que os padrões estejam atualizados em relação às ameaças
emergentes e às alterações no mercado.
Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS
Padrão de segurança de dados da Indústria de cartões de pagamento (PCI)
© 2006-2013 PCI Security Standards Council, LLC. Todos os direitos reservados.
Página 2
Novembro de 2013
Tabela 2: Resumo das alterações
Seção
PCI DSS v2.0
Informações de
aplicabilidade do PCI
DSS
Alteração
Tipo
Esclarecer que o SAD não deve ser armazenado após
autorização mesmo se não houver PAN no ambiente.
Esclarecimento
PCI DSS v3.0
Informações de
aplicabilidade
do PCI DSS
Relação entre
PCI DSS e PADSS
Esclarecer que todos os aplicativos que armazenam,
processam ou transmitem dados do titular do cartão
abrangem uma avaliação do PCI DSS da entidade,
mesmo se o PA-DSS estiver validado.
Esclarecer a aplicabilidade do PCI DSS aos
fornecedores do aplicativo de pagamento.
Esclarecimento
Escopo dos
requisitos do
PCI DSS
Exemplos adicionados de componentes do sistema e
orientação adicional sobre como determinar
precisamente o escopo da avaliação.
Esclarecer o objetivo da segmentação.
Esclarecer responsabilidades de terceiros e de seus
clientes quanto ao escopo e abrangência dos
requisitos do PCI DSS e esclarecer a evidência que
terceiros devem fornecer aos seus clientes para que
possam verificar o escopo da avaliação do PCI DSS
do terceiro.
Orientação
adicional
Implementar o
PCI DSS nos
processos de
cenários de
referência
Nova seção para fornecer orientação sobre "cenários
de referência" a fim de implementar segurança nas
atividades do cenário de referência (BAU) para manter
a conformidade do PCI DSS. Observe que esta seção
inclui apenas recomendações e orientações e não
novos requisitos do PCI DSS.
Orientação
adicional
Processos de
avaliação
Adicionado novo título para separar a seção de escopo
do PCI DSS da seção de amostra.
Esclarecimento
Amostragem de áreas
de
negócios/componentes
do sistema
Para os
assessores:
Amostragem de
áreas de
negócios e
componentes
do sistema
Orientação aprimorada de amostra para assessores.
Instruções e conteúdo
para o relatório sobre
conformidade
Instruções e
conteúdo para o
relatório sobre
conformidade
Conteúdo antigo transferido para documentos
separados – Modelo de ROC do PCI DSS e Instruções
para o relatório ROC do PCI DSS.
Conformidade do PCI
DSS – Etapas para
preenchimento
Processo de
avaliação do
PCI DSS
Seção atualizada para focar no processo de avaliação
em vez do de documentação.
Relação entre PCI
DSS e PA-DSS
Escopo da avaliação
da conformidade com
os requisitos do PCI
DSS
Orientação
adicional
Esclarecimento
Esclarecimento
Página 3
Novembro de 2013
Detalhado
Requisitos do PCI
DSS e procedimentos
da avaliação de
segurança
Detalhado
Requisitos do
PCI DSS e
procedimentos
da avaliação de
segurança
No início desta seção, linguagem adicionada para
definir os títulos da coluna nesta seção e referências
removidas para colunas "Implementado", "Não
Implementado" e "Data-alvo/Comentários".
Esclarecimento
Página 4
Novembro de 2013
Alterações gerais implementadas nos requisitos do PCI DSS
Nova coluna para descrever o objetivo de cada requisito, com o conteúdo derivado do antigo
documento de orientação do PCI DSS. A orientação nesta coluna tem o objetivo de auxiliar
na compreensão dos requisitos e não substitui ou expande os requisitos do PCI DSS e
procedimentos de teste.
Tipo
Orientação
adicional
Para as políticas de segurança e procedimentos operacionais diários (anteriormente requisitos
12.1.1 e 12.2), atribuído um novo número de requisito e requisitos e procedimentos de teste
alterados em cada um dos requisitos 1-11.
Esclarecimento
Linguagem atualizada nos requisitos e/ou procedimentos de teste correspondentes para
alinhamento e consistência.
Esclarecimento
Requisitos complexos/procedimentos de teste separados para esclarecimento e
procedimentos de teste redundantes ou conflitantes removidos.
Esclarecimento
Procedimentos de teste aprimorados para esclarecer o nível de validação esperado para cada
requisito.
Esclarecimento
Outras alterações gerais de revisão incluem:
•
Removidas as seguintes colunas: "Implementado", "Não Implementado" e "Data-alvo/Comentários".
•
Renumerados os requisitos e procedimentos de teste para inserir as alterações
•
Reformatados os requisitos e procedimentos de teste para fins de legibilidade, por exemplo, conteúdo do
parágrafo reformatado com marcadores, etc.
•
Realizadas pequenas alterações ao longo do texto para fins de legibilidade
•
Corrigidos erros tipográficos
Requisito
PCI DSS v2.0
Alteração
Tipo
Esclarecimento
PCI DSS v3.0
Requisito 1
1.1.x
1.1.x
Esclarecido que os padrões do firewall e do roteador devem
ser documentados e implementados.
1.1.2
1.1.2
1.1.3
Esclarecido qual diagrama da rede se deve incluir e
adicionar novo requisito em 1.1.3 para um diagrama atual
que mostre o fluxo dos dados do titular do cartão.
1.1.5
1.1.6
Esclarecidos exemplos de serviços, protocolos e portas não
seguros para especificar SNMP v1 e v2.
Esclarecimento
1.2.2
1.2.2
Esclarecido que o objetivo de proteger os arquivos de
configuração do roteador é protegê-los de acesso não
autorizado.
Esclarecimento
1.2.3
1.2.3
Esclarecido que o objetivo de controlar o tráfego entre
redes sem fio e o CDE é "permitir apenas o tráfego
autorizado".
Esclarecimento
Requisito
expandido
Página 5
Novembro de 2013
Requisito
Alteração
Tipo
Esclarecido que o objetivo do requisito é que medidas de
proteção sejam implementadas para detectar e impedir que
endereços IP de fonte forjada entrem na rede.
Esclarecimento
1.4
Linguagem alinhada entre o requisito e os procedimentos
de teste para consistência.
Esclarecimento
2.1
2.1
Esclarecido que o requisito para alterar as senhas padrão
do fornecedor se aplica a todas as senhas padrão, incluindo
sistemas, aplicativos, software de segurança, terminais, etc.
e que as contas padrão desnecessárias são removidas ou
desativadas.
Esclarecimento
2.1.1
2.1.1
Esclarecido que o objetivo do requisito é que todos os
padrões sem fio do fornecedor sejam modificados na
instalação.
Esclarecimento
Esclarecido que os padrões da configuração do sistema
incluem procedimentos para alterar todos os padrões
informados pelo fornecedor e contas padrão
desnecessárias.
Esclarecimento
PCI DSS v2.0
PCI DSS v3.0
1.3.4
1.3.4
1.4
Requisito 2
2.2
2.2
2.2.2
2.2.2
2.2.3
Dividido requisito 2.2.2 em dois requisitos para focar
separadamente nos serviços, protocolos e portas
necessários (2.2.2) e serviços, protocolos e portas seguros
(2.2.3).
Esclarecimento
2.4
Novo requisito para manter um inventário dos componentes
do sistema no escopo do PCI DSS para dar suporte ao
desenvolvimento dos padrões da configuração.
Requisito
expandido
3.1
Combinados requisito 3.1.1 e os procedimentos de teste no
requisito 3.1 para esclarecer e reduzir redundância.
Esclarecimento
3.2
3.2
Esclarecido que, se forem recebidos dados de autenticação
confidenciais, eles são tornados irrecuperáveis ao concluir o
processo de autorização. Esclarecido que os procedimentos
de teste para empresas que dão suporte a serviços de
emissão e armazenam dados de autenticação
confidenciais.
Esclarecimento
3.3
3.3
Esclarecido o objetivo do requisito de mascarar os PANs
incluindo a observação anterior no corpo do requisito e
aprimorando os procedimentos de teste.
Esclarecimento
Requisito 3
3.1
3.1.1
Página 6
Novembro de 2013
Requisito
Alteração
PCI DSS v2.0
Tipo
PCI DSS v3.0
3.4.1
3.4.1
Esclarecido que o acesso lógico à criptografia de dados
deve ser gerenciado separada e independentemente da
autenticação do sistema operacional nativo e dos
mecanismos de controle de acesso e que as chaves de
decodificação não devem ser associadas com contas de
usuários.
3.5
3.5
Esclarecido que os procedimentos de gerenciamento de
chave devem ser implementados e documentados.
Esclarecimento
Esclarecimento
Esclarecimento
3.5.2
3.5.2
3.5.3
Dividido requisito 3.5.2 em dois requisitos para focar
separadamente no armazenamento de chaves
criptográficas de forma segura (3.5.2) e no menor número
possível de locais (3.5.3). O requisito 3.5.2 também
proporciona flexibilidade com mais opções para o
armazenamento seguro de chaves criptográficas.
3.6.x
3.6.x
Adicionados procedimentos de teste para verificar a
implementação de procedimentos de gerenciamento de
chave criptográfica.
Esclarecimento
3.6.6
3.6.6
Esclarecidos princípios de conhecimento compartilhado e
controle duplo.
Esclarecimento
4.1
de teste para consistência. Também expandidos os
exemplos de redes abertas e públicas.
Esclarecimento
Título atualizado para refletir o objetivo do requisito
(proteger todos os sistemas contra malware).
Esclarecimento
Requisito 4
4.1
Requisito 5
Requisito 5 – Geral
5.1.2
5.2
Novo requisito para avaliar as ameaças de malware em
evolução em qualquer sistema não comumente afetado por
softwares mal-intencionados.
5.2
5.3
Novo requisito para assegurar que soluções de antivírus
estejam funcionando ativamente (anteriormente em 5.2) e
não possam ser desativadas ou alteradas pelos usuários, a
menos que seja especificamente autorizado pelo
gerenciamento baseado em cada caso.
Requisito
expandido
Esclarecimento
Requisito
expandido
Requisito 6
Página 7
Novembro de 2013
Requisito
Alteração
PCI DSS v2.0
Tipo
PCI DSS v3.0
6.2
6.1
Trocada a ordem dos requisitos 6.1 e 6.2. O requisito 6.1
agora serve para identificar e classificar o risco de novas
vulnerabilidades e o 6.2 para reparar vulnerabilidades
críticas. Esclarecer como o processo de classificação de
risco (6.1) se alinha ao processo de reparo (6.2).
6.1
6.2
Veja acima a explicação para o 6.1. Também, esclarecido
que este requisito se aplica aos "patches aplicáveis".
Esclarecimento
6.3
6.3
Adicionada uma observação para esclarecer que o requisito
para processos escritos de desenvolvimento do software se
aplica a todos os softwares desenvolvidos internamente ou
feitos sob medida.
Esclarecimento
6.3.1
6.3.1
Alterado "pré-produção" para "desenvolvimento/teste" para
esclarecer o objetivo do requisito
Esclarecimento
6.4
6.4
Procedimentos de teste aprimorados para incluir revisões
do documento para todos os requisitos do 6.4.1 até o 6.4.4.
Esclarecimento
6.4.1
de teste para esclarecer que a separação dos ambientes de
produção/desenvolvimento seja reforçada com controles de
acesso.
Esclarecimento
6.5
Treinamento atualizado do desenvolvedor para incluir como
evitar vulnerabilidades comuns de codificação e para
compreender como os dados confidenciais são controlados
na memória.
Esclarecimento
6.5.x
Requisitos atualizados para refletir as vulnerabilidades de
codificação atuais e as que estejam surgindo e as diretrizes
de codificação segura. Procedimentos de teste atualizados
para esclarecer como as técnicas de codificação resolvem
as vulnerabilidades.
Esclarecimento
6.5.10
Novo requisito de práticas de codificação para proteger
contra autenticação quebrada e gerenciamento de sessão.
Vigente em 01 de julho de 2015
Requisito
expandido
6.4.1
6.5
6.5.x
6.6
Esclarecimento
6.6
Flexibilidade aumentada especificando a solução técnica
automatizada que detecta e previne ataques baseados na
Web ao invés de "firewall de aplicação na Web". Adicionada
observação para esclarecer que esta avaliação não é o
mesmo que varreduras de vulnerabilidades exigidas em
11.2.
Esclarecimento
7.1
Procedimento de teste reformulado para esclarecer o que a
política inclui, com base nas alterações dos requisitos 7.1.1
ao 7.1.4.
Esclarecimento
Requisito 7
7.1
Página 8
Novembro de 2013
Requisito
Alteração
Tipo
7.1.1
Novo 7.1.1 para abranger a definição das necessidades de
acesso para cada função, para dar suporte aos requisitos
7.1.2 ao 7.1.4.
Esclarecimento
7.1.1
7.1.2
Requisito redirecionado sobre a restrição de acesso a IDs
de usuários privilegiados ao menor número de privilégios
necessários e procedimentos de teste aprimorados.
Esclarecimento
7.1.2
7.1.3
Requisito redirecionado sobre a concessão do acesso com
base na classificação e na atribuição da função do
indivíduo.
Esclarecimento
Removido o antigo requisito 7.1.4 (tratado no requisito 7.2)
Esclarecimento
PCI DSS v2.0
PCI DSS v3.0
7.1.4
Requisito 8
Título atualizado para refletir o objetivo do requisito
(identificar e autenticar todo o acesso aos componentes do
sistema).
Requisitos atualizados e reorganizados para proporcionar
uma abordagem mais holística para a autenticação e
identificação do usuário:
Requisito 8 – Geral
•
8.1 focado na identificação do usuário
•
8.2 focado na autenticação do usuário
•
Requisitos atualizados para considerar outros métodos
de autenticação que não sejam senhas
•
Alterado "senhas" para "senhas/frases" onde o
requisito se aplica apenas a senhas/frases
•
Alterado "senhas" para "credenciais de autenticação"
onde o requisito se aplica a qualquer tipo de credencial
de autenticação
•
Esclarecido que os requisitos de segurança de senha
se aplicam às contas usadas por fornecedores
terceirizados
Esclarecimento
8.5.6
8.1.5
Esclarecido que o requisito de acesso remoto do fornecedor
se aplica aos fornecedores que acessam, suportam ou
mantêm os componentes do sistema e que deve ser
desativado quando não estiver sendo utilizado.
8.4.2
8.2.1
Esclarecido que a criptografia forte deve ser usada para
tornar as credenciais de autenticação ilegíveis durante a
transmissão e armazenamento.
Esclarecimento
8.2.2
Esclarecido que a identificação do usuário deve ser
verificada antes de modificar credenciais de autenticação e
adicionadas provisão de novos tokens e geração de novas
chaves como exemplos de modificações.
Esclarecimento
8.5.2
Esclarecimento
Página 9
Novembro de 2013
Requisito
Alteração
PCI DSS v2.0
8.5.10
8.5.11
8.3
8.5.7
8.5.16
Tipo
PCI DSS v3.0
8.2.3
Combinados para um único requisito os requisitos de força
e complexidade mínimos de senha e flexibilidade
aumentada para alternativas de atender a complexidade e
força equivalentes.
Requisito
expandido
8.3
Esclarecido que o requisito de autenticação de dois fatores
se aplica a usuários, administradores e todos os terceiros,
incluindo acesso do fornecedor para suporte ou
manutenção.
Esclarecimento
8.4
Requisito aprimorado para incluir orientação de
comunicação e documentação sobre como os usuários
devem proteger suas credenciais de autenticação, incluindo
reutilização de senha/frase e alteração de senha/frase se
houver suspeita de que ela tenha sido comprometida.
Esclarecimento
8.5.1
Novo requisito para os prestadores de serviços com acesso
remoto às instalações do cliente, para usar credenciais de
autenticação exclusivas para cada cliente.
Requisito
expandido
8.6
Novo requisito onde forem usados outros mecanismos de
autenticação (por exemplo, tokens de segurança físicos ou
virtuais, smart cards, certificados, etc.) para informar que os
mecanismos devem ser vinculados a uma conta individual e
assegurar que apenas o usuário pretendido possa ter
acesso com aquele mecanismo.
Requisito
expandido
8.7
Esclarecimento
Requisito 9
9.1.2
9.1.2
Esclarecido que o objetivo do requisito é implementar
controles de acesso físico e/ou virtual para proteger as
tomadas de rede acessíveis ao público.
Esclarecimento
9.2.x
9.2.x
Esclarecido que o objetivo do requisito é identificar,
distinguir e conceder o acesso para equipes e visitantes no
local e que crachás são apenas uma opção (não exigidos).
Esclarecimento
9.3
Novo requisito para controlar o acesso físico às áreas
confidenciais para a equipe no local, incluindo um processo
para o acesso autorizado e cancelar o acesso
imediatamente após o término.
Requisito
expandido
9.3.x
9.4.x
de teste para consistência e para esclarecer que os
visitantes devem ser acompanhados em todos os
momentos e que a trilha de auditoria da atividade do
visitante deve incluir acesso às instalações, sala de
computadores e/ou centro de dados.
Esclarecimento
Página 10
Novembro de 2013
Requisito
PCI DSS v2.0
9.5 – 9.10
Alteração
Tipo
Antigo requisito 9.6 alterado e renumerado para 9.5 e
antigo requisito 9.5 renumerado como sub-requerimento
9.5.1.
Antigo requisito 9.7 renumerado para 9.6 e antigo requisito
9.8 renumerado como sub-requerimento 9.6.3.
Antigo requisito 9.9 renumerado para 9.7 e antigo requisito
9.10 renumerado para 9.8.
Esclarecimento
PCI DSS v3.0
9.5 – 9.8
9.9.x
Novos requisitos para proteger contra falsificação e
substituição dos dispositivos que capturam os dados do
cartão de pagamento por meio de interação física direta
com o cartão.
10.1
10.1
Esclarecido que as trilhas de auditoria devem ser
implementadas para vincular o acesso aos componentes do
sistema a cada usuário individual, ao invés de apenas
estabelecer um processo.
Esclarecimento
10.2.1
10.2.1
Esclarecido que o objetivo é que todos os acessos de
usuários individuais aos dados do titular do cartão sejam
incluídos nas trilhas de auditoria.
Esclarecimento
10.2.5
10.2.5
Requisito aprimorado para incluir alterações dos
mecanismos de identificação e autenticação (incluindo a
criação de novas contas, aumento de privilégios) e todas as
alterações, adições ou exclusões de contas com acesso
raiz ou administrativos.
Requisito
expandido
10.2.6
10.2.6
Requisito aprimorado para incluir interrupção ou pausa dos
logs de auditoria.
Requisito
expandido
10.6.x
Esclarecido que o objetivo das revisões de log é identificar
irregularidades ou atividades suspeitas e fornecer mais
orientações sobre o escopo das revisões de log diárias.
Também permitida mais flexibilidade para revisar
periodicamente as ocorrências de segurança e os logs
críticos do sistema e outras ocorrências de logs, conforme
definido pela estratégia de gerenciamento de risco da
entidade.
Esclarecimento
Requisito
expandido
Requisito 10
10.6
Requisito 11
Página 11
Novembro de 2013
Requisito
PCI DSS v2.0
11.1.x
11.1.x
11.2
11.2
11.2.1
11.2.2
11.2.3
11.3
11.3
Alteração
Tipo
Requisito aprimorado para incluir um inventário de pontos
de acesso autorizados sem fio e uma justificativa comercial
(11.1.1) para suportar varredura de dispositivos não
autorizados sem fio e adicionado novo requisito 11.1.2 para
alinhamento com um procedimento de teste já existente
para procedimentos de resposta se forem detectados
pontos de acesso não autorizados sem fio.
Requisito
expandido
Adicionada orientação sobre combinar vários relatórios de
varredura a fim de atingir e documentar um resultado
aprovado.
Orientação
adicional
PCI DSS v3.0
11.2.1
Esclarecido que as varreduras trimestrais de
vulnerabilidades internas incluem novas varreduras quando
necessário até que todas as vulnerabilidades "altas"
(conforme identificado pelo requisito 6.1 do PCI DSS) forem
resolvidas e devem ser realizadas por pessoal qualificado.
Esclarecimento
11.2.2
Esclarecido que as varreduras de vulnerabilidades externas
incluem novas varreduras quando necessário até que se
chegue a varreduras aprovadas e adicionada uma
observação para consultar o Guia do Programa ASV.
Esclarecimento
11.2.3
Esclarecido que as varreduras internas e externas
realizadas após alterações significativas incluem novas
varreduras quando necessário até que todas as
vulnerabilidades "altas" (conforme identificado pelo requisito
6.1 do PCI DSS) forem resolvidas e devem ser realizadas
por pessoal qualificado.
Esclarecimento
11.3
Novo requisito para implementar uma metodologia para
teste de penetração.
Vigente em 01 de julho de 2015. Os requisitos do PCI DSS
v2.0 para testes de penetração devem ser seguidos até que
a v3.0 esteja vigente.
Requisito
expandido
11.3.1
11.3.2
Dividido antigo requisito 11.3 em 11.3.1 para requisitos de
teste de penetração externo e 11.3.2 para requisitos de
teste de penetração interno.
Esclarecimento
11.3.3
Novo requisito criado a partir do procedimento de teste
anterior (11.3.b) para corrigir vulnerabilidades exploráveis
encontradas durante o teste de penetração e repetir o teste
para verificar as correções.
Esclarecimento
11.3.4
Novo requisito, se for utilizada a segmentação para isolar o
CDE de outras redes, para realizar testes de penetração a
fim de verificar se os métodos de segmentação são
operacionais e eficazes.
Requisito
expandido
Página 12
Novembro de 2013
Requisito
PCI DSS v2.0
Alteração
Tipo
Esclarecimento
PCI DSS v3.0
11.4
11.4
Flexibilidade aumentada especificando técnicas de
detecção de invasão e/ou prevenção contra invasões para
detectar e/ou evitar invasões na rede ao invés de "sistemas
de detecção de invasão e/ou prevenção contra invasões".
11.5
11.5
Flexibilidade aumentada especificando o mecanismo de
detecção de alterações ao invés de "monitoramento de
integridade de dados".
Esclarecimento
11.5.1
Novo requisito para implementar um processo para
responder a qualquer alerta gerado pelo mecanismo de
detecção de alterações (suporta o 11.5)
Requisito
expandido
Requisito 12
12.1.1
12.2
1.5, 2.5, 3.7,
4.3, 5.4, 6.7,
7.3, 8.8, 9.10,
10.8, 11.6
12.1.3
12.1.1
Combinados os antigos requisitos em 12.1.1 (sobre a
política de segurança da informação para atender a todos
os requisitos do PCI DSS) e 12.2 (sobre procedimentos de
segurança operacional) e transferidos para os requisitos do
1 ao 11, como um requisito em cada um.
Esclarecimento
Transferido o antigo requisito 12.1.3 para o 12.1.1.
Esclarecimento
Antigo requisito 12.1.2 sobre o processo de avaliação anual
de risco transferido para o 12.2 e esclarecido que a
avaliação de risco deve ser realizada pelo menos uma vez
ao ano e após quaisquer mudanças significativas no
ambiente.
Requisito
expandido
12.1.2
12.2
12.3.4
12.3.4
Esclarecido que "identificação" é um exemplo de um
método a ser usado.
Esclarecimento
12.3.8
Novo procedimento de teste para verificar se é
implementada uma política para desconectar as sessões de
acesso remoto depois de um período específico de
inatividade.
Esclarecimento
12.3.10
de teste para esclarecer que, onde houver uma
necessidade comercial autorizada para que o funcionário
acesse os dados do titular do cartão por meio de
tecnologias de acesso remoto, os dados devem ser
protegidos de acordo com todos os requisitos aplicáveis do
PCI DSS.
Esclarecimento
12.8
12.8
Esclarecido o objetivo de implementar e manter políticas e
procedimentos para controlar os prestadores de serviços
com quem os dados do titular são compartilhados ou que
possam afetar a segurança dos dados.
Esclarecimento
12.8.2
12.8.2
Esclarecidas as responsabilidades aplicáveis para o
reconhecimento/acordo por escrito do prestador de
serviços.
Esclarecimento
12.3.8
12.3.10
Página 13
Novembro de 2013
Requisito
Alteração
PCI DSS v2.0
12.8.5
12.9
12.9.x
Tipo
PCI DSS v3.0
12.10.x
Novo requisito para manter informações sobre quais
requisitos do PCI DSS são administrados por cada
prestador de serviços e quais são administrados pela
entidade.
Requisito
expandido
Novo requisito para prestadores de serviços a fim de
fornecer o reconhecimento/acordo por escrito aos seus
clientes conforme especificado no requisito 12.8.
Requisito
expandido
Requisito renumerado e atualizado 12.10.5 para esclarecer
que o objetivo é relativo a alertas a partir dos sistemas de
monitoramento de segurança para ser incluído um plano de
resposta a incidentes.
Esclarecimento
Página 14
Novembro de 2013

Padrão de segurança de dados - PCI Security Standards Council

Transcrição

Documentos relacionados

Requisitos de Sistema

Nome Validade da Certificação Accesstage Novembro/15

Carreira de paramédico – PCI

GAMA COMERCIAL | PCZ Power Inverter unidades horizontal de

(Microsoft PowerPoint - PauloFerreira

IP9001

9626D2P

FORMULÁRIO DE PERFIL DA VAGA - PRÉ

Exercícios: Características gerais dos seres vivos e origem da vida

BOLETINEXTRAORINARIO 01.cdr