Padrão de segurança de dados - PCI Security Standards Council
Transcrição
Padrão de segurança de dados - PCI Security Standards Council
Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS Novembro de 2013 Introdução Este documento fornece um resumo de alterações da v2.0 para a v3.0 do PCI DSS. A Tabela 1 apresenta uma visão geral dos tipos de alterações incluídas na v3.0 do PCI DSS. A Tabela 2 apresenta um resumo das alterações substanciais encontradas na v3.0 do PCI DSS. Tabela 1: Tipos de alterações Tipo de alteração Definição Esclarecimento Esclarece o propósito do requisito. Garante que um texto conciso nos padrões retrate o objetivo desejado dos requisitos. Orientação adicional Explicações, definições e/ou instruções para melhorar a compreensão ou fornecer mais informações ou orientações sobre um tópico específico. Requisito expandido Alterações para assegurar que os padrões estejam atualizados em relação às ameaças emergentes e às alterações no mercado. Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Padrão de segurança de dados da Indústria de cartões de pagamento (PCI) © 2006-2013 PCI Security Standards Council, LLC. Todos os direitos reservados. Página 2 Novembro de 2013 Tabela 2: Resumo das alterações Seção PCI DSS v2.0 Informações de aplicabilidade do PCI DSS Alteração Tipo Esclarecer que o SAD não deve ser armazenado após autorização mesmo se não houver PAN no ambiente. Esclarecimento PCI DSS v3.0 Informações de aplicabilidade do PCI DSS Relação entre PCI DSS e PADSS Esclarecer que todos os aplicativos que armazenam, processam ou transmitem dados do titular do cartão abrangem uma avaliação do PCI DSS da entidade, mesmo se o PA-DSS estiver validado. Esclarecer a aplicabilidade do PCI DSS aos fornecedores do aplicativo de pagamento. Esclarecimento Escopo dos requisitos do PCI DSS Exemplos adicionados de componentes do sistema e orientação adicional sobre como determinar precisamente o escopo da avaliação. Esclarecer o objetivo da segmentação. Esclarecer responsabilidades de terceiros e de seus clientes quanto ao escopo e abrangência dos requisitos do PCI DSS e esclarecer a evidência que terceiros devem fornecer aos seus clientes para que possam verificar o escopo da avaliação do PCI DSS do terceiro. Orientação adicional Implementar o PCI DSS nos processos de cenários de referência Nova seção para fornecer orientação sobre "cenários de referência" a fim de implementar segurança nas atividades do cenário de referência (BAU) para manter a conformidade do PCI DSS. Observe que esta seção inclui apenas recomendações e orientações e não novos requisitos do PCI DSS. Orientação adicional Processos de avaliação Adicionado novo título para separar a seção de escopo do PCI DSS da seção de amostra. Esclarecimento Amostragem de áreas de negócios/componentes do sistema Para os assessores: Amostragem de áreas de negócios e componentes do sistema Orientação aprimorada de amostra para assessores. Instruções e conteúdo para o relatório sobre conformidade Instruções e conteúdo para o relatório sobre conformidade Conteúdo antigo transferido para documentos separados – Modelo de ROC do PCI DSS e Instruções para o relatório ROC do PCI DSS. Conformidade do PCI DSS – Etapas para preenchimento Processo de avaliação do PCI DSS Seção atualizada para focar no processo de avaliação em vez do de documentação. Relação entre PCI DSS e PA-DSS Escopo da avaliação da conformidade com os requisitos do PCI DSS Orientação adicional Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Padrão de segurança de dados da Indústria de cartões de pagamento (PCI) © 2006-2013 PCI Security Standards Council, LLC. Todos os direitos reservados. Esclarecimento Esclarecimento Página 3 Novembro de 2013 Detalhado Requisitos do PCI DSS e procedimentos da avaliação de segurança Detalhado Requisitos do PCI DSS e procedimentos da avaliação de segurança No início desta seção, linguagem adicionada para definir os títulos da coluna nesta seção e referências removidas para colunas "Implementado", "Não Implementado" e "Data-alvo/Comentários". Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Padrão de segurança de dados da Indústria de cartões de pagamento (PCI) © 2006-2013 PCI Security Standards Council, LLC. Todos os direitos reservados. Esclarecimento Página 4 Novembro de 2013 Alterações gerais implementadas nos requisitos do PCI DSS Nova coluna para descrever o objetivo de cada requisito, com o conteúdo derivado do antigo documento de orientação do PCI DSS. A orientação nesta coluna tem o objetivo de auxiliar na compreensão dos requisitos e não substitui ou expande os requisitos do PCI DSS e procedimentos de teste. Tipo Orientação adicional Para as políticas de segurança e procedimentos operacionais diários (anteriormente requisitos 12.1.1 e 12.2), atribuído um novo número de requisito e requisitos e procedimentos de teste alterados em cada um dos requisitos 1-11. Esclarecimento Linguagem atualizada nos requisitos e/ou procedimentos de teste correspondentes para alinhamento e consistência. Esclarecimento Requisitos complexos/procedimentos de teste separados para esclarecimento e procedimentos de teste redundantes ou conflitantes removidos. Esclarecimento Procedimentos de teste aprimorados para esclarecer o nível de validação esperado para cada requisito. Esclarecimento Outras alterações gerais de revisão incluem: • Removidas as seguintes colunas: "Implementado", "Não Implementado" e "Data-alvo/Comentários". • Renumerados os requisitos e procedimentos de teste para inserir as alterações • Reformatados os requisitos e procedimentos de teste para fins de legibilidade, por exemplo, conteúdo do parágrafo reformatado com marcadores, etc. • Realizadas pequenas alterações ao longo do texto para fins de legibilidade • Corrigidos erros tipográficos Requisito PCI DSS v2.0 Alteração Tipo Esclarecimento PCI DSS v3.0 Requisito 1 1.1.x 1.1.x Esclarecido que os padrões do firewall e do roteador devem ser documentados e implementados. 1.1.2 1.1.2 1.1.3 Esclarecido qual diagrama da rede se deve incluir e adicionar novo requisito em 1.1.3 para um diagrama atual que mostre o fluxo dos dados do titular do cartão. 1.1.5 1.1.6 Esclarecidos exemplos de serviços, protocolos e portas não seguros para especificar SNMP v1 e v2. Esclarecimento 1.2.2 1.2.2 Esclarecido que o objetivo de proteger os arquivos de configuração do roteador é protegê-los de acesso não autorizado. Esclarecimento 1.2.3 1.2.3 Esclarecido que o objetivo de controlar o tráfego entre redes sem fio e o CDE é "permitir apenas o tráfego autorizado". Esclarecimento Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Padrão de segurança de dados da Indústria de cartões de pagamento (PCI) © 2006-2013 PCI Security Standards Council, LLC. Todos os direitos reservados. Requisito expandido Página 5 Novembro de 2013 Requisito Alteração Tipo Esclarecido que o objetivo do requisito é que medidas de proteção sejam implementadas para detectar e impedir que endereços IP de fonte forjada entrem na rede. Esclarecimento 1.4 Linguagem alinhada entre o requisito e os procedimentos de teste para consistência. Esclarecimento 2.1 2.1 Esclarecido que o requisito para alterar as senhas padrão do fornecedor se aplica a todas as senhas padrão, incluindo sistemas, aplicativos, software de segurança, terminais, etc. e que as contas padrão desnecessárias são removidas ou desativadas. Esclarecimento 2.1.1 2.1.1 Esclarecido que o objetivo do requisito é que todos os padrões sem fio do fornecedor sejam modificados na instalação. Esclarecimento Esclarecido que os padrões da configuração do sistema incluem procedimentos para alterar todos os padrões informados pelo fornecedor e contas padrão desnecessárias. Esclarecimento PCI DSS v2.0 PCI DSS v3.0 1.3.4 1.3.4 1.4 Requisito 2 2.2 2.2 2.2.2 2.2.2 2.2.3 Dividido requisito 2.2.2 em dois requisitos para focar separadamente nos serviços, protocolos e portas necessários (2.2.2) e serviços, protocolos e portas seguros (2.2.3). Esclarecimento 2.4 Novo requisito para manter um inventário dos componentes do sistema no escopo do PCI DSS para dar suporte ao desenvolvimento dos padrões da configuração. Requisito expandido 3.1 Combinados requisito 3.1.1 e os procedimentos de teste no requisito 3.1 para esclarecer e reduzir redundância. Esclarecimento 3.2 3.2 Esclarecido que, se forem recebidos dados de autenticação confidenciais, eles são tornados irrecuperáveis ao concluir o processo de autorização. Esclarecido que os procedimentos de teste para empresas que dão suporte a serviços de emissão e armazenam dados de autenticação confidenciais. Esclarecimento 3.3 3.3 Esclarecido o objetivo do requisito de mascarar os PANs incluindo a observação anterior no corpo do requisito e aprimorando os procedimentos de teste. Esclarecimento Requisito 3 3.1 3.1.1 Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Padrão de segurança de dados da Indústria de cartões de pagamento (PCI) © 2006-2013 PCI Security Standards Council, LLC. Todos os direitos reservados. Página 6 Novembro de 2013 Requisito Alteração PCI DSS v2.0 Tipo PCI DSS v3.0 3.4.1 3.4.1 Esclarecido que o acesso lógico à criptografia de dados deve ser gerenciado separada e independentemente da autenticação do sistema operacional nativo e dos mecanismos de controle de acesso e que as chaves de decodificação não devem ser associadas com contas de usuários. 3.5 3.5 Esclarecido que os procedimentos de gerenciamento de chave devem ser implementados e documentados. Esclarecimento Esclarecimento Esclarecimento 3.5.2 3.5.2 3.5.3 Dividido requisito 3.5.2 em dois requisitos para focar separadamente no armazenamento de chaves criptográficas de forma segura (3.5.2) e no menor número possível de locais (3.5.3). O requisito 3.5.2 também proporciona flexibilidade com mais opções para o armazenamento seguro de chaves criptográficas. 3.6.x 3.6.x Adicionados procedimentos de teste para verificar a implementação de procedimentos de gerenciamento de chave criptográfica. Esclarecimento 3.6.6 3.6.6 Esclarecidos princípios de conhecimento compartilhado e controle duplo. Esclarecimento 4.1 Linguagem alinhada entre o requisito e os procedimentos de teste para consistência. Também expandidos os exemplos de redes abertas e públicas. Esclarecimento Título atualizado para refletir o objetivo do requisito (proteger todos os sistemas contra malware). Esclarecimento Requisito 4 4.1 Requisito 5 Requisito 5 – Geral 5.1.2 5.2 Novo requisito para avaliar as ameaças de malware em evolução em qualquer sistema não comumente afetado por softwares mal-intencionados. 5.2 Linguagem alinhada entre o requisito e os procedimentos de teste para consistência. 5.3 Novo requisito para assegurar que soluções de antivírus estejam funcionando ativamente (anteriormente em 5.2) e não possam ser desativadas ou alteradas pelos usuários, a menos que seja especificamente autorizado pelo gerenciamento baseado em cada caso. Requisito expandido Esclarecimento Requisito expandido Requisito 6 Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Padrão de segurança de dados da Indústria de cartões de pagamento (PCI) © 2006-2013 PCI Security Standards Council, LLC. Todos os direitos reservados. Página 7 Novembro de 2013 Requisito Alteração PCI DSS v2.0 Tipo PCI DSS v3.0 6.2 6.1 Trocada a ordem dos requisitos 6.1 e 6.2. O requisito 6.1 agora serve para identificar e classificar o risco de novas vulnerabilidades e o 6.2 para reparar vulnerabilidades críticas. Esclarecer como o processo de classificação de risco (6.1) se alinha ao processo de reparo (6.2). 6.1 6.2 Veja acima a explicação para o 6.1. Também, esclarecido que este requisito se aplica aos "patches aplicáveis". Esclarecimento 6.3 6.3 Adicionada uma observação para esclarecer que o requisito para processos escritos de desenvolvimento do software se aplica a todos os softwares desenvolvidos internamente ou feitos sob medida. Esclarecimento 6.3.1 6.3.1 Alterado "pré-produção" para "desenvolvimento/teste" para esclarecer o objetivo do requisito Esclarecimento 6.4 6.4 Procedimentos de teste aprimorados para incluir revisões do documento para todos os requisitos do 6.4.1 até o 6.4.4. Esclarecimento 6.4.1 Linguagem alinhada entre o requisito e os procedimentos de teste para esclarecer que a separação dos ambientes de produção/desenvolvimento seja reforçada com controles de acesso. Esclarecimento 6.5 Treinamento atualizado do desenvolvedor para incluir como evitar vulnerabilidades comuns de codificação e para compreender como os dados confidenciais são controlados na memória. Esclarecimento 6.5.x Requisitos atualizados para refletir as vulnerabilidades de codificação atuais e as que estejam surgindo e as diretrizes de codificação segura. Procedimentos de teste atualizados para esclarecer como as técnicas de codificação resolvem as vulnerabilidades. Esclarecimento 6.5.10 Novo requisito de práticas de codificação para proteger contra autenticação quebrada e gerenciamento de sessão. Vigente em 01 de julho de 2015 Requisito expandido 6.4.1 6.5 6.5.x 6.6 Esclarecimento 6.6 Flexibilidade aumentada especificando a solução técnica automatizada que detecta e previne ataques baseados na Web ao invés de "firewall de aplicação na Web". Adicionada observação para esclarecer que esta avaliação não é o mesmo que varreduras de vulnerabilidades exigidas em 11.2. Esclarecimento 7.1 Procedimento de teste reformulado para esclarecer o que a política inclui, com base nas alterações dos requisitos 7.1.1 ao 7.1.4. Esclarecimento Requisito 7 7.1 Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Padrão de segurança de dados da Indústria de cartões de pagamento (PCI) © 2006-2013 PCI Security Standards Council, LLC. Todos os direitos reservados. Página 8 Novembro de 2013 Requisito Alteração Tipo 7.1.1 Novo 7.1.1 para abranger a definição das necessidades de acesso para cada função, para dar suporte aos requisitos 7.1.2 ao 7.1.4. Esclarecimento 7.1.1 7.1.2 Requisito redirecionado sobre a restrição de acesso a IDs de usuários privilegiados ao menor número de privilégios necessários e procedimentos de teste aprimorados. Esclarecimento 7.1.2 7.1.3 Requisito redirecionado sobre a concessão do acesso com base na classificação e na atribuição da função do indivíduo. Esclarecimento Removido o antigo requisito 7.1.4 (tratado no requisito 7.2) Esclarecimento PCI DSS v2.0 PCI DSS v3.0 7.1.4 Requisito 8 Título atualizado para refletir o objetivo do requisito (identificar e autenticar todo o acesso aos componentes do sistema). Requisitos atualizados e reorganizados para proporcionar uma abordagem mais holística para a autenticação e identificação do usuário: Requisito 8 – Geral • 8.1 focado na identificação do usuário • 8.2 focado na autenticação do usuário • Requisitos atualizados para considerar outros métodos de autenticação que não sejam senhas • Alterado "senhas" para "senhas/frases" onde o requisito se aplica apenas a senhas/frases • Alterado "senhas" para "credenciais de autenticação" onde o requisito se aplica a qualquer tipo de credencial de autenticação • Esclarecido que os requisitos de segurança de senha se aplicam às contas usadas por fornecedores terceirizados Esclarecimento 8.5.6 8.1.5 Esclarecido que o requisito de acesso remoto do fornecedor se aplica aos fornecedores que acessam, suportam ou mantêm os componentes do sistema e que deve ser desativado quando não estiver sendo utilizado. 8.4.2 8.2.1 Esclarecido que a criptografia forte deve ser usada para tornar as credenciais de autenticação ilegíveis durante a transmissão e armazenamento. Esclarecimento 8.2.2 Esclarecido que a identificação do usuário deve ser verificada antes de modificar credenciais de autenticação e adicionadas provisão de novos tokens e geração de novas chaves como exemplos de modificações. Esclarecimento 8.5.2 Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Padrão de segurança de dados da Indústria de cartões de pagamento (PCI) © 2006-2013 PCI Security Standards Council, LLC. Todos os direitos reservados. Esclarecimento Página 9 Novembro de 2013 Requisito Alteração PCI DSS v2.0 8.5.10 8.5.11 8.3 8.5.7 8.5.16 Tipo PCI DSS v3.0 8.2.3 Combinados para um único requisito os requisitos de força e complexidade mínimos de senha e flexibilidade aumentada para alternativas de atender a complexidade e força equivalentes. Requisito expandido 8.3 Esclarecido que o requisito de autenticação de dois fatores se aplica a usuários, administradores e todos os terceiros, incluindo acesso do fornecedor para suporte ou manutenção. Esclarecimento 8.4 Requisito aprimorado para incluir orientação de comunicação e documentação sobre como os usuários devem proteger suas credenciais de autenticação, incluindo reutilização de senha/frase e alteração de senha/frase se houver suspeita de que ela tenha sido comprometida. Esclarecimento 8.5.1 Novo requisito para os prestadores de serviços com acesso remoto às instalações do cliente, para usar credenciais de autenticação exclusivas para cada cliente. Vigente em 01 de julho de 2015 Requisito expandido 8.6 Novo requisito onde forem usados outros mecanismos de autenticação (por exemplo, tokens de segurança físicos ou virtuais, smart cards, certificados, etc.) para informar que os mecanismos devem ser vinculados a uma conta individual e assegurar que apenas o usuário pretendido possa ter acesso com aquele mecanismo. Requisito expandido 8.7 Linguagem alinhada entre o requisito e os procedimentos de teste para consistência. Esclarecimento Requisito 9 9.1.2 9.1.2 Esclarecido que o objetivo do requisito é implementar controles de acesso físico e/ou virtual para proteger as tomadas de rede acessíveis ao público. Esclarecimento 9.2.x 9.2.x Esclarecido que o objetivo do requisito é identificar, distinguir e conceder o acesso para equipes e visitantes no local e que crachás são apenas uma opção (não exigidos). Esclarecimento 9.3 Novo requisito para controlar o acesso físico às áreas confidenciais para a equipe no local, incluindo um processo para o acesso autorizado e cancelar o acesso imediatamente após o término. Requisito expandido 9.3.x 9.4.x Linguagem alinhada entre o requisito e os procedimentos de teste para consistência e para esclarecer que os visitantes devem ser acompanhados em todos os momentos e que a trilha de auditoria da atividade do visitante deve incluir acesso às instalações, sala de computadores e/ou centro de dados. Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Padrão de segurança de dados da Indústria de cartões de pagamento (PCI) © 2006-2013 PCI Security Standards Council, LLC. Todos os direitos reservados. Esclarecimento Página 10 Novembro de 2013 Requisito PCI DSS v2.0 9.5 – 9.10 Alteração Tipo Antigo requisito 9.6 alterado e renumerado para 9.5 e antigo requisito 9.5 renumerado como sub-requerimento 9.5.1. Antigo requisito 9.7 renumerado para 9.6 e antigo requisito 9.8 renumerado como sub-requerimento 9.6.3. Antigo requisito 9.9 renumerado para 9.7 e antigo requisito 9.10 renumerado para 9.8. Esclarecimento PCI DSS v3.0 9.5 – 9.8 9.9.x Novos requisitos para proteger contra falsificação e substituição dos dispositivos que capturam os dados do cartão de pagamento por meio de interação física direta com o cartão. Vigente em 01 de julho de 2015 10.1 10.1 Esclarecido que as trilhas de auditoria devem ser implementadas para vincular o acesso aos componentes do sistema a cada usuário individual, ao invés de apenas estabelecer um processo. Esclarecimento 10.2.1 10.2.1 Esclarecido que o objetivo é que todos os acessos de usuários individuais aos dados do titular do cartão sejam incluídos nas trilhas de auditoria. Esclarecimento 10.2.5 10.2.5 Requisito aprimorado para incluir alterações dos mecanismos de identificação e autenticação (incluindo a criação de novas contas, aumento de privilégios) e todas as alterações, adições ou exclusões de contas com acesso raiz ou administrativos. Requisito expandido 10.2.6 10.2.6 Requisito aprimorado para incluir interrupção ou pausa dos logs de auditoria. Requisito expandido 10.6.x Esclarecido que o objetivo das revisões de log é identificar irregularidades ou atividades suspeitas e fornecer mais orientações sobre o escopo das revisões de log diárias. Também permitida mais flexibilidade para revisar periodicamente as ocorrências de segurança e os logs críticos do sistema e outras ocorrências de logs, conforme definido pela estratégia de gerenciamento de risco da entidade. Esclarecimento Requisito expandido Requisito 10 10.6 Requisito 11 Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Padrão de segurança de dados da Indústria de cartões de pagamento (PCI) © 2006-2013 PCI Security Standards Council, LLC. Todos os direitos reservados. Página 11 Novembro de 2013 Requisito PCI DSS v2.0 11.1.x 11.1.x 11.2 11.2 11.2.1 11.2.2 11.2.3 11.3 11.3 Alteração Tipo Requisito aprimorado para incluir um inventário de pontos de acesso autorizados sem fio e uma justificativa comercial (11.1.1) para suportar varredura de dispositivos não autorizados sem fio e adicionado novo requisito 11.1.2 para alinhamento com um procedimento de teste já existente para procedimentos de resposta se forem detectados pontos de acesso não autorizados sem fio. Requisito expandido Adicionada orientação sobre combinar vários relatórios de varredura a fim de atingir e documentar um resultado aprovado. Orientação adicional PCI DSS v3.0 11.2.1 Esclarecido que as varreduras trimestrais de vulnerabilidades internas incluem novas varreduras quando necessário até que todas as vulnerabilidades "altas" (conforme identificado pelo requisito 6.1 do PCI DSS) forem resolvidas e devem ser realizadas por pessoal qualificado. Esclarecimento 11.2.2 Esclarecido que as varreduras de vulnerabilidades externas incluem novas varreduras quando necessário até que se chegue a varreduras aprovadas e adicionada uma observação para consultar o Guia do Programa ASV. Esclarecimento 11.2.3 Esclarecido que as varreduras internas e externas realizadas após alterações significativas incluem novas varreduras quando necessário até que todas as vulnerabilidades "altas" (conforme identificado pelo requisito 6.1 do PCI DSS) forem resolvidas e devem ser realizadas por pessoal qualificado. Esclarecimento 11.3 Novo requisito para implementar uma metodologia para teste de penetração. Vigente em 01 de julho de 2015. Os requisitos do PCI DSS v2.0 para testes de penetração devem ser seguidos até que a v3.0 esteja vigente. Requisito expandido 11.3.1 11.3.2 Dividido antigo requisito 11.3 em 11.3.1 para requisitos de teste de penetração externo e 11.3.2 para requisitos de teste de penetração interno. Esclarecimento 11.3.3 Novo requisito criado a partir do procedimento de teste anterior (11.3.b) para corrigir vulnerabilidades exploráveis encontradas durante o teste de penetração e repetir o teste para verificar as correções. Esclarecimento 11.3.4 Novo requisito, se for utilizada a segmentação para isolar o CDE de outras redes, para realizar testes de penetração a fim de verificar se os métodos de segmentação são operacionais e eficazes. Requisito expandido Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Padrão de segurança de dados da Indústria de cartões de pagamento (PCI) © 2006-2013 PCI Security Standards Council, LLC. Todos os direitos reservados. Página 12 Novembro de 2013 Requisito PCI DSS v2.0 Alteração Tipo Esclarecimento PCI DSS v3.0 11.4 11.4 Flexibilidade aumentada especificando técnicas de detecção de invasão e/ou prevenção contra invasões para detectar e/ou evitar invasões na rede ao invés de "sistemas de detecção de invasão e/ou prevenção contra invasões". 11.5 11.5 Flexibilidade aumentada especificando o mecanismo de detecção de alterações ao invés de "monitoramento de integridade de dados". Esclarecimento 11.5.1 Novo requisito para implementar um processo para responder a qualquer alerta gerado pelo mecanismo de detecção de alterações (suporta o 11.5) Requisito expandido Requisito 12 12.1.1 12.2 1.5, 2.5, 3.7, 4.3, 5.4, 6.7, 7.3, 8.8, 9.10, 10.8, 11.6 12.1.3 12.1.1 Combinados os antigos requisitos em 12.1.1 (sobre a política de segurança da informação para atender a todos os requisitos do PCI DSS) e 12.2 (sobre procedimentos de segurança operacional) e transferidos para os requisitos do 1 ao 11, como um requisito em cada um. Esclarecimento Transferido o antigo requisito 12.1.3 para o 12.1.1. Esclarecimento Antigo requisito 12.1.2 sobre o processo de avaliação anual de risco transferido para o 12.2 e esclarecido que a avaliação de risco deve ser realizada pelo menos uma vez ao ano e após quaisquer mudanças significativas no ambiente. Requisito expandido 12.1.2 12.2 12.3.4 12.3.4 Esclarecido que "identificação" é um exemplo de um método a ser usado. Esclarecimento 12.3.8 Novo procedimento de teste para verificar se é implementada uma política para desconectar as sessões de acesso remoto depois de um período específico de inatividade. Esclarecimento 12.3.10 Linguagem alinhada entre o requisito e os procedimentos de teste para esclarecer que, onde houver uma necessidade comercial autorizada para que o funcionário acesse os dados do titular do cartão por meio de tecnologias de acesso remoto, os dados devem ser protegidos de acordo com todos os requisitos aplicáveis do PCI DSS. Esclarecimento 12.8 12.8 Esclarecido o objetivo de implementar e manter políticas e procedimentos para controlar os prestadores de serviços com quem os dados do titular são compartilhados ou que possam afetar a segurança dos dados. Esclarecimento 12.8.2 12.8.2 Esclarecidas as responsabilidades aplicáveis para o reconhecimento/acordo por escrito do prestador de serviços. Esclarecimento 12.3.8 12.3.10 Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Padrão de segurança de dados da Indústria de cartões de pagamento (PCI) © 2006-2013 PCI Security Standards Council, LLC. Todos os direitos reservados. Página 13 Novembro de 2013 Requisito Alteração PCI DSS v2.0 12.8.5 12.9 12.9.x Tipo PCI DSS v3.0 12.10.x Novo requisito para manter informações sobre quais requisitos do PCI DSS são administrados por cada prestador de serviços e quais são administrados pela entidade. Requisito expandido Novo requisito para prestadores de serviços a fim de fornecer o reconhecimento/acordo por escrito aos seus clientes conforme especificado no requisito 12.8. Vigente em 01 de julho de 2015 Requisito expandido Requisito renumerado e atualizado 12.10.5 para esclarecer que o objetivo é relativo a alertas a partir dos sistemas de monitoramento de segurança para ser incluído um plano de resposta a incidentes. Resumo de alterações da versão 2.0 para a 3.0 do PCI-DSS Padrão de segurança de dados da Indústria de cartões de pagamento (PCI) © 2006-2013 PCI Security Standards Council, LLC. Todos os direitos reservados. Esclarecimento Página 14 Novembro de 2013