Indústria de Cartão de Pagamento Questionário de Auto-Avaliação Como Preencher o Questionário O questionário está dividido em seis seções. Cada seção se concentra em uma área específica de segurança, com base nos requerimentos incluídos no Padrão PCI de Segurança dos Dados. Para as perguntas onde N/A está marcado, uma breve explicação deverá ser anexada. Relatório do Questionário As informações abaixo devem ser incluídas com o questionário de auto-avaliação e os resultados do scan de perímetro do sistema: Informações da Organização NOME CORPORATIVO: MARCA(S) DE FANTASIA: NOME DO CONTATO: TÍTULO: TELEFONE: E-MAIL: NÚMERO APROXIMADO DE TRANSAÇÕES/CONTAS TRABALHADAS POR ANO: Favor incluir uma breve descrição do seu negócio. Explique o papel do seu negócio no fluxo de pagamento. Como e com que capacidade o seu negócio armazena, processa e/ou transmite os dados do portador de cartão? Listar todos os Prestadores de Serviços Externos Processador: Portal: Web Hosting Carro de Compras: Co-Localidade: Outro: Listar o software/hardware do Ponto de Venda (POS) em uso: Versão 1.0 15 de dezembro de 2004 © 2004 Visa U.S.A. Inc. 1 Padrão de Segurança dos Dados da Indústria de Cartão de Pagamento Classificando a Avaliação Depois de completar cada seção da avaliação, os usuários devem preencher os quadrados de classificação da seguinte forma: EM CADA SEÇÃO SE… TODAS as perguntas foram respondidas com “sim” ou “N/A” DEPOIS, A CLASSIFICAÇÃO DA SEÇÃO É … Verde - O estabelecimento ou prestador de serviço é considerado como cumpridor na parte da auto-avaliação referente ao Padrão PCI de Segurança dos Dados. Nota: Se “N/A” for marcado, anexar uma breve explicação. ALGUMA pergunta foi respondida com “não” Vermelho – O estabelecimento ou prestador de serviço não é considerado como cumpridor. Para alcançar o cumprimento, o(s) risco(s) devem ser resolvidos e a auto-avaliação deve ser refeita para demonstrar o cumprimento. Seção 1: Verde Vermelho Seção 4: Verde Vermelho Seção 2: Verde Vermelho Seção 5: Verde Vermelho Seção 3: Verde Vermelho Seção 6: Verde Vermelho Verde Vermelho Avaliação Global: Versão 1.0 15 de dezembro de 2004 © 2004 Visa U.S.A. Inc. 2 Padrão de Segurança dos Dados da Indústria de Cartão de Pagamento Construa e Mantenha uma Rede Segura Exigência 1: Instale e mantenha uma configuração de firewall para proteger os dados DESCRIÇÃO RESPOSTA 1.1 Todos os routers, switches, pontos de acesso wireless, e configurações de firewall estão seguros e em conformidade com padrões documentados de segurança? Sim Não 1.2 Se a tecnologia wireless está sendo usada, o acesso à rede é limitado a dispositivos autorizados? Sim Não 1.3 As mudanças no firewall necessitam de autorização e as mesmas são registradas? Sim Não 1.4 Um firewall é usado para proteger a rede e limitar o tráfego que é exigido para conduzir o seu negócio? Sim Não 1.5 Filtros de entrada e saída foram instalados em todos os border routers para evitar a personificação com endereços de IP falsos? Sim Não 1.6 As informações da conta do cartão de pagamento são armazenadas em um banco de dados local situado na rede interna (não a DMZ) e protegidas por uma firewall? Sim Não 1.7 Se a tecnologia wireless estiver sendo usada, existem firewalls de perímetro entre as redes wireless e o ambiente do cartão de pagamento? Sim Não N/A 1.8 Cada computador ou dispositivo portátil com conexão direta à Internet tem um firewall pessoal e um software antivírus instalados? Sim Não N/A 1.9 Os servidores de web localizados em um segmento da rede de acesso público estão separados da rede interna por um firewall (DMZ)? Sim Não 1.10 O firewall está configurado para traduzir (ocultar) endereços internos de IP, utilizando a tradução do endereço da rede (NAT)? Sim Não Versão 1.0 15 de dezembro de 2004 © 2004 Visa U.S.A. Inc. N/A 3 Padrão de Segurança dos Dados da Indústria de Cartão de Pagamento Construa e Mantenha uma Rede Segura Exigência 2: Não use as senhas padrões de sistema e outros parâmetros de segurança fornecidos pelos prestadores de serviços DESCRIÇÃO RESPOSTA 2.1 As configurações padrão de segurança do prestador de serviço foram modificadas no sistema de produção antes de levar o sistema à produção? Sim Não 2.2 As contas e senhas padrão do prestador de serviço foram desativadas ou modificadas nos sistemas de produção antes de levar o sistema à produção? Sim Não 2.3 Se a tecnologia wireless estiver sendo usada, as configurações padrão do prestador de serviço foram modificadas (ex: chaves WEP, SSID, senhas, SNMP community strings, desativação das de transmissões)? Sim Não N/A 2.4 Se a tecnologia wireless estiver sendo usada, a tecnologia do Wi-Fi Protected Access (WPA) foi implementada para a codificação e autenticação quando capacitada a operar o WPA? Sim Não N/A 2.5 Todos os sistemas de produção (servidores e componentes da rede) foram fortalecidos através da remoção de todos os serviços e protocolos desnecessários instalados pela configuração padrão? Sim Não 2.6 As comunicações seguras e codificadas são usadas para a administração remota de sistemas de produção e aplicativos? Sim Não Versão 1.0 15 de dezembro de 2004 © 2004 Visa U.S.A. Inc. N/A 4 Padrão de Segurança dos Dados da Indústria de Cartão de Pagamento Proteja os Dados do Portador de Cartão Exigência 3: Proteja os Dados Armazenados DESCRIÇÃO RESPOSTA 3.1 Os dados confidenciais do portador de cartão são descartados com segurança quando não são mais necessários? Sim Não 3.2 É proibido armazenar o conteúdo completo de qualquer trilha da tarja magnética (no verso do cartão, em um chip, etc.) no banco de dados, arquivos de registro, ou produtos do ponto de vendas? Sim Não 3.3 É proibido armazenar o código de validação do cartão (valor de três dígitos impresso no painel de assinatura do cartão) no banco de dados, arquivos de registro, ou produtos do ponto de vendas? Sim Não 3.4 Todos os dígitos do número da conta, com exceção dos quatro últimos, são ocultos quando os dados do portador de cartão são exibidos? Sim Não 3.5 Os números das contas (em bancos de dados, registros, arquivos, mídia de back-up, etc.) são armazenados com segurança — por exemplo, através de codificação ou truncagem? Sim Não 3.6 Os números de contas são depurados antes de entrarem no registro de auditoria? Sim Não Exigência 4: Codifique a transmissão dos dados do portador de cartão e as informações importantes que transitam nas redes públicas DESCRIÇÃO RESPOSTA 4.1 As transmissões dos dados confidenciais do portador de cartão são codificados em redes públicas através da SSL ou outros métodos aceitáveis pela indústria? Sim Não 4.2 Se a SSL é usada para a transmissão dos dados confidenciais do portador de cartão, a versão 3.0 com codificação de 128-bit está sendo utilizada? Sim Não N/A 4.3 Se a tecnologia wireless estiver sendo usada, a comunicação codificada está usando o Wi-Fi Protected Access (WPA), VPN, SSL de 128-bit, ou WEP? Sim Não N/A 4.4 Se a tecnologia wireless estiver sendo usada, o WEP de 128-bit e tecnologias adicionais de codificação estão sendo usadas, e está sendo feita a rotatividade trimestral das chaves WEP compartilhadas? Sim Não N/A 4.5 A codificação é usada na transmissão de números de contas via e-mail? Sim Não N/A Versão 1.0 15 de dezembro de 2004 © 2004 Visa U.S.A. Inc. 5 Padrão de Segurança dos Dados da Indústria de Cartão de Pagamento Mantenha um Programa de Administração da Vulnerabilidade Exigência 5: Use e atualize regularmente o software ou programas antivírus DESCRIÇÃO 5.1 Há um scanner de vírus instalado em todos os servidores e em todas as workstations, e é feita a atualização regular do scanner de vírus? RESPOSTA Sim Não Exigência 6: Desenvolva e mantenha sistemas e aplicativos seguros DESCRIÇÃO RESPOSTA 6.1 Os sistemas de desenvolvimento, teste, e produção são atualizados com os mais recentes patches de segurança lançados pelos prestadores de serviço? Sim Não 6.2 O processo de desenvolvimento de software ou de aplicativo é baseado na melhor prática da indústria e a segurança das informações está incluída ao longo de todo o ciclo do processo de desenvolvimento do software (SDLC)? Sim Não N/A 6.3 Se os dados da produção forem usados com o propósito de teste ou desenvolvimento, os dados confidenciais do portador de cartão são depurados antes da utilização? Sim Não N/A 6.4 Todas as mudanças no ambiente de produção e aplicativos são formalmente autorizadas, planejadas, e registradas antes de serem implementadas? Sim Não 6.5 As diretrizes comumente aceitas pela comunidade de segurança (tais com o grupo da Open Web Application Security Project www.owasp.org) foram levadas em conta no desenvolvimento dos aplicativos para a web? Sim Não 6.6 Ao autenticar através da Internet, o aplicativo é desenhado para evitar que usuários desonestos tentem descobrir os números das contas dos usuários existentes? Sim Não N/A 6.7 Os dados confidenciais do portador de cartão são armazenados em cookies seguros ou codificados? Sim Não N/A 6.8 Os controles estão implementados no lado do servidor para evitar a SQL injection e outro bypass nos controles de input no lado do cliente? Sim Não N/A Versão 1.0 15 de dezembro de 2004 © 2004 Visa U.S.A. Inc. N/A 6 Padrão de Segurança dos Dados da Indústria de Cartão de Pagamento Implemente Medidas Rígidas de Controle ao Acesso Exigência 7: Restrinja o acesso aos dados a apenas aqueles que necessitam conhecêlos para a execução dos trabalhos DESCRIÇÃO 7.1 O acesso aos números das contas dos cartões de pagamento é restrito aos usuários que para a execução de uma tarefa exijam tal acesso? RESPOSTA Sim Não Exigência 8: Atribua um ID único para cada pessoa que possua acesso ao computador DESCRIÇÃO RESPOSTA 8.1 É exigido que todos os usuários autentiquem, pelo menos, um nome de usuário único e uma senha? Sim Não 8.2 Se os funcionários, administradores ou terceiros acessam a rede de um local remoto, o software de acesso remoto (tais como PCAnywhere, dial-in, ou VPN) está configurado com um nome de usuário único, uma senha, com codificação e outras características de segurança ativadas? Sim Não 8.3 Todas as senhas nos dispositivos e sistemas da rede estão codificadas? Sim Não 8.4 Quando um funcionário sai da companhia, as contas dos usuários e senhas trabalhadas por este funcionário são imediatamente canceladas? Sim Não 8.5 Todas as contas dos usuários são revisadas em bases regulares para assegurar que não existam contas desconhecidas ou desatualizadas? Sim Não 8.6 As contas dos não clientes que não são usadas por um longo período de tempo (contas inativas) são automaticamente desativadas no sistema após um período pré-determinado? Sim Não 8.7 As contas usadas pelos prestadores de serviço para manutenção remota são ativadas apenas durante o tempo necessário? Sim Não 8.8 As contas de grupo, compartilhadas ou genéricas e senhas são proibidas para os usuários não clientes? Sim Não 8.9 É exigido que os usuários não clientes mudem as suas senhas em bases regulares pré-estabelecidas? Sim Não 8.10 Há uma política de senha para os usuários não clientes que obrigue o uso de senhas fortes e evite a re-entrada de senhas utilizadas anteriormente? Sim Não 8.11 Há um mecanismo para bloquear uma conta que evite que um usuário desonesto obtenha acesso a uma conta através de diversas tentativas de entrar diferentes senhas ou por força bruta? Sim Não Versão 1.0 15 de dezembro de 2004 © 2004 Visa U.S.A. Inc. N/A N/A 7 Padrão de Segurança dos Dados da Indústria de Cartão de Pagamento Implemente Medidas Rígidas de Controle ao Acesso Exigência 9: Restrinja ao máximo o acesso físico aos dados do portador de cartão DESCRIÇÃO RESPOSTA 9.1 Há diversos controles de segurança física (tais como crachás, acompanhantes, armadilhas) em funcionamento que possam evitar que indivíduos não autorizados tenham acesso às instalações? Sim Não 9.2 Se for usada a tecnologia wireless, o uso dos pontos de acesso wireless, portais wireless e dispositivos wireless portáteis é restringido? Sim Não 9.3 Os equipamentos (tais como servidores, workstations, laptops, e unidades de disco) e mídia contendo os dados do portador de cartão encontram-se fisicamente protegidos contra o acesso não autorizado? Sim Não 9.4 Todos os dados do portador de cartão impressos em papel ou recebidos via fax são protegidos contra o acesso não autorizado? Sim Não 9.5 Existem procedimentos instalados para administrar a distribuição segura, a disposição da mídia de back-up e outras mídias contendo os dados confidenciais do portador de cartão? Sim Não 9.6 Todos os dispositivos que contêm os dados do portador de cartão encontram-se devidamente inventariados e armazenados? Sim Não 9.7 Os dados do portador de cartão são eliminados ou destruídos antes que sejam fisicamente eliminados (por exemplo, por picotador de papel ou degaussing da mídia de back-up)? Sim Não Versão 1.0 15 de dezembro de 2004 © 2004 Visa U.S.A. Inc. N/A 8 Padrão de Segurança dos Dados da Indústria de Cartão de Pagamento Acompanhe e Teste Regularmente as Redes Exigência 10: Acompanhe e monitore todo o acesso aos recursos da rede de dados do portador de cartão DESCRIÇÃO RESPOSTA 10.1 Todos os acessos aos dados do portador de cartão, incluindo o acesso root/administração, estão registrados? Sim Não 10.2 Os registros de controle de acesso contêm tentativas de login bem-sucedidas, sem sucesso e acesso a registros de auditoria? Sim Não 10.3 Todos os relógios e horários do sistema crítico estão sincronizados, e os registros incluem carimbos de data e de hora? Sim Não 10.4 Os logs de firewall, router, pontos de acesso wireless, e do servidor de autenticação são regularmente revisados para o tráfego não autorizado? Sim Não 10.5 Os logs de auditoria são segurados, têm o seu back-up feito, e guardados pelo menos três meses on-line e um ano off-line para todos os sistemas críticos? Sim Não Exigência 11: Teste regularmente os sistemas e os processos de segurança DESCRIÇÃO RESPOSTA 11.1 Se for usada a tecnologia wireless, periodicamente é utilizado um analisador de wireless para identificar todos os dispositivos wireless? Sim Não 11.2 Um scan da vulnerabilidade ou teste de penetração é executado em todos os aplicativos de Internet e sistemas antes dos mesmos irem para a produção? Sim Não 11.3 É usado na rede um sistema de detecção de uma invasão ou prevenção de invasão? Sim Não 11.4 Os alertas de segurança do sistema de detecção de uma invasão ou prevenção de invasão (IDS/IPS) são continuamente monitorados, e as mais recentes assinaturas IDS/IPS instaladas? Sim Não Versão 1.0 15 de dezembro de 2004 © 2004 Visa U.S.A. Inc. N/A 9 Padrão de Segurança dos Dados da Indústria de Cartão de Pagamento Mantenha uma Política de Segurança da Informação Exigência 12: Mantenha uma política que atenda à segurança da informação DESCRIÇÃO RESPOSTA 12.1 As políticas de segurança das informações, incluindo as políticas de controle de acesso, aplicativo e desenvolvimento de sistema, segurança operacional, da rede e física, são formalmente documentadas? Sim Não 12.2 As políticas de segurança e outras informações de segurança relevantes são disseminadas a todos os usuários do sistema (incluindo os prestadores de serviços, contratados, e parceiros de negócio)? Sim Não 12.3 As políticas de segurança das informações são revisadas pelo menos uma vez por ano e atualizadas de acordo com a necessidade? Sim Não 12.4 Os papéis e responsabilidades em relação à segurança das informações foram claramente definidos dentro da companhia? Sim Não 12.5 Há uma conscientização sobre a segurança das informações e programas de treinamento atualizados e acessíveis a todos os usuários do sistema? Sim Não 12.6 É exigido que os funcionários assinem um contrato declarando que leram e compreenderam as políticas e procedimentos de segurança? Sim Não 12.7 Uma investigação do background (tal como uma verificação do histórico de crédito e folha criminal, dentro dos limites da lei local) é feita para todos os funcionários com acesso aos números das contas? Sim Não 12.8 Todos os terceiros com acesso aos dados confidenciais do portador de cartão estão contratualmente obrigados a cumprir com os padrões de segurança da associação de cartão? Sim Não 12.9 Um plano de resposta a um incidente de segurança está formalmente documentado e disseminado às pessoas responsáveis adequadas? Sim Não 12.10 Os incidentes de segurança são relatados à pessoa responsável pela investigação da segurança? Sim Não 12.11 Há uma equipe de resposta ao incidente pronta a ser acionada em caso de um comprometimento dos dados do portador de cartão? Sim Não Versão 1.0 15 de dezembro de 2004 © 2004 Visa U.S.A. Inc. 10 Padrão de Segurança dos Dados da Indústria de Cartão de Pagamento Glossário TERMO DEFINIÇÃO Adquirente Um membro da associação de cartões que inicia e mantém relações com os estabelecimentos que aceitam cartões Visa ou MasterCard. Ameaça Uma condição que pode fazer com que as informações ou recursos de processamento das informações sejam intencionalmente ou acidentalmente perdidos, modificados, expostos, tornados inacessíveis ou afetados em detrimento da organização. Análise de Risco Também conhecido como avaliação de risco, um processo que sistematicamente identifica os recursos valiosos do sistema e ameaças àqueles recursos, quantifica perdas por exposição (ex: potencial de perda) com base em freqüências estimadas e custos da ocorrência e (opcionalmente) recomenda como alocar recursos para estabelecer medidas para minimizar a exposição total. Autenticação O processo de verificação da identidade de um objeto ou processo. Autenticação de Dois Fatores Autenticação que exige que os usuários apresentem duas credenciais – algo que os mesmos possuam (ex: smartcards ou tokens de hardware), e algo que eles conheçam (ex: uma senha). Para ter acesso a um sistema, os usuários devem apresentar os dois fatores. Autorização A concessão do acesso ou outros direitos a um usuário, programa ou processo. Back-up A cópia duplicada dos dados feita com o objetivo de arquivo ou para proteção contra danos ou perda. Banco de Dados Um formato estruturado para organizar e manter informações que possam ser facilmente recuperadas. Um exemplo simples de um banco de dados é uma tabela ou uma planilha. Busca de Conta Um método para determinar as contas de usuários existentes com base em tentativas e erros. Dar informações em demasia em uma mensagem de erro pode divulgar informações com as quais um atacante possa penetrar mais facilmente ou comprometer o sistema. Chave Em codificação, a chave é um valor aplicado através do uso de um algoritmo a um texto não codificado para produzir um texto codificado. O comprimento da chave geralmente determina o grau de dificuldade para a decodificação do texto em uma determinada mensagem. Codificação O processo de conversão das informações a uma forma ininteligível a qualquer pessoa, com exceção dos possuidores de uma chave específica de codificação. O uso da codificação protege as informações entre os processos de codificação e de decodificação (o contrário de codificação), contra a divulgação não autorizada. Código de Validação do Cartão O valor de três dígitos impresso no painel de assinatura de um cartão de pagamento usado para verificar transações de cartão ausente. No pagamento com um cartão MasterCard isto é chamado de CVC2. No pagamento com um cartão Visa isto é chamado de CVV2. Comprometimento Uma invasão a um sistema de computadores onde uma divulgação não autorizada, modificação ou destruição dos dados do portador de cartão tenha ocorrido. Console Uma tela ou teclado que permite o acesso e controle do servidor/mainframe em um ambiente de rede. Versão 1.0 15 de dezembro de 2004 © 2004 Visa U.S.A. Inc. 11 Padrão de Segurança dos Dados da Indústria de Cartão de Pagamento Glossário TERMO DEFINIÇÃO Consumidor Indivíduo que compra bens e/ou serviços. Contas Padrão Uma conta de login do sistema que tenha sido predefinida em um sistema adquirido de terceiros para permitir o acesso inicial quando o sistema é colocado pela primeira vez em funcionamento. Controle de Acesso Avalia o limite de acesso às informações ou fontes de processamento das informações das pessoas ou aplicativos autorizados. Controle Duplo Um método de preservação da integridade de um processo que exige que diversos indivíduos tomem uma ação independente antes que certas transações sejam completadas. Cookies Uma série de dados permutados entre um servidor e um navegador de web para manter uma sessão. Os cookies podem conter as preferências e informações pessoais do usuário. Dados Confidenciais do Portador de Cartão Dados cuja divulgação não autorizada pode ser usada em uma transação fraudulenta. Eles incluem o número da conta, os dados da tarja magnética, CVC2/CVV2 e a data de vencimento. Dados da Tarja Magnética (Track Data) Dados codificados na tarja magnética usados para a autorização durante uma transação de cartão presente. As entidades não podem reter os dados completos da tarja magnética após a autorização da transação. Especificamente, depois da autorização, os códigos de serviço, dados discricionários/CVV e os dados reservados à Visa devem ser descartados; entretanto, os número da conta, data de vencimento e nome devem ser extraídos e mantidos. Dados da Transação Dados relacionados a um pagamento eletrônico. Dados do Portador de Cartão Todos os dados identificadores do portador de cartão e relacionamento com o Membro (ex: número da conta, data de vencimento, dados fornecidos pelo Membro, outros dados recolhidos pelo estabelecimento/agente, etc). Este termo também se refere a outros dados pessoais do portador de cartão (ex: endereços, números de telefone, etc). DBA Doing Business As. Os níveis de validação do cumprimento são baseados no volume das transações de um DBA ou cadeia de lojas (não de uma corporação que possui diversas cadeias). Depuração Processo de apagar os dados de um arquivo, um dispositivo; ou modificar os dados para que aqueles dados não possam ser de valor para os atacantes. Divisão das Responsabilidades A prática de dividir as etapas em uma função do sistema entre vários indivíduos para evitar que um único indivíduo corrompa o processo. DMZ (zona desmilitarizada) Uma rede inserida entre uma rede privada e em uma rede pública com o propósito de fornecer um nível adicional de segurança. Endereço de IP Um endereço de IP é um código numérico que identifica de forma única um computador em particular na Internet. Entrada Tráfego entrando na rede. Versão 1.0 15 de dezembro de 2004 © 2004 Visa U.S.A. Inc. 12 Padrão de Segurança dos Dados da Indústria de Cartão de Pagamento Glossário TERMO DEFINIÇÃO Firewall Hardware e/ou software que protege as fontes de uma rede de usuários de outras redes. Tipicamente, uma empresa com uma intranet que permita que os seus funcionários tenham acesso à Internet devem possuir um firewall para evitar que estranhos possam acessar as suas fontes privativas de dados. Host O principal hardware onde está o software. ID do Usuário Uma série de caracteres que são usados para identificar de forma única cada usuário de um sistema. IP Spoofing Uma técnica usada para conseguir acesso não autorizado a computadores, de onde o intruso envia mensagens a um computador com um endereço de IP indicando que a mensagem vem de um host reconhecido. ISO 8583 Um padrão estabelecido para a comunicação entre sistemas financeiros. Log de Auditoria Um registro cronológico das atividades do sistema que é suficiente para possibilitar a reconstrução, revisão e exame da seqüência de ambientes e atividades envolvendo ou levando a uma operação, um procedimento ou um evento em uma transação do seu início ao resultado final. Algumas vezes se refere especificamente como um registro da auditoria de segurança. Monitoração Um acompanhamento da atividade em uma rede. Número de Conta O número do cartão de pagamento (crédito ou débito) que identifica o emissor e a conta do portador de cartão em particular. Oficial de Segurança Pessoa que tem a responsabilidade principal pelos assuntos relacionados à segurança da organização. Patch Um trabalho de reparo rápido em uma parte da programação. Problemas invariavelmente ocorrerão ou serão encontrados durante um teste de distribuição de um software beta do produto ou um período de experimentação e depois que o produto é formalmente lançado. Um patch é a solução imediata que é fornecida aos usuários. Patrimônio Informações ou recursos de processamento de informações de uma organização. Penetração O ato de bypass com sucesso os sistemas de segurança de um sistema. Política Regras a nível organizacional que controlam o uso aceitável de recursos de computação, práticas de segurança e orientam o desenvolvimento de procedimentos operacionais. Política de Segurança O conjunto de leis, regras, e práticas que regulam como uma organização administra, protege e distribui informações confidenciais. Portador de Cartão O cliente para quem foi emitido um cartão ou o indivíduo autorizado a usar o cartão. Procedimento Um procedimento fornece a descrição da política a qual se aplica. É o “como fazer” da política. Um procedimento orienta a organização em como a política deve ser levada a efeito. Protocolo Um método aprovado de comunicação usado dentro das redes. Uma especificação que descreve as regras e procedimentos que os produtos devem seguir para Versão 1.0 15 de dezembro de 2004 © 2004 Visa U.S.A. Inc. 13 Padrão de Segurança dos Dados da Indústria de Cartão de Pagamento Glossário TERMO DEFINIÇÃO executar atividades em uma rede. Rede Uma rede representa dois ou mais computadores conectados de forma a que possam compartilhar informações. Router Um router é uma parte do hardware ou software que conecta duas ou mais redes. Um router funciona como um classificador e intérprete quando examina e passa informações aos seus destinos adequados. Os routers de software são algumas vezes chamados de portais (gateways). Saída Tráfego saindo da rede. Scan da Vulnerabilidade Uma ferramenta automatizada que checa as vulnerabilidades nos sistemas de um estabelecimento ou de um prestador de serviço. Os scans identificam vulnerabilidades de sistemas operacionais, serviços e dispositivos que podem ser utilizados por hackers para atacar a rede privativa da companhia. Scan de Perímetro do Sistema Uma ferramenta automatizada que checa remotamente os sistemas de um estabelecimento ou de um prestador de serviço em busca de vulnerabilidades. Este teste não intrusivo envolve a exploração dos sistemas externos baseados em endereços do protocolo de Internet (IP) e relatórios de serviços disponíveis à rede externa (ex: serviços disponíveis à Internet). Os scans identificam vulnerabilidades em sistemas operacionais, serviços e dispositivos que poderiam ser usados por hackers para atacar a rede privativa da companhia. Segurança das Informações Proteção das informações com o propósito de confidencialidade, integridade e disponibilidade. Senha Uma série de caracteres que serve para autenticar um usuário. Senha Padrão A senha na administração do sistema ou em contas de serviço quando um sistema é enviado do fornecedor, normalmente associado com a conta padrão. Contas e senhas padrão são publicadas e muito conhecidas. Servidor Um computador que atua como um prestador de algum tipo de serviço a outros computadores, tais como comunicações de processamento, armazenamento de arquivos ou facilidade de impressão. Sistemas de Detecção de Invasão Um sistema de detecção de invasão (IDS) inspeciona todas as atividades que entram e saem da rede e identifica padrões suspeitos que podem indicar um ataque à rede ou ao sistema por parte de alguém tentando invadir ou comprometer um sistema. SQL injection Uma forma de ataque a um website que contenha um banco de dados no qual o atacante executa comandos SQL não autorizados se aproveitando de um código não seguro de um sistema conectado à Internet. Os ataque do tipo SQL injection são usados para roubar as informações de um banco de dados no qual os dados normalmente não estariam disponíveis e/ou não dariam acesso aos computadores host de uma organização através do computador que está hospedando o banco de dados. SSL Um padrão estabelecido da indústria que codifica o canal entre um navegador e um servidor de web para assegurar a privacidade e a confiabilidade dos dados transmitidos através deste canal. Versão 1.0 15 de dezembro de 2004 © 2004 Visa U.S.A. Inc. 14 Padrão de Segurança dos Dados da Indústria de Cartão de Pagamento Glossário TERMO DEFINIÇÃO Tamper-resistance Um sistema é reconhecido como tamper-resistant se o mesmo é difícil de modificar ou subverter, mesmo por um atacante que possua acesso ao sistema. Teste de Penetração Investigação orientada à segurança de sistema ou rede de computadores que busca vulnerabilidades que um atacante pode explorar. O teste envolve uma tentativa de penetrar no sistema para que as vulnerabilidades encontradas possam ser reportadas e os passos para a melhora de segurança possam ser sugeridos. Token Um dispositivo que executa autenticação dinâmica. Tradução do Endereço da Rede (NAT) A tradução do endereço de um Protocolo de Internet (endereço de IP) usado em uma rede para um endereço de IP diferente conhecido por outra rede. Truncagem A prática de remover um segmento de dados. Comumente, apenas quando os números da conta estão truncados, os primeiros 12 dígitos são deletados, deixando somente os últimos 4 dígitos. Usuários Não Clientes Qualquer usuário, excluindo os clientes consumidores, que tenha acesso aos sistemas incluindo, mas não limitado a, funcionários, administradores e prestadores de serviço externo. Vírus Um programa ou série de códigos que pode se autocopiar e causar a modificação ou destruição do software ou dos dados. Vulnerabilidade Uma debilidade nos procedimentos do sistema de segurança, desenho do sistema, implementação ou controles internos que poderia ser explorada com o propósito de violar a política de segurança do sistema. Versão 1.0 15 de dezembro de 2004 © 2004 Visa U.S.A. Inc. 15