TOTVS Hospitalidade

Árvore de páginas

Versões comparadas

Versão antiga 11

changes.mady.by.user Usuário desconhecido (c1401400)

Gravado em

comparado com

Nova versão 12

changes.mady.by.user Usuário desconhecido (c1401400)

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

...

2 - Proteger os dados do portador do cartão

3 - Manter um programa de gerenciamento de vulnerabilidades

4 - Implementar medidas de controle de acesso rigorosas

...

2 - Proteger os dados do portador do cartão

Armazenamento de Dados

Os dados de cartão de crédito (número, código de segurança e data de validade) somente devem ser armazenados caso seja imprescindível a consulta posterior a esta informação.

Esses dados não têm por finalidade algum uso automático pelo sistema e nem a transmissão para algum meio de validação ou outra finalidade qualquer.

Na Solução Visual Hotal, estes dados serão armazenados sempre que for informado no campo Tipo de Documento de Reserva (vide help Front – Reservas – Documento) o tipo de documento “CC” cartão de crédito.

Uma vez indicado este tipo CC, o módulo SSD será acionado e nele estes dados serão armazenados criptografados.

Os locais onde os dados de cartão são informados na Solução Visual são: Reserva Individual, Reserva de Grupo e Walk-in para o tipo de documento “CC”, cartão de crédito. O armazenamento dos dados de cartão ocorre na base de dados de origem do módulo SSD.

Caso os dados de cartão de crédito sejam informados em qualquer outro ponto da aplicação, o ambiente não estará em conformidade com o PCI.

Geração de Chaves de Criptografia

Existirão três momentos distintos onde serão geradas as chaves de criptografia.

1. Primeiro acesso ao módulo (implantação):

A partir da tela “Gerenciamento de Chaves” (Sistema/Configuração/Gerenciamento de Chaves), o usuário terá a possibilidade de gerar o par de chaves da criptografia RSA. O processo de criação será:

1.1)      O módulo SSD exibirá uma tela de diálogo solicitando a entrada de duas palavras aleatórias, de preferência por duas pessoas diferentes;

...

1.6)      O processo de leitura e gravação do conteúdo do arquivo que contém a semente de criptografia da chave privada será feito por um outro aplicativo que será a “Aplicação Servidora de Gerenciamento de Sementes (ASGS)”. A comunicação a ser realizada entre o SSD (e demais módulos que farão uso da leitura e gravação dos dados de cartão) e o ASGS será via socket, utilizando a tecnologia de multicamadas aplicada hoje aos outros sistemas da empresa que fazem uso de acesso remoto entre aplicações.

2. Quebra de segurança das chaves atuais:

2.1)      Com a detecção por parte do usuário que a chave privada de criptografia está comprometida, a qualquer momento, a partir da tela de Gerenciamento de Chaves , pode ser gerado um novo par de chaves. Ao se efetuar essa operação, o sistema realizará os passos a seguir;

2.2)      Fazer uma leitura de todos registros criptografados de cartão de crédito e armazená-los em memória;

2.3)      Obter a chave atual privada de criptografia;

2.4)      Descriptografar e armazenar em memória todos os dados carregados de cartão de crédito;

2.5)      Realizar todo o processo descrito no item 1;

2.6)      Criptografar os dados de cartão usando a nova chave pública recém criada;

2.7)      Gravar de volta na base de dados os novos dados criptografados.

3. Troca anual das chaves:

3.1)      Ao se fazer uma operação, tanto de gravação dos dados de cartão, quanto da leitura dos mesmos, o sistema verifica a data de criação da chave atual;

3.2)      Se a chave atual foi criada num período maior ou igual a 1 (um) ano, o sistema exibirá uma mensagem que as chaves de criptografia estão expiradas, e que um novo par deverá ser gerado.

3.3)      Acessar a tela Gerenciamento de Chaves do módulo SSD e realizar o procedimento dos itens 2.2 a 2.7;

Acesso aos Dados

Caso exista a necessidade do acesso a estes dados, somente será possível por meio de acesso cadastrado por usuário no módulo SSD.

Exclusão dos Dados

Tendo em vista a indicação de segurança e exclusão de dados de cartão de crédito (PAN, código de segurança e data de validade, nome do titular do cartão) exigida pelo PCI, na Solução Visual Hotal, estes dados serão excluídos da base após o check-out, cancelamento ou no-show da reserva.

Assim, no processo diário de auditoria, será verificado se a reserva apresenta a informação de data de check-out e nestas reservas os dados do cartão serão excluídos.

Para exclusão de dados de cartão de crédito gravados nos campos Documento e Observações das telas de Reserva Individual e Reserva de Grupo, que são os dados anteriores à nova estrutura implementada para atender ao PCI, o procedimento a ser adotado será o seguinte:

  • Dados Históricos (Reservas Individuais e Grupos com data de partida anterior à data atual): A partir do módulo SSD, no menu Utilitários , acessar a opção Limpar Dados Históricos de Cartão de Crédito. Nessa tela, quando o usuário clicar em Processar, o sistema exibirá uma tela onde o usuário deverá confirmar tal procedimento. Após a confirmação da exclusão, os dados excluídos dos campos Documento e Observações das telas de Reserva Individual e Grupo terão seus respectivos conteúdos alterados para o texto “Cerificação PCI”;

  • Dados Atuais e Futuros (Reservas Individuais e Grupos com data de partida maior ou igual à data atual): A partir do módulo SSD, menu Consultas, opção Relatórios, deverá ser executado o relatório “Listagem de Reservas com Dados de Cartão de Crédito”. Esse relatório listará todas as reservas individuais e grupos cujo conteúdo dos campos Documento e Observações contenham alguma sequência conhecida de número de cartão de crédito. Com essa listagem em mãos, o usuário acessará cada reserva e fará a alteração dos dados de cartão de crédito baseados na maneira de gravação anterior (gravar o cartão na Observação ou no Documento) e gravar a partir da tela de Dados de Cartão de Crédito do SSD.

A partir dos procedimentos acima realizados, em momento algum o usuário deverá digitar qualquer dado referente a cartão de crédito nos campos e telas acima relacionados. Isso garantirá que a certificação PCI do estabelecimento seja atingida.

O Solução Hotal SSD armazena dados de cartão (número do cartão, código de segurança, data de validade) até a auditoria da data de check-out. Caso seja imprescindível que estes dados sejam recolhidos para uma resolução de problemas, serão apresentados criptografados e serão excluídos, por meio da indicação de check-out, cancelamento ou no-show das respectivas reservas e geração de auditoria no ambiente de análise de problemas CMNet.

O SSD não envia dados de cartão por tecnologias de envio de mensagens a usuários finais, como e-mails. Para conformidade com o requerimento 4.2 do PCI DSS 1.2, os dados de portadores de cartão nunca devem ser enviados por e-mails sem criptografia.

Consulte o endereço: http://pt.pcisecuritystandards.org para acesso à completa descrição das ações que devem ser implementadas, para que o ambiente esteja de acordo com o exigido pelo PCI.

Âncora
3 - Manter um programa de gerenciamento de vulnerabilidades
3 - Manter um programa de gerenciamento de vulnerabilidades

3 - Manter um programa de gerenciamento de vulnerabilidades


Para a instalação da Solução Visual Hotal é indispensável que o Hotel atenda as seguintes especificações de hardware e de software:

...