TÓPICOS DESTE DOCUMENTO:

5 - Monitorar e Testar as Redes Regularmente

6 - Manter uma Política de Segurança de Informações

Caso o acesso do suporte da Solução Visual Hotal e módulo SSD for realizado de maneira remota no ambiente do cliente, os seguintes pontos de segurança devem ser observados:

• Alteração das configurações padrão no software de acesso remoto (por exemplo, alteração de senhas padrão e uso de senhas exclusivas para cada cliente).
• Permitir conexões somente de endereço IP/MAC específicos (conhecidos).
• Uso de autenticação potente e senhas complexas para logins.
• Ativação de transmissão de dados criptografados.
• Ativação do bloqueio de conta após um determinado número de tentativas de login sem sucesso.
• Configuração do sistema de modo que um usuário remoto estabeleça uma conexão de rede virtual privada (“VPN”), por meio de um firewall antes que o acesso seja permitido.
• Ativação da função de registro em log.
• Restrição do acesso a senhas do cliente à equipe do revendedor/integrador autorizada.
• Estabelecimento de senhas de cliente, de acordo com os Requisitos 8.1, 8.2, 8.4 e 8.5 do PCI DSS.

 As versões do Windows Vista e Seven, assim como Windows 2008 e 2008 R2, aceitam conexões com criptografia. Caso uma VPN seja requerida, é recomendável seu uso por meio de conexões com IPSec, L2TP/IPSEC ou SSTP.

Caso o Suporte CMNet precise recolher dados de cartão de crédito, estes serão excluídos tão logo seja efetuada a resolução do problema. A exclusão está mencionada no item 2 - Proteger os dados do portador do cartão.

Os dados somente devem ser recolhidos caso seja extremamente necessário, considerando:

• Dados de autenticação confidenciais somente devem ser coletados quando necessário, para resolver problemas específicos.
• Tais dados devem ser armazenados somente em locais específicos e conhecidos e com acesso limitado.
• Coleta somente de uma quantidade limitada de tais dados, para solucionar algum problema específico.
• Os dados devem ser criptografados, enquanto estiverem armazenados.
• Tais dados devem ser excluídos de forma segura, imediatamente após o uso.

5 - Monitorar e Testar as Redes Regularmente

 A CMNet recomenda a utilização dos logs oferecidos pela Solução Visual Hotal. Caso os logs referentes aos dados de cartão de crédito sejam desabilitados, o ambiente do cliente não estará em conformidade com o PCI, que são:

1. Log de Acesso: É um Log do Evento de Login no Sistema. Registrado, automaticamente, por TODOS os sistemas para cada LOGIN e LOGOUT efetuado. Pode ser consultado pelo Sistema Global, menu Consultas/Relatórios/Log de Acesso ao Sistema.

2. Log de Operação: É um LOG de Operações no Sistema. Implementado “sob” demanda em cada sistema. Por exemplo: o cliente pede pra LOGAR toda vez que o usuário entrar na tela de Lote e Criar um lote. Nesse caso, o desenvolvedor cria uma Operação chamada “Criação de Lote” e registra esse Log. Todos os sistemas que têm Log de Operação implementado, têm o menu Consultas/Log de Operação habilitado.

3. Log de Alteração e Exclusão de Registros (LOGTABELAS): Esse é o único LOG DE DADOS no BANCO, gerado via TRIGGER POR TABELA. Essas triggers podem ser solicitadas ao DBA para cada tabela de interesse do LOG ou pela opção de Triggers de Log no Sistema Global. A consulta dos DADOS logados pode ser feita pelo próprio Global.

Obs.: Para os 2º e 3º logs, é preciso que o cliente entre em contato com o Suporte da CMNet para solicitar a geração e envio dos programas a serem instalados na sua base de dados e que permitirão o acesso às informações dos campos/registros desejados.

O Log para as informações de cartão crédito (aplicativo SSD), apresentará as características abaixo e será gerado, automaticamente, a partir da instalação do aplicativo SSD:

• Registro de todos os acessos individuais aos dados do cartão.
• Registro de todas as ações desempenhadas por qualquer pessoa com privilégios raiz ou administrativos.
• Registro de todos os acesso às trilhas de auditoria (logs).
• Registro de tentativas inválidas de acesso lógico.
• Uso de mecanismos de identificação e autenticação.

Conteúdo do Log:

• Identificação do usuário.
• Tipo de evento.
• Data e horário.
• Indicação de êxito ou falha.
• Identidade ou nome dos dados afetados, componentes do sistema ou recurso.
• Identificação da Estação de Trabalho por onde foi feito o acesso.

O log será gerado pela tela de visualização dos dados do cartão SSD de forma automatizada e independente de qualquer solicitação ou parametrização por parte do cliente. A consulta desse log será feita no próprio módulo SSD, tanto em tela quanto em formato de relatório.

Para controle das alterações de direitos de usuários, é gerado um log que contém as seguintes informações:

a) Módulo.

b) Nome da estação ou IP.

c) Nome do usuário que realizou a operação.

d) Nome do usuário que teve o acesso modificado.

e) Nome do Grupo de Usuários que teve o acesso modificado.

f) Data / Hora da operação.

g) Tipo (Inclusão / Exclusão).

h) Nome do Acesso alterado -> Nesse caso, seria interessante registrar a função, o objeto e o form. Exemplo: Habilitar botão/Botão Alterar/Cadastro de Clientes.

Esse log pode ser consultado por meio do menu Consultas/Alteração de Acesso de Usuário/Grupos do módulo Global.

Consulte o endereço: http://pt.pcisecuritystandards.org para acesso à completa descrição das ações que devem ser implementadas, para que o ambiente esteja de acordo com o exigido pelo PCI.

6 - Manter uma Política de Segurança de Informações

De acordo com as determinações do PCI, a CMNet recomenda fortemente que o cliente adote políticas de segurança de informações, como por exemplo:

• Estabelecimento, documentação e distribuição de políticas e procedimentos de segurança.
• Monitoramento e análise de alertas e informações de segurança, e distribuição para as equipes apropriadas.
• Definição, documentação e distribuição dos procedimentos de resposta e escalação de incidentes de segurança, para assegurar que todas as situações sejam abordadas de modo oportuno e eficiente.
• Administração das contas dos usuários, incluindo adições, exclusões e modificações.
• Monitoramento e controle de todo acesso aos dados.

Consulte o endereço: http://pt.pcisecuritystandards.org para acesso à completa descrição das ações que devem ser implementadas, para que o ambiente esteja de acordo com o exigido pelo PCI.