Como a  solução SENHASEGURA ( gestão de credenciais de alto privilégio)  ajuda na conformidade do PCI DSS 3.2 ?

senha_segura_logo2

No dia 31 de outubro de 2016 a versão 3.1 do PCI DSS tornou-se oficialmente expirada. Independente disso, várias são as corporações que precisam estar em conformidade com as novas determinações do PCI DSS 3.2 o quanto antes. Todos os componentes de sistema que estejam incluídos ou conectados no ambiente dos dados do titular de cartão (CDE) precisam estar envolvidos na avaliação de risco e no plano de ação. Tais componentes incluem:

  • Componentes de rede incluem, entre outros, firewalls, switches, roteadores, pontos de acesso sem fio, dispositivos de rede e outros dispositivos de segurança.
  • Sistemas que oferecem serviços de segurança, facilitam segmentação, resolução de nomes ou de redirecionamento.
  • Os tipos de servidores incluem web, aplicativo, banco de dados, autenticação, e-mail, proxy NTP e DNS.
  • Aplicativos podem ser internos ou externos, adquiridos ou personalizados.
  • Componentes de virtualização como máquinas virtuais, switches/roteadores virtuais, mecanismos virtuais, aplicativos/desktops virtuais e hipervisores.
  • Qualquer outro componente ou dispositivo interno ou conectado ao CDE.

Alinhado o escopo e as necessidades de adequação, há uma série de requerimentos específicos que são relacionados diretamente ao gerenciamento de privilégios que precisam ser atendidos de forma plena.

Como o senhasegura ajuda a estabelecer a conformidade

Definição do PCI DSS Requisito atendido pelo senhasegura
6.4.1.b
  • Analise os ajustes dos controles de acesso para verificar se estes estão implementados para forçar a separação entre os ambientes de teste/desenvolvimento e os ambientes de produção
7.1
  • Limite o acesso aos componentes do sistema e aos dados do titular do cartão somente àquelas pessoas cuja função requer tal acesso
  • Restrição de acesso a IDs de usuários privilegiados ao menor número de privilégios necessários para desempenhar as responsabilidades da função
  • A concessão do acesso se baseia na classificação e na atribuição da função da equipe individual
7.1.1 Defina as necessidades de acesso para cada função, incluindo:

  • Componentes do sistema e recursos de dados que cada função precisa para realizar seu trabalho
  • O nível de privilégio necessário (por exemplo usuário administrador, etc.) para acessar os recursos
7.1.2
  • Restrinja o acesso a IDs de usuários privilegiados ao menor número de privilégios necessários para desempenhar as responsabilidades da função
7.1.3
  • Conceda acesso com base na classificação e na atribuição de cada indivíduo da equipe.
8.1.3
  • Revogue imediatamente o acesso de quaisquer usuários desligados da empresa.
8.1.5 Controle as IDs usadas por terceiros para acessar, dar suporte ou manter os componentes do sistema via acesso remoto como:

  • Ativar apenas durante o período necessário e desativar quando não estiverem em uso
  • Monitorar quando estiverem em uso
8.2.4
  • Altere as senhas/frases-senha do usuário, pelo menos, a cada 90 dias.
8.3
  • Todo acesso administrativo individual que não utiliza console e todo acesso remoto ao CDE são protegidos por acesso multifatorial.
8.5
  • Não use IDS de grupos, compartilhados ou genéricos, senhas ou outros modos de autenticação.
8.6 Onde forem usados outros mecanismos de autenticação (por exemplo tokens de segurança físicos ou virtuais, smartcards, certificados, etc.) o uso destes mecanismos deve ser atribuído conforme segue:

  • Os mecanismos de autenticação devem ser atribuídos a uma conta individual e não compartilhados entre várias contas.
  • Controles físicos e/ou virtuais devem ser implementados para garantir que apenas a conta pretendida possa usar o mecanismo para obter acesso.
10.2
  • Implementar trilhas de auditoria automatizadas para todos os componentes do sistema.
10.3, 10.3.1, 10.3.2, 10.3.3, 10.3.4, 10.3.5 e 10.3.6 Registre pelo menos as seguintes entradas de trilhas de auditoria para todos os componentes do sistema para cada evento:

  • Identificação de usuário
  • Tipo de evento
  • Data e horário
  • Indicação de sucesso ou falha
  • Origem do evento
  • A identidade ou nome dos dados afetados, componente do sistema ou recurso.
12.3.2
  • Autenticação para uso da tecnologia.
12.3.3
  • Uma lista de todos os dispositivos e equipes com acesso.
12.3.9
  • Ativação de tecnologias de acesso remoto para fornecedores e parceiros de negócio somente quando lhes for necessário, com desativação imediata após o uso.
12.5.5
  • Monitore e controle todos os acessos aos dados.
A3.4.1
  • Verifique todas as contas de usuário e os privilégios de acesso aos componentes no escopo, pelo menos, a cada seis meses, para garantir que as contas de usuário e o acesso permaneçam adequados e autorizados com base na função de trabalho.

 

Interessado na solução SENHASEGURA ?

Visite o site da SUNLIT para obter informações adicionais  http://sunlit.com.br/portfolio-items/cofre-eletronico-de-senhas/