Conformidade com SOX, PCI, DSS
usando DataSecurity Plus

O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) se aplica a todas as entidades envolvidas no processamento de cartões de pagamento, incluindo comerciantes, processadores, adquirentes, emissores e provedores de serviços. Ele também se aplica a outras entidades que aceitam, armazenam ou transmitem informações de cartão de pagamento, dados do titular do cartão ou dados de autenticação confidenciais (SAD).

O ManageEngine DataSecurity Plus — nosso software de conformidade com PCI — ajuda a atender aos requisitos do PCI DSS por:

Descobrir e relatar informações de cartão de pagamento em ambientes de armazenamento.
Auditar como arquivos confidenciais são protegidos, processados e transmitidos.
Monitorar a integridade do arquivo no ambiente de dados do titular do cartão (CDE).
Fornecer insights aprimorados sobre permissões de segurança e armazenamento de arquivos.
Proteger arquivos confidenciais contra vazamentos de dados acidentais ou maliciosos.

E fazer muito mais.

Como nosso software de conformidade com PCI DSS ajuda a atender aos requisitos de conformidade com PCI

Quais são os requisitos do PCI	O que você deve fazer	Como o DataSecurity Plus ajuda você
Requisito 2.2.4 Somente serviços, protocolos, daemons e funções necessários são habilitados, e todas as funções desnecessárias são removidas ou desabilitadas.	Identifique todas as funções do sistema, como scripts, sistemas de arquivos e servidores web desnecessários, e remova aqueles que não estão em uso.	Análise de arquivos não utilizados Receba relatórios sobre arquivos, scripts e arquivos em lote que não foram acessados ou modificados por longos períodos.
Requisito 3.2.1 O armazenamento de dados da conta é mantido no mínimo por meio da implementação de políticas de retenção e descarte de dados, conforme a seguir: Cobertura para todos os locais de dados da conta armazenados Cobertura para qualquer SAD Limites na quantidade de armazenamento de dados e tempo de retenção para o que é necessário para requisitos legais, regulatórios ou comerciais Requisitos de retenção específicos para dados da conta armazenados que definem a duração do período de retenção Processos para excluir com segurança ou tornar irrecuperáveis os dados da conta quando eles não forem mais necessários de acordo com a política de retenção Um processo para verificar, pelo menos uma vez a cada três meses, se os dados da conta armazenados que excedem o período de retenção definido foram excluídos com segurança ou tornados irrecuperávei	Verifique periodicamente os dados regulamentados em seu CDE. Configure políticas de retenção de dados e exclua os dados coletados quando eles não forem mais necessários. Localize e remova os dados do titular do cartão que estão armazenados além de sua vida útil permitida.	Descoberta de dados do titular do cartão e PCI Use regras de descoberta de dados integradas para localizar os dados do titular do cartão e PCI armazenados por sua organização. Crie um inventário de quais dados são armazenados, onde, por quem e por quanto tempo. Análise de dados redundantes, obsoletos e triviais Identifique arquivos antigos, obsoletos e não modificados para garantir que os dados do titular do cartão não sejam armazenados além do período de retenção pretendido. Verificações programadas de avaliação de risco de dados Execute verificações periódicas de descoberta de dados do titular do cartão, habilite a verificação incremental de arquivos novos e modificados recentemente e garanta que cada instância de dados regulamentados seja descoberta e catalogada. Você também pode usar opções de gerenciamento de arquivos na IU, bem como scripts personalizados para colocar em quarentena ou excluir arquivos que violem as políticas de armazenamento de dados confidenciais.
Requisito 3.3 O SAD não é armazenado após a autorização. Nota: Este requisito não se aplica a emissores e empresas que oferecem suporte a serviços de emissão e têm uma justificativa comercial para armazenar SAD. Nota: O SAD inclui nomes de titulares de cartão, números de conta primários (PANs), códigos de verificação de cartão, números de identificação pessoal (PINs) e dados de rastreamento.	Examine as fontes de dados e verifique se o SAD não é armazenado após a autorização.	Descoberta de dados PCI Implemente a descoberta de dados eficaz com uma combinação de correspondência de palavras-chave e correspondência de padrões. Juntos, eles ajudarão você a localizar valores de verificação de cartão, PINs, PANs e outros dados de autenticação. Pontuação de confiança Verifique o contexto de possíveis correspondências para determinar a certeza de uma correspondência e reduzir falsos positivos. Automação de resposta Automatize a exclusão ou quarentena de dados de cartão detectados ou limite seu uso executando uma ação personalizada usando scripts.
Requisito 3.4.2 Impedir a cópia e/ou realocação de PANs para todo o pessoal, exceto para aqueles com autorização.	Proibir usuários de armazenar ou copiar arquivos contendo dados do titular do cartão em seus computadores pessoais locais ou outras mídias.	Controle da área de transferência Habilitar controle granular por meio de auditoria e bloqueio de ações de cópia acionadas em dispositivos locais e na rede organizacional. Proteção contra gravação USB Bloquear dispositivos USB suspeitos e impedir que usuários exfiltrem dados confidenciais.
Requisito 3.5.1 PANs são tornados ilegíveis em qualquer lugar em que são armazenados, e PANs de texto simples são removidos.	Identifique e remova PANs de texto simples armazenados em sua mídia de armazenamento.	Gerenciamento de arquivos contendo dados sensíveis Mova ou exclua arquivos contendo dados sensíveis como uma ação de mitigação de risco.
Requisito 3.6.1 O acesso às chaves criptográficas é restrito ao menor número de custodiantes necessário.	Examine as permissões associadas a arquivos confidenciais e garanta que o acesso seja restrito ao menor número de usuários.	Relatórios de permissão de NTFS e compartilhamento Receba relatórios detalhados sobre as permissões de NTFS e compartilhamento de arquivos e pastas para saber quais usuários têm quais permissões para eles.
Requisito 6.5.2 Após a conclusão de uma alteração significativa, todos os requisitos aplicáveis do PCI DSS são confirmados como estando em vigor em todos os sistemas e redes novos ou alterados, e a documentação é atualizada conforme aplicável.	Proteja seus sistemas com software de monitoramento de integridade de arquivo (FIM) para examinar arquivos críticos em busca de alterações feitas em seu conteúdo e metadados.	Monitoramento de mudanças de arquivos Rastreie alterações acidentais, inapropriadas e não autorizadas monitorando todas as atividades de arquivos, incluindo alterações de permissão, bem como criações, modificações e exclusões de arquivos.
Requisito 7.2.1 Um modelo de controle de acesso é definido e concedido da seguinte forma: Acesso apropriado dependendo das necessidades de acesso e negócios da entidade Acesso aos componentes do sistema e recursos de dados com base na classificação e função do trabalho do usuário Os privilégios mínimos necessários (por exemplo, privilégios de usuário ou administrador) para executar uma função de trabalho Nota: Os componentes do sistema incluem dispositivos de rede, servidores, dispositivos de computação e aplicativos.	Verifique se os privilégios atribuídos a usuários privilegiados e não privilegiados são: Necessários para a função de trabalho de cada indivíduo. Restritos aos privilégios mínimos necessários para executar as responsabilidades do trabalho.	Análise de permissão efetiva Garanta a confidencialidade dos dados do titular do cartão analisando e relatando as permissões efetivas. Verifique se cada usuário não tem mais privilégios do que o necessário para sua função. Detecção de arquivos superexpostos Localize arquivos que podem ser acessados por todos os funcionários, bem como arquivos que permitem acesso de Controle Total para usuários.
Requisito 7.2.4 Todas as contas de usuário e privilégios de acesso relacionados, incluindo contas de terceiros/fornecedores, são revisados da seguinte forma: Pelo menos uma vez a cada seis meses Para garantir que as contas de usuário e o acesso permaneçam apropriados com base na função do trabalho Para abordar qualquer acesso inapropriado Com a gerência verificando se o acesso permanece apropriado	Revise as contas de usuário privilegiadas periodicamente para garantir que as medidas de controle de acesso implementadas sejam apropriadas.	Relatórios programados Configure relatórios automáticos e periódicos sobre usuários privilegiados e usuários inativos. Esses relatórios podem ser enviados por e-mail em um cronograma definido para várias partes interessadas. Análise de permissão de segurança Acompanhe as alterações de permissão, liste as permissões efetivas, identifique os arquivos que podem ser acessados por todos os funcionários, encontre usuários com privilégios de Controle Total e faça ainda mais para garantir que o princípio do menor privilégio seja seguido.
Requisito 7.2.5 Todas as contas de aplicativos e sistemas e privilégios de acesso relacionados são atribuídos e gerenciados da seguinte forma: Com base nos privilégios mínimos necessários para a operabilidade do sistema ou aplicativo Com acesso limitado aos sistemas, aplicativos ou processos que exigem especificamente esse acesso	Certifique-se de que os direitos de acesso às contas de aplicativos e sistemas sejam limitados ao que é necessário.	Relatório de permissões NTFS Liste os usuários que têm acesso a arquivos contendo dados do titular do cartão e inclua detalhes sobre quais ações cada usuário pode executar neles.
Requisito 8.2.5 O acesso para usuários encerrados é imediatamente revogado.	Garanta que os usuários que forem desligados da sua organização sejam removidos das listas de acesso a arquivos.	Análise de propriedade de arquivo Identifique arquivos órfãos e arquivos de propriedade de usuários obsoletos, desabilitados ou inativos para evitar tentativas maliciosas de alteração de arquivo por funcionários desligados.
Requisito 10.2.1 Os logs de auditoria são habilitados para todos os componentes do sistema e dados do titular do cartão para vincular todas as tentativas de acesso a usuários individuais. Capture todas as tentativas de acesso bem-sucedidas e malsucedidas de todos os usuários, incluindo aqueles com privilégios de root ou administrativos.	Colete logs detalhados sobre a atividade do usuário no seu CDE. Rastreie as alterações feitas por usuários com privilégios administrativos.	Trilhas de auditoria detalhadas Rastreie tentativas críticas de acesso a arquivos, uso de aplicativos da web, uso de USB, uso de impressora e muito mais com um log de auditoria de acesso centralizado. Monitoramento do usuário privilegiado Liste usuários com acesso privilegiado a arquivos confidenciais e personalize relatórios para monitorar todas as alterações feitas nos arquivos.
Requisito 10.2.2 Registre os seguintes detalhes para cada evento auditável: Identificação do usuário O tipo de evento A data e a hora A indicação de sucesso ou falha A origem do evento A identidade ou o nome dos dados afetados, componente do sistema, recurso ou serviço (por exemplo, o nome e o protocolo)	Gere logs de auditoria que fornecem a capacidade de rastrear atividades suspeitas de volta a um usuário específico. Audite a atividade do usuário em seu CDE em tempo real.	Análise de causa raiz Aproveite as opções de filtragem de relatórios granulares para agilizar a análise de causa raiz e identificar a extensão de uma violação. Auditoria de mudanças em tempo real Obtenha informações completas sobre cada tentativa de acesso a arquivos, incluindo detalhes sobre quem tentou qual alteração, em qual arquivo, quando, de onde e se eles foram bem-sucedidos.
Requisito 10.3 Os registros de auditoria são protegidos contra destruição e modificações não autorizadas. Use FIM ou software de detecção de alterações em logs para garantir que os dados de log existentes não possam ser alterados sem gerar alertas (embora novos dados adicionados não devam causar um alerta).	Implemente FIM ou software de detecção de alterações para verificar alterações em arquivos críticos e enviar notificações quando tais alterações forem observadas.	PCI FIM Audite todas as tentativas de acesso a arquivos bem-sucedidas e malsucedidas em tempo real. Mantenha uma trilha de auditoria detalhada para análise. Alertas em tempo real Acione alertas instantâneos para notificar as partes interessadas quando alterações suspeitas de arquivos forem detectadas. Respostas automatizadas a incidentes de segurança Execute respostas automatizadas para minimizar os danos potenciais de um incidente de segurança.
Requisito 10.4 Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas.	Use mecanismos automatizados para revisar logs periodicamente para identificar problemas potenciais e reduzir o tempo necessário para detectar uma violação potencial.	Entrega programada de relatórios de conformidade com PCI Entregue relatórios programados para caixas de correio das partes interessadas em formato PDF, HTML, CSV ou XLSX.
Requisito 10.5 Mantenha o histórico do log de auditoria por pelo menos 12 meses, com pelo menos os três meses mais recentes imediatamente disponíveis para análise (por exemplo, on-line, arquivados ou restauráveis de um backup).	Mantenha os logs por pelo menos um ano para que os investigadores tenham um histórico de log suficiente para determinar a duração de uma violação potencial e seu impacto.	Retenção de log de auditoria de longo prazo Mantenha os dados de auditoria por longos períodos. Você também pode arquivar logs mais antigos e recarregá-los posteriormente para analisar tentativas de acesso ao arquivo.
Requisito 11.5.2 Um mecanismo de detecção de alterações (por exemplo, uma ferramenta FIM) é implantado da seguinte forma: Alertar o pessoal sobre modificações não autorizadas (incluindo alterações, adições e exclusões) de arquivos críticos. Realizar comparações de arquivos críticos pelo menos uma vez por semana. Implementar um processo para responder a quaisquer alertas gerados pela solução de detecção de alterações.	Monitorar alterações em executáveis do sistema, executáveis de aplicativos, arquivos de configuração e parâmetros e muito mais.	FIM Auditar alterações feitas em binários críticos do aplicativo e do SO, arquivos de configuração, arquivos de aplicativos, arquivos de log e muito mais. Alertas instantâneos Notificar os administradores instantaneamente quando alterações anômalas de arquivo forem detectadas. Resposta personalizada a incidentes Automatizar arquivos em lote para desligar máquinas, sessões de usuário final e fazer ainda mais.
Requisito A3.2.5.1 Uma metodologia de descoberta de dados é implementada e confirmada da seguinte forma: Garantir que seus métodos sejam capazes de descobrir PANs de texto não criptografado em todos os tipos de componentes do sistema e formatos de arquivo em uso. Confirmar a eficácia dos métodos de descoberta de dados pelo menos uma vez a cada 12 meses.	Relatar periodicamente os locais dos dados do titular do cartão em seu ambiente de armazenamento de arquivos. Identificar dados confidenciais que residem fora do seu CDE definido.	Visibilidade multiplataforma Detectar dados confidenciais do titular do cartão e PCI em servidores de arquivos Windows, clusters de failover e bancos de dados Microsoft SQL Server. Descoberta de dados PCI baseada em programação Descubra dados PCI periodicamente e incrementalmente.
Requisito A3.2.5.2 Os procedimentos de resposta são implementados para serem iniciados após a detecção de PANs de texto não criptografado fora do CDE para incluir: Determinar o que fazer se PANs de texto não criptografado forem descobertos fora do CDE, incluindo recuperá-los, excluí-los com segurança e/ou migrá-los para o CDE definido atualmente, conforme aplicável. Determinar como os dados acabaram fora do CDE. Corrigir vazamentos de dados ou lacunas de processo que resultaram em dados fora do CDE. Identificar a fonte dos dados. Identificar se algum dado de rastreamento está armazenado com os PANs.	Executar ações corretivas quando dados confidenciais forem descobertos fora do CDE.	Correção automatizada Excluir, mover ou gerenciar automaticamente dados confidenciais quando forem encontrados fora do CDE. Análise de propriedade e acesso Descubra quem é o proprietário dos dados confidenciais e rastreie todas as ações do usuário no período em análise. Isso ajudará você a determinar como os dados acabaram fora do CDE.
Requisito A3.2.6 Mecanismos são implementados para detectar PANs de texto não criptografado saindo do CDE e evitar que eles façam isso por meio de um canal, método ou processo não autorizado, incluindo a geração de logs de auditoria e alertas após a detecção de PANs de texto não criptografado saindo do CDE. Procedimentos de resposta são implementados para serem iniciados após a detecção de tentativas de remover PANs de texto simples do CDE por meio de um canal, método ou processo não autorizado.	Implemente soluções de prevenção de perda de dados para detectar e evitar vazamentos por e-mails, mídia removível e impressoras.	Uma plataforma unificada de prevenção de vazamento de dados Classifique arquivos confidenciais e evite seu vazamento por meio de dispositivos de armazenamento externo, Outlook e impressoras. Controle de uso de dispositivos periféricos Restrinja o uso de dispositivos USB, pontos de acesso sem fio e unidades de CD e DVD usando políticas de controle de dispositivos centrais para proteger contra exfiltração de dados.
Requisito A3.5.1 Uma metodologia é implementada para a identificação rápida de padrões de ataque e comportamento indesejável em todos os sistemas — por exemplo, usando ferramentas de correlação de log gerenciadas centralmente ou automatizadas — para incluir pelo menos o seguinte: A identificação de anomalias ou atividades suspeitas conforme ocorrem A emissão rápida de alertas para o pessoal responsável após a detecção de atividades suspeitas ou anomalias Respostas a alertas de acordo com procedimentos de resposta documentados	Configure uma solução que possa identificar eventos indesejáveis — como alterações críticas de arquivos e intrusões — e notificar os administradores instantaneamente.	Detecção de anomalias Identifique anomalias na atividade do usuário, como tentativas de acesso a arquivos após o horário comercial ou um número excessivo de tentativas de acesso com falha. Alertas rápidos Configure alertas para alterações injustificadas em arquivos críticos, descoberta de dados confidenciais fora do CDE e muito mais. Detecção e resposta a ameaças Detecte intrusões de ransomware e execute scripts para colocar máquinas infectadas em quarentena e impedir a disseminação de malware.

Quais são os requisitos do PCI

O que você deve fazer

Como o DataSecurity Plus ajuda você

Requisito 2.2.4

Somente serviços, protocolos, daemons e funções necessários são habilitados, e todas as funções desnecessárias são removidas ou desabilitadas.

Identifique todas as funções do sistema, como scripts, sistemas de arquivos e servidores web desnecessários, e remova aqueles que não estão em uso.

Análise de arquivos não utilizados

Receba relatórios sobre arquivos, scripts e arquivos em lote que não foram acessados ou modificados por longos períodos.

Requisito 3.2.1

O armazenamento de dados da conta é mantido no mínimo por meio da implementação de políticas de retenção e descarte de dados, conforme a seguir:

Cobertura para todos os locais de dados da conta armazenados
Cobertura para qualquer SAD
Limites na quantidade de armazenamento de dados e tempo de retenção para o que é necessário para requisitos legais, regulatórios ou comerciais
Requisitos de retenção específicos para dados da conta armazenados que definem a duração do período de retenção
Processos para excluir com segurança ou tornar irrecuperáveis os dados da conta quando eles não forem mais necessários de acordo com a política de retenção
Um processo para verificar, pelo menos uma vez a cada três meses, se os dados da conta armazenados que excedem o período de retenção definido foram excluídos com segurança ou tornados irrecuperávei

Verifique periodicamente os dados regulamentados em seu CDE.

Configure políticas de retenção de dados e exclua os dados coletados quando eles não forem mais necessários.

Localize e remova os dados do titular do cartão que estão armazenados além de sua vida útil permitida.

Descoberta de dados do titular do cartão e PCI

Use regras de descoberta de dados integradas para localizar os dados do titular do cartão e PCI armazenados por sua organização. Crie um inventário de quais dados são armazenados, onde, por quem e por quanto tempo.

Análise de dados redundantes, obsoletos e triviais

Identifique arquivos antigos, obsoletos e não modificados para garantir que os dados do titular do cartão não sejam armazenados além do período de retenção pretendido.

Verificações programadas de avaliação de risco de dados

Execute verificações periódicas de descoberta de dados do titular do cartão, habilite a verificação incremental de arquivos novos e modificados recentemente e garanta que cada instância de dados regulamentados seja descoberta e catalogada. Você também pode usar opções de gerenciamento de arquivos na IU, bem como scripts personalizados para colocar em quarentena ou excluir arquivos que violem as políticas de armazenamento de dados confidenciais.

Requisito 3.3

O SAD não é armazenado após a autorização.

Nota: Este requisito não se aplica a emissores e empresas que oferecem suporte a serviços de emissão e têm uma justificativa comercial para armazenar SAD.

Nota: O SAD inclui nomes de titulares de cartão, números de conta primários (PANs), códigos de verificação de cartão, números de identificação pessoal (PINs) e dados de rastreamento.

Examine as fontes de dados e verifique se o SAD não é armazenado após a autorização.

Descoberta de dados PCI

Implemente a descoberta de dados eficaz com uma combinação de correspondência de palavras-chave e correspondência de padrões. Juntos, eles ajudarão você a localizar valores de verificação de cartão, PINs, PANs e outros dados de autenticação.

Pontuação de confiança

Verifique o contexto de possíveis correspondências para determinar a certeza de uma correspondência e reduzir falsos positivos.

Automação de resposta

Automatize a exclusão ou quarentena de dados de cartão detectados ou limite seu uso executando uma ação personalizada usando scripts.

Requisito 3.4.2

Impedir a cópia e/ou realocação de PANs para todo o pessoal, exceto para aqueles com autorização.

Proibir usuários de armazenar ou copiar arquivos contendo dados do titular do cartão em seus computadores pessoais locais ou outras mídias.

Controle da área de transferência

Habilitar controle granular por meio de auditoria e bloqueio de ações de cópia acionadas em dispositivos locais e na rede organizacional.

Proteção contra gravação USB

Bloquear dispositivos USB suspeitos e impedir que usuários exfiltrem dados confidenciais.

Requisito 3.5.1

PANs são tornados ilegíveis em qualquer lugar em que são armazenados, e PANs de texto simples são removidos.

Identifique e remova PANs de texto simples armazenados em sua mídia de armazenamento.

Gerenciamento de arquivos contendo dados sensíveis

Mova ou exclua arquivos contendo dados sensíveis como uma ação de mitigação de risco.

Requisito 3.6.1

O acesso às chaves criptográficas é restrito ao menor número de custodiantes necessário.

Examine as permissões associadas a arquivos confidenciais e garanta que o acesso seja restrito ao menor número de usuários.

Relatórios de permissão de NTFS e compartilhamento

Receba relatórios detalhados sobre as permissões de NTFS e compartilhamento de arquivos e pastas para saber quais usuários têm quais permissões para eles.

Requisito 6.5.2

Após a conclusão de uma alteração significativa, todos os requisitos aplicáveis do PCI DSS são confirmados como estando em vigor em todos os sistemas e redes novos ou alterados, e a documentação é atualizada conforme aplicável.

Proteja seus sistemas com software de monitoramento de integridade de arquivo (FIM) para examinar arquivos críticos em busca de alterações feitas em seu conteúdo e metadados.

Monitoramento de mudanças de arquivos

Rastreie alterações acidentais, inapropriadas e não autorizadas monitorando todas as atividades de arquivos, incluindo alterações de permissão, bem como criações, modificações e exclusões de arquivos.

Requisito 7.2.1

Um modelo de controle de acesso é definido e concedido da seguinte forma:

Acesso apropriado dependendo das necessidades de acesso e negócios da entidade
Acesso aos componentes do sistema e recursos de dados com base na classificação e função do trabalho do usuário
Os privilégios mínimos necessários (por exemplo, privilégios de usuário ou administrador) para executar uma função de trabalho

Nota: Os componentes do sistema incluem dispositivos de rede, servidores, dispositivos de computação e aplicativos.

Verifique se os privilégios atribuídos a usuários privilegiados e não privilegiados são:

Necessários para a função de trabalho de cada indivíduo.
Restritos aos privilégios mínimos necessários para executar as responsabilidades do trabalho.

Análise de permissão efetiva

Garanta a confidencialidade dos dados do titular do cartão analisando e relatando as permissões efetivas. Verifique se cada usuário não tem mais privilégios do que o necessário para sua função.

Detecção de arquivos superexpostos

Localize arquivos que podem ser acessados por todos os funcionários, bem como arquivos que permitem acesso de Controle Total para usuários.

Requisito 7.2.4

Todas as contas de usuário e privilégios de acesso relacionados, incluindo contas de terceiros/fornecedores, são revisados da seguinte forma:

Pelo menos uma vez a cada seis meses
Para garantir que as contas de usuário e o acesso permaneçam apropriados com base na função do trabalho
Para abordar qualquer acesso inapropriado
Com a gerência verificando se o acesso permanece apropriado

Revise as contas de usuário privilegiadas periodicamente para garantir que as medidas de controle de acesso implementadas sejam apropriadas.

Relatórios programados

Configure relatórios automáticos e periódicos sobre usuários privilegiados e usuários inativos. Esses relatórios podem ser enviados por e-mail em um cronograma definido para várias partes interessadas.

Análise de permissão de segurança

Acompanhe as alterações de permissão, liste as permissões efetivas, identifique os arquivos que podem ser acessados por todos os funcionários, encontre usuários com privilégios de Controle Total e faça ainda mais para garantir que o princípio do menor privilégio seja seguido.

Requisito 7.2.5

Todas as contas de aplicativos e sistemas e privilégios de acesso relacionados são atribuídos e gerenciados da seguinte forma:

Com base nos privilégios mínimos necessários para a operabilidade do sistema ou aplicativo
Com acesso limitado aos sistemas, aplicativos ou processos que exigem especificamente esse acesso

Certifique-se de que os direitos de acesso às contas de aplicativos e sistemas sejam limitados ao que é necessário.

Relatório de permissões NTFS

Liste os usuários que têm acesso a arquivos contendo dados do titular do cartão e inclua detalhes sobre quais ações cada usuário pode executar neles.

Requisito 8.2.5

O acesso para usuários encerrados é imediatamente revogado.

Garanta que os usuários que forem desligados da sua organização sejam removidos das listas de acesso a arquivos.

Análise de propriedade de arquivo

Identifique arquivos órfãos e arquivos de propriedade de usuários obsoletos, desabilitados ou inativos para evitar tentativas maliciosas de alteração de arquivo por funcionários desligados.

Requisito 10.2.1

Os logs de auditoria são habilitados para todos os componentes do sistema e dados do titular do cartão para vincular todas as tentativas de acesso a usuários individuais.

Capture todas as tentativas de acesso bem-sucedidas e malsucedidas de todos os usuários, incluindo aqueles com privilégios de root ou administrativos.

Colete logs detalhados sobre a atividade do usuário no seu CDE.

Rastreie as alterações feitas por usuários com privilégios administrativos.

Trilhas de auditoria detalhadas

Rastreie tentativas críticas de acesso a arquivos, uso de aplicativos da web, uso de USB, uso de impressora e muito mais com um log de auditoria de acesso centralizado.

Monitoramento do usuário privilegiado

Liste usuários com acesso privilegiado a arquivos confidenciais e personalize relatórios para monitorar todas as alterações feitas nos arquivos.

Requisito 10.2.2

Registre os seguintes detalhes para cada evento auditável:

Identificação do usuário
O tipo de evento
A data e a hora
A indicação de sucesso ou falha
A origem do evento
A identidade ou o nome dos dados afetados, componente do sistema, recurso ou serviço (por exemplo, o nome e o protocolo)

Gere logs de auditoria que fornecem a capacidade de rastrear atividades suspeitas de volta a um usuário específico.

Audite a atividade do usuário em seu CDE em tempo real.

Análise de causa raiz

Aproveite as opções de filtragem de relatórios granulares para agilizar a análise de causa raiz e identificar a extensão de uma violação.

Auditoria de mudanças em tempo real

Obtenha informações completas sobre cada tentativa de acesso a arquivos, incluindo detalhes sobre quem tentou qual alteração, em qual arquivo, quando, de onde e se eles foram bem-sucedidos.

Requisito 10.3

Os registros de auditoria são protegidos contra destruição e modificações não autorizadas.

Use FIM ou software de detecção de alterações em logs para garantir que os dados de log existentes não possam ser alterados sem gerar alertas (embora novos dados adicionados não devam causar um alerta).

Implemente FIM ou software de detecção de alterações para verificar alterações em arquivos críticos e enviar notificações quando tais alterações forem observadas.

PCI FIM

Audite todas as tentativas de acesso a arquivos bem-sucedidas e malsucedidas em tempo real. Mantenha uma trilha de auditoria detalhada para análise.

Alertas em tempo real

Acione alertas instantâneos para notificar as partes interessadas quando alterações suspeitas de arquivos forem detectadas.

Respostas automatizadas a incidentes de segurança

Execute respostas automatizadas para minimizar os danos potenciais de um incidente de segurança.

Requisito 10.4

Os logs de auditoria são revisados para identificar anomalias ou atividades suspeitas.

Use mecanismos automatizados para revisar logs periodicamente para identificar problemas potenciais e reduzir o tempo necessário para detectar uma violação potencial.

Entrega programada de relatórios de conformidade com PCI

Entregue relatórios programados para caixas de correio das partes interessadas em formato PDF, HTML, CSV ou XLSX.

Requisito 10.5

Mantenha o histórico do log de auditoria por pelo menos 12 meses, com pelo menos os três meses mais recentes imediatamente disponíveis para análise (por exemplo, on-line, arquivados ou restauráveis de um backup).

Mantenha os logs por pelo menos um ano para que os investigadores tenham um histórico de log suficiente para determinar a duração de uma violação potencial e seu impacto.

Retenção de log de auditoria de longo prazo

Mantenha os dados de auditoria por longos períodos. Você também pode arquivar logs mais antigos e recarregá-los posteriormente para analisar tentativas de acesso ao arquivo.

Requisito 11.5.2

Um mecanismo de detecção de alterações (por exemplo, uma ferramenta FIM) é implantado da seguinte forma:

Alertar o pessoal sobre modificações não autorizadas (incluindo alterações, adições e exclusões) de arquivos críticos.
Realizar comparações de arquivos críticos pelo menos uma vez por semana.
Implementar um processo para responder a quaisquer alertas gerados pela solução de detecção de alterações.

Monitorar alterações em executáveis do sistema, executáveis de aplicativos, arquivos de configuração e parâmetros e muito mais.

FIM

Auditar alterações feitas em binários críticos do aplicativo e do SO, arquivos de configuração, arquivos de aplicativos, arquivos de log e muito mais.

Alertas instantâneos

Notificar os administradores instantaneamente quando alterações anômalas de arquivo forem detectadas.

Resposta personalizada a incidentes

Automatizar arquivos em lote para desligar máquinas, sessões de usuário final e fazer ainda mais.

Requisito A3.2.5.1

Uma metodologia de descoberta de dados é implementada e confirmada da seguinte forma:

Garantir que seus métodos sejam capazes de descobrir PANs de texto não criptografado em todos os tipos de componentes do sistema e formatos de arquivo em uso.
Confirmar a eficácia dos métodos de descoberta de dados pelo menos uma vez a cada 12 meses.

Relatar periodicamente os locais dos dados do titular do cartão em seu ambiente de armazenamento de arquivos.

Identificar dados confidenciais que residem fora do seu CDE definido.

Visibilidade multiplataforma

Detectar dados confidenciais do titular do cartão e PCI em servidores de arquivos Windows, clusters de failover e bancos de dados Microsoft SQL Server.

Descoberta de dados PCI baseada em programação

Descubra dados PCI periodicamente e incrementalmente.

Requisito A3.2.5.2

Os procedimentos de resposta são implementados para serem iniciados após a detecção de PANs de texto não criptografado fora do CDE para incluir:

Determinar o que fazer se PANs de texto não criptografado forem descobertos fora do CDE, incluindo recuperá-los, excluí-los com segurança e/ou migrá-los para o CDE definido atualmente, conforme aplicável.
Determinar como os dados acabaram fora do CDE.
Corrigir vazamentos de dados ou lacunas de processo que resultaram em dados fora do CDE.
Identificar a fonte dos dados.
Identificar se algum dado de rastreamento está armazenado com os PANs.

Executar ações corretivas quando dados confidenciais forem descobertos fora do CDE.

Correção automatizada

Excluir, mover ou gerenciar automaticamente dados confidenciais quando forem encontrados fora do CDE.

Análise de propriedade e acesso

Descubra quem é o proprietário dos dados confidenciais e rastreie todas as ações do usuário no período em análise. Isso ajudará você a determinar como os dados acabaram fora do CDE.

Requisito A3.2.6

Mecanismos são implementados para detectar PANs de texto não criptografado saindo do CDE e evitar que eles façam isso por meio de um canal, método ou processo não autorizado, incluindo a geração de logs de auditoria e alertas após a detecção de PANs de texto não criptografado saindo do CDE.

Procedimentos de resposta são implementados para serem iniciados após a detecção de tentativas de remover PANs de texto simples do CDE por meio de um canal, método ou processo não autorizado.

Implemente soluções de prevenção de perda de dados para detectar e evitar vazamentos por e-mails, mídia removível e impressoras.

Uma plataforma unificada de prevenção de vazamento de dados

Classifique arquivos confidenciais e evite seu vazamento por meio de dispositivos de armazenamento externo, Outlook e impressoras.

Controle de uso de dispositivos periféricos

Restrinja o uso de dispositivos USB, pontos de acesso sem fio e unidades de CD e DVD usando políticas de controle de dispositivos centrais para proteger contra exfiltração de dados.

Requisito A3.5.1

Uma metodologia é implementada para a identificação rápida de padrões de ataque e comportamento indesejável em todos os sistemas — por exemplo, usando ferramentas de correlação de log gerenciadas centralmente ou automatizadas — para incluir pelo menos o seguinte:

A identificação de anomalias ou atividades suspeitas conforme ocorrem
A emissão rápida de alertas para o pessoal responsável após a detecção de atividades suspeitas ou anomalias
Respostas a alertas de acordo com procedimentos de resposta documentados

Configure uma solução que possa identificar eventos indesejáveis — como alterações críticas de arquivos e intrusões — e notificar os administradores instantaneamente.

Detecção de anomalias

Identifique anomalias na atividade do usuário, como tentativas de acesso a arquivos após o horário comercial ou um número excessivo de tentativas de acesso com falha.

Alertas rápidos

Configure alertas para alterações injustificadas em arquivos críticos, descoberta de dados confidenciais fora do CDE e muito mais.

Detecção e resposta a ameaças

Detecte intrusões de ransomware e execute scripts para colocar máquinas infectadas em quarentena e impedir a disseminação de malware.

Aviso:A conformidade total com o PCI DSS v4.0 requer uma variedade de soluções, processos, pessoas e tecnologias. Esta página é fornecida apenas para fins informativos e não deve ser considerada como aconselhamento jurídico para conformidade com o PCI DSS. A ManageEngine não oferece garantias, expressas, implícitas ou estatutárias, sobre as informações neste material.

Garanta a segurança dos dados e esteja em conformidade com o

O DataSecurity Plus ajuda a atender aos requisitos de vários regulamentos de conformidade ao proteger dados em repouso, em uso e em movimento.

Você está procurando uma solução SIEM unificada que também tenha recursos DLP integrados? Experimente o Log360 hoje mesmo!

Teste gratuito de 30 dias

Conformidade com SOX, PCI, DSS usando DataSecurity Plus