O documento a seguir detalha como o Endpoint Central pode ajudar as empresas a cumprir determinados requisitos de conformidade do PCI DSS. Para conhecer a lista detalhada de todos os produtos Zoho/ManageEngine que estão em conformidade com o PCI DSS e outros padrões regulatórios, consulte a Conformidade na Zoho.
O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) foi desenvolvido para incentivar e melhorar a segurança de dados de contas de cartões de pagamento, facilitando a adoção ampla de medidas consistentes de segurança de dados em todo o mundo. O PCI DSS fornece uma linha de base dos requisitos técnicos e operacionais projetados para proteger os dados da conta. Embora elaborado especificamente para se concentrar em ambientes com dados de contas de cartões de pagamento, o PC IDSS também pode ser usado para protegê-lo contra ameaças e de outros elementos no ecossistema de pagamento.
De acordo com o PCI DSS, há 12 requisitos diferentes relacionados à segurança dos dados do titular do cartão. Todas as empresas que aceitam, armazenam, processam ou transmitem informações de cartões online ou offline devem cumprir os requisitos. Consulte o resumo a seguir.
Visão geral do PCI DSS
Requisito | Descrição do requisito |
---|---|
Construir e manter redes e sistemas seguros |
|
Proteja os dados da conta |
|
Manter um programa de gerenciamento de vulnerabilidades |
|
Implementar medidas fortes de controle de acesso |
|
Monitore e teste redes regularmente |
|
Manter uma política de segurança da informação |
|
Requisitos do PCI DSS 4.0 atendidos pelo Endpoint Central
Vamos ver como as empresas podem usar o ManageEngine Endpoint Central, a solução de gerenciamento de dispositivos móveis e de desktop, para atender aos requisitos do PCI DSS. Este documento ajudará a equipe de TI a entender o Endpoint Central da ManageEngine e como ele pode ajudar a atender aos requisitos do PCI DSS.
A tabela a seguir descreve os requisitos de controle do PCI DSS que são atendidos pelo Endpoint Central. A descrição dos requisitos listados foi retirada do site do PCI Security Standards Council: https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf
Note: Os requisitos marcados com # podem ser atendidos com os recursos avançados exclusivos da edição de segurança do Endpoint Central.
Requisito | Descrição do requisito | Como o Endpoint Central atende aos requisitos? |
---|---|---|
1.2.6 (#) | Recursos de segurança são definidos e implementados para todos os serviços, protocolos e portas que estão sendo utilizados e são considerados inseguros, de maneira que o risco seja mitigado. | Com suas capacidades de avaliação de ameaças, o Endpoint Central identifica pontos de entrada vulneráveis (portas, softwares vulneráveis etc.) na sua rede e aplica correções para esses pontos.
|
1.3.2 (#) | O tráfego de saída do CDE é restrito da seguinte maneira:
| As técnicas avançadas de prevenção de perda de dados do Endpoint Central, juntamente com sua solução eficaz de proteção de e-mails e upload em nuvem, restringem o compartilhamento de dados críticos da empresa apenas a domínios confiáveis, seja por e-mail ou upload em nuvem.
|
1.5.1 (#) | Os controles de segurança são implementados em todos os dispositivos de computação, incluindo dispositivos de propriedade da empresa e de funcionários, que se conectam a redes não confiáveis (incluindo a Internet) e ao CDE da seguinte forma:
| Usando o módulo de controle de dispositivos do Endpoint Central, a estratégia de Zero Trust pode ser implementada e até mesmo automatizada para garantir a proteção e restrição ideais de todos os dados de endpoints de dispositivos periféricos não aprovados. O Endpoint Central também possibilita que você implante várias políticas de segurança e configurações em máquinas de usuários finais, para impor restrições que determinam se eles estão autorizados a conectar dispositivos USB externos ou se conectar a redes não confiáveis. Consulte: Segurança Zero Trust (#) Proteção de dispositivos USB Políticas de segurança |
2.2.1 (#) | Os padrões de configuração são desenvolvidos, implementados e mantidos para:
| O Endpoint Central permite identificar superfícies de ataque vulneráveis na rede e aplicar as etapas de remediação necessárias nas máquinas do agente. O processo de aplicação de patches pode ser agendado pelo administrador com base na gravidade da vulnerabilidade detectada. Consulte: Implantação automatizada de patches (#) Obtenha a conformidade com o CIS (#) |
2.2.2 | As contas padrão do fornecedor são gerenciadas da seguinte maneira:
| Ao usar o Endpoint Central, políticas rigorosas de senha podem ser aplicadas às máquinas do usuário final. Contas que não estão sendo utilizadas podem ser removidas. Consulte: Política de senhas |
2.2.4 (#) | Somente serviços, protocolos, daemons e funções necessários são habilitados, enquanto todas as funcionalidades desnecessárias são removidas ou desabilitadas. | Configurações de bloqueio baseadas em políticas, parte do módulo de controle da aplicação, ajudam na segurança restringindo processos desnecessários. Configurações seguras, como proteção de dispositivos USB, gerenciamento de permissões, políticas de segurança e configurações de firewall podem ser aplicadas usando o Endpoint Central. Consulte: Bloqueio de aplicações (#) Segurança de dispositivos USB Políticas de segurança |
2.2.6 | Os parâmetros de segurança do sistema são configurados para evitar o uso indevido. | Os parâmetros de segurança, como configurações de registro, conta, arquivo, permissões de diretório e configurações para funções, portas, protocolos e conexões remotas podem ser modificados aplicando as configurações correspondentes do Endpoint Central.
|
5.3.3 (#) | Realiza varreduras automáticas quando a mídia é inserida, conectada ou montada logicamente. | Um processo de varredura automatizada é acionado sempre que qualquer dispositivo periférico tenta se conectar a um endpoint, seja por meio de uma conexão física ou via Bluetooth, e realiza a varredura de auditoria com base na política criada.
|
6.3.1 (#) | As vulnerabilidades de segurança são identificadas e gerenciadas da seguinte maneira:
| O Endpoint Central identifica vulnerabilidades de segurança na rede, listando-as de acordo com a prioridade em que devem ser tratadas. Em seguida, correções podem então acionadas a partir do console do produto.
|
6.3.3 | Todos os componentes do sistema são protegidos contra vulnerabilidades conhecidas pela instalação de patches/atualizações de segurança aplicáveis, da seguinte maneira:
| Usando suas capacidades de avaliação de vulnerabilidades e remediação, o Endpoint Central assegura que todos os sistemas na rede estejam totalmente protegidos contra ameaças críticas. A funcionalidade de Implantação Automática de Patches (APD) concede aos administradores de sistemas a capacidade de atualizar quaisquer ou todos os patches faltantes sem intervenção humana automaticamente. Consulte: |
7.2.1 (#) | Os menores privilégios necessários (por exemplo, usuário, administrador) para realizar uma função de trabalho. | O recurso de PoLP (Princípio do Menor Privilégio) incluído no módulo de controle de aplicações oferece suporte ao conceito de reduzir muitos privilégios para o mínimo necessário para realizar a função. Esse recurso não se restringe aos usuários, pois sistemas, aplicações e serviços são beneficiados por ele.
|
8.2.3 | Requisitos adicionais apenas para provedores de serviços: Os provedores de serviços com acesso remoto às instalações do cliente utilizam fatores de autenticação exclusivos para cada instalação do cliente. | Quando o Endpoint Central é utilizado para assumir o controle remoto de um sistema, uma chave de autenticação única será criada e utilizada e vai expirar imediatamente depois. |
8.2.6 | Contas de usuários inativas são removidas ou desativadas dentro de 90 dias de inatividade. | O Endpoint Central permite que os administradores de TI encontrem as contas de usuário inativas e as removam.
|
8.2.8 | Caso uma sessão de usuário estiver inativa por mais de 15 minutos, o usuário precisará autenticar-se novamente para reativar o terminal ou sessão. | Com sua configuração de gerenciamento de energia, o Endpoint Central pode configurar as máquinas do usuário final para realizar várias atividades, como diminuir o brilho ou desligar a tela, solicitar que o usuário que digite a senha quando o computador retorna do modo de hibernação etc.
|
8.3.1 | Todo acesso de usuários e administradores aos componentes do sistema é autenticado por pelo menos um dos seguintes fatores de autenticação:
| O Endpoint Central pode ajudar a criar e configurar senhas fortes para proteger dispositivos e impedir que invasores acessem os endpoints da organização.
|
8.3.4 (#) | As tentativas de autenticação inválidas são limitadas por:
| As funcionalidades de gerenciamento de vulnerabilidades do Endpoint Central permitem que o administrador de TI especifique o número permitido de tentativas de senha antes de restringir a conta, visando evitar o acesso não autorizado. Consulte: Duração do bloqueio da conta (#) |
8.3.7 | Indivíduos não estão autorizados a enviar uma nova senha/passphrase que seja igual a alguma das últimas quatro senhas/passphrases utilizadas. | As capacidades de gerenciamento de dispositivos móveis do Endpoint Central permitem que vários códigos de acesso sejam mantidos no histórico, o que significa que um administrador de TI pode especificar o número de senhas anteriores a serem mantidas, para que os usuários não as reutilizem. Consulte: |
8.3.9 | Se senhas/passphrases forem utilizadas como o único fator de autenticação para acesso do usuário (ou seja, em qualquer implementação de autenticação de único fator), então: • As senhas/passphrases são alteradas pelo menos uma vez a cada 90 dias, OR • A postura de segurança das contas é analisada dinamicamente, e o acesso em tempo real aos recursos é determinado automaticamente. | As funcionalidades de MDM do Endpoint Central podem ser utilizadas para configurar políticas de senha que permitem estabelecer determinadas características da senha, como seu comprimento, idade máxima do código de acesso etc. Você também pode gerar um relatório personalizado com os detalhes dos usuários cujas senhas estão prestes a expirar. Consulte: |
9.2.3 (#) | Segurança física adequada no acesso a componentes e dispositivos sem fio. | Utilizando o módulo de controle de dispositivos, a segurança adequada pode ser concedida aos dispositivos, de acordo com seu tipo e uso. Isso abrange desde a proteção de portas USB até a conexão sem fio para dispositivos Bluetooth.
|
9.4.1 (#) | Os controles para proteção física da mídia visam impedir que pessoas não autorizadas tenham acesso aos dados do titular do cartão em qualquer mídia. Os dados do titular do cartão estão suscetíveis à visualização, cópia ou varredura não autorizadas se estiverem desprotegidos enquanto estiverem em uma mídia removível ou portátil, impressos ou deixados na mesa de alguém. | Quando os dados são identificados e categorizados como informações sensíveis contendo detalhes relevantes para o PCI, o Endpoint Central, com suas técnicas de prevenção de perda de dados, restringe que os dados críticos da empresa sejam expostos ou vazados por dispositivos de armazenamento removíveis, ou impressos ou copiados, usando a abordagem de área de transferência.
|
9.4.2 (#) | Todas as mídias com dados do titular do cartão são classificadas de acordo com a sensibilidade das informações. | Com as regras de dados simplificadas, mas eficazes do Endpoint Central, a identificação de dados críticos para empresas contendo códigos bancários, números de roteamento ABA, IBAN (International Bank Account Numbers) e números de cartão de crédito agora é mais eficaz e precisa.
|
12.3.4 (#) | As tecnologias de hardware e software utilizadas são revisadas pelo menos uma vez a cada 12 meses, incluindo pelo menos o seguinte:
| O Endpoint Central monitora a rede da entidade constantemente em busca do EOL de um software e pode aplicar correções de segurança quando necessário.
|
12.5.1 (#) | Um inventário dos componentes do sistema que estão no escopo do PCI DSS, incluindo uma descrição da função/uso, é mantido e atualizado. | O Endpoint Central mantém um inventário de ativos de TI com detalhes mapeados para os respectivos componentes de TI. Combinado com suas técnicas avançadas de prevenção de perda de dados, o Endpoint Central protege dados sensíveis contra o número crescente de vetores de ameaças.
|
A essência da conformidade com o PCI DSS é que os fornecedores devem demonstrar medidas de segurança rigorosas para sistemas e processos visando proteger as informações do titular do cartão. Há várias desvantagens de não seguir os requisitos do PCI DSS. A marca e a reputação de uma empresa podem sofrer e ele pode ter que pagar penalidades pesadas caso uma violação de dados afetar os dados do cartão de pagamento de qualquer cliente.
O Endpoint Central ajuda as empresas a se manterem em conformidade com o PCI DSS. Ele facilita o monitoramento e gerenciamento de sistemas e dispositivos móveis e fornece relatórios em um nível granular.