O documento a seguir detalha como o Endpoint Central pode ajudar as empresas a cumprir determinados requisitos de conformidade do PCI DSS. Para conhecer a lista detalhada de todos os produtos Zoho/ManageEngine que estão em conformidade com o PCI DSS e outros padrões regulatórios, consulte a Conformidade na Zoho.

 

Garantindo a conformidade do Endpoint Central ao Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS)

O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) foi desenvolvido para incentivar e melhorar a segurança de dados de contas de cartões de pagamento, facilitando a adoção ampla de medidas consistentes de segurança de dados em todo o mundo. O PCI DSS fornece uma linha de base dos requisitos técnicos e operacionais projetados para proteger os dados da conta. Embora elaborado especificamente para se concentrar em ambientes com dados de contas de cartões de pagamento, o PC IDSS também pode ser usado para protegê-lo contra ameaças e de outros elementos no ecossistema de pagamento.

De acordo com o PCI DSS, há 12 requisitos diferentes relacionados à segurança dos dados do titular do cartão. Todas as empresas que aceitam, armazenam, processam ou transmitem informações de cartões online ou offline devem cumprir os requisitos. Consulte o resumo a seguir.

Visão geral do PCI DSS

RequisitoDescrição do requisito
Construir e manter redes e sistemas seguros
  • Instalar e manter controles de segurança de rede.
  • Aplicar configurações seguras a todos os componentes do sistema.
Proteja os dados da conta
  • Proteja os dados da conta armazenada.
  • Proteja os dados do titular do cartão com criptografia forte durante a transmissão por redes públicas e abertas.
Manter um programa de gerenciamento de vulnerabilidades
  • Proteja todos os sistemas e redes de software malicioso.
  • Desenvolva e mantenha sistemas e software seguros.
Implementar medidas fortes de controle de acesso
  • Restrinja o acesso aos componentes do sistema e aos dados do titular do cartão conforme a necessidade comercial.
  • Identifique os usuários e autentique o acesso aos componentes do sistema.
  • Restrinja o acesso físico aos dados do titular do cartão.
Monitore e teste redes regularmente
  • Registre e monitore todo o acesso aos componentes do sistema e aos Dados do titular do cartão.
  • Teste a segurança dos sistemas e redes regularmente.
Manter uma política de segurança da informação
  • Apoiar a segurança da informação com políticas e programas organizacionais

Requisitos do PCI DSS 4.0 atendidos pelo Endpoint Central

Vamos ver como as empresas podem usar o ManageEngine Endpoint Central, a solução de gerenciamento de dispositivos móveis e de desktop, para atender aos requisitos do PCI DSS. Este documento ajudará a equipe de TI a entender o Endpoint Central da ManageEngine e como ele pode ajudar a atender aos requisitos do PCI DSS.

A tabela a seguir descreve os requisitos de controle do PCI DSS que são atendidos pelo Endpoint Central. A descrição dos requisitos listados foi retirada do site do PCI Security Standards Council: https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf

Note: Os requisitos marcados com # podem ser atendidos com os recursos avançados exclusivos da edição de segurança do Endpoint Central.

RequisitoDescrição do requisitoComo o Endpoint Central atende aos requisitos?
1.2.6 (#)Recursos de segurança são definidos e implementados para todos os serviços, protocolos e portas que estão sendo utilizados e são considerados inseguros, de maneira que o risco seja mitigado.

Com suas capacidades de avaliação de ameaças, o Endpoint Central identifica pontos de entrada vulneráveis (portas, softwares vulneráveis etc.) na sua rede e aplica correções para esses pontos.


Consulte: 
Controle de dispositivos para auditorias de portas (#)
Auditoria de software (#)

1.3.2 (#)

O tráfego de saída do CDE é restrito da seguinte maneira:

  • Para trafegar somente o necessário.
  • Qualquer outro tráfego é especificamente negado.

As técnicas avançadas de prevenção de perda de dados do Endpoint Central, juntamente com sua solução eficaz de proteção de e-mails e upload em nuvem, restringem o compartilhamento de dados críticos da empresa apenas a domínios confiáveis, seja por e-mail ou upload em nuvem.


Consulte: 
Segurança de e-mails (#)
Proteção na nuvem (#)

1.5.1 (#)

Os controles de segurança são implementados em todos os dispositivos de computação, incluindo dispositivos de propriedade da empresa e de funcionários, que se conectam a redes não confiáveis (incluindo a Internet) e ao CDE da seguinte forma:

  • Configurações específicas são definidas para evitar que ameaças sejam introduzidas na rede da entidade.
  • Os controles de segurança estão em execução ativamente.
  • Os controles de segurança não podem ser alterados pelos usuários dos dispositivos de computação, a menos que sejam especificamente documentados e autorizados pela administração caso a caso, por um período limitado.
Usando o módulo de controle de dispositivos do Endpoint Central, a estratégia de Zero Trust pode ser implementada e até mesmo automatizada para garantir a proteção e restrição ideais de todos os dados de endpoints de dispositivos periféricos não aprovados. O Endpoint Central também possibilita que você implante várias políticas de segurança e configurações em máquinas de usuários finais, para impor restrições que determinam se eles estão autorizados a conectar dispositivos USB externos ou se conectar a redes não confiáveis.

Consulte:
Segurança Zero Trust (#)
Proteção de dispositivos USB 
Políticas de segurança
2.2.1 (#)

Os padrões de configuração são desenvolvidos, implementados e mantidos para:

  • Cobrir todos os componentes do sistema.
  • Resolver todas as vulnerabilidades de segurança conhecidas.
  • Serem consistentes com os padrões de proteção do sistema aceitos pelo setor ou com as recomendações de proteção do fornecedor.
  • Serem atualizados, conforme novos problemas de vulnerabilidade forem identificados conforme definido no Requisito 6.3.1.
  • Serem aplicados quando novos sistemas são configurados e verificados como existentes antes ou imediatamente após um componente do sistema ser conectado a um ambiente de produção.
O Endpoint Central permite identificar superfícies de ataque vulneráveis na rede e aplicar as etapas de remediação necessárias nas máquinas do agente. O processo de aplicação de patches pode ser agendado pelo administrador com base na gravidade da vulnerabilidade detectada.

Consulte:
Implantação automatizada de patches (#)
Obtenha a conformidade com o CIS (#)
2.2.2

As contas padrão do fornecedor são gerenciadas da seguinte maneira:

  • Caso a(s) conta(s) padrão do fornecedor for(em) utilizada(s), a senha padrão é alterada de acordo com os requisitos 8.3.6.
  • Caso a(s) conta(s) padrão do fornecedor não for(em) utilizada(s), a conta será removida ou desativada.

Ao usar o Endpoint Central, políticas rigorosas de senha podem ser aplicadas às máquinas do usuário final. Contas que não estão sendo utilizadas podem ser removidas.

Consulte:

Política de senhas 
Gerenciamento de usuários 
Relatório de status da conta do usuário

2.2.4 (#)Somente serviços, protocolos, daemons e funções necessários são habilitados, enquanto todas as funcionalidades desnecessárias são removidas ou desabilitadas.Configurações de bloqueio baseadas em políticas, parte do módulo de controle da aplicação, ajudam na segurança restringindo processos desnecessários. Configurações seguras, como proteção de dispositivos USB, gerenciamento de permissões, políticas de segurança e configurações de firewall podem ser aplicadas usando o Endpoint Central.

Consulte:
Bloqueio de aplicações (#)
Segurança de dispositivos USB 
Políticas de segurança
2.2.6Os parâmetros de segurança do sistema são configurados para evitar o uso indevido.

Os parâmetros de segurança, como configurações de registro, conta, arquivo, permissões de diretório e configurações para funções, portas, protocolos e conexões remotas podem ser modificados aplicando as configurações correspondentes do Endpoint Central.


Consulte: 
Configuração das opções de registro

5.3.3 (#)Realiza varreduras automáticas quando a mídia é inserida, conectada ou montada logicamente.

Um processo de varredura automatizada é acionado sempre que qualquer dispositivo periférico tenta se conectar a um endpoint, seja por meio de uma conexão física ou via Bluetooth, e realiza a varredura de auditoria com base na política criada.


Consulte: 
Varredura e auditoria de dispositivos (#)

6.3.1 (#)

As vulnerabilidades de segurança são identificadas e gerenciadas da seguinte maneira:
 

  • Novas vulnerabilidades de segurança são identificadas usando fontes reconhecidas pelo setor para informações sobre vulnerabilidades de segurança, incluindo alertas de equipes internacionais e nacionais de resposta a emergências de computadores (CERTs).
  • As vulnerabilidades recebem uma classificação de risco com base nas melhores práticas do setor e consideração do impacto potencial.
  • As classificações de risco identificam pelo menos todas as vulnerabilidades consideradas de alto risco ou críticas para o ambiente.
  • Vulnerabilidades para softwares personalizados, sob medida e de terceiros (por exemplo, sistemas operacionais e bancos de dados) são cobertas.

O Endpoint Central identifica vulnerabilidades de segurança na rede, listando-as de acordo com a prioridade em que devem ser tratadas. Em seguida, correções podem então acionadas a partir do console do produto.


Consulte: 
Gerenciamento de vulnerabilidades (#)

6.3.3

Todos os componentes do sistema são protegidos contra vulnerabilidades conhecidas pela instalação de patches/atualizações de segurança aplicáveis, da seguinte maneira:

  • As atualizações críticas ou de alta segurança (identificadas de acordo com o processo de classificação de riscos no Requisito 6.3.1) são instaladas em até um mês após a atualização ser lançada.
  • Todos os outros patches/atualizações de segurança aplicáveis são instalados em um prazo adequado determinado pela entidade (por exemplo, dentro de três meses após a atualização).

Usando suas capacidades de avaliação de vulnerabilidades e remediação, o Endpoint Central assegura que todos os sistemas na rede estejam totalmente protegidos contra ameaças críticas.

A funcionalidade de Implantação Automática de Patches (APD) concede aos administradores de sistemas a capacidade de atualizar quaisquer ou todos os patches faltantes sem intervenção humana automaticamente.

Consulte: 
Processo de implantação de patches

7.2.1 (#)Os menores privilégios necessários (por exemplo, usuário, administrador) para realizar uma função de trabalho.

O recurso de PoLP (Princípio do Menor Privilégio) incluído no módulo de controle de aplicações oferece suporte ao conceito de reduzir muitos privilégios para o mínimo necessário para realizar a função. Esse recurso não se restringe aos usuários, pois sistemas, aplicações e serviços são beneficiados por ele.


Consulte: 
Gerenciamento de privilégios (#)

8.2.3Requisitos adicionais apenas para provedores de serviços: Os provedores de serviços com acesso remoto às instalações do cliente utilizam fatores de autenticação exclusivos para cada instalação do cliente.Quando o Endpoint Central é utilizado para assumir o controle remoto de um sistema, uma chave de autenticação única será criada e utilizada e vai expirar imediatamente depois.
 
8.2.6Contas de usuários inativas são removidas ou desativadas dentro de 90 dias de inatividade.

O Endpoint Central permite que os administradores de TI encontrem as contas de usuário inativas e as removam.


Consulte: 
Gerenciamento de usuários 
Relatórios de usuários do Active Directory

8.2.8Caso uma sessão de usuário estiver inativa por mais de 15 minutos, o usuário precisará autenticar-se novamente para reativar o terminal ou sessão.

Com sua configuração de gerenciamento de energia, o Endpoint Central pode configurar as máquinas do usuário final para realizar várias atividades, como diminuir o brilho ou desligar a tela, solicitar que o usuário que digite a senha quando o computador retorna do modo de hibernação etc.


Consulte:
Gerenciamento de energia

8.3.1

Todo acesso de usuários e administradores aos componentes do sistema é autenticado por pelo menos um dos seguintes fatores de autenticação:

  • Algo que você conhece, como uma senha ou palavra-chave.
  • Algo que você tem, como um token ou smart card.
  • Algo que você é, como um elemento biométrico.

O Endpoint Central pode ajudar a criar e configurar senhas fortes para proteger dispositivos e impedir que invasores acessem os endpoints da organização.


Consulte:
Política de senhas 
Perfis MDM para senhas

8.3.4 (#)

As tentativas de autenticação inválidas são limitadas por:

  • Bloqueio do ID do usuário após no máximo 10 tentativas.
  • Definição da duração do bloqueio para um mínimo de 30 minutos ou até que a identidade do usuário seja confirmada.
As funcionalidades de gerenciamento de vulnerabilidades do Endpoint Central permitem que o administrador de TI especifique o número permitido de tentativas de senha antes de restringir a conta, visando evitar o acesso não autorizado.

Consulte: 
Duração do bloqueio da conta (#)
8.3.7Indivíduos não estão autorizados a enviar uma nova senha/passphrase que seja igual a alguma das últimas quatro senhas/passphrases utilizadas.

As capacidades de gerenciamento de dispositivos móveis do Endpoint Central permitem que vários códigos de acesso sejam mantidos no histórico, o que significa que um administrador de TI pode especificar o número de senhas anteriores a serem mantidas, para que os usuários não as reutilizem.

Consulte: 
Senha MDM do Windows

8.3.9Se senhas/passphrases forem utilizadas como o único fator de autenticação para acesso do usuário (ou seja, em qualquer implementação de autenticação de único fator), então:
• As senhas/passphrases são alteradas pelo menos uma vez a cada 90 dias,
OR
• A postura de segurança das contas é analisada dinamicamente, e o acesso em tempo real aos recursos é determinado automaticamente.

As funcionalidades de MDM do Endpoint Central podem ser utilizadas para configurar políticas de senha que permitem estabelecer determinadas características da senha, como seu comprimento, idade máxima do código de acesso etc. Você também pode gerar um relatório personalizado com os detalhes dos usuários cujas senhas estão prestes a expirar.

Consulte: 
Senha do Windows

9.2.3 (#)Segurança física adequada no acesso a componentes e dispositivos sem fio.

Utilizando o módulo de controle de dispositivos, a segurança adequada pode ser concedida aos dispositivos, de acordo com seu tipo e uso. Isso abrange desde a proteção de portas USB até a conexão sem fio para dispositivos Bluetooth.


Consulte: 
Segurança de dispositivos (#)

9.4.1 (#)Os controles para proteção física da mídia visam impedir que pessoas não autorizadas tenham acesso aos dados do titular do cartão em qualquer mídia. Os dados do titular do cartão estão suscetíveis à visualização, cópia ou varredura não autorizadas se estiverem desprotegidos enquanto estiverem em uma mídia removível ou portátil, impressos ou deixados na mesa de alguém.

Quando os dados são identificados e categorizados como informações sensíveis contendo detalhes relevantes para o PCI, o Endpoint Central, com suas técnicas de prevenção de perda de dados, restringe que os dados críticos da empresa sejam expostos ou vazados por dispositivos de armazenamento removíveis, ou impressos ou copiados, usando a abordagem de área de transferência.


Consulte: 
Controle de dispositivos (#) 
Ameaças internas (#)

9.4.2 (#)Todas as mídias com dados do titular do cartão são classificadas de acordo com a sensibilidade das informações.

Com as regras de dados simplificadas, mas eficazes do Endpoint Central, a identificação de dados críticos para empresas contendo códigos bancários, números de roteamento ABA, IBAN (International Bank Account Numbers) e números de cartão de crédito agora é mais eficaz e precisa.


Consulte: 
Descoberta de dados (#) 
Classificação de dados (#)

12.3.4 (#)

As tecnologias de hardware e software utilizadas são revisadas pelo menos uma vez a cada 12 meses, incluindo pelo menos o seguinte:

  • Análise de que as tecnologias continuam recebendo correções de segurança dos fornecedores prontamente.
  • Análise de que as tecnologias continuam oferecendo suporte (e não impedem) à conformidade da entidade com o PCI DSS.
  • Documentação de quaisquer anúncios ou tendências do setor relacionadas a uma tecnologia, como quando um fornecedor anuncia planos de “fim de vida” para uma tecnologia.
  • Documentação de um plano, aprovado pela alta administração, para remediar tecnologias desatualizadas, incluindo aquelas para as quais os fornecedores anunciaram planos de "fim de vida".

O Endpoint Central monitora a rede da entidade constantemente em busca do EOL de um software e pode aplicar correções de segurança quando necessário.


Consulte: 
Auditoria de software de fim de vida útil (#)

12.5.1 (#)Um inventário dos componentes do sistema que estão no escopo do PCI DSS, incluindo uma descrição da função/uso, é mantido e atualizado.

O Endpoint Central mantém um inventário de ativos de TI com detalhes mapeados para os respectivos componentes de TI. Combinado com suas técnicas avançadas de prevenção de perda de dados, o Endpoint Central protege dados sensíveis contra o número crescente de vetores de ameaças.


Consulte: 
Varredura, gerenciamento e proteção de dados (#)
Gerenciamento de inventário

A essência da conformidade com o PCI DSS é que os fornecedores devem demonstrar medidas de segurança rigorosas para sistemas e processos visando proteger as informações do titular do cartão. Há várias desvantagens de não seguir os requisitos do PCI DSS. A marca e a reputação de uma empresa podem sofrer e ele pode ter que pagar penalidades pesadas caso uma violação de dados afetar os dados do cartão de pagamento de qualquer cliente.

O Endpoint Central ajuda as empresas a se manterem em conformidade com o PCI DSS. Ele facilita o monitoramento e gerenciamento de sistemas e dispositivos móveis e fornece relatórios em um nível granular.

Empresas que confiam

Solução Unificada de Gerenciamento e Segurança de Endpoints
  • » Processo de Gerenciamento de Patch
  • » Gerenciamento de Patches do Windows
  • » Gerenciamento de Patches do Mac
  • » Gerenciamento de Patches Linux
  • » Implantação de Patch
  • » Implantando patches que não são da Microsoft
  • » Atualização de antivírus
  • » Gerenciamento de Patches de Terceiros
  • » Atualizações do Windows
  • » Implantação do Service Pack
  • » Relatórios de gerenciamento de patches
  • » Repositório de Software
  • » Instalação de software
  • » Implantação de software do Windows
  • » Implantação de Software Mac
  • » Portal de Autoatendimento
  • » Processo de Gestão de Ativos de TI
  • » Medição de software
  • » Gerenciamento de garantia
  • » Conformidade de licença de software
  • » Software Proibido
  • » Aplicação de Blocos
  • » Ativos de Software
  • » Ativos de hardware
  • » Rastreamento de Software
  • » Gerenciamento de dispositivos móveis para dispositivos iOS
  • » Gerenciamento de dispositivos móveis para Android
  • » Gerenciamento de dispositivos móveis para Windows
  • » Gerenciamento de aplicações móveis (MAM)
  • » Traga seu próprio dispositivo (BYOD)
  • » Compartilhamento remoto da área de trabalho
  • » Ferramenta Shutdown & Wake On
  • » Ferramenta de bate-papo
  • » Verificar disco e limpar disco
  • » Script personalizado
  • » Gerenciamento de dispositivos USB
  • » Gerenciamento de energia
  • » Gerenciamento de vulnerabilidades e mitigação de ameaças
  • » Segurança de browser
  • » Controle de dispositivos
  • » Controle de aplicações
  • »Gerenciamento do BitLocker
  • » Métodos de implantação avançados e automatizados
  • » Implantação Independente de Hardware
  • » Imaginação de disco moderno
  • » Migração do Windows 10
  • » Implantação remota de SO
  • » Personalizar a implantação do SO