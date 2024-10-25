A versão mais recente do PCI DSS (v4.0) foi lançada em março de 2022. Ele lista esses 12 requisitos para proteger os dados do titular do cartão. As organizações devem implementar esses requisitos até 31 de março de 2025 para alcançar a conformidade.

Instalar e manter controles de segurança de rede

Os controles de segurança de rede (NSCs) podem incluir firewalls, dispositivos virtuais, sistemas de contêiner, sistemas de segurança na nuvem e outras tecnologias que controlam o acesso a sistemas e dados.

Aplicar configurações seguras a todos os componentes do sistema

Senhas padrão e outras configurações padrão do sistema oferecidas pelos fornecedores não devem ser usadas, pois são vulneráveis a ataques cibernéticos.

Proteja os dados armazenados do titular do cartão

A menos que seja necessário para as necessidades comerciais, as organizações não devem armazenar dados do titular do cartão. Se for armazenado, deve ser tornado ilegível por meio de criptografia, mascaramento ou outros meios.

Proteja os dados do titular do cartão com criptografia forte durante a transmissão em redes públicas abertas

Para evitar que hackers acessem informações confidenciais, como números de cartão e informação de identificação pessoal (PII), os dados devem ser criptografados antes e/ou durante as transmissões de rede pública.

Proteja todos os sistemas e redes contra software malicioso

Mantenha software antivírus e outras defesas contra malware, como spyware, keyloggers, ransomware, scripts e outros vírus.

Desenvolva e mantenha sistemas e software seguros

Ao aplicar as correções de segurança mais recentes e seguir práticas seguras ao desenvolver aplicativos, as organizações podem ajudar a minimizar o risco de violações de dados.

Restrinja o acesso a componentes de sistemas e dados de titulares de cartão de acordo com a necessidade da empresa

Medidas robustas de controle de acesso devem garantir que os usuários autorizados vejam somente as informações do titular do cartão necessárias para realizar seus trabalhos.

Identifique usuários e autentique o acesso aos componentes do sistema

Um ID exclusivo com dados de autenticação rastreáveis deve ser atribuído a cada pessoa com acesso por computador a sistemas e dados confidenciais.

Restringir o acesso físico aos dados do titular do cartão

Para evitar que pessoas não autorizadas removam hardware ou cópias impressas contendo dados do titular do cartão, o acesso físico aos sistemas deve ser restrito.

Registre e monitore todo o acesso aos componentes do sistema e aos dados do titular do cartão

A capacidade de automatizar o registro e o monitoramento de sistemas e dados confidenciais pode ajudar a detectar atividades suspeitas e dar suporte à análise forense após uma violação.

Teste a segurança de sistemas e redes regularmente

Como os cibercriminosos buscam constantemente novas vulnerabilidades em ambientes de TI em constante mudança, os testes de penetração e as verificações de vulnerabilidades devem ser realizados regularmente.

Apoie a segurança da informação com políticas e programas organizacionais

As organizações devem criar uma política abrangente de segurança da informação que descreva procedimentos para identificar e gerenciar riscos, educação contínua de conscientização sobre segurança e conformidade com o PCI DSS.