sexta-feira, 29 de outubro de 2010

PCI Security Standards Council Releases PCI DSS 2.0 and PA-DSS 2.0

Ontem foi o lançamento da versão 2.0 do PCI DSS e do PA-DSS. A versão 2.0 do PCI DSS melhorou o entedimento de alguns requisitos e incorporou apenas um novo ítem que se tornará exigência somente em 2012.

Segue uma lista de algumas mudanças:

- Melhor alinhamento com os requisitos do PA-DSS
- Enfatiza que o ambiente de dados do portador do cartão é composto por pessoas, processos e tecnologia
- WPA não é mais aceito para segurança de redes sem fio
- Recomenda-se usar um ranking de vulnerabilidades de acordo com o risco para o ambiente (em 30/06 de 2012 passa a ser um requisito).
- Em ambientes virtualizados, deverá ser identificado e considerado no escopo de avaliação todas as máquinas virtuais presentes no mesmo servidor de virtualização, além do próprio servidor (Hypervisor).

No requisito 12.1.2 o PCI Council pisou na bola e incluiu a ISO 27005 como exemplo de metodologia para análise de risco.

Isto é um grande equívoco, pois a ISO 27005 fornece apenas diretrizes para o processo de gestão de riscos, conforme previsto na ISO 27001.

As documentações oficiais estão disponíveis no link abaixo:

https://www.pcisecuritystandards.org/services_professionals/

Um comentário:

  1. Caro, estou baixando seu toolkit para testar, após uma vasta busca pela internet.

    Apesar de estarmos hoje no PCI DSS 3.0, acredito que esta ferramenta será de grande valia.

    Para nós auditores e avaliadores é difícil encontrar ferramentas open source para estes tipos de trabalho, então, desde já, meus parabéns.

    ResponderExcluir