Padro de Segurana de Dados do

Setor de Cartes de Pagamento (PCI)

Resumo de Alteraes da Verso 1.2.1 para a 2.0 do PCI-DSS

Outubro de 2010

Seo ou Requisito Antigo Geral Novo Geral

Alterao Completamente Removidas as referncias especficas ao glossrio uma vez que no so fornecidas referncias a outros termos do glossrio. Atestado de conformidade Atestados de conformidade removidos dos apndices e documentos separados criados. Ttulos de referncias e apndices atualizados adequadamente em todo o documento. Introduo e viso geral do padro de segurana de dados do PCI Adicionadas informaes sobre a funo do PCI DSS na proteo dos dados do titular do carto. Atualizado o grfico 'viso geral de alto nvel' para refletir os ttulos de requisitos. Esclarecido que o PCI DSS uma ferramenta de avaliao para o uso durante avaliaes de conformidade. Adicionadas informaes sobre recursos disponveis no site do PCI SSC. Informaes de aplicabilidade do PCI DSS Adicionado o termo "dados da conta" para se alinhar ao mdulo PTS de Troca e Leitura de Dados Segura (SRED). Fornecidos mais detalhes sobre "dados do titular do carto" e "dados confidenciais de autenticao" Esclarecido que os dados da conta primria (PAN) o fator determinante para a aplicabilidade do PCI DSS. Removida a nota de rodap abordando outra legislao e substituda por texto atualizado no pargrafo. Atualizados o texto do pargrafo e tabela de aplicabilidade para esclarecer quais elementos de dados devem ser convertidos como ilegveis de acordo com o Requisito 3.4 do PCI DSS. Relao entre PCI DSS e PA-DSS Adicionada nova seo para refletir o contedo no PA-DSS. Esclarecido que o uso de um aplicativo em conformidade com o PA-DSS sozinho no atribui conformidade com o PCI DSS a uma entidade.

Tipo

Esclarecimento

Geral

Geral

Esclarecimento

Geral

Geral

Orientao adicional

Geral

Geral

Esclarecimento

N/D

Geral

Orientao adicional

Resumo de Alteraes da Verso 1.2.1 para a 2.0 do PCI-DSS Copyright 2010 Conselho de Padres de Segurana LLC do PCI

Outubro de 2010 Pgina 2 de 21

Seo ou Requisito Antigo Geral Novo Geral

Alterao Escopo da avaliao quanto conformidade com os requisitos do PCI DSS Adicionado "componentes de virtualizao" definio de "componentes do sistema". Esclarecido que o ambiente de dados do titular do carto compreende "pessoas, processos e tecnologia que armazenam, processam e transmitem os dados do titular do carto ou dados de autenticao confidenciais". Escopo da avaliao quanto conformidade com os requisitos do PCI DSS Adicionado um pargrafo detalhado para esclarecer que o primeiro passo de uma reviso do PCI DSS determinar precisamente o escopo da avaliao, identificado todos os locais e fluxos de dados do titular do carto e assegurando que todos esses locais sejam includos na avaliao. Segmentao da rede Adicionados esclarecimentos, inclusive de que a segmentao deve ser atingida por meios fsicos ou lgicos. Pequenas substituies de algumas terminologias para esclarecer seu significado. Sem fio Esclarecido o foco na presena de uma WLAN em vez de uma LAN. Terceiros/Terceirizao Pequenas alteraes de terminologia para obter consistncia. Exemplos de reas de negcios e componentes do sistema Esclarecido que a amostragem conduzida independentemente pelo avaliador e que a amostragem deve ser realizada primeiramente para as reas de negcios e depois para os componentes do sistema em cada rea selecionada. Esclarecido que a amostragem no reduz o escopo do ambiente de dados do titular do carto ou a aplicabilidade do PCI DSS e a amostragem de requisitos PCI DSS individuais no permitida. Esclarecidos os critrios especficos que os avaliadores devem registrar ao usar a amostragem. Adicionados os critrios que avaliadores devem revalidar o argumento da amostragem para cada avaliao

Tipo

Orientao adicional

Geral

Geral

Orientao adicional

Geral

Geral

Esclarecimento

Geral

Geral

Esclarecimento

Geral

Geral

Esclarecimento

Geral

Geral

Orientao adicional

Resumo de Alteraes da Verso 1.2.1 para a 2.0 do PCI-DSS Copyright 2010 Conselho de Padres de Segurana LLC do PCI

Outubro de 2010 Pgina 3 de 21

Seo ou Requisito Antigo Geral Novo Geral

Alterao Instrues e contedo para o relatrio sobre conformidade Adicionados critrios para o avaliador relatar como a preciso do escopo do PCI DSS foi validada para a avaliao na parte 2. Atualizados os detalhes do relatrio para o argumento da amostragem e a validao do tamanho da amostra na parte 2, para se alinhar ao contedo esclarecido na seo de amostragem. Esclarecido na parte 3 que a lista de indivduos entrevistados deve incluir suas empresas e os tpicos abordados. Movida a "programao da reviso" da parte 2 para a parte 4 e adicionado que a programao deve indicar a durao e especificar o perodo de tempo em que a avaliao ocorreu. Alterado "Procedimentos de varredura de segurana do PCI DSS" para "Guia do programa de fornecedores de varredura aprovados" na parte 5. Adicionada explicao para as respostas N/D na parte 6. Pequenas alteraes de terminologia para obter consistncia. Conformidade do PCI DSS Etapas de concluso Atualizada a referncia aos Atestados de conformidade no site do PCI SSC. Requisitos detalhados do PCI DSS e procedimentos da avaliao de segurana Adicionado esclarecimento de que as respostas N/D devem ser relatadas na coluna "Implementado". Pargrafo introdutrio Pequenas alteraes de terminologia para obter consistncia. Adicionada explicao de que componentes de outro sistema que oferecem a funcionalidade de firewall devem ser tratados de acordo com o requisito 1. Procedimentos de teste Separado o procedimento de teste 1.1.3 nos procedimentos de teste individuais 1.1.3.a at 1.1.3.b.

Tipo

Orientao adicional

Geral

Geral

Esclarecimento

Geral

Geral

Esclarecimento

Orientao adicional

1.1.3

1.1.3.a, 1.1.3.b

Esclarecimento

Resumo de Alteraes da Verso 1.2.1 para a 2.0 do PCI-DSS Copyright 2010 Conselho de Padres de Segurana LLC do PCI

Outubro de 2010 Pgina 4 de 21

Seo ou Requisito Antigo 1.1.5 Novo 1.1.5

Alterao Requisito Adicionados exemplos de servios inseguros, protocolos ou portas. Requisito Adicionado o requisito para se alinhar ao procedimento. Procedimento de teste Reestruturado para esclarecer a inteno do procedimento. Requisitos e procedimentos de teste Esclarecida a inteno do requisito para que a DMZ restringisse o trfego de entrada aos componentes do sistema que oferecem servios autorizados, protocolos e portas. Requisitos e procedimentos de teste Esclarecido que as conexes diretas no devem ser permitidas entre a internet e as redes internas. Requisitos e procedimentos de teste Esclarecida a inteno de que somente o trfego de sada seja permitido. Procedimento de teste Permitida maior flexibilidade no procedimento de teste ao remover a especificao do uso do varredor de porta. Requisitos e procedimentos de teste Esclarecido que o requisito se aplica a qualquer tipo de armazenagem de dados do titular do carto, Requisitos e procedimentos de teste Esclarecida a inteno de evitar a divulgao de endereos IP privados na Internet e garantir que qualquer divulgao a entidade. Removidas as referncias especficas ao mascaramento de IP e ao uso de tecnologias de traduo do endereo de rede e adicionados exemplos de mtodos para evitar a divulgao de endereo de IP Separado o procedimento de teste em dois subprojetos. Procedimento de teste Esclarecido que o software do firewall pessoal no deve ser altervel pelos usurios do computador de propriedade do funcionrio para se alinhar o procedimento de teste com o requisito.

Tipo

Orientao adicional

1.2

1.2

Esclarecimento

1.3

1.3

Esclarecimento

1.3.1

1.3.1

Esclarecimento

1.3.3

1.3.3

Esclarecimento

1.3.5

1.3.5

Esclarecimento

1.3.6

1.3.6

Esclarecimento

1.3.7

1.3.7

Esclarecimento

1.3.8

1.3.8.a 1.3.8.b

Orientao adicional

1.4.b

1.4.b

Esclarecimento

Resumo de Alteraes da Verso 1.2.1 para a 2.0 do PCI-DSS Copyright 2010 Conselho de Padres de Segurana LLC do PCI

Outubro de 2010 Pgina 5 de 21

Seo ou Requisito Antigo 2.1 Novo 2.1

Alterao Requisito Pequenas alteraes para esclarecimento.

Tipo

Esclarecimento

2.1.1

2.1.1.a 2.1.1.e

Requisitos e procedimentos de teste Removido o contedo sobreposto pelo Requisito 4.1.1, para esclarecer que a inteno desse requisito garantir que os padres do fornecedor sarjem alterados. Separado o procedimento de teste 2.1.1 nos procedimentos de teste individuais 2.1.1a at 2.1.1.e. Removida a referncia ao WPA, uma vez que no mais considerado uma criptografia robusta por si s. Requisitos e procedimentos de teste Movidos os exemplos de padres de proteo do sistema dos procedimentos de teste para o requisito e adicionado o ISO como origem para os padres de proteo. Procedimento de teste Movido o contedo do procedimento de teste 6.2.b ao 2.2.b para assegurar que os padres de configurao do sistema estejam atualizados com as vulnerabilidades identificadas no Requisito 6.2. Procedimento de teste Renumerado o procedimento de teste 2.2.b para 2.2.d. Requisito Atualizado o requisito para esclarecer a tentativa de "uma funo primria por servidor" e uso de virtualizao. Procedimentos de teste Novo procedimento de teste opcional para tecnologias de virtualizao. Renumerado o procedimento de teste 2.2.1 para 2.2.1.a Requisitos e procedimentos de teste Esclarecido que somente servios, protocolos, daemons, etc. seguros e necessrios devem ser ativados, e recursos de segurana devem ser implementados para quaisquer desses servios, etc. inseguros. Separado o procedimento de teste 2.2.2 nos procedimentos individuais 2.2.2.a e 2.2.2.b.

Esclarecimento

2.2

2.2

Esclarecimento

6.2.b

2.2.b

Esclarecimento

2.2.b

2.2.d

Esclarecimento

2.2.1

2.2.1

Orientao adicional

N/D

2.2.1.b

Orientao adicional

2.2.2

2.2.2, 2.2.2.a 2.2.2.b

Esclarecimento

Resumo de Alteraes da Verso 1.2.1 para a 2.0 do PCI-DSS Copyright 2010 Conselho de Padres de Segurana LLC do PCI

Outubro de 2010 Pgina 6 de 21

Seo ou Requisito Antigo 2.2.4 Novo 2.1.1a

Alterao Procedimentos de teste Separado o procedimento de teste 2.2.4 nos procedimentos individuais 2.2.4.a e 2.2.4.c. Requisitos e procedimentos de teste Esclarecido que necessria a criptografia robusta. Separado o procedimento de teste 2.3 nos procedimentos individuais 2.3.a at o 2.3.c. Pargrafo introdutrio Esclarecido que "PANs desprotegidos no devem ser enviados usando tecnologias de mensagem de usurio final como e-mail e mensagem instantnea." Requisitos e procedimentos de teste Transformado em um requisito mais geral e movidos os procedimentos de teste no 3.1 para o novo requisito e procedimento de teste 3.1.1 (veja abaixo). Requisitos e procedimentos de teste Renumerado e separado o procedimento de teste 3.1 em procedimentos individuais 3.1.1.a at 3.1.1.d. Adicionado detalhe ao requisito para se alinhar aos procedimentos de teste. Novo procedimento de teste 3.1.1 para esclarecer que o avaliador deve verificar se os dados armazenados no excedem os requisitos de reteno definidos na poltica. Requisitos e procedimentos de teste Adicionada observao para esclarecer que permitido a emissores e empresas que suportam o processo de emisso armazenar dados confidenciais quando houver uma justificativa comercial dos dados armazenados em segurana. Novo procedimento de teste 3.2.a adicionado para que emissoras e empresas que suportam servios de emisso verifiquem se h justificativa comercial, caso haja SAD armazenado. Renumerado o procedimento de teste 3.2 para 3.2.b, e recebeu o prefcio "Para todas as outras entidades". Requisitos e procedimentos de teste Substituido "em um chip" para "dados equivalentes em um chip" para obter consistncia.

Tipo

Esclarecimento

2.3

2.3, 2.3.a 2.3.c

Esclarecimento

Esclarecimento

3.1

3.1

Esclarecimento

N/D

3.1.1, 3.1.1.a 3.1.1.e

Esclarecimento

3.2

3.2

Esclarecimento

3.2.1

3.2.1

Esclarecimento

Resumo de Alteraes da Verso 1.2.1 para a 2.0 do PCI-DSS Copyright 2010 Conselho de Padres de Segurana LLC do PCI

Outubro de 2010 Pgina 7 de 21

Seo ou Requisito Antigo 3.2.1 3.2.3 Novo 3.2.1 3.2.3

Alterao Procedimentos de teste Esclarecidos os procedimentos de teste para "analisar as fontes dos dados inclusive mas no limitado ao que segue". Requisito Esclarecido que o requisito se aplica somente ao PAN. Removida a observao sobre o mnimo de informaes da conta uma vez que isso tenha sido esclarecido no requisito e na Tabela de Aplicabilidade do PCI DSS. Esclarecido os requisitos caso hash ou truncamento sejam usados para converter o PAN em ilegvel. Adicionada uma observao para identificar o risco de PANs com hash ou truncamento no mesmo ambiente e que os controles de segurana so exigidos para assegurar que o PAN original no pode ser recuperado. Excluda a observao sobre o uso de controles de compensao (desde que controles de compensao possam ser aplicados para a maioria dos requisitos do PCI DSS. Procedimento de teste Esclarecido que o PAN deve ser "convertido para ilegvel ou excludo" em vez de "transformado ou removido". Procedimento de teste Esclarecida a nota para verificar que se a criptografia do disco no for usada para criptografar as mdias removveis. Requisito Esclarecido que qualquer chave usada para tornar os dados do titular do carto seguros deve ser protegida contra divulgao e mal uso. Adicionada uma observao para esclarecer como esse requisito se aplica a chaves de criptografia de chaves, se usadas. Procedimento de teste Atualizado o procedimento de teste para se alinhar ao requisito. Requisitos e procedimentos de teste Adicionado o procedimento de teste para se alinhar ao requisito.

Tipo

Esclarecimento

3.4

3.4

Esclarecimento

3.4.d

3.4.d

Esclarecimento

3.4.1.c

3.4.1.c

Esclarecimento

3.5

3.5

Esclarecimento

3.5.1

3.5.1

Esclarecimento

3.5.2

3.5.2, 3.5.2.a 3.5.2.b

Esclarecimento

Resumo de Alteraes da Verso 1.2.1 para a 2.0 do PCI-DSS Copyright 2010 Conselho de Padres de Segurana LLC do PCI

Outubro de 2010 Pgina 8 de 21

Seo ou Requisito Antigo 3.6 Novo 3.6

Alterao Requisitos e procedimentos de teste Movida a nota de um procedimento de teste para o requisito. Esclarecido no procedimento de teste 3.6.b que os fornecedores de servio devem fornecer orientao de gerenciamento de chaves aos clientes, abordando a transmisso, o armazenamento e a atualizao das chaves do cliente (no apenas armazenamento), de acordo com o Sub-requisito 3.6.1 at 3.6.8. Excluda a nota sobre a transmisso de tais chaves conforme abordado nos subrequisitos. Requisitos e procedimentos de teste Esclarecido que as trocas de chave so exigidas quando as chaves atingem o final de seu criptoperodo, em vez de "pelo menos anualmente." Adicionada orientao para as melhores prticas do setor. Requisitos e procedimentos de teste Alterada a terminologia para esclarecer que as chaves devem ser inutilizadas ou substitudas quando sua integridade estiver enfraquecida, e fornecidos exemplos. Adicionada uma observao de que se as chaves inutilizadas ou substitudas forem mantidas, elas devero ser arquivadas em segurana e mantidas somente para fins de decodificao ou verificao. Adicionado procedimento de teste para verificar que, se as chaves inutilizadas ou substitudas so mantidas, elas no so usadas em operaes de codificao. Requisitos e procedimentos de teste Esclarecido que "conhecimento compartilhado e controle duplo" se aplicam somente a operaes de gerenciamento de chaves criptogrficas em texto simples. Adicionada uma observao para fornecer exemplos de operaes de gerenciamento de chaves. Requisitos e procedimentos de teste Esclarecido que os responsveis pela proteo das chaves devem "confirmar formalmente" suas responsabilidades de proteo das chaves em vez de "assinar um formulrio".

Tipo

Esclarecimento

3.6.4

3.6.4

Esclarecimento

3.6.5

3.6.5

Esclarecimento

3.6.6

3.6.6

Esclarecimento

3.6.8

3.6.8

Esclarecimento

Resumo de Alteraes da Verso 1.2.1 para a 2.0 do PCI-DSS Copyright 2010 Conselho de Padres de Segurana LLC do PCI

Outubro de 2010 Pgina 9 de 21

Seo ou Requisito Antigo 4.1 Novo 4.1, 4.1.a 4.1.e

Alterao Requisitos e procedimentos de teste Includo o SSH como exemplo de protocolo de segurana, removidos exemplos de procedimentos de teste. Separado o procedimento de teste 4.1 nos procedimentos de teste individuais 4.1.a at 4.1.e. Esclarecido no procedimento de teste 4.1.b que chaves e/ou certificados confiveis so necessrios para todos os tipos de transmisso, no apenas SSL/TLS. Esclarecido no procedimento 4.1.c que o protocolo deve ser implementados para usar configuraes seguras. Requisito Atualizada observao acerca do uso de WEP de 30 de junho de 2010. Requisitos e procedimentos de teste Alterada a terminologia para esclarecer que os PANs desprotegidos (em vez de no criptografados) no devem nunca ser enviados por tecnologias de mensagem do usurio final. Requisitos e procedimentos de teste Esclarecido que mecanismos antivrus devem gerar logs de auditoria, em vez de apenas serem "capazes de gerar" tais logs. Requisitos Esclarecida a inteno de proteger os componentes e os softwares do sistema de vulnerabilidades conhecidas. Requisitos e procedimentos de teste Adicionado que alm de identificar vulnerabilidades, os processos devem incluir o ranqueamento das vulnerabilidades de acordo com o risco. Fornecida orientao sobre como atribuir o ranqueamento do risco. Observao: O ranqueamento de vulnerabilidades conforme definido em 6.2.a considerado uma das melhores prticas at 30 de junho de 2012 quando passar a ser um requisito.

Tipo

Esclarecimento

4.1.1

4.1.1

Esclarecimento

4.2

4.2

Esclarecimento

5.2

5.2

Esclarecimento

6.1

6.1

Esclarecimento

6.2

6.2

Requisito envolvido

Resumo de Alteraes da Verso 1.2.1 para a 2.0 do PCI-DSS Copyright 2010 Conselho de Padres de Segurana LLC do PCI

Outubro de 2010 Pgina 10 de 21

Seo ou Requisito Antigo 6.3 Novo 6.3, 6.3.a 6.3.d

Alterao Requisitos e procedimentos de teste Adicionados os tipos de aplicativos de software a que as prticas de desenvolvimento seguro se aplicariam. Separado o procedimento de teste 6.3 nos procedimentos de teste individuais 6.3.a at 6.3.d. Requisitos e procedimentos de teste Removidos os requisitos e procedimentos de teste uma vez que os testes de vulnerabilidade no 6.3.1 so abordados do 6.5.1 at o 6.5.9. Requisitos e procedimentos de teste Movidos os requerimentos e procedimentos de teste para o 6.4, para esclarecer a inteno de aplicar os requisitos aos ambientes de desenvolvimento e de teste, no apenas os de desenvolvimento. Requisitos e procedimentos de teste Renumerados os requisitos e procedimentos de teste devido a unies ou mudanas de requisitos anteriores. Requisitos e procedimentos de teste Removida a referncia circular da observao. Consolidados os procedimentos de teste (antes 6.3.7.a e 6.3.7.b) em um nico procedimento 6.3.2.a, para combinar aplicativos "internos" e "da Web" em um nico procedimento. Removida a referncia especfica aos aplicativos da Web e ao Guia OWASP para consolidar os requisitos de codificao segura para os aplicativos no escopo, inclusive aplicativos fora da Web. Renumerado o procedimento de teste 6.3.7.c para 6.3.2.b. Requisitos e procedimentos de teste Esclarecido que os requisitos e procedimentos de teste se aplicam a processos e procedimentos de controle de alteraes. Importado o contedo do procedimento de teste 6.3. para se alinhar aos procedimentos de teste que eram do 6.3.2 a 6.3.5. Procedimento de teste Removido o texto "nem so sanitizados antes do uso" para esclarecer a inteno.

Tipo

Esclarecimento

6.3.1

N/D

Esclarecimento

6.3.2 6.3.5

6.4.1 6.4.4

Esclarecimento

6.3.6 6.3.7

6.3.1 6.3.2

Esclarecimento

6.3.7

6.3.2

Esclarecimento

6.4

6.4

Esclarecimento

6.3.4

6.4.3

Esclarecimento

Resumo de Alteraes da Verso 1.2.1 para a 2.0 do PCI-DSS Copyright 2010 Conselho de Padres de Segurana LLC do PCI

Outubro de 2010 Pgina 11 de 21

Seo ou Requisito Antigo 6.4, 6.4.a 6.4.b Novo 6.4.5, 6.4.5.a 6.4.5.b

Alterao Requisitos e procedimentos de teste Atualizado o requisito 6.4 para se alinhar aos procedimentos de teste 6.4.a at 6.4.b, para abordar os caminhos de segurana e modificaes de software. Requisitos e procedimentos de teste Renumerados para se alinharem aos requisitos e procedimentos de teste importados (antes 6.3.2 a 6.3.5). Procedimento de teste Esclarecido que a documentao do impacto necessria no procedimento de teste, para se alinhar ao requisito existente. Requisitos e procedimentos de teste Esclarecido no requisito e no procedimento de teste que necessria uma aprovao pelas "partes autorizadas" no apenas o "gerenciamento". Requisitos e procedimentos de teste Esclarecida a inteno do requisito e do procedimento de teste 6.4.3 do "teste de funcionalidade para verificar se alteraes no tm impacto adverso na segurana do sistema." O requisito 6.3.1 uniu-se ao novo procedimento de teste 6.4.5.3.b, para abordar o teste de alteraes com referncia ao 6.5. Requisitos e procedimentos de teste Esclarecimento de que a codificao segura e a preveno de vulnerabilidades se aplicam a todos os tipos de aplicativos personalizados no escopo, no apenas aos aplicativos da Web. Removida a dependncia do OWASP e includos outros exemplos do setor: SANS CWE e CERT. Requisitos e procedimentos de teste Vulnerabilidades 6.5.1 a 6.5.10 atualizadas e combinadas com os requisitos 6.3.1 para refletirem a orientao atual sobre CWE, CERT e OWASP. 6.5.7 a 6.5.9 identificados como vulnerabilidades especficas para os aplicativos da web. Requisitos e procedimentos de teste Adicionado um novo requisito para abordar vulnerabilidades de alto-risco identificadas em 6.2.

Tipo

Esclarecimento

6.4.1 6.4.4

6.4.5.1 6.4.5.4

Esclarecimento

6.4.1

6.4.5.1

Esclarecimento

6.4.2

6.4.5.2

Esclarecimento

6.4.3

6.4.5.3, 6.4.5.3.a 6.4.5.3.b

Esclarecimento

6.5

6.5

Esclarecimento

6.5.1 6.5.10

6.5.1 6.5.9

Esclarecimento

N/D

6.5.6

Requisito envolvido

Resumo de Alteraes da Verso 1.2.1 para a 2.0 do PCI-DSS Copyright 2010 Conselho de Padres de Segurana LLC do PCI

Outubro de 2010 Pgina 12 de 21

Seo ou Requisito Antigo Novo

Alterao Observao: O ranqueamento de vulnerabilidades conforme definido no Requisito 6.2.a considerado uma das melhores prticas at 30 de junho de 2012 quando passar a ser um requisito.

Tipo

7.1.3

7.1.3

Requisitos e procedimentos de teste Esclarecido o requisito para aprovao documentada por parte autorizadas, em vez de "um formulrio assinado pela gerncia". Requisitos e procedimentos de teste Observao movida de um procedimento de teste para o requisito. Pargrafo introdutrio Adicionada observao para se alinhar ao Requisito 3.2 do PA-DSS referente aplicabilidade do ID de usurio nico e os controles da autenticao segura para "contas de usurio com aplicativo de pagamento de um ponto de venda que possua acesso somente a um nmero de carto por vez para facilitar a transao nica (como contas de caixa)." Requisito Adicionado esclarecimento e mtodos de autenticao de exemplos. Requisitos e procedimentos de teste Esclarecidos os exemplos da autenticao de dois fatores para incluir o Radius "com tokens" e "outras tecnologias que suportam autenticao robusta." A nota adicionada esclarece a inteno da autenticao de dois fatores. Requisitos e procedimentos de teste Adicionado o termo identificao. Requisitos e procedimentos de teste Adicionada a autenticao para permitir maior flexibilidade s empresas outros mecanismos de autenticao alm de senhas. Requisitos e procedimentos de teste Includas as redefinies de senha como exigncia de valor nico e alterao imediata aps o primeiro uso.

Esclarecimento

7.2.3

7.2.3

Esclarecimento

Esclarecimento

8.2

8.2

Esclarecimento

8.3

8.3

Esclarecimento

8.5 8.5.2, 8.5.7, 8.5.8, 8.5.13

8.5 8.5.2, 8.5.7, 8.5.8, 8.5.13

Esclarecimento

Esclarecimento

8.5.3

8.5.3

Esclarecimento

Resumo de Alteraes da Verso 1.2.1 para a 2.0 do PCI-DSS Copyright 2010 Conselho de Padres de Segurana LLC do PCI

Outubro de 2010 Pgina 13 de 21

Seo ou Requisito Antigo 8.5.6 Novo 8.5.6, 8.5.6.a 8.5.6.b

Alterao Requisitos e procedimentos de teste Esclarecido o "acesso" por fornecedores. Adicionado o requisito para se alinhar ao procedimento. Separado o procedimento de teste 8.5.6 nos procedimentos individuais 8.5.6.a at o 8.5.6.b. Procedimentos de teste Esclarecer os requisitos do gerenciamento de senhas para "usurios que no sejam clientes" sob uma perspectiva de um fornecedor de servios. Separado o procedimento de teste nico para distinguir o procedimento para fornecedores de servio, para cada requisito. Requisitos e procedimentos de teste Esclarecido que restries de acesso direto ou de consultas aos bancos de dados se aplicam ao acesso do usurio. Separado o procedimento de teste 8.5.16.a nos procedimentos de teste individuais 8.5.16.a.a at 8.5.16.d. Pargrafo introdutrio Adicionados os termos e definies para "funcionrio", "visitante" e "mdia" para serem usados ao longo do requisito. A nova definio de "funcionrio" substitui a antiga para esclarecer a inteno de abrangncia. Procedimentos de teste Separado o procedimento de teste 9.1.1 nos procedimentos de teste individuais 9.1.1.a at 9.1.1.c. Alterado para "cmeras de vdeo e/ou mecanismos de controle de acesso" nos procedimentos de teste, uma vez que cmeras de vdeo so mecanismos de monitoramento de acesso que podem ser usados com mecanismo de controle de acesso. Requisitos e procedimentos de teste Substituda a definio de "funcionrio". Adicionado exemplo de reas fisicamente acessveis. Requisitos e procedimentos de teste Adicionado "hardwares de rede/comunicao e linhas de telecomunicao" lista de itens para restringir o acesso fsico. Esses estavam includos antes no Requisito 9.6.

Tipo

Esclarecimento

8.5.9 8.5.13

8.5.9 8.5.13

Esclarecimento

8.5.16, 8.5.16.a

8.5.16, 8.5.16.a 8.5.16.d

Esclarecimento

Esclarecimento

9.1.1

9.1.1.a 9.1.1.c

Esclarecimento

9.1.2

9.1.2

Esclarecimento

9.1.3

9.1.3

Esclarecimento

Resumo de Alteraes da Verso 1.2.1 para a 2.0 do PCI-DSS Copyright 2010 Conselho de Padres de Segurana LLC do PCI

Outubro de 2010 Pgina 14 de 21

Seo ou Requisito Antigo 9.2, 9.2.a Novo 9.2, 9.2.a 9.2.b

Alterao Requisitos e procedimentos de teste Substituda a definio de "funcionrio". Separado o procedimento de teste 9.2.a nos procedimentos individuais 9.2.a at o 9.2.b. Procedimentos de teste Esclarecido para verificar se os crachs de visitante so facilmente distinguveis dos de funcionrio. Procedimento de teste Esclarecido que o procedimento de teste se aplica aos controles do visitante para se alinhar ao requisito. Procedimentos de teste Esclarecido o procedimento de tentativa de obter acesso para assegurar que no seja permitido aos visitantes acessar fisicamente aquelas reas desacompanhados. Requisitos e procedimentos de teste Substituda a definio de "funcionrio". Separado o procedimento de teste 9.3.2 nos procedimentos individuais 9.3.2.a at o 9.3.2.b. Esclarecido que o procedimento de teste 9.3.2 para verificar se os crachs de identificao de visitante so usados e se eles so distinguveis dos funcionrios. Requisitos e procedimentos de teste Substituda a definio de "funcionrio". Procedimentos de teste Separado o procedimento de teste 9.5 nos procedimentos individuais 9.5.a at o 9.5.b. Esclarecido que o procedimento de teste 9.5.a para observar a segurana fsica do local de armazenamento. Requisitos e procedimentos de teste Substitudo "documentos impressos e as mdias eletrnicas" por "todas as mdias" conforme definido no pargrafo introdutrio. Movido "sistemas de redes e hardwares de comunicao, linhas de telecomunicao" para o procedimento de teste 9.1.3. Requisitos e procedimentos de teste Substitudas as referncias para "mdia que contenha dados do titular do carto" por "mdia" conforme j foi definido no pargrafo introdutrio.

Tipo

Esclarecimento

9.2.b

9.2.c

Esclarecimento

9.3

9.3

Esclarecimento

9.3.1

9.3.1

Esclarecimento

9.3.2

9.3.2, 9.3.2.a 9.3.2.b

Esclarecimento

9.4 9.5

9.4 9.5.a 9.5.b

Esclarecimento

Esclarecimento

9.6

9.6

Esclarecimento

9.7 - 9.9

9.7 - 9.9.

Esclarecimento

Resumo de Alteraes da Verso 1.2.1 para a 2.0 do PCI-DSS Copyright 2010 Conselho de Padres de Segurana LLC do PCI

Outubro de 2010 Pgina 15 de 21

Seo ou Requisito Antigo 9.7.1 Novo 9.7.1

Alterao Requisitos e procedimentos de teste Esclarecida a inteno de ser capaz de determinar a confidencialidade dos dados na mdia. Requisitos e procedimentos de teste Esclarecido que a inteno usar a tecnologia de sincronizao de horrio para sincronizar os relgios e os horrios do sistema e assegurar que o horrio seja adequadamente adquirido, distribudo e armazenado. Alterados "sincronizao de horrio" e "NTP" para "tecnologia de sincronizao de horrio" ao longo do 10.4 e esclarecido que "NTP" um exemplo de tecnologia de sincronizao de horrio. Separados os procedimentos de teste 10.4.a at 10.4.c em novos subrequisitos e nos procedimentos de teste 10.4.1 at 10.4.3 (veja abaixo). Requisitos e procedimentos de teste Novo subrequisito do procedimento de teste 10.4.b, para assegurar que sistemas crticos tenham o horriocorreto e consistente. Reestruturado o procedimento 10.4.1.b nos novos procedimentos 10.4.1.a e 10.4.1.b, para abordar como o horrio adquirido e distribudo. Requisitos e procedimentos de teste Novos subrequisitos e procedimentos de teste 10.4.2.a e 10.4.2.b para esclarecer que os dados de horrio so protegidos e as alteraes de horrio so autorizadas. Requisitos e procedimentos de teste Reestruturado o 10.4.c em nogos subrequisitos para assegurar que o horrio seja recebido de origens aceitas pelo setor. Procedimentos de teste Esclarecido que o teste deve confirmar que os processos de registro de auditoria estejam implementados para "restaurar imediatamente" os dados de log, em vez de os dados de log estarem "imediatamente disponveis" para anlise.

Tipo

Esclarecimento

10.4

10.4, 10.4.1 10.4.3

Esclarecimento

10.4

10.4.1

Esclarecimento

10.4

10.4.2

Esclarecimento

10.4.c

10.4.3

Esclarecimento

10.7.b

10.7.b

Esclarecimento

Resumo de Alteraes da Verso 1.2.1 para a 2.0 do PCI-DSS Copyright 2010 Conselho de Padres de Segurana LLC do PCI

Outubro de 2010 Pgina 16 de 21

Seo ou Requisito Antigo 11.1 Novo 11.1

Alterao Requisitos e procedimentos de teste Esclarecido que o processo deve estar implementado para "detectar trimestralmente pontos de acesso sem fio no autorizados". Adicionada flexibilidade para que os mtodos usados possam incluir varreduras de rede sem fio, inspees lgicas/fsicas dos componentes e da infraestrutura do sistema, controle de acesso rede (NAC) ou IDS/IPS sem fio e que qualquer mtodo que seja usado, deve ser suficiente para detectar e identificar qualquer dispositivo no autorizado. Procedimentos de teste Separado o procedimento de teste 11.1.a em procedimentos individuais 11.1.a at 11.1.c. Adicionado o novo procedimento de teste 11.1.b para testar se a metodologia adequada para detectar pontos de acesso sem fio no autorizados. Renumerados os procedimentos de teste 11.1.b at 11.1.d e esclarecido que a configurao para gerar alertas aos funcionrios se aplicaro se o monitoramento automtico for usado. Renumerado o procedimento de teste 11.1.c para 11.1.e Requisitos e procedimentos de teste Separados e renumerados os requerimentos de varredura interna e externa 11.2 para subrequisitos e procedimentos de teste 11.2.1 at 11.2.3. Movida a observao do procedimento de teste 11.2.b para o Requisito 11.2 para esclarecer que quatro varreduras internas e externas devem ser verificadas. Procedimento de teste Esclarecido que o processo de varredura inclui novas varreduras at que os resultados aprovados sejam obtidos ou todas as vulnerabilidades definidas como "Alto", conforme definido no Requisito 6.2 do PCI DSS, estejam solucionadas. Esclarecido que varreduras internas devem ser realizadas por partes qualificadas.

Tipo

Orientao adicional

11.1.a 11.1.c

11.1.a 11.1.e

Esclarecimento

11.2

11.2, 11.2.1 11.2.3

Esclarecimento

11.2.a

11.2.1.a 11.2.1.c

Esclarecimento

Resumo de Alteraes da Verso 1.2.1 para a 2.0 do PCI-DSS Copyright 2010 Conselho de Padres de Segurana LLC do PCI

Outubro de 2010 Pgina 17 de 21

Seo ou Requisito Antigo 11.2.b Novo 11.2.2.a 11.2.2.b

Alterao Procedimentos de teste Substitudo "Procedimentos de varredura de segurana do PCI DSS" por "Requisitos do guia do programa ASV". Esclarecido que os ASVs so selecionados pelo PCI Security Standards Council (PCE SSC). Procedimentos de teste Esclarecidos os requisitos para que as varreduras internas e externas incluam novas varreduras at que as vulnerabilidades de alto risco sejam abordadas e sejam realizadas por partes qualificadas. Requisitos e procedimentos de teste Esclarecido que vulnerabilidades explorveis devem ser abordadas. Separado o procedimento de teste 11.3.a nos procedimentos de teste individuais 11.3.a at 11.3.b. Requisitos e procedimentos de teste Esclarecido que o teste de penetrao do aplicativo deve testar as vulnerabilidades relevantes e abranger todos os tipos de aplicativo no escopo. Requisitos e procedimentos de teste Esclarecido que IDS/IPS monitoram o trfego no permetro e nos pontos principais no CDE, em vez de todo o trfego no CDE. Requisitos e procedimentos de teste Substitudo "software" por "ferramentas" para esclarecer a inteno de que o software comercial no o nico meio de atender ao requisito. Adicionado o procedimento de teste 11.5.b para se alinhar ao requisito existente para alertar os funcionrios sobre modificaes no autorizadas e para executar comparaes crticas pelo menos semanalmente. Ttulo do Requisito Substitudo "funcionrios e prestadores de servios" por "todas as equipes". Pargrafo introdutrio Substitudo "funcionrios" por "equipes" com uma definio revisada em alguns aspectos. Procedimentos de teste Substitudo "funcionrios" por "equipes".

Tipo

Esclarecimento

11.2.c

11.2.3.a 11.2.3.c

Esclarecimento

11.3

11.3

Esclarecimento

11.3.2

11.3.2

Esclarecimento

11.4

11.4

Esclarecimento

11.5

11.5, 11.5.a 11.5.b

Esclarecimento

12

12

Esclarecimento

12

12

Esclarecimento

12.1

12.1

Esclarecimento

Resumo de Alteraes da Verso 1.2.1 para a 2.0 do PCI-DSS Copyright 2010 Conselho de Padres de Segurana LLC do PCI

Outubro de 2010 Pgina 18 de 21

Seo ou Requisito Antigo 12.1.2 Novo 12.1.2

Alterao Requisitos e procedimentos de teste Adicionados exemplos de metodologias de avaliao. Esclarecido que o teste deve verificar a documentao da avaliao de risco. Requisito Substitudo "uma vez por ano" por "anualmente". Requisitos e procedimentos de teste Removido "voltadas aos funcionrios" para esclarecer. Adicionado "tablet" como exemplo de tecnologias. Requisitos e procedimentos de teste Substitudo "gerncia" por "partes autorizadas." Requisitos e procedimentos de teste Esclarecido para permitir a identificao lgica. Requisitos e procedimentos de teste Adicionado "parceiros comerciais" ao requisito juntamente a "fornecedores". Requisitos e procedimentos de teste Fornecida flexibilidade para limitar proibies s equipes sem autorizao. Renumerado o procedimento de teste 12.3.10 para 12.3.10.a. Adicionado o novo procedimento de teste 12.3.10.b para verificar se as equipes com autorizao adequada esto protegendo os dados do titular do carto de acordo com os requisitos PCI DSS. Requisitos e procedimentos de teste Substitudo "funcionrios e prestadores de servios" por "todas as equipes". Requisitos e procedimentos de teste Substitudo "funcionrios" por "equipes". Requisitos e procedimentos de teste Substitudo "funcionrios" por "equipes". Adicionada observao para fornecer orientaes sobre mtodos variveis dependendo da funo da equipe. Requisitos e procedimentos de teste Substitudo "funcionrios" por "equipes". Substitudo "empresa" por "entidade".

Tipo

Orientao adicional

12.1.3 12.3

12.1.3 12.3

Esclarecimento

Esclarecimento

12.3.1 12.3.4 12.3.9

12.3.1 12.3.4 12.3.9

Esclarecimento Esclarecimento

Esclarecimento

12.3.10

12.3.10, 12.3.10.a 12.3.10.b

Esclarecimento

12.4

12.4

Esclarecimento

12.6 12.6.1

12.6 12.6.1

Esclarecimento

Orientao adicional

12.6.2

12.6.2

Esclarecimento

Resumo de Alteraes da Verso 1.2.1 para a 2.0 do PCI-DSS Copyright 2010 Conselho de Padres de Segurana LLC do PCI

Outubro de 2010 Pgina 19 de 21

Seo ou Requisito Antigo 12.7 Novo 12.7

Alterao Requisitos e procedimentos de teste Substitudo "funcionrios" por "equipes". Movido o exemplo de um procedimento de teste para o requisito. Esclarecida a nota no Requisito 12.7 para aplicar a "potenciais equipes a serem contratadas para certas funes". Procedimento de teste Substitudo "entidade que estiver sendo avaliada" por "entidade" para obter consistncia. Requisitos e procedimentos de teste Esclarecido o requisito para monitorar a conformidade dos fornecedores de servio da PCI DSS. Substituir "entidade avaliada" por "entidade". Procedimento de teste Adicionado o procedimento de teste 12.9.1.b para esclarecer se o teste deve incluir a verificao do seguimento dos procedimentos documentados. Renumerado o procedimento de teste 12.9.1 para 12.9.1.a Procedimento de teste Esclarecido que as equipes designadas devem estar disponveis para atender a incidentes 24 hs, 7 dias na semana, para se alinhar ao requerimento. Atestado de conformidade Removido do Apndice como um documento separado. Reorganizadas as informaes de contato do avaliador e do comerciante. Atestado de conformidade Removido do Apndice como um documento separado. Reorganizadas as informaes de contato do avaliador e do fornecedor de servio. Opes adicionais fornecidas na lista de "servios que estavam includos no escopo da avaliao do PCI DSS" e adicionada lista de servios no abordados pela avaliao do PCI DSS.

Tipo

Esclarecimento

12.8

12.8

Esclarecimento

12.8.4

12.8.4

Orientao adicional

12.9.1

12.9.1, 12.9.1.a 12.9.1.b

Esclarecimento

12.9.3

12.9.3

Esclarecimento

Apndice D

Atestado de conformidade Comerciantes

Esclarecimento

Apndice E

Atestado de conformidade Prestadores de servios

Esclarecimento

Resumo de Alteraes da Verso 1.2.1 para a 2.0 do PCI-DSS Copyright 2010 Conselho de Padres de Segurana LLC do PCI

Outubro de 2010 Pgina 20 de 21

Seo ou Requisito Antigo Apndice F Novo Apndice D

Alterao Segmentao e amostragem de reas de negcios/componentes do sistema Renomeado para esclarecer o fluxo de processo para segmentao e amostragem. Criados ttulos separados de seo para segmentao e amostragem. Atualizados para se alinharem com a seo de amostragem da introduo.

Tipo

Esclarecimento

Explicaes do "Tipo": Tipo novo Esclarecimento Tipo antigo Esclarecimento Definio Esclarece o propsito do requisito. Garante que um texto conciso nos padres retratem a inteno desejada dos requisitos. Explicaes e/ou definies para melhorar a compreenso ou fornecer mais informaes sobre um tpico especfico. Alteraes para assegurar que os padres estejam atualizados em relao s ameaas emergentes e s alteraes no mercado.

Orientao adicional Requisito envolvido

Explicativo Aperfeioamentos

Resumo de Alteraes da Verso 1.2.1 para a 2.0 do PCI-DSS Copyright 2010 Conselho de Padres de Segurana LLC do PCI

Outubro de 2010 Pgina 21 de 21