Histórico da Página

...

3 - Manter um programa de gerenciamento de vulnerabilidades

4 - Implementar medidas de controle de acesso rigorosas

...

• A rede local deve ser estruturada da seguinte forma:
• Todo cabeamento deve ser cat5 e/ou maior;
• Utilizar switchs em vez de hubs;
• Rede elétrica deve ser separada da rede elétrica geral e certificada;
• Todos os ativos de rede e os servidores de banco de dados e aplicação devem estar suportados por um nobreak com capacidade para suportar todos os equipamentos envolvidos. É aconselhável o uso de software de gerenciamento de energia (vendido junto com o nobreak), para que no caso de término da bateria (e na ausência de gerador), o desligamento dos servidores seja feito de forma correta, em vez de desligar abruptamente por falta de energia. Este desligamento abrupto poderá ocasionar a perda de dados ou queima de partes do equipamento;
• Os ativos de rede e demais servidores devem ficar 24h em ambiente refrigerado;
• Servidores e estações de trabalho devem ter instalados softwares antivírus e antispyware. Estes softwares devem executar suas atualizações de forma automática e no modo silencioso para que o usuário não interfira na atualização das vacinas;
• Deve ser realizado diariamente, de forma automática, um export full da base de dados e este arquivo deve ser copiado para outro servidor da rede (servidor de backup);
• A responsabilidade de execução do backup acima mencionado (item 07) é do cliente. É recomendável que o mesmo peça para a empresa/pessoa contratada para instalação/configuração e “tunning” do banco de dados, fazer a configuração do backup diário e cópia do backup gerado para outra máquina da rede, para posterior cópia para DVD ou fita DAT.

Consulte o endereço: http://pt.pcisecuritystandards.org para acesso à completa descrição das ações que devem ser implementadas, para que o ambiente esteja de acordo com o exigido pelo PCI.

...

2.1)      Com a detecção por parte do usuário que a chave privada de criptografia está comprometida, a qualquer momento, a partir da tela de Gerenciamento de Chaves, pode  pode ser gerado um novo par de chaves. Ao se efetuar essa operação, o sistema realizará os passos a seguir;

...

3.2)      Se a chave atual foi criada num período maior ou igual a 1 (um) ano, o sistema exibirá uma mensagem que as chaves de criptografia estão expiradas, e que um novo par deverá ser gerado.

3.3)      Acessar a tela Gerenciamento de Chaves do módulo SSD e realizar o procedimento dos itens 2.2 a 2.7;

...

• Dados Históricos (Reservas Individuais e Grupos com data de partida anterior à data atual): A partir do módulo SSD, no menu Utilitários , acessar a opção Limpar Dados Históricos de Cartão de Crédito. Nessa tela, quando o usuário clicar em Processar, o sistema exibirá uma tela onde o usuário deverá confirmar tal procedimento. Após a confirmação da exclusão, os dados excluídos dos campos Documento e Observações das telas de Reserva Individual e Grupo terão seus respectivos conteúdos alterados para o texto “Cerificação PCI”;
  
  
• Dados Atuais e Futuros (Reservas Individuais e Grupos com data de partida maior ou igual à data atual): A partir do módulo SSD, menu Consultas, opção Relatórios, deverá ser executado o relatório “Listagem de Reservas com Dados de Cartão de Crédito”. Esse relatório listará todas as reservas individuais e grupos cujo conteúdo dos campos Documento e Observações contenham alguma sequência conhecida de número de cartão de crédito. Com essa listagem em mãos, o usuário acessará cada reserva e fará a alteração dos dados de cartão de crédito baseados na maneira de gravação anterior (gravar o cartão na Observação ou no Documento) e gravar a partir da tela de Dados de Cartão de Crédito do SSD.

A partir dos procedimentos acima realizados, em momento algum o usuário deverá digitar qualquer dado referente a cartão de crédito nos campos e telas acima relacionados. Isso garantirá que a certificação PCI do estabelecimento seja atingida.

...

3 - Manter um programa de gerenciamento de vulnerabilidades

Para a instalação da Solução Visual Hotal é indispensável que o Hotel atenda as seguintes especificações de hardware e de software:

Softwares Adicionais

Software de Comunicação - PC ANYWHERE para Windows, VNC (software freeware disponível na Internet) ou TS (Terminal Server do Windows - sem custo, acompanha o Windows XP e Vista).

Todo acesso administrativo não console deve ser efetuado, utilizando criptografia como SSH, VPN , SSL/TL ou TS com nível alto de criptografia.

Banco de Dados - É necessário que o MS-SQL ou Oracle já esteja instalado tanto no Servidor (versão Server) como nas estações (versão Client), pelo menos naquelas que serão utilizadas para os treinamentos.

Rede de Dados Wireless

É desaconselhável o uso de rede wireless em estações de trabalho e/ou servidores, pois não suportam o tráfego dos mesmos. As redes wireless devem ser utilizadas e distribuídas por meio de AP (access point), somente para o uso de comanda eletrônica e não deve ser permitido que os IPs da rede interna tenham equivalentes a IPs internet (NAT). Deve, também, ser utilizado um meio sem fio com criptografia e deve ser instalado um firewall para segmentar a rede para recusar ou controlar qualquer tráfego a partir do ambiente sem fio no ambiente de dados do portador do cartão.

O banco de dados deve ser posicionado em uma rede interna do cliente, segmentada por um firewall e sem acesso direto pela Internet. Todo tráfego de entrada e saída da internet deve ser permitido apenas para a DMZ (rede menos segura para acesso pela Internet), e o banco de dados não deve ser posicionado nesta rede DMZ.

Nos ambientes wireless conectados ao ambiente de dados dos portadores de cartão ou que transmitam dados dos portadores de cartão, o cliente deve mudar os controles padrões de wireless do prestador de serviço, incluindo, mas não limitado a chaves de criptografia padrão, senhas e strings de comunidades de SNMP.

O padrão recomendado em rede wireless deve ser o WAP2 e se possível, desligar o broadcast da antena e só permitir a entrada de endereços MAC válidos (aqueles que são cadastrados na antena).

Para redes sem fio que transmitem dados do portador do cartão ou que estejam conectadas ao ambiente de dados do portador do cartão, deve ser implementada criptografia robusta (por em exemplo IEEE 802 11i). Para novas implementações sem fio, será proibido implementar o WEP após 31 de março de 2009. Para implementações sem fio atuais, será proibido implementar o WEP após 30 de junho de 2010.

Comanda Eletrônica

O equipamento para operação da comanda eletrônica poderá ser qualquer Pocket PC, com mínimo de 64Mb de RAM, com WiFi (rede wireless) e Windows Mobile versão 5 ou maior.

As antenas (Access Point) devem ter capacidade para atender toda a área a ser coberta, devendo, preferencialmente, o cliente contratar uma empresa especializada nesta tecnologia para a prestação de serviço de instalação.

O padrão que deve ser usado em rede Wireless deve ser o WAP2 e se possível, desligar o broadcast da antena e só permitir a entrada de endereços MAC válidos (aqueles que são cadastrados na antena).

Impressoras

Front-Office - Disponibilidade de no mínimo duas impressoras: uma matricial de 80 colunas para impressão de notas em formulários contínuos e outra a laser, para impressão de extratos e relatórios do Front, por hotel.

Se o hotel desejar a impressão da FNRH em formulário contínuo, será necessária a aquisição de mais uma impressora matricial.

Back-Office - Disponibilidade de, no mínimo, uma impressora a laser para impressão de faturas e relatórios do Back-Office.

Se o hotel desejar fazer a impressão de cheques em formulários contínuos, será necessária a aquisição de uma impressora matricial ou equipamento específico para este fim.

Impressora Fiscal

Deverá ser disponibilizada para cada ponto de venda a impressora fiscal correspondente, sendo que a CMNet recomenda a utilização da impressora fiscal Bematech.

Antivírus

Instalação de software antivírus para as estações de trabalho e para o servidor.

Consulte o endereço: http://pt.pcisecuritystandards.org para acesso a completa descrição das ações que devem ser implementadas para que o ambiente esteja de acordo com o exigido pelo PCI.

4 - Implementar medidas de controle de acesso rigorosas

A Solução Visual Hotal permite por meio do módulo Global, Sistemas - Configuração – Parâmetros - guia Segurança, o atendimento ao controle de senhas recomendado pelo PCI, que indica os seguintes controles e que devem ser cadastrados pelo cliente:

• Fornecimento de senha individual por Grupo Administrador. As contas administrativas ou com acesso aos dados de cartão devem ser individuais, de modo a garantir a rastreabilidade das ações executadas.
• Período pré-determinado para troca de senha - Alterar as senhas pelo menos a cada 90 dias.
• Tempo máximo para travamento/logout - 15 minutos.
• Indicação de caracteres obrigatórios - Exigir um comprimento mínimo de senha de pelo menos sete caracteres e usar senhas compostas de com caracteres alfanuméricos.
• Limitar tentativas de acesso repetidas ao bloquear o ID do usuário após seis tentativas, no máximo. Caso ultrapasse o número de tentativas, o ID do usuário deverá permanecer bloqueado até que o administrador o libere novamente.
• Não usar contas e senhas em grupo, compartilhadas ou genéricas.
• Não permitir que seja enviada nova senha que seja a mesma de uma das quatro últimas senhas que tenha sido utilizada.

O cliente deve assegurar o uso de nomes de usuário exclusivos e autenticação segura para acesso a qualquer PC, servidor e banco de dados com aplicativos de pagamento e/ou dados do portador do cartão.

Consulte o endereço: http://pt.pcisecuritystandards.org para acesso à completa descrição das ações que devem ser implementadas, para que o ambiente esteja de acordo com o exigido pelo PCI.