TOTVS Hospitalidade

Árvore de páginas

Versões comparadas

Versão antiga 1

changes.mady.by.user Usuário desconhecido (c1401400)

Gravado em

comparado com

Nova versão Atual

changes.mady.by.user Usuário desconhecido (c1401400)

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

Âncora
VOLTAR
VOLTAR
TÓPICOS DESTE DOCUMENTO:

5 - Monitorar e Testar as Redes Regularmente

6 - Manter uma Política de Segurança de Informações


Caso o acesso do suporte da SoluçãoVisual Hotal e módulo SSD for realizado de maneira remota no ambiente do cliente, os seguintes pontos de segurança devem ser observados:

...

  • Dados de autenticação confidenciais somente devem ser coletados quando necessário, para resolver problemas específicos.
  • Tais dados devem ser armazenados somente em locais específicos e conhecidos e com acesso limitado.
  • Coleta somente de uma quantidade limitada de tais dados, para solucionar algum problema específico.
  • Os dados devem ser criptografados, enquanto estiverem armazenados.
  • Tais dados devem ser excluídos de forma segura, imediatamente após o uso.

Âncora
5 - Monitorar e Testar as Redes Regularmente
5 - Monitorar e Testar as Redes Regularmente
 

5 - Monitorar e Testar as Redes Regularmente

 A CMNet recomenda a utilização dos logs oferecidos pela Solução Visual Hotal. Caso os logs referentes aos dados de cartão de crédito sejam desabilitados, o ambiente do cliente não estará em conformidade com o PCI, que são:

 

  1. Log de Acesso: É um Log do Evento de Login no Sistema. Registrado, automaticamente, por TODOS os sistemas para cada LOGIN e LOGOUT efetuado. Pode ser consultado pelo Sistema Global, menu Consultas/Relatórios/Log de Acesso ao Sistema.

  2. Log de Operação: É um LOG de Operações no Sistema. Implementado “sob” demanda em cada sistema. Por exemplo: o cliente pede pra LOGAR toda vez que o usuário entrar na tela de Lote e Criar um lote. Nesse caso, o desenvolvedor cria uma Operação chamada “Criação de Lote” e registra esse Log. Todos os sistemas que têm Log de Operação implementado, têm o menu Consultas/Log de Operação habilitado.

  3. Log de Alteração e Exclusão de Registros (LOGTABELAS): Esse é o único LOG DE DADOS no BANCO, gerado via TRIGGER POR TABELA. Essas triggers podem ser solicitadas ao DBA para cada tabela de interesse do LOG ou pela opção de Triggers de Log no Sistema Global. A consulta dos DADOS logados pode ser feita pelo próprio Global.

...

Obs.: Para os 2º e 3º logs, é preciso que o cliente entre em contato com o Suporte da CMNet para solicitar a geração e envio dos programas a serem instalados na sua base de dados e que permitirão o acesso às informações dos campos/registros desejados.

 

O Log para as informações de cartão crédito (aplicativo SSD), apresentará as características abaixo e será gerado, automaticamente, a partir da instalação do aplicativo SSD:

 

  • Registro de todos os acessos individuais aos dados do cartão.
  • Registro de todas as ações desempenhadas por qualquer pessoa com privilégios raiz ou administrativos.
  • Registro de todos os acesso às trilhas de auditoria (logs).
  • Registro de tentativas inválidas de acesso lógico.
  • Uso de mecanismos de identificação e autenticação.

 

Conteúdo do Log:

...

  • Identificação do usuário.
  • Tipo de evento.
  • Data e horário.
  • Indicação de êxito ou falha.
  • Identidade ou nome dos dados afetados, componentes do sistema ou recurso.
  • Identificação da Estação de Trabalho por onde foi feito o acesso.

 

O log será gerado pela tela de visualização dos dados do cartão SSD de forma automatizada e independente de qualquer solicitação ou parametrização por parte do cliente. A consulta desse log será feita no próprio módulo SSD, tanto em tela quanto em formato de relatório.

 

Para controle das alterações de direitos de usuários, é gerado um log que contém as seguintes informações:

...

 

a) Módulo.

b) Nome da estação ou IP.

...

h) Nome do Acesso alterado -> Nesse caso, seria interessante registrar a função, o objeto e o form. Exemplo: Habilitar botão/Botão Alterar/Cadastro de Clientes.

...

Esse log pode ser consultado por meio do menu Consultas/Alteração de Acesso de Usuário/Grupos do módulo Global.

...

Consulte o endereço: http://pt.pcisecuritystandards.org para acesso à completa descrição das ações que devem ser implementadas, para que o ambiente esteja de acordo com o exigido pelo PCI.

 


Âncora
6 - Manter uma Política de Segurança de Informações
 
6 - Manter uma Política de Segurança de Informações

...

6 - Manter uma Política de Segurança de Informações

De acordo com as determinações do PCI, a CMNet CMNet recomenda fortemente que o cliente adote políticas de segurança de informações, como por exemplo:

...

  • Estabelecimento, documentação e distribuição de políticas e procedimentos de segurança.
  • Monitoramento e análise de alertas e informações de segurança, e distribuição para as equipes apropriadas.
  • Definição, documentação e distribuição dos procedimentos de resposta e escalação de incidentes de segurança, para assegurar que todas as situações sejam abordadas de modo oportuno e eficiente.
  • Administração das contas dos usuários, incluindo adições, exclusões e modificações.
  • Monitoramento e controle de todo acesso aos dados.

...

Consulte o endereço: http://pt.pcisecuritystandards.org para acesso à completa descrição das ações que devem ser implementadas, para que o ambiente esteja de acordo com o exigido pelo PCI.