Glossário de Início Rápido: PCI DSS (Payment Card Industry Data Security Standard)

b>Imprima nosso glossário prático de terminologia essencial do PCI DSS (Payment Card Industry Data Security Standard) para uma referência rápida. On-line, cada termo tem um link para uma definição completa que também inclui recursos para aprendizado posterior.

servidor AAA -- um programa servidor que lida com solicitações de acesso a recursos do computador e, para uma empresa, fornece serviços de autenticação, autorização e contabilidade (AAA).

controle de acesso -- uma técnica de segurança que pode ser usada para regular quem ou o que pode visualizar ou usar recursos em um ambiente computacional.

adware - software que exibe publicidade enquanto está em execução; frequentemente rastreia informações de usuários e compartilha com terceiros. 

AES (Advanced Encryption Standard) -- uma cifra de bloco simétrica usada pelo governo dos EUA para proteger informações classificadas que são implementadas em software e hardware em todo o mundo para criptografar dados confidenciais.

ANSI (American National Standards Institute) -- a principal organização para promover o desenvolvimento de padrões tecnológicos nos Estados Unidos.

software antivírus -- uma classe de programa que irá prevenir, detectar e remediar malware infecções em dispositivos de computação individual e sistemas de TI.

vetor de ataque -- um caminho ou meio pelo qual um hacker pode obter acesso a um computador ou servidor de rede a fim de entregar uma carga útil ou resultado malicioso.

audit trail - também conhecido como log de auditoria, a sequência de papelada que valida ou invalida entradas contabilísticas.

authentication -- o processo de determinar se alguém ou algo é, de facto, quem ou o que é declarado como sendo, como um meio de assegurar o acesso a um dado recurso.

authorization -- é o processo de dar a alguém permissão para fazer ou ter algo. Em sistemas de computador com múltiplos usuários, um administrador de sistema define para o sistema quais usuários têm permissão de acesso ao sistema e quais privilégios de uso são liberados para.

autenticação, autorização e contabilidade (AAA) -- uma estrutura para controlar inteligentemente o acesso a recursos de computador, aplicando políticas, auditando o uso e fornecendo as informações necessárias para cobrar pelos serviços.

authentication factor --  uma categoria de credencial usada para verificar identidade.  As três categorias principais são fatores de conhecimento (coisas que o usuário sabe), fatores de posse (coisas que o usuário tem) e fatores de herança (coisas que o usuário inerentemente é).

backup -- a atividade de copiar arquivos ou bancos de dados para que eles sejam preservados em caso de falha de equipamento ou outra catástrofe. 

autenticação biométrica -- um tipo de sistema de segurança que usa as características biológicas únicas dos indivíduos para verificar identidade para logins seguros em sistemas eletrônicos.

California Security Breach Information Act -- legislação estadual da Califórnia que exige que organizações que mantêm informações pessoais sobre indivíduos informem a esses indivíduos se a segurança de suas informações for comprometida.

valor de verificação do cartão (CVV) -- uma combinação de recursos usados em cartões de crédito, débito e caixa eletrônico (ATM) com o propósito de estabelecer a identidade do proprietário e minimizar o risco de fraude. 

Chief Compliance Officer (COO) - um funcionário corporativo encarregado de supervisionar e gerenciar questões de conformidade dentro de uma organização, assegurando, por exemplo, que uma empresa esteja cumprindo os requisitos regulatórios e que a empresa e seus funcionários estejam cumprindo as políticas e procedimentos internos.

dados do titular do cartão (CD) -- o número de conta primária (PAN) de um cartão de pagamento pertencente a um titular, juntamente com qualquer um dos seguintes tipos de dados: nome do titular do cartão, data de vencimento ou código de serviço (um número de três ou quatro dígitos codificados na fita magnética que especifica os requisitos e limitações de aceitação de uma transação com fita magnética).

ambiente de dados do portador do cartão (CDE) -- é um sistema de computador ou grupo de sistemas de TI em rede que processa, armazena e/ou transmite dados do portador do cartão ou dados sensíveis de autenticação de pagamento, bem como qualquer componente que se conecte diretamente ou suporte a esta rede.

identidade baseada em reivindicações -- um meio de autenticar um usuário final, aplicativo ou dispositivo para outro sistema de forma que abstraia as informações específicas da entidade enquanto fornece dados que os autorizam para interações apropriadas e relevantes.

criptografia em nível de coluna -- um método de base de dados criptografia no qual a informação em cada célula (ou campo de dados) em uma coluna específica tem o mesmo senha para fins de acesso, leitura e escrita. 

compensating control  -- uma medida de segurança de dados que é projetada para satisfazer a exigência de alguma outra medida de segurança que é considerada muito difícil ou impraticável de implementar. 

compliance -- um estado no qual alguém ou algo está de acordo com as diretrizes estabelecidas, especificações ou legislação. 

compliance audit -- uma revisão abrangente da aderência de uma organização às diretrizes regulatórias. Consultores independentes de contabilidade, segurança ou TI avaliam a força e a exaustividade das preparações de conformidade. 

computador forense -- a aplicação de técnicas de investigação e análise para reunir e preservar evidências de um determinado dispositivo de computação de uma forma adequada para apresentação em um tribunal.

estrutura de controle -- uma estrutura de dados que organiza e categoriza os controles internos de uma organização, que são práticas e procedimentos estabelecidos para criar valor de negócio e minimizar riscos.

cross-site scripting (XSS) -- um security exploit no qual o atacante insere codificação maliciosa em um link que parece ser de uma fonte confiável. 

cross-site tracing (XST) -- uma forma sofisticada de cross-site scripting (XSS) que pode contornar o security contramedidas já colocadas em prática para proteger contra XSS. 

cryptographic key -- um valor variável que é aplicado usando um algoritmo a uma string ou bloco de texto não criptografado para produzir texto criptografado, ou para decriptar texto criptografado.

cryptoperiod -- algumas vezes chamado de key lifetime ou período de validade, um período de tempo específico durante o qual uma configuração de chave criptográfica permanece em vigor.

dados em repouso -- dados no armazenamento do computador ao invés de atravessar uma rede ou residir temporariamente na memória do computador para ser lido ou atualizado.

data breach --  um incidente no qual dados sensíveis, protegidos ou confidenciais foram potencialmente vistos, roubados ou usados por um indivíduo não autorizado a fazê-lo. 

data destruction -- o processo de destruição de dados armazenados em fitas, discos rígidos e outras formas de mídia eletrônica de modo que seja completamente ilegível e não possa ser acessado ou usado para fins não autorizados.

data masking -- um método para criar uma versão estruturalmente similar mas não autêntica dos dados de uma organização que pode ser usada para propósitos como testes de software e treinamento de usuários. O propósito é proteger os dados reais enquanto tem um substituto funcional para ocasiões em que os dados reais não são necessários.

DMZ (zona desmilitarizada) -- um host de computador ou pequena rede inserida como uma "zona neutra" entre a rede privada de uma empresa e a rede pública externa.

filtragemegress -- um processo no qual os dados de saída são monitorados ou restritos, geralmente por meio de a firewall que bloqueia pacotes que falham em atender a certos requisitos de segurança. 

encryption -- a conversão de data em outra forma, chamada ciphertext, que não pode ser facilmente compreendida por ninguém, exceto por partes autorizadas.

Electronic Industries Association (EIA) - consórcio que toma decisões sobre padrões de transmissão de dados.

FIPS (Federal Information Processing Standards) -- um conjunto de padrões que descreve processamento de documentos, algoritmos de criptografia e outros padrões de tecnologia da informação para uso dentro de agências governamentais não-militares e por empreiteiros e fornecedores governamentais que trabalham com as agências.

firewall -- a network sistema de segurança, baseado em hardware ou software, que controla o tráfego de entrada e saída da rede com base em um conjunto de regras.

infirmação de quatro fatores (4FA) -- o uso de quatro tipos de credenciais de confirmação de identidade para autenticar o usuário, tipicamente os três fatores comuns de conhecimento, posse e herança mais localização, embora o tempo seja algumas vezes considerado o quarto fator.

Gramm-Leach-Bliley Act (GLB)  -- legislação federal promulgada nos Estados Unidos para controlar as formas como as instituições financeiras lidam com as informações privadas dos indivíduos.

hard-drive encryption -- uma tecnologia que codifica os dados armazenados no a disco rígido usando funções matemáticas sofisticadas.

hashing -- a transformação de uma string de caracteres em um valor ou chave normalmente mais curto de comprimento fixo que representa a string original. Usado para indexar e recuperar itens em a database porque é mais rápido encontrar o item usando a chave hashed mais curta do que encontrá-lo usando o valor original, também usado em muitos encryption algorithms.

HTTPS (HTTP over SSL or HTTP Secure) -- o uso de Secure Socket Layer (SSL) ou Transport Layer Security (TLS) como um sub-camada sob camadas de aplicativos HTTP regulares. 

sistema de gerenciamento de acesso de identidade (IAM) -- um framework para processos de negócios que facilita o gerenciamento de identidades eletrônicas.

filtragem de entrada -- um método para verificar se a entrada pacotes chegando ao a rede são do computador de origem que dizem ser antes da entrada (ou ingresso) ser concedida.

intrusion detection (ID) -- um tipo de sistema de gerenciamento de segurança para computadores e redes que reúne e analisa informações de várias áreas dentro de um computador ou rede para identificar possíveis brechas de segurança.

endereço IP - a seqüência de números que identifica de forma única um computador na Internet ou dentro de uma rede.

IPsec (Internet Protocol Security) -- uma estrutura para um conjunto de protocolos de segurança na rede ou camada de processamento de pacotes de comunicação em rede.

IP spoofing, também conhecido como falsificação de endereço IP -- uma técnica de hijacking na qual o atacante se mascara como um host confiável para esconder sua identidade, seqüestrar navegadores, ou ganhar acesso a uma rede. 

multifactor token - um token de segurança que usa mais de uma categoria de credencial para confirmar a autenticação do usuário. Um exemplo comum é o uso de a smartphone software token aplicativo que permite que o telefone sirva como token de hardware; este exemplo produz um token de dois fatores.

National Computer Security Center (NCSC)  -- uma organização do governo dos EUA dentro da Agência Nacional de Segurança (NSA) que avalia equipamentos de computação para aplicações de alta segurança para garantir que as instalações que processam material classificado ou outro material sensível estejam usando sistemas e componentes de computador confiáveis.

National Vulnerability Database (NVD) -- um repositório governamental de vulnerabilidades baseadas em padrões information.

NAT (Network Address Translation ou Network Address Translator) -- a tradução de um endereço IP usado dentro de uma rede para um endereço IP diferente conhecido dentro de outra rede. Tipicamente, uma empresa mapeia seus endereços IP locais dentro da rede para um ou mais endereços IP globais fora da rede e desmapeia os endereços IP globais nos pacotes de entrada de volta para endereços IP locais.

NIST (National Institute of Standards and Technology)  -- uma unidade do Departamento de Comércio dos EUA que promove e mantém padrões de medição.

senha de tempo único (OTP) -- uma cadeia de caracteres numérica ou alfanumérica gerada automaticamente que autenticará o usuário para uma única transação ou sessão.

token OTP -- um dispositivo de segurança ou programa de software que produz novas senhas ou senhas de uso único em intervalos de tempo predefinidos. 

autenticação fora da banda -- um tipo de autenticação de dois fatores que requer um método de verificação secundário através de um canal de comunicação separado junto com o ID e senha típicos.

 Payment Card Industry Data Security Standard (PCI DSS) -- um conjunto amplamente aceito de políticas e procedimentos destinados a otimizar a segurança das transações com cartões de crédito, débito e dinheiro e proteger os titulares dos cartões contra o uso indevido de suas informações pessoais. 

P>Payment Application Data Security Standard (PA-DSS) -- um conjunto de requisitos que se destinam a ajudar os fornecedores de software a desenvolver aplicações de pagamento seguras que suportem a conformidade com o PCI DSS.

AvaliaçãoPCI -- uma auditoria para validar a conformidade com o PCI DSS. Durante a avaliação, um PCI Qualified Security Assessor (QSA) determina se a empresa cumpriu os requisitos do PCI DSS 12, seja diretamente ou através de um controle compensatório.

conformidadePCI --  aderência a um conjunto de padrões de segurança que foram desenvolvidos para proteger as informações do cartão durante e após uma transação financeira.

requisitosPCI DSS 12 -- um conjunto de controles de segurança que as empresas devem implementar para proteger os dados do cartão de crédito e cumprir com o PCI DSS. Os requisitos foram desenvolvidos e são mantidos pelo PCI Security Standards Council. 

PCI DSS 2.0 -- a segunda versão do PCI DSS, que reforça a necessidade de um escopo completo antes de uma avaliação e promove um gerenciamento de log mais eficaz. 

PCI DSS 3.0 -- a terceira maior iteração do PCI DSS. As adições incluem testes de penetração para verificar os métodos usados para segmentar o ambiente de dados do portador de cartão de comerciante a partir de outra infra-estrutura de TI, um inventário de todos os componentes de hardware e software dentro do ambiente de dados do portador do cartão e documentação detalhando quais requisitos são gerenciados por terceiros. 

PCI DSS User Group -- um grupo de usuários baseado em Londres para comerciantes e varejistas que devem cumprir os 12 requisitos do PCI DSS (Payment Card Industry Data Security Standard).

PCI forensic research program -- a certification process for companies wishing to become eligible to perform investigations into data breaches on payment card industry (PCI) networks.

PCI policy -- um tipo de security policy that covers how an organization address the 12 requirements of the PCI DSS. Uma política PCI é exigida de todos os comerciantes e prestadores de serviços que armazenam, processam ou transmitem dados de portadores de cartões de crédito

PCI QSA (Payment Card Industry Qualified Security Assessor) -- uma designação conferida pelo PCI Security Standards Council a indivíduos que ele considera qualificados para realizar avaliações e serviços de consultoria PCI. 

PCI Security Standards Council -- uma organização criada pelas principais empresas de cartões de crédito em um esforço para proteger melhor os dados dos portadores de cartões de crédito. O PCI SSC foi formado em resposta a um aumento de violações de segurança de dados, que não só colocam os clientes em risco, mas também aumentam os custos das empresas de cartão de crédito.

PII (informação pessoalmente identificável) -- qualquer dado que possa potencialmente identificar um indivíduo específico. PII podem ser sensíveis ou não sensíveis. Dados de Identificação Pessoal não sensíveis são informações que podem ser transmitidas de forma não encriptada.

PIFI (informação financeira pessoalmente identificável) -- qualquer tipo de informação pessoalmente identificável que esteja ligada às finanças dessa pessoa. Um número de cartão de crédito é um excelente exemplo de PIFI.

princípio do privilégio mínimo (POLP) -- a prática de limitar o acesso ao nível mínimo que permitirá o funcionamento normal. Aplicado aos funcionários, o princípio do privilégio mínimo traduz-se em dar às pessoas o nível mais baixo de direitos de utilizador que elas podem ter e ainda fazer o seu trabalho.

privacy - uma garantia de que a informação não será partilhada de forma inadequada, que as partes não autorizadas não poderão ver comunicações e/ou que as mensagens podem ser enviadas anonimamente.

Assessor de Segurança Qualificado (QSA) -- uma pessoa que foi certificada pelo PCI Security Standards Council para auditar comerciantes para conformidade com o PCI DSS.

conformidade regulamentar -- a adesão de uma organização às leis, regulamentos, diretrizes e especificações relevantes ao seu negócio.

Report on Compliance (ROC) -- um formulário que deve ser preenchido por todos os comerciantes de Nível 1 da Visa submetidos a uma auditoria PCI DSS. Em geral, um comerciante de nível 1 é aquele que processa mais de 6 milhões de transações Visa em um ano.

Report for Comment 1918 (RFC 1918) -- "Address Allocation for Private Internets", o memorando da Internet Engineering Task Force (IETF) sobre métodos de atribuição de endereços IP privados em redes TCP/IP.

Sarbanes-Oxley Act (SOX)  -- legislação promulgada em resposta aos escândalos financeiros de alto nível da Enron e do WorldCom para proteger os acionistas e o público em geral de erros contábeis e práticas fraudulentas na empresa (administrada pela Securities and Exchange Commission).

Secção 508 -- uma emenda à Lei de Reabilitação da Força de Trabalho dos Estados Unidos de 1973, é uma lei federal que determina que toda tecnologia eletrônica e de informação desenvolvida, adquirida, mantida ou usada pelo governo federal seja acessível a pessoas com deficiência.

security information and event management (SIEM) -- uma abordagem à gestão de segurança que procura fornecer uma visão holística da segurança da tecnologia da informação (TI) de uma organização. 

security token (às vezes chamado de token de autenticação) -- um pequeno dispositivo de hardware que o proprietário carrega para autorizar o acesso a um serviço de rede.

sensitive information -- dados que devem ser protegidos contra acesso não autorizado para salvaguardar o privacy ou security de um indivíduo ou organização.

shared secret -- dados conhecidos apenas pelas duas entidades envolvidas numa comunicação para que a posse desses dados por qualquer uma das partes possa ser fornecida como prova de identidade para autenticação.

devia navegar -- usando técnicas de observação direta, como olhar por cima do ombro de alguém, para obter informações.

single-factor authentication (SFA) - um método de autenticação que envolve apenas uma categoria de credencial. O nome de usuário familiar / login de senha é a forma mais comum de SFA, mas alguns métodos de autenticação forte também são usados independentemente.

soft token -- um token de segurança baseado em software que gera um PIN de login de uso único. Os tokens de software são freqüentemente componentes de aplicativos usados para proteger a autenticação móvel.

third party -- uma entidade que está envolvida de alguma forma em uma interação que é principalmente entre duas outras entidades. 

>p>terceiro fator de autenticação (3FA) - o uso de credenciais de confirmação de identidade de três categorias separadas de fatores de autenticação - tipicamente, o conhecimentopossessão e inherança categorias.

autenticação de dois fatores (2FA) -- um processo no qual o usuário fornece dois meios de identificação a partir de fatores de autenticação separados. Muitas vezes uma credencial é um token físico, como um cartão, e a outra é algo memorizado, como um código de segurança.

verificação de dois fatores -- um processo que envolve dois métodos de autenticação, não necessariamente de fatores de autenticação separados, realizado um após o outro para verificar se alguém ou algo solicitando acesso é quem ou o que é declarado como sendo. 

identificador único (UID) -- uma string numérica ou alfanumérica que está associada a uma única entidade dentro de um determinado sistema. 

autenticaçãouniversal -- um método de verificação de identidade de rede que permite aos utilizadores moverem-se de site para site de forma segura sem terem de introduzir informações de identificação várias vezes.

autenticação de utilizador -- a verificação de uma transferência activa de credenciais de homem para máquina necessária para a confirmação da autenticidade de um utilizador; o termo contrasta com autenticação de máquina, que envolve processos automatizados que não requerem a entrada do utilizador.

vendor risk management (VRM) -- um plano abrangente para identificar e diminuir potenciais incertezas de negócios e responsabilidades legais em relação à contratação de fornecedores de produtos e serviços de TI por terceiros.

virtual payment terminal -- uma versão baseada na Web de um dispositivo de desvio de cartão de crédito que permite aos comerciantes processar pedidos feitos por correio, por telefone ou online.

vulnerabilidade -- uma falha no código ou design que cria um potencial ponto de compromisso de segurança para um endpoint ou rede.

vulnerabilidade revelação -- a prática de publicar informações sobre um problema de segurança do computador, e um tipo de política que estipula diretrizes para fazê-lo.

wipe --  para tornar todos os dados no a disco rígido  ilegível. O termo é frequentemente usado em referência a tornar os dados armazenados em um computador, smartphone ou tablet inacessível antes de descartar o dispositivo.