PCI - Programa de Segurança da Informação
Glossáro
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Adquirente
Um membro da associação de cartões que inicia e mantém relações com os estabelecimentos que aceitam cartões Visa ou MasterCard.
Ameaça
Uma condição que pode fazer com que as informações ou recursos de processamento das informações sejam intencionalmente ou acidentalmente perdidos, modificados, expostos, tornados inacessíveis ou afetados em detrimento da organização.
Análise de Risco
Também conhecido como avaliação de risco, é um processo que sistematicamente identifica os recursos valiosos do sistema e potenciais ameaças, quantifica perdas por exposição (ex: potencial de perda) com base em freqüências estimadas e custos da ocorrência. Opcionalmente, recomenda como alocar recursos para estabelecer medidas para minimizar a exposição total.
Autenticação
O processo de verificação da identidade de um objeto ou processo.
Autenticação de Dois Fatores
Exige que os usuários, para terem acesso a um sistema, apresentem duas credenciais: algo que eles possuam (ex: smartcards ou tokens de hardware), e algo que eles conheçam (ex: uma senha).
Autorização
A concessão do acesso ou outros direitos a um usuário, programa ou processo.
Back-up
A cópia duplicada dos dados feita para arquivo ou para proteção contra danos ou perda.
Banco de Dados
Um formato estruturado para organizar e manter informações que possam ser facilmente recuperadas. Um dos exemplos simples é uma tabela ou uma planilha.
Busca de Conta
Um método para determinar as contas de usuários existentes, com base em tentativas e erros. Dar informações em demasia, em uma mensagem de erro, pode divulgar informações com as quais um invasor possa penetrar mais facilmente ou comprometer o sistema.
Chave
Em codificação, a chave é um valor aplicado a um texto não codificado, através do uso de um algoritmo, para produzir um texto codificado. O comprimento da chave geralmente determina o grau de dificuldade para a decodificação do texto em uma determinada mensagem.
Codificação
É o processo de conversão das informações a uma forma ininteligível a qualquer pessoa que não possua uma chave específica de codificação. O uso da codificação protege as informações entre os processos de codificação e de decodificação (o contrário de codificação), contra a divulgação não autorizada.
Código de Validação do Cartão
É o valor de três dígitos impresso no painel de assinatura de um cartão de pagamento, usado para verificar transações de cartão ausente. No pagamento com um cartão MasterCard isto é chamado de CVC2. No pagamento com um cartão Visa isto é chamado de CVV2.
Comprometimento
Uma invasão a um sistema de computadores onde uma divulgação não autorizada, modificação ou destruição dos dados do portador de cartão tenha ocorrido.
Console
Uma tela ou teclado que permite o acesso e controle do servidor/mainframe em um ambiente de rede.
Consumidor
Indivíduo que compra bens e/ou serviços.
Contas Padrão
Uma conta de login do sistema que tenha sido predefinida em um sistema adquirido de terceiros, para permitir o acesso inicial quando o sistema é colocado pela primeira vez em funcionamento.
Controle de Acesso
Avalia o limite de acesso, das pessoas ou aplicativos autorizados, às informações ou fontes de processamento das informações.
Controle Duplo
Um método de preservação da integridade de um processo. Exige que diversos indivíduos exerçam uma ação independente, antes que certas transações sejam completadas.
Cookies
Uma série de dados permutados entre um servidor e um navegador de web, para manter uma sessão. Os cookies podem conter as preferências e informações pessoais do usuário.
Dados Confidenciais do Portador de Cartão
Dados cuja divulgação não autorizada pode ser usada em uma transação fraudulenta. Eles incluem o número da conta, os dados da tarja magnética, CVC2/CVV2 e a data de vencimento.
Dados da Tarja Magnética (Track Data)
Dados codificados na tarja magnética, usados para a autorização durante uma transação de cartão presente. As entidades não podem reter os dados completos da tarja magnética, após a autorização. Os códigos de serviço, dados discricionários/CVV e os dados reservados à Visa devem ser descartados. Entretanto, os número da conta, data de vencimento e nome devem ser extraídos e mantidos.
Dados da Transação
Dados relacionados a um pagamento eletrônico.
Dados do Portador de Cartão
Todos os dados identificadores do portador de cartão e de relacionamento com o Membro (ex: número da conta, data de vencimento, dados fornecidos pelo Membro, outros dados recolhidos pelo estabelecimento/agente, etc). Este termo também se refere a outros dados pessoais do portador de cartão (ex: endereços, números de telefone etc).
DBA (Doing Business As)
Os níveis de validação do cumprimento são baseados no volume das transações de um DBA ou cadeia de lojas (não de uma corporação que possui diversas cadeias).
Depuração
Processo de apagar os dados de um arquivo, um dispositivo ou de modificar os dados para que não possam ser de valor para os fraudadores.
Divisão das Responsabilidades
A prática de dividir as etapas em uma função do sistema entre vários indivíduos, para evitar que um único indivíduo corrompa o processo.
DMZ (zona desmilitarizada)
Uma rede inserida entre uma rede privada e em uma rede pública com o propósito de fornecer um nível adicional de segurança.
Endereço de IP
Um endereço de IP é um código numérico que identifica um computador em particular na Internet.
Entrada
Tráfego entrando na rede.
Firewall
Hardware e/ou software que protege as fontes de dados de uma rede de usuários contra ataques externos. Uma empresa com uma intranet, que permita que os seus funcionários tenham acesso à Internet, deve possuir um firewall para evitar que estranhos possam acessar as suas fontes de dados.
Host
O principal hardware onde está o software.
ID do Usuário
Uma série de caracteres que são usados para identificar de forma única cada usuário de um sistema.
IP Spoofing
Uma técnica usada para conseguir acesso não autorizado a computadores, de onde o intruso envia mensagens a outro computador com um endereço de IP indicando que a mensagem vem de um host reconhecido.
ISO 8583
Um padrão estabelecido para a comunicação entre sistemas financeiros.
Log de Auditoria
Um registro cronológico das atividades do sistema que é suficiente para possibilitar a reconstrução, revisão e exame da seqüência de ambientes e atividades, envolvendo ou levando a uma operação, um procedimento ou um evento, em uma transação do seu início ao resultado final. Algumas vezes se refere especificamente como um registro da auditoria de segurança.
Monitoração
Um acompanhamento da atividade em uma rede.
Número de Conta
O número do cartão de pagamento (crédito ou débito) que identifica o emissor e a conta do portador.
Oficial de Segurança
Principal responsável pelos assuntos relacionados à segurança de uma organização.
Patch
Um trabalho de reparo rápido em uma parte da programação. Visa corrigir problemas que, invariavelmente, ocorrerão, ou serão encontrados, durante um teste de distribuição de um software beta do produto ou em um período de experimentação e depois que o produto é formalmente lançado. Um patch é a solução imediata que é fornecida aos usuários.
Patrimônio
Informações ou recursos de processamento de informações de uma organização.
Penetração
O ato de bypass com sucesso os sistemas de segurança de um sistema.
Política
Regras que controlam o uso aceitável de recursos de computação, práticas de segurança e orientam o desenvolvimento de procedimentos operacionais.
Política de Segurança
O conjunto de leis, regras, e práticas que regulam como uma organização administra, protege e distribui informações confidenciais.
Portador de Cartão
O cliente para quem foi emitido um cartão ou o indivíduo autorizado a usar o cartão.
Procedimento
Um procedimento fornece a descrição da política à qual se aplica. É o "como fazer" da política. Um procedimento dá as orientações de como a política deve ser levada a efeito.
Protocolo
Um método aprovado de comunicação usado dentro das redes. Uma especificação que descreve as regras e procedimentos que os produtos devem seguir para executar atividades em uma rede.
Rede
Dois ou mais computadores conectados, de forma a que possam compartilhar informações.
Router
Um router é uma parte do hardware ou software que conecta duas ou mais redes. Funciona como um classificador e intérprete, quando examina e passa informações aos seus destinos adequados. Os routers de software são algumas vezes chamados de portais (gateways).
Saída
Tráfego saindo da rede.
Scan da Vulnerabilidade
Uma ferramenta automatizada que checa as vulnerabilidades nos sistemas de um estabelecimento ou de um prestador de serviço. Os scans checam sistemas operacionais, serviços e dispositivos que podem ser utilizados por hackers para atacar a rede privativa da companhia.
Scan de Perímetro do Sistema
Uma ferramenta automatizada que checa remotamente os sistemas de um estabelecimento ou de um prestador de serviço em busca de vulnerabilidades. Este teste, não intrusivo, envolve a exploração dos sistemas externos baseados em endereços do protocolo de Internet (IP) e relatórios de serviços disponíveis à rede externa (ex: serviços disponíveis à Internet). Os scans checam sistemas operacionais, serviços e dispositivos que poderiam ser usados por hackers para atacar a rede privativa da companhia.
Segurança das Informações
Proteção das informações com o propósito de manter a confidencialidade, integridade e disponibilidade.
Senha
Uma série de caracteres que serve para autenticar um usuário.
Senha Padrão
A senha na administração do sistema ou em contas de serviço quando um sistema é enviado do fornecedor, normalmente associado com a conta padrão. Contas e senhas padrão são publicadas e muito conhecidas.
Servidor
Um computador que atua como um prestador de algum tipo de serviço a outros computadores, tais como comunicações de processamento, armazenamento de arquivos ou facilidade de impressão.
Sistemas de Detecção de Invasão
Um sistema de detecção de invasão (IDS) inspeciona todas as atividades que entram e saem da rede e identifica padrões suspeitos, que podem indicar um ataque à rede ou ao sistema por parte de invasor.
SQL injection
Uma forma de ataque a um website que contenha um banco de dados. O atacante executa comandos SQL não autorizados, se aproveitando de um código não seguro de um sistema conectado à Internet. Os ataques do tipo SQL injection são usados para roubar as informações de um banco de dados que, normalmente, não estaria disponível ou não permitiria o acesso de computadores não autorizados.
SSL
Um padrão estabelecido da indústria que codifica o canal entre um navegador e um servidor de web para assegurar a privacidade e a confiabilidade dos dados transmitidos através deste canal.
Tamper-resistance
Sistema difícil de modificar ou subverter quando atacado por invasor.
Teste de Penetração
Investigação que checa a segurança de sistema ou rede de computadores em busca vulnerabilidades que um atacante possa explorar. O teste simula uma tentativa de penetrar no sistema para que as vulnerabilidades sejam encontradas e corrigidas.
Token
Um dispositivo que executa autenticação dinâmica.
Tradução do Endereço da Rede (NAT)
A tradução do endereço de um Protocolo de Internet (endereço de IP) usado em uma rede para um endereço de IP diferente conhecido por outra rede.
Truncagem
A prática de remover um segmento de dados. Comumente, apenas quando os números da conta estão truncados, os primeiros 12 dígitos são deletados, deixando somente os últimos 4 dígitos.
Usuários Não Clientes
Qualquer usuário, excluindo os clientes consumidores, que tenha acesso aos sistemas incluindo, mas não limitado a, funcionários, administradores e prestadores de serviço externo.
Vírus
Um programa ou série de códigos que pode se autocopiar e causar a modificação ou destruição do software ou dos dados.
Vulnerabilidade
Uma debilidade nos procedimentos do sistema de segurança, desenho do sistema, implementação ou controles internos que poderia ser explorada por um invasor, com o propósito de violar a política de segurança do sistema.
Para ler os documentos você precisa do Adobe Reader.
Clique aqui para instalar gratuitamente.