Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Regras para proteção de dados de
cartões para a pequena e média
empresa.
Boas Práticas de
Segurança da
Informação
Prezado Cliente,
A constante evolução da tecnologia
tornando realidade o que antes era impossível ou até imaginável. As fronteiras
desaparecem, negócios são realizados em
e serviços, antes acessíveis
pudessem ser adquiridos em qualquer parte do planeta.
No entanto, este cenário expõe
inimagináveis quanto aos novos benefícios oferecidos pela revolução
tecnológica. Novas modalidades de frau
tecnologia avança e proteger sua plataforma
fraudadores se tornou tão importante quanto proteger sua loja
Acreditamos que a chave para a proteção do mercado, reside no
compartilhamento do conhecimento. Desta forma, este
regras básicas para segurança das informações
totalidade, serão de grande valia
de ataques, comprometimento de informações
Boa leitura,
A constante evolução da tecnologia está sempre rompendo paradigmas,
tornando realidade o que antes era impossível ou até imaginável. As fronteiras
negócios são realizados em âmbito global fazendo com que bens
acessíveis somente em escala regional de distribuição
pudessem ser adquiridos em qualquer parte do planeta.
este cenário expõe os negócios a novos riscos tão
inimagináveis quanto aos novos benefícios oferecidos pela revolução
gica. Novas modalidades de fraudes são geradas à medida que a
tecnologia avança e proteger sua plataforma tecnológica contra o ataque de
tão importante quanto proteger sua loja fisicamente
Acreditamos que a chave para a proteção do mercado, reside no
nto do conhecimento. Desta forma, este documento contém
regras básicas para segurança das informações que, se aplicadas em sua
serão de grande valia para a proteção seu negócio reduzindo riscos
de ataques, comprometimento de informações confidenciais e fraudes.
2
está sempre rompendo paradigmas,
tornando realidade o que antes era impossível ou até imaginável. As fronteiras
fazendo com que bens
escala regional de distribuição
a novos riscos tão
inimagináveis quanto aos novos benefícios oferecidos pela revolução
des são geradas à medida que a
contra o ataque de
fisicamente.
Acreditamos que a chave para a proteção do mercado, reside no
documento contém
que, se aplicadas em sua
reduzindo riscos
e fraudes.
1.1.1.1. Dados de CartãoDados de CartãoDados de CartãoDados de Cartão ................................
2.2.2.2. Arquitetura de RedeArquitetura de RedeArquitetura de RedeArquitetura de Rede
3.3.3.3. Redes Sem FioRedes Sem FioRedes Sem FioRedes Sem Fio ................................
4.4.4.4. Servidores e Estações de TrabalhoServidores e Estações de TrabalhoServidores e Estações de TrabalhoServidores e Estações de Trabalho
5.5.5.5. Centrais de AtendimentoCentrais de AtendimentoCentrais de AtendimentoCentrais de Atendimento
6.6.6.6. Gestão de SegurançaGestão de SegurançaGestão de SegurançaGestão de Segurança
Sumário
................................................................................................
Arquitetura de RedeArquitetura de RedeArquitetura de RedeArquitetura de Rede ................................................................................................
..............................................................................................................................
Servidores e Estações de TrabalhoServidores e Estações de TrabalhoServidores e Estações de TrabalhoServidores e Estações de Trabalho ................................................................
Centrais de AtendimentoCentrais de AtendimentoCentrais de AtendimentoCentrais de Atendimento ................................................................................................
Gestão de SegurançaGestão de SegurançaGestão de SegurançaGestão de Segurança ................................................................................................
3
......................................................... 4444
................................................. 6666
.............................. 7777
................................................. 9999
................................... 13131313
........................................... 15151515
Os comércios que operam com cartões possuem as mais diversas configurações
de ambiente e especificidades no tratamento do dado de cartão e a obtenção
destes dados é o principal objetivo dos criminosos. No entanto, quais seriam
estas informações?
São considerados como dados de cartões:
• Número do Cartão, ou PAN (Primary Account Number).
• Nome do Portador.
• Data de vencimento do cartão.
• Código de segurança.
• Conteúdo da tarja magnética
1.1. Evite armazenar os dados de cartão após a autorização da transação.
O armazenamento destas informações não é recomendável, porém ao se
cogitar a possibilidade de armazená
critica em que seja questionado se estes dados são realmente necessários
lembrando que a Cielo oferece o TID ou
usado para identificar qualquer transação em nossos sistemas sem a
necessidade do número do cartão.
1.2. Não armazene o Código de Segurança em hipótese alguma.
O armazenamento desta informação em conjunto com os outros dados do
cartão permite que criminosos realizem compras fraudulentas.
1.3. Não envie dados de cartão via email, Skype, MSN, Gtalk, redes sociais ou qualquer outro mecanismo de troca de mensagens via in
A partir do momento em que uma mensagem deste tipo é enviada não é
possível controlar a disseminação desta informação. Proibir o envio de dados
1. Dados de Cartão
operam com cartões possuem as mais diversas configurações
de ambiente e especificidades no tratamento do dado de cartão e a obtenção
destes dados é o principal objetivo dos criminosos. No entanto, quais seriam
iderados como dados de cartões:
Número do Cartão, ou PAN (Primary Account Number).
Data de vencimento do cartão.
Código de segurança.
Conteúdo da tarja magnética
Evite armazenar os dados de cartão após a autorização da transação.
O armazenamento destas informações não é recomendável, porém ao se
cogitar a possibilidade de armazená-las, sugerimos que seja feita uma análise
critica em que seja questionado se estes dados são realmente necessários
lembrando que a Cielo oferece o TID ou código de transação o qual pode ser
usado para identificar qualquer transação em nossos sistemas sem a
necessidade do número do cartão.
Não armazene o Código de Segurança em hipótese alguma.
O armazenamento desta informação em conjunto com os outros dados do
cartão permite que criminosos realizem compras fraudulentas.
envie dados de cartão via email, Skype, MSN, Gtalk, redes sociais ou qualquer outro mecanismo de troca de mensagens via internet
A partir do momento em que uma mensagem deste tipo é enviada não é
possível controlar a disseminação desta informação. Proibir o envio de dados
Dados de Cartão
4
operam com cartões possuem as mais diversas configurações
de ambiente e especificidades no tratamento do dado de cartão e a obtenção
destes dados é o principal objetivo dos criminosos. No entanto, quais seriam
Evite armazenar os dados de cartão após a autorização da transação.
O armazenamento destas informações não é recomendável, porém ao se
las, sugerimos que seja feita uma análise
critica em que seja questionado se estes dados são realmente necessários
código de transação o qual pode ser
usado para identificar qualquer transação em nossos sistemas sem a
O armazenamento desta informação em conjunto com os outros dados do
envie dados de cartão via email, Skype, MSN, Gtalk, redes sociais ou ternet.
A partir do momento em que uma mensagem deste tipo é enviada não é
possível controlar a disseminação desta informação. Proibir o envio de dados
de cartão por estes meios de comunicação é necessário para evitar o
vazamento de informações e fraudes.
1.4. Caso os dados de cartão sejam manipulados no ambiente de algum de seus fornecedores, exija contratualmente que a empresa esteja certificada no PCI DSS.
O PCI DSS (em português, Padrão de Segurança de Dados da Indústria de
Cartões de Pagamento) é um padrão
informações de cartão. Nele se encontram mais de 200 regras de segurança a
serem implementadas em ambientes nos quais o dado de cartão é trafegado,
processado ou armazenado.
Recomendamos a conformidade de seu ambiente ao PC
obrigatório que seus fornecedores (gateways de pagamento, data centers e
outros fornecedores de soluções) sejam certificados no padrão e que esta
obrigação se dê contratualmente.
de cartão por estes meios de comunicação é necessário para evitar o
vazamento de informações e fraudes.
Caso os dados de cartão sejam manipulados no ambiente de algum de seus fornecedores, exija contratualmente que a empresa esteja certificada
O PCI DSS (em português, Padrão de Segurança de Dados da Indústria de
Cartões de Pagamento) é um padrão internacional para a proteção de
informações de cartão. Nele se encontram mais de 200 regras de segurança a
serem implementadas em ambientes nos quais o dado de cartão é trafegado,
processado ou armazenado.
Recomendamos a conformidade de seu ambiente ao PCI DSS. No entanto, é
obrigatório que seus fornecedores (gateways de pagamento, data centers e
outros fornecedores de soluções) sejam certificados no padrão e que esta
obrigação se dê contratualmente.
5
de cartão por estes meios de comunicação é necessário para evitar o
Caso os dados de cartão sejam manipulados no ambiente de algum de seus fornecedores, exija contratualmente que a empresa esteja certificada
O PCI DSS (em português, Padrão de Segurança de Dados da Indústria de
internacional para a proteção de
informações de cartão. Nele se encontram mais de 200 regras de segurança a
serem implementadas em ambientes nos quais o dado de cartão é trafegado,
I DSS. No entanto, é
obrigatório que seus fornecedores (gateways de pagamento, data centers e
outros fornecedores de soluções) sejam certificados no padrão e que esta
A arquitetura de rede é o de
roteadores, switches e outros dispositivos, além dos métodos de acesso a serem
utilizados.
Na definição de uma arquitetura de rede é importante considerar a segurança
das informações, pois a perspectiva de pr
forma pela qual os dispositivos serão inseridos no desenho.
posteriores mudanças no ambiente porque uma alteração estrutural pode tornar
o ambiente vulnerável.
2.1. Segregue os seus dispositivos em redesfunção para o negócio
Faz parte de uma arquitetura de rede segura a separação de dispositivos em
redes de acordo com a sua função. Por exemplo, a rede do primeiro andar, a
rede dos servidores de banco de dados, etc.
Esta medida melhora o desempenho da sua rede e permite a definição de
política de acessos mais efetiva entre as redes.
2.2. Se seu ambiente possui mais de uma rede, instale firewalls entre elas separando os servidores com informações confidenciais em uma rede específica e bloqueando qualquer acesso com origem na internet e destino na rede interna que não esteja diretamente ligado ao seu negócio.
Firewalls são dispositivos que possuem o objetivo de filtrar o tráfego
redes permitindo ou negando
que estão configurados e podendo atuar como uma camada de proteção
contra ataques.
Proteger uma rede pressupõe definir níveis de segurança para os
equipamentos de acordo com a criticidade da informação neles
armazenados. A melhor
equipamentos com informações de maior criticidade para o negócio e
conceder, através de firewalls o acesso a informações somente as pessoas
necessárias.
2.3. Restrinja o acesso remoto ao seu ambiente ao mpossível
O acesso remoto ao ambiente precisa ser controlado de modo que somente
aqueles que necessitam acessar o ambiente nesta modalidade o façam.
2.4. Criptografe todas as conexões remotas.
Todos os acessos remotos, sobretudo com origem
criptografados, por exemplo
evitar a obtenção de dados confidenciais como usuários e senha através da
captura das informações em trânsito.
2. Arquitetura de Rede
é o desenho de um sistema de comunicações que inclui
roteadores, switches e outros dispositivos, além dos métodos de acesso a serem
uma arquitetura de rede é importante considerar a segurança
das informações, pois a perspectiva de proteção do ambiente pode determinar a
forma pela qual os dispositivos serão inseridos no desenho. O mesmo vale para
posteriores mudanças no ambiente porque uma alteração estrutural pode tornar
Segregue os seus dispositivos em redes específicas de acordo com a sua função para o negócio.
Faz parte de uma arquitetura de rede segura a separação de dispositivos em
redes de acordo com a sua função. Por exemplo, a rede do primeiro andar, a
rede dos servidores de banco de dados, etc.
medida melhora o desempenho da sua rede e permite a definição de
política de acessos mais efetiva entre as redes.
Se seu ambiente possui mais de uma rede, instale firewalls entre elas separando os servidores com informações confidenciais em uma rede
fica e bloqueando qualquer acesso com origem na internet e destino na rede interna que não esteja diretamente ligado ao seu negócio.
Firewalls são dispositivos que possuem o objetivo de filtrar o tráfego
redes permitindo ou negando acessos entre elas dependendo da maneira em
que estão configurados e podendo atuar como uma camada de proteção
Proteger uma rede pressupõe definir níveis de segurança para os
equipamentos de acordo com a criticidade da informação neles
armazenados. A melhor forma de realizar isto é criar redes específicas para os
equipamentos com informações de maior criticidade para o negócio e
conceder, através de firewalls o acesso a informações somente as pessoas
Restrinja o acesso remoto ao seu ambiente ao menor número de pessoas
O acesso remoto ao ambiente precisa ser controlado de modo que somente
aqueles que necessitam acessar o ambiente nesta modalidade o façam.
Criptografe todas as conexões remotas.
Todos os acessos remotos, sobretudo com origem na Internet devem ser
, por exemplo, usando VPNs. Esta medida tem o objetivo de
evitar a obtenção de dados confidenciais como usuários e senha através da
captura das informações em trânsito.
Arquitetura de Rede
6
senho de um sistema de comunicações que inclui
roteadores, switches e outros dispositivos, além dos métodos de acesso a serem
uma arquitetura de rede é importante considerar a segurança
oteção do ambiente pode determinar a
O mesmo vale para
posteriores mudanças no ambiente porque uma alteração estrutural pode tornar
específicas de acordo com a sua
Faz parte de uma arquitetura de rede segura a separação de dispositivos em
redes de acordo com a sua função. Por exemplo, a rede do primeiro andar, a
medida melhora o desempenho da sua rede e permite a definição de
Se seu ambiente possui mais de uma rede, instale firewalls entre elas separando os servidores com informações confidenciais em uma rede
fica e bloqueando qualquer acesso com origem na internet e destino na rede interna que não esteja diretamente ligado ao seu negócio.
Firewalls são dispositivos que possuem o objetivo de filtrar o tráfego entre
dependendo da maneira em
que estão configurados e podendo atuar como uma camada de proteção
Proteger uma rede pressupõe definir níveis de segurança para os
equipamentos de acordo com a criticidade da informação neles
forma de realizar isto é criar redes específicas para os
equipamentos com informações de maior criticidade para o negócio e
conceder, através de firewalls o acesso a informações somente as pessoas
enor número de pessoas
O acesso remoto ao ambiente precisa ser controlado de modo que somente
aqueles que necessitam acessar o ambiente nesta modalidade o façam.
na Internet devem ser
, usando VPNs. Esta medida tem o objetivo de
evitar a obtenção de dados confidenciais como usuários e senha através da
O uso da tecnologia de redes sem fio
empresas, sobretudo naquelas que exigem grande mobilidade de seus
colaboradores. No entanto, dispositivos mal configurados ou em uma
arquitetura de rede desprotegida podem colocar em risco todas as infor
da empresa.
3.1. Caso o seu ambiente possua pontos de acesso uma rede separada dfirewall.
Manter pontos de acesso
na ocorrência do acesso não autorizado ao ponto de acesso o criminoso
poderá acessar qualquer computador da rede. A segmentação do acesso
através de firewall cria uma barreira adicional ao ataque.
3.2. Personalize os pontos de acesso desativando todas as configurações de fábrica.
Os pontos de acesso
geralmente reduz o nível de segurança ao mínimo para a seu funcionamento.
Criminosos se aproveitam do baixo nível de segura
dispositivos configurados desta forma para invadir o equipamento à distância
e chegar a rede interna da vítima. Desta forma, é importante que antes de
inserir o ponto de acesso na rede interna sejam alteradas todas as
configurações como no
3.3. Se aplicável, ative o mecanismo de logs do ponto de acesso.
A maioria dos pontos de acesso
armazena registros contendo o histórico de acessos ao equipamento em
arquivos de log. É importante a
obter informações sobre um determinado equipamento invasor no caso de
um acesso não autorizado ao ponto de acesso.
3.4. Nunca utilize o método de autenticação WEP (Wired Equivalent Privacy).
A concessão do acesso a um
uma senha criptografada do computador cliente para o ponto de acesso.
Caso a senha esteja correta, o acesso ao computador cliente é permitido. A
criptografia da senha
atualmente existem alguns métodos de autenticação disponíveis
configurados nos pontos de acesso. Dentre eles
em que é possível capturar facilmente a senha em trânsito. Desta forma,
3. Redes Sem Fio
redes sem fio tem facilitado muito as atividades nas
empresas, sobretudo naquelas que exigem grande mobilidade de seus
colaboradores. No entanto, dispositivos mal configurados ou em uma
arquitetura de rede desprotegida podem colocar em risco todas as infor
Caso o seu ambiente possua pontos de acesso sem fio, concentreuma rede separada da rede interna e mantenha seu acesso filtrado por
Manter pontos de acesso sem fio na rede interna é uma vulnerabilidade, pois
na ocorrência do acesso não autorizado ao ponto de acesso o criminoso
poderá acessar qualquer computador da rede. A segmentação do acesso
através de firewall cria uma barreira adicional ao ataque.
pontos de acesso desativando todas as configurações de
Os pontos de acesso sem fio possuem uma configuração de fábrica que
geralmente reduz o nível de segurança ao mínimo para a seu funcionamento.
Criminosos se aproveitam do baixo nível de segurança presente
dispositivos configurados desta forma para invadir o equipamento à distância
e chegar a rede interna da vítima. Desta forma, é importante que antes de
inserir o ponto de acesso na rede interna sejam alteradas todas as
configurações como nome do equipamento, senhas, etc.
Se aplicável, ative o mecanismo de logs do ponto de acesso.
A maioria dos pontos de acesso sem fio possuem um mecanismo que
armazena registros contendo o histórico de acessos ao equipamento em
arquivos de log. É importante ativar este mecanismo para que seja possível
obter informações sobre um determinado equipamento invasor no caso de
um acesso não autorizado ao ponto de acesso.
Nunca utilize o método de autenticação WEP (Wired Equivalent Privacy).
A concessão do acesso a uma rede sem fio é realizada por meio do envio de
uma senha criptografada do computador cliente para o ponto de acesso.
Caso a senha esteja correta, o acesso ao computador cliente é permitido. A
criptografia da senha é realizada por meio de um método de aute
atualmente existem alguns métodos de autenticação disponíveis
nos pontos de acesso. Dentre eles o mais vulnerável é o WEP
em que é possível capturar facilmente a senha em trânsito. Desta forma,
7
tem facilitado muito as atividades nas
empresas, sobretudo naquelas que exigem grande mobilidade de seus
colaboradores. No entanto, dispositivos mal configurados ou em uma
arquitetura de rede desprotegida podem colocar em risco todas as informações
concentre-os em rede interna e mantenha seu acesso filtrado por
na rede interna é uma vulnerabilidade, pois
na ocorrência do acesso não autorizado ao ponto de acesso o criminoso
poderá acessar qualquer computador da rede. A segmentação do acesso
pontos de acesso desativando todas as configurações de
possuem uma configuração de fábrica que
geralmente reduz o nível de segurança ao mínimo para a seu funcionamento.
nça presente nos
dispositivos configurados desta forma para invadir o equipamento à distância
e chegar a rede interna da vítima. Desta forma, é importante que antes de
inserir o ponto de acesso na rede interna sejam alteradas todas as
possuem um mecanismo que
armazena registros contendo o histórico de acessos ao equipamento em
tivar este mecanismo para que seja possível
obter informações sobre um determinado equipamento invasor no caso de
Nunca utilize o método de autenticação WEP (Wired Equivalent Privacy).
é realizada por meio do envio de
uma senha criptografada do computador cliente para o ponto de acesso.
Caso a senha esteja correta, o acesso ao computador cliente é permitido. A
de autenticação e
atualmente existem alguns métodos de autenticação disponíveis pré-
o mais vulnerável é o WEP
em que é possível capturar facilmente a senha em trânsito. Desta forma,
recomendamos o uso do método WPA2
robusta.
3.5. Realize periodicamente acesso sem fio.
Esta medida possui o objetivo de evitar que pontos de acesso sejam
instalados de maneira não autorizada. Desta forma, é
varredura periódica
parte do ambiente.
recomendamos o uso do método WPA2 o qual possui uma proteção mais
periodicamente um inventário físico e lógico de seus
Esta medida possui o objetivo de evitar que pontos de acesso sejam
instalados de maneira não autorizada. Desta forma, é importante realizar uma
periódica das instalações físicas em busca de redes que não façam
do ambiente.
8
o qual possui uma proteção mais
um inventário físico e lógico de seus pontos de
Esta medida possui o objetivo de evitar que pontos de acesso sejam
importante realizar uma
das instalações físicas em busca de redes que não façam
A proteção de servidores e estações compreende todas as atividades para a
configuração destes ativos com o objetivo de implementar medidas de controle
de acesso, atualizações de software, proteção contra vírus e geração trilhas de
auditoria.
4.1. Não utilize softwares não confiáveis em seu ambiente.
Evite utilizar softwares piratas em seu ambiente, bem
passaram por um processo de homologação.
4.2. Instale antivírus em todos os computadores, mantenhaconfigure para realizar scans automáticos periodicamente.
Antivírus é um componente essencial para a proteção dos computado
contra diversas ameaças disseminadas pela internet. Atualmente existem
sistemas deste tipo disponíveis para grande parte dos sistemas operacionais
do mercado. É importante manter estas ferramentas atualizadas e configurá
las para realizar varreduras au
4.3. Ative o firewall do sistema operacional.
Muitos sistemas operacionais possuem esta funcionalidade. É importante
ativá-la, sobretudo nos computadores com acesso direto à internet.
4.4. Instale todas as atualizações de software fsistema.
Todo fabricante de software, eventualmente disponibiliza atualizações para
seu produto. Estas atualizações corrigem problemas no funcionamento do
software e também
processo periódico ou automatizado para a atualização de todo o ambiente.
4.5. Desabilite qualquer funcionalidade ou serviço desnecessário para a função de um servidor.
Geralmente, a ativação de serviços em servidores e estações de trabalho
acarreta na abertura
pressuposto, a ativação de serviços os quais não estão em uso mantém
portas de acesso abertas
situação usando estas portas como ponte para invadir o equ
4.6. Renomeie as contas de administrador instaladas por padrão nos Sistemas Operacionais. Use nomes específicos para o seu ambiente.
Todos os sistemas operacionais são instalados com contas de acesso
administrativo padrão. Por exemplo, a conta adminis
Operacionais da família Windows é “Administrator” e a conta com a
função em sistemas Unix é “root”.
Estas contas de acesso são de conhecimento comum, de maneira que
criminosos as usam em seus ataques automatizados e de grande es
4. Servidores e Estações de Trabalho
A proteção de servidores e estações compreende todas as atividades para a
ativos com o objetivo de implementar medidas de controle
de acesso, atualizações de software, proteção contra vírus e geração trilhas de
Não utilize softwares não confiáveis em seu ambiente.
Evite utilizar softwares piratas em seu ambiente, bem como aqueles que não
passaram por um processo de homologação.
Instale antivírus em todos os computadores, mantenha-o atualizado e o configure para realizar scans automáticos periodicamente.
Antivírus é um componente essencial para a proteção dos computado
contra diversas ameaças disseminadas pela internet. Atualmente existem
sistemas deste tipo disponíveis para grande parte dos sistemas operacionais
do mercado. É importante manter estas ferramentas atualizadas e configurá
las para realizar varreduras automáticas ao mínimo semanalmente.
Ative o firewall do sistema operacional.
Muitos sistemas operacionais possuem esta funcionalidade. É importante
la, sobretudo nos computadores com acesso direto à internet.
Instale todas as atualizações de software fornecidas pelo fabricante de seu
Todo fabricante de software, eventualmente disponibiliza atualizações para
Estas atualizações corrigem problemas no funcionamento do
software e também falhas de segurança. É importante estabelecer um
periódico ou automatizado para a atualização de todo o ambiente.
Desabilite qualquer funcionalidade ou serviço desnecessário para a função
Geralmente, a ativação de serviços em servidores e estações de trabalho
acarreta na abertura de portas de acesso nestes equipamentos. Partindo deste
pressuposto, a ativação de serviços os quais não estão em uso mantém
portas de acesso abertas sem necessidade. Criminosos se aproveitam desta
situação usando estas portas como ponte para invadir o equipamento.
Renomeie as contas de administrador instaladas por padrão nos Sistemas Operacionais. Use nomes específicos para o seu ambiente.
Todos os sistemas operacionais são instalados com contas de acesso
administrativo padrão. Por exemplo, a conta administrativa dos Sistemas
Operacionais da família Windows é “Administrator” e a conta com a
função em sistemas Unix é “root”.
Estas contas de acesso são de conhecimento comum, de maneira que
criminosos as usam em seus ataques automatizados e de grande es
Servidores e Estações de Trabalho
9
A proteção de servidores e estações compreende todas as atividades para a
ativos com o objetivo de implementar medidas de controle
de acesso, atualizações de software, proteção contra vírus e geração trilhas de
como aqueles que não
o atualizado e o
Antivírus é um componente essencial para a proteção dos computadores
contra diversas ameaças disseminadas pela internet. Atualmente existem
sistemas deste tipo disponíveis para grande parte dos sistemas operacionais
do mercado. É importante manter estas ferramentas atualizadas e configurá-
o mínimo semanalmente.
Muitos sistemas operacionais possuem esta funcionalidade. É importante
la, sobretudo nos computadores com acesso direto à internet.
ornecidas pelo fabricante de seu
Todo fabricante de software, eventualmente disponibiliza atualizações para
Estas atualizações corrigem problemas no funcionamento do
tante estabelecer um
periódico ou automatizado para a atualização de todo o ambiente.
Desabilite qualquer funcionalidade ou serviço desnecessário para a função
Geralmente, a ativação de serviços em servidores e estações de trabalho
de portas de acesso nestes equipamentos. Partindo deste
pressuposto, a ativação de serviços os quais não estão em uso mantém
sem necessidade. Criminosos se aproveitam desta
ipamento.
Renomeie as contas de administrador instaladas por padrão nos Sistemas
Todos os sistemas operacionais são instalados com contas de acesso
trativa dos Sistemas
Operacionais da família Windows é “Administrator” e a conta com a mesma
Estas contas de acesso são de conhecimento comum, de maneira que
criminosos as usam em seus ataques automatizados e de grande escala.
É importante que estes nomes de conta sejam alterados para nomes de
conhecimento das equipes que atuam na administração dos equipamentos
de sua empresa.
4.7. Atribua uma conta de acesso para cada funcionário ou prestador de serviços com acesso ao ambient
O uso de contas individuais permite que sejam concedidos acessos
específicos para cada funcionário ou prestador de serviço e também que no
caso de incidente (
identificada com qual conta de acesso
4.8. Não permita o compartilhamento de contas de acesso ou o uso de contas de acesso genéricas em seu ambiente.
A senha de uma conta de acesso somente deve ser de conhecimento de seu
dono.
Compartilhar senhas ou usar contas genéricas para o
risco de se conceder mais acessos do que o necessário para um usuário.
Além disso, esta situação expõe o ambiente ao risco de vazamento de
informações ou sabotagem, pois com o uso de senhas de conhecimento
comum se torna quase im
através da análise dos logs.
4.9. Implemente uma política de controle de acessos lógicos concedendo aos funcionários e prestadores de serviços somente o acesso necessário para a realização de suas atividades.
A concessão de acessos totais a todos os funcionários não é uma boa medida
de segurança, pois
de pagamento a equipes não ligadas às atividades de Recursos Humanos.
A concessão de acessos às informações pr
não serem concedidos mais acessos do o que o necessário para os
funcionários e prestadores de serviços
4.10. Estabeleça um processo para a desativação dos logins dos funcionários demitidos logo após o seu desligamento da empresa.
Esta medida é importante para evitar ocorrências de sabotagem ou
vazamento de informações com o uso de contas de acesso de demitidos. É
importante também manter um controle das contas dos prestadores de
serviços.
4.11. Estabeleça uma política de senhas da seguinte maneira:
4.11.1. Comprimento mínimo de 8 caracteres;
4.11.2. Período de expiração de no mínimo
4.11.3. Obrigatoriedade de que a senha seja composta de
4.11.4. Obrigatoriedade de o usuário, ao compor uma nova senha não utilize nenhuma das quatro senhas anteriores;
4.11.5. Bloquear a conta do usuário após cinco tentativas de acesso sem sucesso;
É importante que estes nomes de conta sejam alterados para nomes de
conhecimento das equipes que atuam na administração dos equipamentos
Atribua uma conta de acesso para cada funcionário ou prestador de serviços com acesso ao ambiente.
O uso de contas individuais permite que sejam concedidos acessos
específicos para cada funcionário ou prestador de serviço e também que no
caso de incidente (invasão, fraude, sabotagem ou erro operacional) seja
identificada com qual conta de acesso ocorreu o problema.
Não permita o compartilhamento de contas de acesso ou o uso de contas de acesso genéricas em seu ambiente.
A senha de uma conta de acesso somente deve ser de conhecimento de seu
Compartilhar senhas ou usar contas genéricas para o uso coletivo acarreta no
risco de se conceder mais acessos do que o necessário para um usuário.
Além disso, esta situação expõe o ambiente ao risco de vazamento de
informações ou sabotagem, pois com o uso de senhas de conhecimento
comum se torna quase impossível chegar ao usuário que realizou a ação
através da análise dos logs.
Implemente uma política de controle de acessos lógicos concedendo aos funcionários e prestadores de serviços somente o acesso necessário para a realização de suas atividades.
cessão de acessos totais a todos os funcionários não é uma boa medida
, pois permitiria, por exemplo, o acesso a informações de folha
de pagamento a equipes não ligadas às atividades de Recursos Humanos.
A concessão de acessos às informações precisa ser controlada de maneira a
não serem concedidos mais acessos do o que o necessário para os
funcionários e prestadores de serviços que realizarem o seu trabalho
um processo para a desativação dos logins dos funcionários demitidos logo após o seu desligamento da empresa.
Esta medida é importante para evitar ocorrências de sabotagem ou
vazamento de informações com o uso de contas de acesso de demitidos. É
e também manter um controle das contas dos prestadores de
Estabeleça uma política de senhas da seguinte maneira:
Comprimento mínimo de 8 caracteres;
Período de expiração de no mínimo 90 dias;
Obrigatoriedade de que a senha seja composta de número
Obrigatoriedade de o usuário, ao compor uma nova senha não utilize nenhuma das quatro senhas anteriores;
Bloquear a conta do usuário após cinco tentativas de acesso sem
10
É importante que estes nomes de conta sejam alterados para nomes de
conhecimento das equipes que atuam na administração dos equipamentos
Atribua uma conta de acesso para cada funcionário ou prestador de
O uso de contas individuais permite que sejam concedidos acessos
específicos para cada funcionário ou prestador de serviço e também que no
fraude, sabotagem ou erro operacional) seja
Não permita o compartilhamento de contas de acesso ou o uso de contas
A senha de uma conta de acesso somente deve ser de conhecimento de seu
uso coletivo acarreta no
risco de se conceder mais acessos do que o necessário para um usuário.
Além disso, esta situação expõe o ambiente ao risco de vazamento de
informações ou sabotagem, pois com o uso de senhas de conhecimento
possível chegar ao usuário que realizou a ação
Implemente uma política de controle de acessos lógicos concedendo aos funcionários e prestadores de serviços somente o acesso necessário para a
cessão de acessos totais a todos os funcionários não é uma boa medida
permitiria, por exemplo, o acesso a informações de folha
de pagamento a equipes não ligadas às atividades de Recursos Humanos.
ecisa ser controlada de maneira a
não serem concedidos mais acessos do o que o necessário para os
que realizarem o seu trabalho.
um processo para a desativação dos logins dos funcionários
Esta medida é importante para evitar ocorrências de sabotagem ou
vazamento de informações com o uso de contas de acesso de demitidos. É
e também manter um controle das contas dos prestadores de
números e letras;
Obrigatoriedade de o usuário, ao compor uma nova senha não utilize
Bloquear a conta do usuário após cinco tentativas de acesso sem
4.11.6. Manter o usuário bloqueado de acordo com a regra 30 minutos ou até o desbloqueio do administrador.
A definição de critérios para a construção de senhas deve privilegiar a
segurança. Senhas complexas podem ser fáceis de serem lembradas e difíceis
de serem adivinhadas o que as tornam mais seguras.
O uso de senhas complexas, somado ao bloqueio da conta no caso de um
número específico de tentativas mal sucedidas também dificulta o êxito de
ferramentas de ataque automatizado.
4.12. Ative a funcionalidade de geração de logs em todos os computadores e dispositivos de rede os configurando conforme as regras abaixo:
4.12.1. Configure os computadores e dispositivos de rede para gerar logs de todos os eventos realizados a partir de usuários com privilégios administrativos.
4.12.2. Configure os computadores e dispositivos de rede para todos os eventos cuja tentativa de acesso resultou em falha.
4.12.3. Configure os mecanismos de logs para gerar eventos contendo: data/hora do evento; identificação do usuário; tipo de eventoindicação de sucesso ou falha
4.12.4. Estabeleça mecanismos dearquivos de log do acesso não autorizado. Exemplo: Somente a conta de administrador local que possui privilégios de escrita no arquivo de log, todas as outras possuem somente acesso de leitura.
4.12.5. Configure o prazo de retemínimo.
4.12.6. Insira os arquivos de logs na rotina de backup dos servidores
Nos logs são registradas as atividades realizadas em um computador. É
importante ativar a geração de logs para que, na ocorrência de um incident
(invasão, fraude, sabotagem ou erro operacional) seja possível obter
informações de como este ocorreu e quais contas de acesso foram utilizadas
em sua execução.
4.13. Estabeleça o bloqueio de unidades de mídia removível (USB, CD, e outros drives) em todos os e
Geralmente os computadores envolvidos no processo de pagamento não
necessitam que sejam ativados os drives de mídia removível para a sua
execução. Desabilite estes recursos para evitar a infecção por
ameaças semelhantes
4.14. Estabeleça mecanismos de filtro de conteúdo e controle de acesso à internet de maneira que os funcionários e prestadores se serviço somente possuam os acessos necessários para a execução de seu trabalho.
Atualmente é possível implementar sistemas
do conteúdo a ser acessado na Internet de maneira a bloquear ou restringir o
acesso a determinados
Manter o usuário bloqueado de acordo com a regra 4.11.530 minutos ou até o desbloqueio do administrador.
A definição de critérios para a construção de senhas deve privilegiar a
segurança. Senhas complexas podem ser fáceis de serem lembradas e difíceis
de serem adivinhadas o que as tornam mais seguras.
de senhas complexas, somado ao bloqueio da conta no caso de um
número específico de tentativas mal sucedidas também dificulta o êxito de
ferramentas de ataque automatizado.
Ative a funcionalidade de geração de logs em todos os computadores e e rede os configurando conforme as regras abaixo:
Configure os computadores e dispositivos de rede para gerar logs de todos os eventos realizados a partir de usuários com privilégios administrativos.
Configure os computadores e dispositivos de rede para todos os eventos cuja tentativa de acesso resultou em falha.
Configure os mecanismos de logs para gerar eventos contendo: data/hora do evento; identificação do usuário; tipo de eventoindicação de sucesso ou falha.
Estabeleça mecanismos de controle de acesso para proteger os arquivos de log do acesso não autorizado. Exemplo: Somente a conta de administrador local que possui privilégios de escrita no arquivo de log, todas as outras possuem somente acesso de leitura.
Configure o prazo de retenção dos arquivos de log para 30 dias, no
Insira os arquivos de logs na rotina de backup dos servidores
Nos logs são registradas as atividades realizadas em um computador. É
importante ativar a geração de logs para que, na ocorrência de um incident
(invasão, fraude, sabotagem ou erro operacional) seja possível obter
informações de como este ocorreu e quais contas de acesso foram utilizadas
Estabeleça o bloqueio de unidades de mídia removível (USB, CD, e outros drives) em todos os equipamentos nos quais este recurso não é necessário.
Geralmente os computadores envolvidos no processo de pagamento não
necessitam que sejam ativados os drives de mídia removível para a sua
execução. Desabilite estes recursos para evitar a infecção por vírus ou outras
ameaças semelhantes.
Estabeleça mecanismos de filtro de conteúdo e controle de acesso à internet de maneira que os funcionários e prestadores se serviço somente possuam os acessos necessários para a execução de seu trabalho.
ssível implementar sistemas de baixo custo para o controle
do conteúdo a ser acessado na Internet de maneira a bloquear ou restringir o
acesso a determinados sites.
11
.11.5 (acima) por
A definição de critérios para a construção de senhas deve privilegiar a
segurança. Senhas complexas podem ser fáceis de serem lembradas e difíceis
de senhas complexas, somado ao bloqueio da conta no caso de um
número específico de tentativas mal sucedidas também dificulta o êxito de
Ative a funcionalidade de geração de logs em todos os computadores e e rede os configurando conforme as regras abaixo:
Configure os computadores e dispositivos de rede para gerar logs de todos os eventos realizados a partir de usuários com privilégios
Configure os computadores e dispositivos de rede para gerar logs de todos os eventos cuja tentativa de acesso resultou em falha.
Configure os mecanismos de logs para gerar eventos contendo: data/hora do evento; identificação do usuário; tipo de evento e
controle de acesso para proteger os arquivos de log do acesso não autorizado. Exemplo: Somente a conta de administrador local que possui privilégios de escrita no arquivo de
nção dos arquivos de log para 30 dias, no
Insira os arquivos de logs na rotina de backup dos servidores
Nos logs são registradas as atividades realizadas em um computador. É
importante ativar a geração de logs para que, na ocorrência de um incidente
(invasão, fraude, sabotagem ou erro operacional) seja possível obter
informações de como este ocorreu e quais contas de acesso foram utilizadas
Estabeleça o bloqueio de unidades de mídia removível (USB, CD, e outros quipamentos nos quais este recurso não é necessário.
Geralmente os computadores envolvidos no processo de pagamento não
necessitam que sejam ativados os drives de mídia removível para a sua
vírus ou outras
Estabeleça mecanismos de filtro de conteúdo e controle de acesso à internet de maneira que os funcionários e prestadores se serviço somente possuam os acessos necessários para a execução de seu trabalho.
de baixo custo para o controle
do conteúdo a ser acessado na Internet de maneira a bloquear ou restringir o
Esta medida protege o computador da incidência de vírus ou outras ameaças
que buscam obter
4.15. Mantenha os equipamentos com informações confidenciais em local protegido.
Servidores e estações de trabalho usados na manipulação de informações
confidenciais precisam estar em um ambiente protegido (sala fechada) e de
preferência sendo monitorados por câmeras de segurança.
Esta medida protege o computador da incidência de vírus ou outras ameaças
que buscam obter informações de forma não autorizada.
Mantenha os equipamentos com informações confidenciais em local
Servidores e estações de trabalho usados na manipulação de informações
confidenciais precisam estar em um ambiente protegido (sala fechada) e de
preferência sendo monitorados por câmeras de segurança.
12
Esta medida protege o computador da incidência de vírus ou outras ameaças
Mantenha os equipamentos com informações confidenciais em local
Servidores e estações de trabalho usados na manipulação de informações
confidenciais precisam estar em um ambiente protegido (sala fechada) e de
A atividade de vendas por telefone
para a proteção das informações de cartões. Abaixo os principais requisitos:
5.1. Isole fisicamente as ilhas que manipulam dados de cartões.
Nem todas as ilhas de atendimento precisam operar sob um criterioso regime
de segurança. Recomendamos a separação das ilhas de que manipulam
informações confidenciais, como dados de cartão e a aplicação
de segurança específicos (abaixo) para elas.
5.2. Instale mecanismos de controle de acesso físico para as ilhas que manipulam dados de cartõesnecessárias e armazene os registros de entrada e saída
É importante conceder acesso somente às pessoas as quais suas atividades
demandam a necessidade de permanecer na ilha que manipula dados de
cartão.
Instale algum tipo de solução
de impressão digital, crachá, entre outras
entrar na sala e armazene os dados de entrada e saída.
Recomendamos o armazenamento destas informações por
dias.
5.3. Monitore o ambiente por câmeras, armazene as imagenrotina de verificação
O monitoramento de ambientes por câmeras é reconhecidamente eficaz
como fonte de informações para a elucidação de crimes, mas também para
criar um fator de intimidação que colabora em evitar que in
aconteçam. Desta maneira, é i
menores, que instalem
É recomendável também
razoável (recomendamos 90 dias)
mínimo por amostragem, haja a atividade periódica de verificação das
imagens.
5.4. Bloqueie o acesso à sala em que os dados de cartão serão manipulados qualquer mecanismo que po
Lápis, canetas, telefones celulares ou câmeras fotográficas são exemplos de
objetos que podem sem utilizados para
importante que os profissionais das centrais de atendimento que manipulam
dados de cartões somente interajam com sistemas
entrada com objetos deste tipo seja proibida.
5. Centrais de Atendimento
de vendas por telefone demanda controles de segurança específicos
para a proteção das informações de cartões. Abaixo os principais requisitos:
fisicamente as ilhas que manipulam dados de cartões.
ilhas de atendimento precisam operar sob um criterioso regime
de segurança. Recomendamos a separação das ilhas de que manipulam
informações confidenciais, como dados de cartão e a aplicação
nça específicos (abaixo) para elas.
mecanismos de controle de acesso físico para as ilhas que manipulam dados de cartões, conceda acesso somente
e armazene os registros de entrada e saída.
e conceder acesso somente às pessoas as quais suas atividades
demandam a necessidade de permanecer na ilha que manipula dados de
Instale algum tipo de solução, por exemplo, por digitação de código, leitura
impressão digital, crachá, entre outras. Determine quais pessoas podem
e armazene os dados de entrada e saída.
Recomendamos o armazenamento destas informações por, no mínimo
Monitore o ambiente por câmeras, armazene as imagens e mantenha uma rotina de verificação do que foi gravado.
O monitoramento de ambientes por câmeras é reconhecidamente eficaz
como fonte de informações para a elucidação de crimes, mas também para
criar um fator de intimidação que colabora em evitar que in
aconteçam. Desta maneira, é importante até para os lojistas com operações
instalem estes dispositivos.
também que as imagens sejam armazenadas por um período
(recomendamos 90 dias) e também que, de forma proati
mínimo por amostragem, haja a atividade periódica de verificação das
à sala em que os dados de cartão serão manipulados qualquer mecanismo que possa ser utilizado para copiar informações
telefones celulares ou câmeras fotográficas são exemplos de
que podem sem utilizados para armazenar informações de cartões. É
importante que os profissionais das centrais de atendimento que manipulam
dados de cartões somente interajam com sistemas corporativos e
entrada com objetos deste tipo seja proibida.
Centrais de Atendimento
13
demanda controles de segurança específicos
para a proteção das informações de cartões. Abaixo os principais requisitos:
ilhas de atendimento precisam operar sob um criterioso regime
de segurança. Recomendamos a separação das ilhas de que manipulam
informações confidenciais, como dados de cartão e a aplicação dos controles
mecanismos de controle de acesso físico para as ilhas que somente às pessoas
e conceder acesso somente às pessoas as quais suas atividades
demandam a necessidade de permanecer na ilha que manipula dados de
por digitação de código, leitura
etermine quais pessoas podem
, no mínimo, 90
s e mantenha uma
O monitoramento de ambientes por câmeras é reconhecidamente eficaz
como fonte de informações para a elucidação de crimes, mas também para
criar um fator de intimidação que colabora em evitar que incidentes
mportante até para os lojistas com operações
por um período
e também que, de forma proativa e no
mínimo por amostragem, haja a atividade periódica de verificação das
à sala em que os dados de cartão serão manipulados de informações.
telefones celulares ou câmeras fotográficas são exemplos de
informações de cartões. É
importante que os profissionais das centrais de atendimento que manipulam
corporativos e que a
5.5. Implemente bloqueioshardware utilizado pelos operadores de telemarketing que manipulam dados de cartão.
A manipulação de dados de cartão exige q
pelos operadores possuam controles
Recomendamos o
telas dos sistemas
possua ligação com a atividade do operador e também os bloqueios
Internet e de unidades de mídia removível
bloqueios de segurança específicos para o hardware utilizado pelos operadores de telemarketing que manipulam
A manipulação de dados de cartão exige que as estações de trabalho
operadores possuam controles de segurança
Recomendamos o bloqueio de funcionalidades que permitam
telas dos sistemas (Print Screen), o bloqueio de qualquer aplicativo que não
o com a atividade do operador e também os bloqueios
unidades de mídia removível (citados no item 4.13 acima
14
o software e hardware utilizado pelos operadores de telemarketing que manipulam
ue as estações de trabalho em uso
diferenciados.
permitam a captura de
, o bloqueio de qualquer aplicativo que não
o com a atividade do operador e também os bloqueios da
.13 acima).
Manter um ambiente protegido requer a execução de procedimentos periódicos
com o objetivo de testar a segurança do ambiente e garantir que todos os
envolvidos nos processos de negócio sejam informados de suas obrigações para a
manutenção da segurança das informações das empresas
requisitos sobre este tópico:
6.1. Eleja uma pessoa e área para ser responsável pelos assuntos de Segurança da Informação.
Formalizar a responsabilidade por proteger o ambiente é uma medida
essencial para que as demandas de segurança ganhem prioridade de tenham
o acompanhamento adequado.
6.2. Realize scans de vulnerabilidades em seu ambiente pelo menos trimestralmente.
Scans de vulnerabilidades são mecanismos automatizados de realizam uma
varredura em equipamentos em busca de vulnerabilidades.
Como os ambientes mudam continuamente é importante realizar esta
atividade periodicamente.
6.3. Realize testes de intrusão na modalidade de rede e de aplicação pelo menos uma vez ao ano.
Testes de intrusão são projetos nos quais um especialista em segurança
simula uma série de ataques no ambiente.
Estes ataques podem ser r
aplicações expostas na internet ou vulnerabilidades de rede.
É importante realizar estes
6.4. Corrija as vulnerabilidades apontadas como “críticas” pelo scan de vulnerabilidade e pelo
A incidência de vulnerabilidades “críticas” n
seu ambiente está em sério risco. É vital que se atue na correção das
vulnerabilidades imediatamente.
6.5. Solicite formalmente aos seus pinformações em todas as operações terceirizadas
A maioria das atividades de terceirização contempla
confidenciais entre as empresas contratante e contratada. Recomendamos
que existam garantias
a definição de controles de segurança da informação.
6. Gestão de Segurança
Manter um ambiente protegido requer a execução de procedimentos periódicos
testar a segurança do ambiente e garantir que todos os
envolvidos nos processos de negócio sejam informados de suas obrigações para a
manutenção da segurança das informações das empresas. Abaixo os principais
e área para ser responsável pelos assuntos de Segurança
Formalizar a responsabilidade por proteger o ambiente é uma medida
para que as demandas de segurança ganhem prioridade de tenham
o acompanhamento adequado.
de vulnerabilidades em seu ambiente pelo menos
Scans de vulnerabilidades são mecanismos automatizados de realizam uma
varredura em equipamentos em busca de vulnerabilidades.
Como os ambientes mudam continuamente é importante realizar esta
atividade periodicamente.
Realize testes de intrusão na modalidade de rede e de aplicação pelo menos uma vez ao ano.
Testes de intrusão são projetos nos quais um especialista em segurança
simula uma série de ataques no ambiente.
Estes ataques podem ser realizados buscando explorar vulnerabilidades nas
aplicações expostas na internet ou vulnerabilidades de rede.
É importante realizar estes testes ao mínimo anualmente.
Corrija as vulnerabilidades apontadas como “críticas” pelo scan de vulnerabilidade e pelo teste de intrusão em caráter emergencial.
A incidência de vulnerabilidades “críticas” no resultado dos testes indica
está em sério risco. É vital que se atue na correção das
vulnerabilidades imediatamente.
Solicite formalmente aos seus prestadores de serviço que protejam as informações em todas as operações terceirizadas.
A maioria das atividades de terceirização contempla a troca de informações
confidenciais entre as empresas contratante e contratada. Recomendamos
garantias definidas nos contratos de terceirização que garantam
a definição de controles de segurança da informação.
Gestão de Segurança
15
Manter um ambiente protegido requer a execução de procedimentos periódicos
testar a segurança do ambiente e garantir que todos os
envolvidos nos processos de negócio sejam informados de suas obrigações para a
. Abaixo os principais
e área para ser responsável pelos assuntos de Segurança
Formalizar a responsabilidade por proteger o ambiente é uma medida
para que as demandas de segurança ganhem prioridade de tenham
de vulnerabilidades em seu ambiente pelo menos
Scans de vulnerabilidades são mecanismos automatizados de realizam uma
Como os ambientes mudam continuamente é importante realizar esta
Realize testes de intrusão na modalidade de rede e de aplicação pelo
Testes de intrusão são projetos nos quais um especialista em segurança
ealizados buscando explorar vulnerabilidades nas
Corrija as vulnerabilidades apontadas como “críticas” pelo scan de teste de intrusão em caráter emergencial.
o resultado dos testes indica que
está em sério risco. É vital que se atue na correção das
restadores de serviço que protejam as
a troca de informações
confidenciais entre as empresas contratante e contratada. Recomendamos
efinidas nos contratos de terceirização que garantam
6.6. Conscientize as equipes com relação à segurança.
O Compartilhamento do conhecimento sobre a segurança das informações é
uma ferramenta importantíss
Recomendamos a disseminação das regras para a proteção do ambiente
entre todos os funcionários e prestadores de serviço
Conscientize as equipes com relação à segurança.
O Compartilhamento do conhecimento sobre a segurança das informações é
uma ferramenta importantíssima para a proteção do ambiente.
Recomendamos a disseminação das regras para a proteção do ambiente
entre todos os funcionários e prestadores de serviço.
16
O Compartilhamento do conhecimento sobre a segurança das informações é
ima para a proteção do ambiente.
Recomendamos a disseminação das regras para a proteção do ambiente