HomeGitHubDev PayGo
Documentação

3. Segurança

Suggest Edits

Tratando-se de uma solução para realização de transações financeiras, a empresa responsável pela Automação deve zelar para que o Ponto de Captura e o ambiente de rede no qual opera implementem as melhores práticas para preservar a segurança do sistema e dos dados que por ele trafegam. Em particular:

➝ A Automação não deve armazenar em memória não-volátil nenhum dos dados capturados durante o fluxo transacional. Somente podem ser armazenados os dados obtidos através da função PW_iGetResult.

  • A Automação deve apagar da memória volátil (sobrescrever a área de memória correspondente) estes dados assim que informados para o PayGo através da função PW_iAddParam.

  • A Automação não deve registrar estas informações em arquivo de log, mesmo para fins de depuração. Caso esta funcionalidade seja implementada para auxiliar no desenvolvimento, a versão de produção da Automação não deve incluir esta funcionalidade, nem mesmo desabilitada através de configuração.

➝ Todos os sistemas operacionais e aplicativos instalados no Ponto de Captura devem frequentemente receber as atualizações de segurança disponibilizadas pelos fornecedores correspondentes.

  • Como consequência, não podem ser utilizados/instalados aplicativos ou sistemas operacionais que não sejam mais suportados pelo fornecedor.

➝ Somente devem ser utilizados equipamentos pinpad devidamente certificados pelos Provedores contratados pelo Estabelecimento.

➝ As contas de usuário configuradas no sistema operacional do Ponto de Captura devem respeitar as seguintes regras:

  • Todas as contas padrão (tipicamente, “Administrador”) devem ser desativadas;
  • Uma conta individual única deve ser criada para cada operador;
  • As contas utilizadas para realização de transações não devem ter privilégios de administrador;
  • Obrigar o uso de senhas fortes;
  • Bloquear automaticamente a sessão (autenticando novamente o operador) após alguns minutos sem atividade;
  • Todas as contas não utilizadas devem ser removidas.

⇀ É vetado qualquer acesso entrante no Ponto de Captura a partir da Internet. Isso deve ser assegurado através de:

  • Configuração de firewall software interno ao Ponto de Captura;
  • Equipamento(s) firewall físico(s) devidamente configurado(s) controlando o tráfego através do(s) ponto(s) de conexão à Internet na rede local do Estabelecimento.

⇀ Uma solução de antivírus deve ser instalada no Ponto de Captura e configurada para receber atualizações de maneira automática.

Updated over 3 years ago

A seguir...