11. Segurança

Tratando-se de uma solução para realização de transações financeiras, a empresa responsável pela
Automação deve zelar para que o Ponto de Captura e o ambiente de rede no qual este opera
implementem as melhores práticas para preservar a segurança do sistema e dos dados que por ele
trafegam. Em particular:

• A Automação não deve armazenar em memória não-volátil nenhum dos dados capturados
durante o fluxo transacional. Somente podem ser armazenados os dados obtidos através da
função PW_iGetResult.

→ A Automação deve apagar da memória volátil (sobrescrever a área de memória
correspondente) estes dados assim que informados para o Pay&Go Web através da função
PW_iAddParam.
→ A Automação não deve registrar estas informações em arquivo de log, mesmo para fins de
depuração. Caso esta funcionalidade seja implementada para auxiliar no desenvolvimento, a
versão de produção da Automação não deve incluir esta funcionalidade, nem mesmo
desabilitada através de configuração.

• Todos os sistemas operacionais e aplicativos instalados no Ponto de Captura devem
frequentemente receber as atualizações de segurança disponibilizadas pelos fornecedores
correspondentes.

→ Como consequência, não podem ser utilizados/instalados aplicativos ou sistemas
operacionais que não sejam mais suportados pelo fornecedor.

• Somente devem ser utilizados equipamentos PIN-pad devidamente certificados pelos Provedores
contratados pelo Estabelecimento.

• As contas de usuário configuradas no sistema operacional do Ponto de Captura devem respeitar
as seguintes regras:

→ Todas as contas padrão (tipicamente, “Administrador”) devem ser desativadas;
→ Uma conta individual única deve ser criada para cada operador;
→ As contas utilizadas para realização de transações não devem ter privilégios de
administrador;
→ Obrigar o uso de senhas fortes;
→ Bloquear automaticamente a sessão (autenticando novamente o operador) após alguns
minutos sem atividade;
→ Todas as contas não utilizadas devem ser removidas.

• É vetado qualquer acesso entrante no Ponto de Captura a partir da Internet. Isso deve ser
assegurado através de:

→ Configuração de firewall software interno ao Ponto de Captura;
→ Equipamento(s) firewall físico(s) devidamente configurado(s) controlando o tráfego através
do(s) ponto(s) de conexão à Internet na rede local do Estabelecimento.

• Uma solução de antivírus deve ser instalada no Ponto de Captura e configurada para receber
atualizações de maneira automática.