Escolar Documentos
Profissional Documentos
Cultura Documentos
Padro de segurana de dados (DSS) e Padro de segurana de dados de aplicativos de pagamento (PA-DSS)
Termo
AAA
Definio
Acrnimo para "autenticao, autorizao e responsabilidade". Protocolo para autenticao de um usurio baseando-se em sua identidade verificvel, para autorizao de um usurio baseando-se em seus direitos de usurios e responsabilidade pelo consumo do usurio de recursos de rede. Mecanismos que limitam a disponibilidade de informao ou recursos de processamento de informao apenas para pessoas ou aplicativos autorizados. Dados contbeis consistem em dados do proprietrio do carto mais dados de autenticao sensvel. Consulte Dados do proprietrio do carto e Dados de autenticao sensvel Consulte Nmero de conta primrio (PAN). Tambm referido como "banco adquirente" ou "instituio financeira adquirente". Entidade que inicia e mantm relaes com comerciantes para aceitao de cartes de pagamento. Tipo de software malicioso que, quando instalado, fora o computador a exibir automaticamente ou fazer download de anncios. Abreviao para "Advanced Encryption Standard" (Padro de criptografia avanado). Bloqueia as cifras usadas na criptografia de chaves simtricas adotada pelo NIST em novembro de 2001 como U.S. FIPS PUB 197 (ou FIPS 197). Consulte Criptografia forte. Acrnimo para "Instituto de Padres Nacionais Americanos". Organizao particular e sem fins comerciais que administra e coordena a padronizao voluntria dos EUA e o sistema de avaliao de conformidade. Programa ou software capaz de detectar, remover e proteger de diversas formas de softwares maliciosos (tambm chamado de "malware"), incluindo vrus, worms, Trojans ou cavalos de Troia, spyware, adware e rootkits. Inclui todos os programas ou grupos de programas comprados e de software personalizado, incluindo aplicativos internos e externos (por exemplo, web). Tambm referido como "trilha de auditoria". Registro cronolgico de atividades do sistema. Fornece uma trilha independentemente verificvel o suficiente para permitir a reconstruo, a reviso e o exame de sequncia de ambientes e atividades que tm relao ou que levam operao, procedimento ou evento em uma transao da origem aos resultados finais. Consulte Trilha de auditoria. Acrnimo para "Fornecedor de varredura aprovado". Empresa aprovada pelo PCI SSC para conduzir servios de varredura de vulnerabilidade externa.
Controle de acesso
Dados contbeis
Adware AES
ANSI
Antivrus
Aplicativo
Log de auditoria
Padres de segurana de dados PCI e Padres de segurana de dados de aplicativos de pagamento Outubro de 2010 Glossrio de termos, abreviaes e acrnimosPgina 1
Termo
Autenticao
Definio
Processo de verificao de identidade de um indivduo, dispositivo ou processo. A autenticao normalmente ocorre atravs do uso de um ou mais fatores de autenticao, como: Algo que voc sabe, como uma senha ou frase. Algo que voc tem, como um dispositivo de token ou carto inteligente Algo que voc , como leitura biomtrica Combinao da ID de usurio ou ID de conta com os fatores de autenticao usados para autenticar um indivduo, dispositivo ou processo, Garantia de acesso ou outros direitos ao usurio, programa ou processo. Para uma rede, a autorizao define o que um indivduo ou programa pode fazer aps autenticao bem sucedida. Para os propsitos de uma transao de carto de pagamento, a autorizao ocorre quando um comerciante recebe a aprovao de transao aps o adquirente valid-la com o emissor/processador. Cpia duplicada dos dados feita para fins de arquivamento ou para proteo contra danos ou perda. Protocolo sem fio usando tecnologia de comunicao de curto alcance para facilitar a transmisso de dados por curtas distncias. Consumidor ou no para o qual emitido um carto de pagamento ou qualquer indivduo autorizado a usar o carto de pagamento. No mnimo, os dados do proprietrio do carto consistem no PAN completo. Os dados do proprietrio do carto tambm podem aparecer na forma do PAN completo mais qualquer um dos seguintes: nome do proprietrio do carto, data de expirao e/ou cdigo de servio Consulte Dados de autenticao sensvel para elementos de dados adicionais que podem ser transmitidos ou processados (mas no armazenados) como parte da transao de pagamento. As pessoas, processos e tecnologias que armazenam, processam ou transmitem dados do proprietrio ou dados de autenticao sensvel, incluindo qualquer componente do sistema conectado.
Padres de segurana de dados PCI e Padres de segurana de dados de aplicativos de pagamento Outubro de 2010 Glossrio de termos, abreviaes e acrnimosPgina 2
Termo
Cdigo ou valor de verificao do carto
Definio
Tambm conhecido como cdigo ou valor de validao do carto ou cdigo de segurana do carto. Refere-se a: (1) dados da faixa magntica ou (2) recursos de segurana impressos. (1) Elemento de dados na faixa magntica do carto que usa um processo criptogrfico seguro para proteger a integridade dos dados da faixa e revela qualquer alterao ou adulterao. Referido como CAV, CVC, CVV ou CSC, dependendo da marca do carto de pagamento. A lista a seguir fornece os termos de cada marca de carto: CAV Valor de autenticao do carto (cartes de pagamento JCB) CVC Cdigo de validao do carto (cartes de pagamento MasterCard) CVV Valor de verificao de carto (cartes de pagamento Visa e Discover) CSC Cdigo de segurana do carto (American Express) (2) Para cartes de pagamento Discover, JCB, MasterCard e Visa, o segundo tipo de valor de verificao ou cdigo o valor de trs dgitos direita impresso na rea do painel de assinatura, na parte de trs do carto. Para os cartes de pagamento American Express, o cdigo um nmero de quatro dgitos em baixo relevo impresso acima do PAN, na parte frontal dos cartes de pagamento. O cdigo exclusivamente associado a cada pea de plstico individual e liga o PAN ao plstico. A lista a seguir fornece os termos de cada marca de carto: CID Nmero de identificao de carto (cartes de pagamento American Express e Discover) CAV2 Valor de autenticao do carto 2 (cartes de pagamento JCB) CVC2 Cdigo de validao do carto 2 (cartes de pagamento MasterCard) CVV2 Valor de verificao de carto 2 (cartes de pagamento Visa) Acrnimo para "Equipe de resposta de emergncia de computador" da Universidade de Carnegie Mellon. O programa CERT desenvolve e promove o uso de tecnologia apropriada e de prticas de gerenciamento de sistemas para resistir a ataques em sistemas de rede, para limitar danos e para garantir a continuidade de servios crticos. Acrnimo para "Central de segurana da Internet". Empreendimento sem fins lucrativos com a misso de ajudar as empresas a reduzir o risco de interrupes de negcios e comrcio eletrnico como resultado de controles de segurana tcnica inadequados. Tcnica ou tecnologia (software ou hardware) para criptografar contedos de uma coluna especfica em um banco de dados versus todo o contedo de todo o banco de dados. Como alternativa, consulte Criptografia em disco ou Criptografia no nvel do arquivo.
CERT
CIS
Padres de segurana de dados PCI e Padres de segurana de dados de aplicativos de pagamento Outubro de 2010 Glossrio de termos, abreviaes e acrnimosPgina 3
Termo
Controles de compensao
Definio
Os controles de compensao podem ser considerados quando uma entidade no atende a um requisito explicitamente, conforme publicado, devido a limitaes tcnicas legtimas ou de negcios documentadas, mas diminui suficientemente o risco associado ao requisito atravs da implementao de outros controles. Os controles de compensao devem: (1) Atender inteno e ao rigor do requisito PCI DSS original; (2) Fornecer nvel similar de defesa como requisito PCI DSS original; (3) Estar "acima e alm" dos outros requisitos PCI DSS (no estar simplesmente em conformidade com outros requisitos PCI DSS) e (4) Ser proporcionais ao risco adicional imposto pela no aderncia ao requisito PCI DSS. Consulte os Apndices B e C sobre "Controles de compensao" nos Procedimento de avaliao de segurana e requisitos PCI DSS para obter orientao no uso de controles de compensao. Tambm referido como "comprometimento de dados" ou "brecha de dados". Invaso em um sistema do computador em que h suspeita de divulgao no autorizada/roubo, modificao ou destruio dos dados do proprietrio do carto. Tela e teclado que permitem acesso e controle de um sevidor, computador mainframe ou outro tipo de sistema em um ambiente de rede. Indivduo que compra mercadorias, servios ou ambos. Disciplina de matemtica e cincia da computao a respeito de segurana de informaes, criptografia e autenticao, em especial. Em aplicativo e na segurana de rede, uma ferramenta que controla acesso, confidencialidade de informaes e integridade. O intervalo de tempo durante uma chave de criptografia especfica que pode ser usado para seu propsito definido baseado em, por exemplo, um perodo definido de tempo e/ou na quantia de texto criptografado que foi produzida e de acordo com as melhores prticas e diretrizes da indstria (por exemplo, Publicao especial NIST 800-57). Formato estruturado de organizao e manuteno de informao facilmente recuperveis. Exemplos simples de banco de dados so tabelas e planilhas. Tambm referido como "DBA". Indivduo responsvel pelo gerenciamento e administrao de banco de dados. Conta de login predefinida no sistema, aplicativo ou dispositivo para permitir acesso inicial quando o sistema iniciado. Contas padro adicionais tambm podem ser geradas pelo sistema, como parte do processo de instalao. Senha do administrador do sistema, do usurio e contas de servio predefinida no sistema, aplicativo ou dispositivo; normalmente associada conta padro. Contas e senhas padro so publicadas e conhecidas, e, portanto, fceis de adivinhar.
Comprometimento
Console
Consumidor Criptografia
Cryptoperiod
Banco de dados
Senha padro
Padres de segurana de dados PCI e Padres de segurana de dados de aplicativos de pagamento Outubro de 2010 Glossrio de termos, abreviaes e acrnimosPgina 4
Termo
Desmagnetizao
Definio
Tambm chamada de "desmagnetizao de disco". Processo ou tcnica que desmagnetiza o disco, para que todos os dados armazenados no disco sejam permanentemente destrudos. Tcnica ou tecnologia (software hardware para criptografar todos os dados armazenados em um dispositivo (por exemplo, um disco rgido ou pen drive). Como alternativa, a criptografia no nvel do arquivo ou criptografia do banco de dados no nvel da coluna pode ser usada para criptografar contedos de arquivos ou colunas especficos. Abreviao para "zona desmilitarizada". Sub-rede fsica ou lgica que fornece uma camada adicional de segurana rede privada interna da empresa. A DMZ adiciona uma camada adicional de segurana de rede entre a Internet e a rede interna da empresa, para que as partes externas tenham tenham apenas conexo direta com dispositivos do DMZ, em vez de toda a rede interna. Acrnimo para "Sistema do nome do domnio" ou "servidor do nome do domnio". Sistema que armazena informaes associadas aos nomes dos domnios em um banco de dados distribudo em redes, como a Internet. Acrnimo para "Padro de segurana de dados", tambm referido como "PCI DSS". Processo do uso de duas ou mais entidades separadas (geralmente pessoas) operando juntas para proteger funes sensveis ou informaes. As duas entidades tm responsabilidade igual pela proteo fsica dos materiais envolvidos em transaes vulnerveis. Nenhuma pessoa sozinha tem autorizao para acessar ou usar os materiais (por exemplo, a chave criptogrfica). Para gerao de chaves manual, transferncia, carregamento, armazenamento e recuperao, o controle duplo requer a diviso de conhecimento da chave entre as entidades. (Consulte tambm Diviso de conhecimento.) Consulte Inspeo classificada. Acrnimo para "Criptografia de curva elptica". Abordagem de criptografia de chave pblica baseada em curvas elpticas em campos finitos. Consulte Criptografia forte. Mtodo de filtragem de trfego de rede de longo curso, para que apenas trfego explicitamente permitido tenha permisso para deixar a rede. Processo de converso de informaes em uma forma inteligvel, com exceo de titulares de uma chave criptogrfica. O uso de criptografia protege informaes entre o processo de criptografia e o de descriptografia (o inverso de criptografia) com relao a divulgao no autorizada. Consulte Criptografia forte. Uma sequncia de instrues matemticas usadas para descriptografar ou criptografar textos ou dados. Consulte Criptografia forte. Termo usado para representar a empresa, organizao ou negcios que realizam a reviso PCI DSS.
Criptografia de disco
DMZ
DNS
Padres de segurana de dados PCI e Padres de segurana de dados de aplicativos de pagamento Outubro de 2010 Glossrio de termos, abreviaes e acrnimosPgina 5
Termo
Monitoramento de integridade do arquivo
Definio
Tcnica ou tencnologia na qual determinados arquivos ou logs so monitorados para detectar se foram modificados. Quando arquivos ou logs importantes so modificados, so enviados alertas para a equipe de segurana apropriada. Tcnica ou tecnologia (software ou hardware) para criptografar contedos de arquivos especficos. Como alternativa, consulte a Criptografia de disco ou a Criptografia de banco de dados no nvel da coluna. Acrnimo para "Padres de processamento de informaes federais". Padres que so reconhecidos publicamente pelo governo federal dos EUA; tambm para uso de agncias e contratantes no governamentais. Tecnologia de hardware e/ou software que protege recursos de rede de acesso no autorizado. O firewall permite ou probe trfego de computadores entre redes com nveis diferentes de segurana, baseando-se em um conjunto de regras e outros critrios. Tambm referida como "investigao do computador". Como relacionada segurana de informaes, a aplicao de ferramentas investigativas e tcnicas de anlise para reunir evidncias de recursos de computador para determinar a causa do comprometimento dos dados. Acrnimo para "Protocolo de transferncia de arquivos". Protocolo de rede usado para transferir dados de um computador para outro atravs de rede pblica, como a Internet. O FTP amplamente visualizado em um protocolo inseguro, pois as senhas e o contedo dos arquivos so enviados sem proteo e em texto claro. O FTP pode ser implementado de maneira segura atravs de SSH ou outras tecnologias. Acrnimo para "Servio de opes gerais do pacote". Servio de dados mveis disponveis para usurios de telefones mveis GSM. Reconhecido para uso eficiente de largura de banda limitada. Particularmente adequado para enviar e receber pequenas transmisses de dados, como email e pesquisas na web. Acrnimo para "Sistema global para comunicaes mveis". Padro popular para celulares e redes. A onipresena do padro GSM torna o roaming internacional muito comum entre as operadoras de celulares, permitindo que os assinantes usam seus telefones em muitas partes do mundo.
FIPS
Firewall
Investigao
FTP
GPRS
GSM
Padres de segurana de dados PCI e Padres de segurana de dados de aplicativos de pagamento Outubro de 2010 Glossrio de termos, abreviaes e acrnimosPgina 6
Termo
Funo hash
Definio
o processamento de dados do proprietrio do carto para que este se torne ilegvel ao converter dados em uma compilao de mensagem de comprimento fixo atravs de Criptografia forte. A funo hash uma funo (matemtica) na qual um algoritmo no secreto pega uma mensagem de comprimento arbitrrio como entrada e produz uma sada de comprimento fixo (normalmente chamada de "cdigo hash" ou "compilao de mensagem"). A funo hash deve ter as seguintes propriedades: (1) computacionalmente impossvel determinar a entrada fornecendo apenas o cdigo hash, (2) computacionalmente impossvel encontrar duas entrada que forneam o mesmo cdigo hash. No contexto de PCI DSS, a funo hash deve ser aplicada a todo o PAN para que o cdigo hash seja considerado como ilegvel. recomendado que os dados do proprietrio do carto com funo hash incluam um salt funo hash (consulte Salt). Hardware do computador principal no qual est o software do computador. Oferece diversos servios para os comerciantes e para outros fornecedores de servio. Os servios variam de simples a complexos; de espao compartilhado em um servidor a uma ampla variedade de opes de "carrinhos de compra"; de aplicativos de pagamento a conexes a gateways e processadores de pagamento; e de hospedagem dedicada para apenas um cliente por servidor. O provedor de hospedagem pode ser um provedor de hospedagem compartilhado, que hospeda diversas entidade em um nico servidor. Acrnimo para "protocolo de transferncia de hipertexto". Protocolo de internet aberto para transferir ou conduzir informaes na world wide web. Acrnimo para "protocolo de transferncia de hipertexto por secure socket layer". HTTP seguro que fornece autenticao e comunicao criptografada na World Wide Web desenvolvido para comunicao sensvel segurana, como logins baseados na web. Software ou firmware responsvel pela hospedagem e gerenciamento de mquinas virtuais. Para os propsitos do PCI DSS, o componente do sistema hipervisor tambm inclui o monitor virtual da mquina (VMM). Identificador de um usurio ou aplicativo em particular. Acrnimo para "sistema de deteco de invaso". Software ou hardware usado para identificar e alertar sobre tentativas de invaso na rede ou no sistema. Composto de sensores que geram eventos de segurana; um console para monitorar eventos e alertas e controlar os sensores e um mecanismo central que grava eventos registrados pelos sensores do banco de dados. Usa um sistema de regras para gerar alertas em resposta a eventos de segurana detectados.
HTTP
HTTPS
Hipervisor
ID IDS
Padres de segurana de dados PCI e Padres de segurana de dados de aplicativos de pagamento Outubro de 2010 Glossrio de termos, abreviaes e acrnimosPgina 7
Termo
IETF
Definio
Acrnimo para "Fora tarefa de engenharia da Internet". Grande comunidade internacional de desenvolvedores de rede, operadores, fornecedores e pesquisadores voltados para a evoluo da arquitetura e a operao tranquila da Internet. O IETF no tem afiliao formal e est aberto a qualquer indivduo interessado. Um token criptogrfico que substitui o PAN, baseado em um determinado ndice para um valor imprevisvel. Proteo das informaes para garantir a confidencialidade, integridade e disponibilidade. Conjunto discreto de recursos de dados estruturados organizados para coleta, processamento, manuteno, uso, compartilhamento, disseminao ou disposio de informaes. Mtodo de filtragem de trfego de rede de entrada, para que apenas trfego explicitamente permitido tenha permisso para entrar na rede. Um protocolo, servio ou porta que apresenta assuntos relacionados segurana devido falta de controle sobre a confidencialidade e/ou integridade. Os assuntos relacionados segurana incluem servios, protocolos ou portas que transmitem dados e credenciais de autenticao (por exemplo, senha/frase em texto claro na Internet) ou que permitam, com facilidade, a explorao por padro ou por erro na configurao. Exemplos de servios, protocolos ou portas no seguros incluem, mas no limitam-se a FTP, Telnet, POP3, IMAP e SNMP. Acrnimo para "protocolo de internet". Protocolo da camada da rede que contm informaes do endereo e algumas informaes de controle que permitem que os pacotes sejam rastreados. IP o protocolo da camada de rede primria no sute de protocolo da Internet. Tambm referido como "endereo de protocolo da internet". Cdigo numrico que identifica exclusivamente um computador em particular na Internet. Tcnica de ataque usada por indivduos maliciosos para obter acesso no autorizado a computadores. O indivduo malicioso envia mensagens enganosas para um computador com um endereo IP indicando que a mensagem est vindo de um host de confiana. Acrnimo para "sistema de preveno de invaso". Alm do IDS, o IPS vai alm, bloqueando a tentativa de invaso. Abreviao de "Segurana do protocolo da internet". Padro para segurar comunicaes IP para criptografia e/ou autenticao de todos os pacotes IP. O IPSEC fornece segurana na cama da rede. Mais conhecido como "Organizao Internacional de Padronizao". Organizao no governamental que consiste em uma rede dos institutos de padres nacionais de mais de 150 pases, com um membro por pas e um secretariado central em Genebra, Sua, que coordena o sistema. Entidade que emite cartes de pagamento ou realiza, facilita ou apoia servios de emisso, incluindo, mas no limitando-se a bancos de emisso e processadores de emisso. Tambm referido como "banco de emisso" ou "instituio financeira de emisso".
IP
Endereo IP
Falsificao de endereo de IP
IPS IPSEC
ISO
Emissor
Padres de segurana de dados PCI e Padres de segurana de dados de aplicativos de pagamento Outubro de 2010 Glossrio de termos, abreviaes e acrnimosPgina 8
Termo
Servios de emisso Chave
Definio
Exemplos de servios de emisso podem incluir, mas no limitam-se a, autorizao e personalizao do carto. Na criptografia, uma chave um valor que determina a sada de um algoritmo de criptografia ao transformar texto simples em texto cifrado. O comprimento da chave geralmente determina o quanto ser difcil descriptografar o texto cifrado em uma determinada mensagem. Consulte Criptografia forte. Na criptografia, o conjunto de processos e mecanismos que suporta o estabelecimento e a manuteno da chave, incluindo a substituio de chaves mais antigas pelas novas chaves, conforme necessrio. Acrnimo para "rede de rea local". Grupo de computadores e/ou outros dispositivos que compartilham uma linha de comunicaes em comum, com frequencia, em um prdio ou conjunto de prdios. Acrnimo para "Protocolo de acesso ao diretrio leve". Repositrio de autenticao e autorizao utilizado para dvidas e modificao de permisses de usurio e garantir acesso a recursos protegidos. Consulte Trilha de auditoria. Abreviao para "partio lgica". Sistema de subdiviso ou partio dos recursos totais do computador - processadores, memria e armazenamento - em unidades menores que podem ser executadas sozinhas, cpias distintas do sistema operacional e aplicativos. O particionamento lgico tipicamente usado para permitir o uso de diferentes sistemas operacionais e aplicativos em um nico dispositivo. As parties podem ou no ser configuradas para se comunicarem entre si ou dividirem alguns recursos do servidor, como interfaces de rede. Acrnimo para "cdigo de autenticao de mensagem". Em criptografia, uma parte pequena de informao usada para autenticar a mensagem. Consulte Criptografia forte. Abreviao de "endereo de controle de acesso de mdia". Valor de identificao exclusivo atribudo pelos fabricantes aos adaptadores de rede e cartes de interface de rede. Tambm referido como "dados da faixa". Dados codificados na tarja magntica ou chip utilizados para autenticao e/ou autorizao durante as transaes de pagamento. Pode ser a imagem da tarja magntica em um chip ou os dados na trilha 1 e/ou trilha 2 da tarja magntica. Computadores feitos para lidar com volumes muito grandes de entrada e sada de dados e para enfatizar o throughput computing. Mainframes so capazes de executar vrios sistemas operacionais, fazendo parecer que esto sendo operados vrios computadores. Vrios sistemas legados tm design de mainframe. Software feito para se infiltrar ou danificar um sistema de computadores sem conhecimento ou consentimento do proprietrio. Esse tipo de software normalmente entra na rede durante vrias atividades aprovadas pela empresa, resultando na explorao das vulnerabilidades do sistema. Entre os exemplos esto vrus, worms, Trojans (ou cavalos de Troia), spyware, adware e rootkits.
Gerenciamento de chave
LAN
LDAP
Log LPAR
MAC
Endereo MAC
Mainframe
Software malintencionado/malware
Padres de segurana de dados PCI e Padres de segurana de dados de aplicativos de pagamento Outubro de 2010 Glossrio de termos, abreviaes e acrnimosPgina 9
Termo
Mascaramento
Definio
No contexto do PCI DSS, um mtodo para ocultar um segmento de dados ao ser exibido ou impresso. O mascaramento usado quando no houver exigncia pela empresa de visualizar o PAN inteiro. O mascaramento relaciona-se proteo do PAN quando exibido ou impresso. Consulte Truncamento para proteo do PAN ao ser armazenado em arquivos, bancos de dados, etc. Para os objetivos do PCI DSS, o comerciante definido como qualquer entidade que aceite cartes de pagamento com os logotipos de qualquer um dos cinco membros do PCI SSC (American Express, Discover, JCB, MasterCard ou Visa) como pagamento por bens e/ou servios. Observe que o comerciante que aceita cartes de pagamento como pagamento por bens e/ou servios tambm pode ser provedor de servios, caso os servios vendidos resultem no armazenamento, processamento ou transmisso de dados do titular do carto em nome de outros comerciantes ou prestadores de servio. Por exemplo: o ISP um comerciante que aceita cartes de pagamento para faturas mensais, mas tambm um provedor de servio se hospedar comerciantes como clientes. Uso de sistemas ou processos que monitoram constantemente computadores ou recursos de rede, com o objetivo de alertar os funcionrios em caso de falhas de operao, alarmes ou outros eventos predefinidos. Acrnimo para "comutao do rtulo de vrios protocolos". Rede ou mecanismo de telecomunicaes desenvolvido para conectar um grupo de redes comutadas por pacote. Acrnimo para "traduo de endereo de rede". Conhecido como simulao de rede ou de IP. Mudana de um endereo de IP usado em uma rede para outro endereo de IP diferente conhecido dentro da outra rede. Dois ou mais computadores conectados atravs de meios fsicos ou sem fio. Equipe responsvel pelo gerenciamento da rede em uma entidade. As responsabilidades normalmente incluem, mas no limitam-se a segurana de rede, instalaes, atualizaes, manuteno e monitoramento de atividades. Incluem, mas no limitam-se a, firewalls, chaves, roteadores, pontos de acesso sem fio, mecanismos de rede e outros mecanismos de segurana. Processo no qual os sistemas de uma entidade so verificados remotamente quanto s vulnerabilidades pelo uso de ferramentas manuais ou automatizadas. Varreduras de segurana que incluem a sondagem de sistemas internos e externos e a criao de relatrios sobre os servios expostos na rede. As varreduras podem identificar vulnerabilidades nos sistemas operacionais, servios e dispositivos que poderiam ser usadas por indivduos mal-intencionados.
Comerciante
Monitoramento
MPLS
NAT
Componentes de rede
Padres de segurana de dados PCI e Padres de segurana de dados de aplicativos de pagamento Outubro de 2010 Glossrio de termos, abreviaes e acrnimosPgina 10
Termo
Segmentao da rede
Definio
A segmentao de rede isola componentes do sistema que armazenam, processam ou transmitem dados do proprietrio do carto de sistemas que no o fazem. A segmentao de rede adequada pode reduzir o escopo do ambiente de dados do proprietrio do carto e, portanto, reduzir o escopo da avaliao PCI DSS. Veja a seo Segmentao de rede em Requisitos do PCI DSS e os Procedimentos de Avaliao de Segurana para obter orientao quanto ao uso da segmentao de rede. A segmentao de rede no uma solicitao PCI DSS. Consulte Componentes do sistema. Acrnimo para "Instituto nacional de padres e tecnologia". Agncia federal no regulatria da Administrao de tecnologia do Departamento de Comrcio dos EUA. Sua misso a de promover a competitividade industrial e inovao nos EUA atravs de avanos na cincia de aferio, padres e tecnologia, para aprimorar a segurana econmica e melhorar a qualidade de vida. Software de varredura de segurana que mapeia redes e identifica portas abertas nos recursos de rede. Qualquer indivduo, excluindo titulares de carto, que acessa os componentes do sistema, incluindo funcionrios, administradores, prestadores de servios, entre outros. Acrnimo para "Protocolo de tempo de rede". Protocolo de sincronizao dos relgios de sistemas de computador, dispositivos de rede e outros componentes do sistema. Descrio de produtos que so itens de estoque no personalizados especificamente para um cliente ou usurio especfico e que esto prontamente disponveis para uso. Software de um sistema que responsvel pelo gerenciamento e pela coordenao de todas as atividades e pelo compartilhamento dos recursos computacionais. Exemplos de sistemas operacionais so Microsoft Windows, Mac OS, Linux e Unix. Acrnimo para "Projeto de segurana do aplicativo web aberto". Organizao sem fins lucrativos focada no aprimoramento da segurana dos softwares do aplicativo. O OWASP mantm uma lista das vulnerabilidades mais importantes para os aplicativos web. (Consulte http://www.owasp.org). Acrnimo de Payment Application Qualified Security Assessor (assessor de segurana qualificado para o aplicativo de pagamento), aprovado pelo PCI SSC para fazer avaliaes em aplicativos de pagamento em relao ao PA-DSS. Acrnimo para "nmero de conta primrio" e tambm referido como "nmero da conta". Nmero exclusivo do carto de pagamento (normalmente cartes de dbito ou crdito) que identifica o emissor e a conta do proprietrio do carto em particular. Sequncia de caracteres usados para a autenticao do usurio.
NIST
De prateleira (Off-the-Shelf)
Sistema operacional / OS
OWASP
PA-QSA
PAN
Senha/passphrase
Padres de segurana de dados PCI e Padres de segurana de dados de aplicativos de pagamento Outubro de 2010 Glossrio de termos, abreviaes e acrnimosPgina 11
Termo
Pad
Definio
Em criptografia, o one-time PAD um algoritmo de codificao com texto combinado com uma chave aleatria, ou "pad" , que to longa quanto o texto simples e usada apenas uma vez. Alm disso, se a chave for realmente aleatria, nunca for reutilizada e mantida em segredo, o one- time pad ser inviolvel Meio de estruturao das queries SQL para limitar o escape e, portanto, evitar ataques de injeo. Acrnimo para "traduo do endereo da porta", e tambm referido como "traduo da porta do endereo de rede". Tipo de NAT que tambm traduz os nmeros da porta. Atualizao de um software existente para agregar funcionalidades ou para corrigir defeitos. Qualquer aplicativo que armazena, processa ou transmite dados do proprietrio do carto como parte da autorizao ou definio Para os objetivos do PCI DSS, qualquer carto de pagamento/dispositivo que traga o logotipo dos membros fundadores do PCI SSC, que so American Express, Discover Financial Services, JCB International, MasterCard Worldwide ou Visa, Inc. Acrnimo para "Indstria de cartes de pagamento". Acrnimo para "assistente de dados pessoal" ou "assistente digital pessoal". Dispositivos mveis com capacidades como celulares, email ou navegador web. Dispositivo de entrada PIN Os testes de penetrao procuram explorar vulnerabilidades para determinar se possvel haver acesso no autorizado ou outras atividades mal-intencionadas. O teste de penetrao inclui testes de rede e de aplicativos, alm de controles e processos ao redor de redes e aplicativos, e ocorre tanto de fora da rede tentando entrar (teste externo) quanto de dentro da rede. Funcionrios de meio perodo e perodo integral, temporrios, contratantes e consultores que so "residentes" no site da entidade ou, de outra maneira, tenham acesso ao ambiente dos dados do proprietrio do carto. Informaes que podem ser utilizadas para identificar um indivduo, incluindo, mas no limitando-se ao nome, endereo, nmero de seguro social, nmero de telefone, etc. Acrnimo para "nmero de identificao pessoal". Senha numrica secreta conhecida apenas para o usurio e um sistema para autenticar o usurio no sistema. O usurio s recebe acesso se o PIN fornecido for igual ao PIN do sistema. Os PINs tpicos so usados em caixas eletrnicos para saques de dinheiro. Outro tipo de PIN aquele usado em cartes com chip EMV, nos quais o PIN substitui a assinatura do titular do carto.
PCI PDA
Equipe
Padres de segurana de dados PCI e Padres de segurana de dados de aplicativos de pagamento Outubro de 2010 Glossrio de termos, abreviaes e acrnimosPgina 12
Termo
Bloco de PIN
Definio
Bloco de dados usado para encapsular o PIN durante o processamento. O formato do bloco de PIN define o contedo do bloco e como ele ser processado para recuperar o PIN. O bloco de PIN composto pelo PIN, pela extenso e pode conter um subconjunto do PAN. Acrnimo para "Ponto de interao", o ponto inicial onde os dados so lidos a partir do carto. Produto de transao/aceitao eletrnico, o POI consiste no hardware e software e hospedado no equipamento de aceitao para ativar o proprietrio do carto para realizar uma transao do carto. O POI pode ser assistido ou no assistido. As transaes do POI normalmente so transaes de circuito integrado (chip) e/ou baseadas na tarja magntica do carto. Regras que valem para toda a organizao e que regem o uso aceitvel de recursos computacionais, prticas de segurana e desenvolvimento de orientao de procedimentos operacionais. Acrnimo para "ponto de venda". Hardware e/ou software usado para processar transaes do carto de pagamento em locais de comrcio. Rede montada por uma organizao que usa um espao de endereo de IP privado. As redes privadas so comumente chamadas de redes locais ou LANs. O acesso de redes privadas a partir de redes pblicas deve ser protegido corretamente com o uso de firewalls e roteadores. Narrativa descritiva de uma poltica. O procedimento um guia para uma poltica e descreve como ela deve ser implementada. Mtodo de comunicao aceito e usado dentro das redes. Especificao que descreve as regras e procedimentos que os computadores devem seguir para desempenhar as atividades em uma rede. Acrnimo para "Segurana de transao do PIN", o PTS um conjunto de requisitos de avaliao modular gerenciado pelo Conselho de padres de segurana PCI, para aceitao do PIN de terminais de POI. Consulte www.pcisecuritystandards.org. Rede montada e operada por um provedor de telecomunicaes com o propsito especfico de prestar os servios de transmisso de dados para o pblico. Os dados em redes pblicas podem ser interceptados, modificados e/ou redirecionados quando ainda em trnsito. Exemplos de redes pblicas no mbito do PCI DSS incluem, mas no se limitam a, Internet, wireless e tecnologias mveis. Acrnimo para "valor de verificao do PIN". Valor arbitrrio codificado na tarja magntica do carto de pagamento. Acrnimo de Assessor de Segurana Qualificado (Qualified Security Assessor), aprovado para a empresa pelo PCI SSC para conduzir avaliaes on-site para o PCI DSS. Abreviao de "Servio remoto de autenticao de usurio de discagem". Sistema de autenticao e contabilidade. Verifica se informaes como o nome do usurio e sua senha, que passam pelo servidor do RADIUS, esto corretas; em caso positivo, autoriza o acesso ao sistema. Esse mtodo de autenticao pode ser usado com token, carto inteligente, etc. para fornecer autenticao de dois fatores.
POI
Poltica
Procedimento Protocolo
PTS
Rede pblica
PVV QSA
RADIUS
Padres de segurana de dados PCI e Padres de segurana de dados de aplicativos de pagamento Outubro de 2010 Glossrio de termos, abreviaes e acrnimosPgina 13
Termo
RBAC
Definio
Acrnimo para "controle de acesso baseado na funo". Controle usado para restringir o acesso por usurios autorizados especficos em suas responsabilidades no trabalho. Acesso a redes de computador a partir de um local remoto, tipicamente originadas de fora da rede. Um exemplo de tecnologia para acesso remoto a VPN. Mdia que armazena dados digitalizados e que pode ser facilmente removida e/ou transportada de um computador para outro. Exemplos de mdia eletrnica removvel incluem CD-ROM, DVD-ROM, flash drives em USB e discos rgidos removveis. Tambm referida como "ROC". Relatrio contendo detalhes que documentam o status de conformidade da entidade com o PCI DSS. Tambm referido como "ROV". Relatrio contendo detalhes que documentam a conformidade do aplicativo de pagamento com o PCI PADSS. Processo de alterao das chaves criptogrficas. O re-keying peridico limita a quantidade de dados criptografados por uma nica chave. Laboratrio no mantido pelo PA-QSA. Entidade que vende e/ou integra aplicativos de pagamento, mas no os desenvolve. Padro identificado pela Fora tarefa de engenharia da Internet (IETF) que define o uso e os intervalos de endereo apropriados para redes privadas (no roteveis pela internet). Processo que identifica os recursos valiosos do sistema e as ameaas; quantifica a exposio s perdas (ou seja, potenciais perdas) com base nas freqncias estimadas e custos da ocorrncia; e, opcionalmente, recomenda como alocar os recursos para adotar medidas visando a minimizar a exposio total. Tipo de software mal-intencionado que, quando instalado sem autorizao, capaz de esconder sua presena e ganhar controle administrativo de um sistema de computadores. Hardware ou software que conecta duas ou mais redes. Funciona como classificador e interpretador, verificando os endereos e passando os bits de informao para o devido destino. Os roteadores de software so s vezes chamados de gateways. Algoritmo para a codificao de chaves pblicas descrito em 1977 por Ron Rivest, Adi Shamir e Len Adleman, do Massachusetts Institute of Technology (MIT); as letras RSA so as iniciais dos seus sobrenomes. Segmento aleatrio que concatenado com outros dados, anteriormente operao por uma funo hash. Consulte tambm Hash. O processo de seleo de seo cruzada de um grupo que representa todo o grupo. A amostragem pode ser usada por assessores para reduzir os esforos de teste gerias, quando validado que a entidade tem segurana PCI DSS padro centralizada e processos operacionais e controles corretos. A amostragem no um requisito do PCI DSS.
Acesso remoto
Anlise/avaliao de risco
Rootkit
Roteador
RSA
Salt Amostragem
Padres de segurana de dados PCI e Padres de segurana de dados de aplicativos de pagamento Outubro de 2010 Glossrio de termos, abreviaes e acrnimosPgina 14
Termo
SANS
Definio
Acrnimo de SysAdmin, Audit, Networking and Security, instituto que fornece treinamento em segurana computacional e certificao profissional. (Consulte www.sans.org.) Processo de identificao de todos os componentes do sistema, pessoas e processos a serem includos na avaliao PCI DSS. A primeira etapa de uma avaliao do PCI DSS determinar precisamente o escopo da reviso. Acrnimo para "ciclo de vida de desenvolvimento do sistema". Fases de desenvolvimento do software ou sistema do computador, que incluem planejamento, anlise, desenvolvimento, teste e implementao. Processo de criao e implementao de aplicativos que so resistentes violao e ao comprometimento. Tambm chamada de excluso segura, trata-se de um utilitrio usado para excluir permanentemente arquivos especficos de um sistema de computadores. Pessoa responsvel primria pelos assuntos relacionados segurana a entidade. Conjunto de leis, regras e prticas que determinam como uma organizao deve administrar, proteger e distribuir informaes confidenciais. Protocolos de comunicao da rede desenvolvidos para garantir a segurana da transmisso de dados. Exemplos de protocolos de segurana incluem, mas no limitam-se a SSL/TLS, IPSEC, SSH, etc. Acrnimo para "Questionrio de auto avaliao." Ferramenta usada pela entidade para validar sua prpria conformidade com o PCI DSS. Qualquer central de dados, sala de servidores ou qualquer rea que contenha sistemas que armazenem, processem ou transmitam dados do titular do carto. Isso exclui as reas nas quais h somente terminais do ponto de venda presentes, como as reas dos caixas em uma loja de varejo. Informaes relacionada a segurana (incluindo, mas no limitando-se a validao dos cdigos/valores do carto, dados totais da tarja magntica, PINs e blocos de PIN) usadas para autenticar os proprietrios do carto e/ou autorizar transaes do carto de pagamento. Ato de dividir os passos de uma funo entre diferentes indivduos, de forma a impedir que um nico indivduo seja capaz de subverter o processo. Computador que presta servio a outros computadores, como processamento de comunicaes, armazenamento de arquivos ou acesso a um dispositivo de impresso. Os servidores incluem, mas no so limitados a, banco de dados, aplicativos, autenticao, DNS, correio, proxy e NTP.
Escopo
SDLC
Protocolos de segurana
Separao de tarefas
Servidor
Padres de segurana de dados PCI e Padres de segurana de dados de aplicativos de pagamento Outubro de 2010 Glossrio de termos, abreviaes e acrnimosPgina 15
Termo
Cdigo de servio
Definio
Nmero de trs ou quatro dgitos da tarja magntica que vem em seguida data de validade do carto de pagamento nos dados da tarja. Ele usado para vrias coisas, como para definir atributos de servio, diferenciar entre comrcio nacional e internacional e identificar restries de uso. Entidade de negcios que no uma bandeira de carto de crdito diretamente envolvida no processamento, armazenamento ou na transmisso de dados do titular de carto. Isso inclui tambm as empresas que prestam servios que controlam ou podem afetar a segurana dos dados do titular de carto, como por exemplo prestadores de servios gerenciados que oferecem firewalls gerenciados, IDS e outros servios, bem como provedores de hosting e outras entidades. Esto excludas entidades como empresas de telecomunicaes, que oferecem apenas links de comunicao, sem acesso camada do aplicativo do link de comunicao. Acrnimo para "Algoritmo de hash de segurana". Famlia ou conjunto de funes de hash criptogrficas incluindo SHA-1 e SHA-2. Consulte Criptografia robusta. Tambm referido como "carto com chip" ou "Carto IC (carto de circuito integrado)." Tipo de carto de pagamento com circuitos embutidos. Os circuitos, tambm chamados de chip, contm dados do carto de pagamento, incluindo dados equivalentes aos dados da tarja magntica. Acrnimo para "Protocolo de gerenciamento de rede simples". Suporta o monitoramento de dispositivos anexados rede para qualquer condio que garanta ateno administrativa. Condio em que duas ou mais entidades possuem separadamente componentes importantes, mas que individualmente no transmitem nenhum conhecimento sobre a chave criptogrfica resultante. Tipo de software mal-intencionado que, quando instalado, intercepta ou assume controle parcial do computador do usurio sem conhecimento dele. Acrnimo para "Idioma de query estruturada". Idioma do computador usado para criar, modificar e recuperar dados de sistemas de gerenciamento de banco de dados relacional. Forma de ataque a site baseado em banco de dados. Um indivduo malintencionado executa comandos SQL no autorizados beneficiando-se de cdigos inseguros nos sistemas conectados Internet. Os ataques de injeo SQL so utilizados para furtar informaes de um banco de dados nos quais as informaes normalmente no estariam disponveis e/ou ganhar acesso ao host de uma organizao atravs do computador que hospeda o banco de dados. Abreviao de "Shell seguro". Conjunto de protocolo que fornece criptografia para servios de rede, como login remoto ou transferncia de arquivo remota.
Prestador de servio
SHA-1/SHA-2
Smart card
SNMP
SQL
Injeo SQL
SSH
Padres de segurana de dados PCI e Padres de segurana de dados de aplicativos de pagamento Outubro de 2010 Glossrio de termos, abreviaes e acrnimosPgina 16
Termo
SSL
Definio
Acrnimo para "Secure Sockets Layer". Padro estabelecido da indstria que criptografa o canal entre o navegador web e o servidor web para garantir a privacidade e a confiabilidade dos dados transmitidos por esse canal. Tambm chamada de filtragem de pacote dinmico, um recurso de firewall que fornece maior segurana ao registrar pacotes de comunicaes. Somente os pacotes de entrada com a resposta adequada (conexes estabelecidas) podem passar pelo firewall. Criptografia baseada em algoritmos testados e aceitos pela indstria, junto com comprimentos de chave fortes e prticas de gesto de chave adequadas. A criptografia um mtodo para proteger os dados e inclui tanto criptografia (que reversvel) quanto codificao hash (que no reversvel, ou seja, de mo nica). Exemplos de padres e algoritmos testados e aceitos pela indstria para criptografia incluem AES (128 bits e superior), TDES (chaves de comprimento duplo mnimas), RSA (1024 bits e superior), ECC (160 bits e superior) e ElGamal (1024 bits e superior). Veja o documento NIST Special Publication 800-57 (http://csrc.nist.gov/publications/) para obter mais informaes. Abreviao para "administrador do sistema". Indivduo com privilgios elevados responsvel pelo gerenciamento do sistema do computador ou rede. Qualquer componente de rede, servidor ou aplicativo includo ou conectado ao ambiente de dados do titular do carto. Qualquer coisa no sistema do componente requisitado para sua operao, incluindo, mas no limitando-se a arquivos executveis de aplicativos e de configurao, arquivos de configurao do sistema, bibliotecas estticas e compartilhadas e DDLs, executveis do sistema, drivers do dispositivo e arquivos de configurao de dispositivo e componentes adicionados por terceiros. Acrnimo para "Sistema de controle do acesso do controlador ao acesso do terminal". Protocolo de autenticao remoto comumente usado em redes que comunicam-se entre o servidor de acesso remoto e o servidor de autenticao para determinar os direitos do acesso do usurio rede. Este mtodo de autenticao pode ser usado com token, carto inteligente, etc. para fornecer autenticao de dois fatores. Acrnimo para "Protocolo de controle de transmisso". Idioma de comunicao bsico ou protocolo da Internet. Acrnimo para "Padro de criptografia de dados triplos", tambm conhecido como "3DES" ou "DES Triplo". Bloqueia cifras formadas da cifra DES usando-as trs vezes. Consulte Criptografia forte. Abreviao para "protocolo de rede de telefone". Tipicamente utilizado para fornecer sesses de login de linha de comando orientadas ao usurio. As credenciais dos usurios so transmitidas em texto simples. Condio ou atividade que pode fazer com que as informaes ou os recursos de processamento de informaes sejam intencionalmente ou acidentalmente perdidos, modificados, expostos, inutilizados ou de outra forma afetados em detrimento da organizao
Criptografia robusta
SysAdmin
TACACS
TCP TDES
TELNET
Ameaa
Padres de segurana de dados PCI e Padres de segurana de dados de aplicativos de pagamento Outubro de 2010 Glossrio de termos, abreviaes e acrnimosPgina 17
Termo
TLS
Definio
Acrnimo para "Segurana da camada de transporte". Desenvolvido com o objetivo de fornecer confidencialidade dos dados e integridade entre dois aplicativos que se comunicam. A TLS a sucessora da SSL. Valor fornecido por hardware ou software que normalmente funciona com um servidor de autenticao ou VPN para realizar autenticao dinmica ou de dois fatores. Consulte RADIUS, TACACS, e VPN. Dados relacionados transao com carto de pagamento eletrnico. Tambm referido como "cavalo de Troia". Tipo de software malicioso que, ao ser instalados, permite ao usurio realizar uma funo normal, enquanto o Trojan realiza funes maliciosas no sistema do computador sem o conhecimento do usurio. Mtodo para deixar o PAN integral ilegvel, removendo permanentemente um segmento dos dados do PAN. Consulte Truncamento para proteo do PAN ao ser armazenado em arquivos, bancos de dados, etc. Consulte Mascaramento para proteo do PAN quando exibido em telas, recibos de papel, etc. Rede de uma organizao que est dentro da capacidade de controle e gerenciamento da empresa. Mtodo para autenticar um usurio no qual so verificados dois ou mais fatores. Esses fatores incluem algo que o usurio tenha (como token de hardware ou software), algo que o usurio saiba (como senha, passphrase ou PIN) ou algo que o usurio seja ou faa (como impresso digital ou outras formas de biometria). Rede externa quela pertencente a uma organizao e que est fora da capacidade de controle ou gerenciamento dela. A virtualizao refere-se abstrao lgica dos recursos de computao de limitaes fsicas. As abstraes comuns so referidas como mquinas virtuais ou VMs, compondo o contedo de uma mquina fsica e permitindo que ela opere em um hardware fsico diferente e/ou juntamente com outras mquinas virtuais no mesmo hardware fsico. Em adio aos VMs, a virtualizao pode ser realizada em muitos outros recursos de computao, incluindo aplicaes, desktops, redes e armazenamento. Consulte Hipervisor. O VMM est includo no hipervisor e no software que implementa a abstrao de hardware da mquina virtual. Ele gerencia o processador, a memria e outros recursos do sistema para alocar o que cada sistema de operao convidado requer. Ambiente de operao autocontido que comporta-se como um computador separado. Tambm conhecido como "Convidado" e executado no topo do hipervisor. O VA aplica o conceito de um dispositivo pr-configurado para realizao de um conjunto especfico de funes e execuo do dispositivo como carga de trabalho. Frequentemente, um dispositivo de rede existente, como roteador, comutador ou firewall, virtualizado para executar como um utenslio virtual.
Token
Truncamento
Mquina virtual
Padres de segurana de dados PCI e Padres de segurana de dados de aplicativos de pagamento Outubro de 2010 Glossrio de termos, abreviaes e acrnimosPgina 18
Termo
Comutador ou roteador virtual
Definio
Um comutador ou roteador virtual uma entidade lgica que apresenta a funcionalidade de roteamento e comutao de dados de nvel da infraestrutura de rede. Um comutador virtual uma parte integral da plataforma do servidor virtualizado como driver do hipervisor, mdulo ou plug-in. O terminal virtual um acesso baseado no navegador web do site do adquirente, processador ou fornecedor de servios terceirizados, onde o comerciante insere manualmente os dados do carto de pagamento atravs de navegador web seguramente conectado. Diferentes dos terminais fsicos, terminais virtuais no leem dados diretamente do carto de pagamento. Devido s transaes de carto de pagamento serem inseridas manualmente, os terminais virtuais so normalmente usados, em vez de terminais fsicos em ambientes comerciais com volumes de transao baixos. Abreviao de "LAN virtual" ou "rede de rea local virtual". Rede de rea local lgica que se estende alm de uma rede de rea local fsica tradicional nica. Acrnimo para "rede privada virtual". Rede de computador na qual algumas conexes so circuitos virtuais em uma rede maior, como a Internet, em vez de conexes diretas por fios fsicos. Quando for o caso, diz-se que os pontos finais da rede virtual passam por um tnel pela rede maior. Enquanto um aplicativo comum formado por comunicaes seguras pela Internet pblica, a VPN pode ou no ter recursos de segurana, como autenticao ou criptografia de contedo. O VPN pode ser usado com um token, smart card, etc., para fornecer autenticao de dois fatores. Falha ou fraqueza que, se explorada, pode resultar em comprometimento intencional ou no intencional do sistema. Acrnimo para "rede de rea ampla". Rede de computadores que cobre uma rea ampla, geralmente um sistema de computador regional ou da empresa. Aplicativo que geralmente acessado atravs de navegador web ou de servios web. Os aplicativos web podem estar disponveis atravs da Internet ou de uma rede privada e interna. Computador que contm um programa que aceita solicitaes de HTTP de clientes da web e apresenta as respostas de HTTP (normalmente pginas da web). Acrnimo para "Privacidade equivalente grampeada". Algoritmo fraco usado para criptografar redes sem fio. Vrias debilidades srias foram identificadas por especialistas do setor, de forma que a conexo WEP pode ser quebrada com softwares prontamente disponveis em questo de minutos. Consulte WPA. Tambm referido como "AP". Dispositivo que permite que dispositivos de comunicao sem fio conectem-se a uma rede wireless. Normalmente conectado a uma rede com fio, ele pode revezar os dados entre dispositivos wireless e dispositivos com fio na rede. Rede que conecta computadores sem uma conexo fsica com fios.
Terminal virtual
VLAN
VPN
Vulnerabilidade WAN
Aplicativo web
Servidor da web
WEP
Redes wireless
Padres de segurana de dados PCI e Padres de segurana de dados de aplicativos de pagamento Outubro de 2010 Glossrio de termos, abreviaes e acrnimosPgina 19
Termo
WLAN WPA/WPA2
Definio
Acrnimo para "rede de rea local wireless". Rede de rea local que liga dois ou mais computadores ou dispositivos sem fio. Acrnimo para "Acesso protegido de Wi Fi". Protocolo de segurana criado para garantir a segurana das redes wireless. WPA o sucessor do WEP... O WPA2 tambm foi lanado como a prxima gerao de WPA.
Padres de segurana de dados PCI e Padres de segurana de dados de aplicativos de pagamento Outubro de 2010 Glossrio de termos, abreviaes e acrnimosPgina 20