HOME SOLUÇÕES PARA COMPLIANCE PCI-DSS

COMPLIANCE PCI-DSS

Oferta de serviços de Compliance PCI-DSS.


Todas as empresas que processem, manuseiem ou armazenem dados provenientes de cartões de pagamento, devem cumprir os requisitos PCI-DSS. O padrão de segurança de dados global que visa diminuir as fraudes relacionadas com a utilização de cartões de pagamento nas transacções comerciais.

A INTEGRITY, como Qualified Security Assessor (QSA) fornece auditorias e aconselhamento profissional a empresas que processem e transmitam dados de cartões de pagamento, no decorrer da sua actividade.

Além disso, dispõe também um serviço de gestão continuada dos requisitos PCI-DSS, o DSSManager.


O DSSManager é composto por 3 níveis de serviço, fornecidos e geridos em uma plataforma proprietária, desenvolvida pela INTEGRITY. Os serviços Base auxiliam o processo de conformidade com PCI em qualquer organização e os serviços continuados permitem que a organização mantenha o seu status de conformidade PCI. Os serviços opcionais abordarão a realidade específica das necessidades de cada empresa de forma a manter a conformidade PCI.

Os serviços Base incluem:

• Acesso ao Portal de Compliance - portal de Compliance personalizado, para monitorar a conformidade a qualquer momento;
• Assistência SAQ - assistência com procedimentos de Autoavaliação e relatórios (SAQ);
• Avaliação de risco - promove uma abordagem baseada em risco para conformidade com o PCI;
• Gap Assessment - identifica e prioriza acções e controla implementações.

Os serviços continuados incluem:

• Cyber Risk Assessment Reports - gere e entrega um relatório mensal avaliando a sua postura de segurança cibernética e conformidade com o PCI-DSS;
• Security Advisor Reviews - revisões de conformidade regulares com a sua equipa e um de nossos consultores de segurança especializados, para melhoria contínua;
• Actualizações e alterações de conformidade - alertas sobre quaisquer actualizações ou alterações em relação ao PCI-DSS, o Portal também reflectirá as alterações;
• Pentesting contínuo - pentesting regular de todos os activos no âmbito;
• ASV Scan (para organizações que têm esta exigência - fornecida por um Parceiro);
• Vulnerability Scan (quando Scan ASV não é necessário ou para cobrir activos adicionais);
• Network Penetration Testing (através do serviço KEEP-IT-SECURE-24).

Os serviços opcionais incluem:

• Certificado de Atestado de Conformidade (AOC);
• Avaliações de segurança no local e relatório completo sobre conformidade com PCI-DSS (ROC);
• Serviços de consciencialização e educação sobre segurança cibernética para funcionários;
• E ainda uma vasta lista de serviços de consultoria adicionais on demand ou continuados, relacionados com a manutenção de conformidade PCI-DSS.

A nossa equipa de QSAs fornecerá orientações PCI, por via de uma abordagem baseada no risco, onde:

• Ser-lhe-á fornecido o respectivo relatório de conformidade, alinhado com os requisitos PCI;
• As suas metas de conformidade serão validadas;
• Será ajudado a definir o âmbito e o limite dos dados do portador do cartão;
• E ser-lhe-á providenciado um workbook com uma Abordagem de Prioridades PCI-DSS, acompanhado de um cronograma para atingir a conformidade.

Relatório composto por mais de 200 requisitos resultantes do trabalho presencial desenvolvido no terreno, como a inspecção de evidências, e as entrevistas realizadas por um QSA da INTEGRITY. O elemento QSA atribuído ficará responsável por conduzir a avaliação, e irá orientar o cliente através deste processo.

A avaliação PCI-DSS realizada inclui:

• Uma análise detalhada do ambiente de dados do titular do cartão da sua organização;
• E documenta os detalhes da sua conformidade com o PCI-DSS.

Caso sejam necessárias correcções para alcançar ou manter a conformidade com o PCI, os elementos QSA da INTEGRITY poderão:

• Determinar a principal causa das não conformidades;
• Identificar potenciais soluções para atingir a conformidade;
• Propor um plano de projecto e cronograma de remediação.

A equipa permanecerá disponível para rever o progresso, enquanto o cliente efectua as actividades de correcção, de forma a garantir que os esforços são efectuados de modo a atingir a conformidade.

A nossa equipa de profissionais possui uma ampla e profunda experiência em protecção de dados e apoia os clientes em tudo o que for necessário, para manter protegidos os dados do portador do cartão processados, transmitidos ou armazenados pelo cliente.

Não lhe será entregue apenas um relatório, mas uma compreensão do seu negócio para que possa chegar mais longe.

Podemos fornecer o exame de vulnerabilidade externas trimestrais necessárias por meio de um parceiro de negócios confiável, um Approved Scanning Vendor (ASV).

  • Nível de Conformidade Nº 1

    Os consultores QSA da INTEGRITY podem ajudar os comerciantes e prestadores de serviço deste nível a realizar a sua avaliação QSA, por via de:


    Avaliações de conformidade PCI;

    Preenchimento de relatórios de conformidade;

    E do SAQ’s (Self-Assessment Questionnaire).

  • Níveis de Conformidade Nº 2, 3 e 4

    Os comerciantes e provedores de serviço nestes níveis, podem recorrer a um consultor (QSA) da INTEGRITY para os ajudar a:


    Determinar o seu âmbito;

    Definir quais os requisitos PCI apropriados à sua organização;

    Preencher o Questionário de Autoavaliação (SAQ*).


    *É uma mais valia socorrer-se da ajuda de um QSA, dado que demonstra, tanto a clientes como ao banco, que a organização recorreu um parceiro externo e imparcial para avaliar a sua conformidade.

NÍVEIS   TRANSACÇÕES ANUAIS COM CARTÃO   REQUISITO SAQ*
1   + 6 Milhões   *SAQ substituído com certificação PCI-DSS
2   Entre 1M-6 Milhão   *SAQ obrigatório, assinado por um QSA ou um elemento PCI SSC ISA treinado
3   Entre 20mil – 1 Milhão   *SAQ obrigatório
4   Até 20 mil   *SAQ recomendado, mas não obrigatório
* SAQ = Self-Assessment Questionnaire SAQ. Trata-se de uma ferramenta de auto-validação para avaliar a segurança dos dados do titular do cartão.

O que é o PCI-DSS?

O PCI-DSS (Payment Card Industry Data Security Standard) trata-se de um padrão de segurança global, com requisitos operacionais e técnicos, projectados para aperfeiçoar o controlo sobre os dados dos cartões de pagamento dos utilizadores.

Esta norma, e respectivos standards, visam garantir um ambiente seguro para utilizadores e entidades que processem dados provenientes de cartões de pagamento, evitando fraudes.

Objectivos e requisitos de conformidade PCI-DSS

Os requisitos de conformidade PCI-DSS cobrem componentes técnicos e operacionais do sistema, incluídos ou diretamente ligados aos dados do portador do cartão.

Caso a sua empresa aceite ou processe pagamentos com cartões de crédito, precisa de estar em conformidade com os 12 requisitos apresentados na tabela:


OBJECTIVOS   REQUISITOS PCI-DSS
Construir e Manter uma Rede Segura   1. Instale e mantenha uma configuração de firewall para proteger os dados do titular do cartão
2. Não use padrões fornecidos pelo fornecedor para senhas de sistemas ou outros parâmetros de segurança
Proteger os Dados do Titular do Cartão   3. Proteja os dados armazenados do titular do cartão
4. Criptografe a transmissão dos dados do titular do cartão em redes públicas abertas
Manter um Programa de Gestão de Vulnerabilidades   5. Use e actualize regularmente software ou programas antivírus
6. Desenvolva e mantenha seguros sistemas e aplicações
Implementar Medidas Robustas de Controlo de Acesso   7. Restrinja o acesso aos dados do titular do cartão, de acordo com a necessidade de conhecimento da empresa
8. Atribua um ID exclusivo a cada pessoa com acesso ao computador
9. Restrinja o acesso físico aos dados do titular do cartão
Monitorizar e Testar Regularmente as Redes   10. Localize e monitorize todos os acessos a recursos de rede e dados do titular do cartão
11. Teste regularmente os sistemas e processos de segurança
Manter uma Política de Segurança da Informação   12. Mantenha uma política que aborde a segurança da informação para funcionários e supervisores

Quem deve cumprir com o padrão de segurança PCI-DSS?

Todas as empresas que processem, manuseiem ou armazenem dados provenientes de cartões de pagamento, devem cumprir os requisitos PCI-DSS.

Estes, asseguram que o processamento das transacções efectuadas com recurso a cartões de pagamento é seguro, para todas as partes envolvidas, salvaguardando consumidores e os próprios negócios contra problemas de roubo e violação de dados.

Existem sanções em caso de não conformidade?

Sim. As marcas de cartões de pagamento que compõem o consórcio PCI podem multar um banco receptor até 500,000$ (aproximadamente 425€) por mês, por violações de conformidade com o PCI. Sendo bastante provável que os bancos repassem essa multa até ao comerciante.

Contudo, mais grave que as coimas, é a revogação do direito de processar transacções com cartões de pagamento que poderá ser emitida pelo Consórcio, e ditará a sentença de morte para muitas empresas.

O que é o Consórcio PCI e quais as suas responsabilidades?

O Consórcio PCI, em inglês PCI-SSC, trata-se de uma entidade global independente formada em 2006 pelos cinco principais sistemas de cartões de pagamento (American Express, Discover, MasterCard, Visa e Japan Credit Bureau).

Este órgão tem como responsabilidades desenvolver, gerir, educar e consciencializar acerca dos Standards de Segurança de dados PCI. Além disso, cabe-lhe reconhecer os QSAs (Qualified Security Assessors) e ASVs (Approved Scanning Vendors) como entidades qualificadas e aptas à validação da conformidade, em alinhamento com o PCI, conforme sucedeu com a INTEGRITY.

CONTACTOS

Portugal

Av. João Crisóstomo, n.º 30, 5º
1050-127, Lisboa | Portugal
T: +351 21 33 03 740
E: info@integrity.pt

United Kingdom

Suite 4B
43 Berkeley Square
Mayfair, Westminster
London, W1J 5FJ | United Kingdom
T: +44 20 3318 0800

España

Calle Edgar Neville, 6
28020, Madrid | España
T: +34 91 73 73 417




x