Home Soluções Para Compliance PCI-DSS
Nesta página poderá encontrar os seguintes tópicos:
Serviços de Conformidade PCI-DSS disponibilizados pela Integrity S.A.
Níveis de Conformidade para Comerciantes e Prestadores de Serviços
Níveis de validação de conformidade VISA e Mastercard para comerciantes
Secção de FAQ’s sobre o PCI-DSS
Todas as empresas que processem, manuseiem ou armazenem dados provenientes de cartões de pagamento, devem cumprir os requisitos PCI-DSS. O padrão de segurança de dados global que visa diminuir as fraudes relacionadas com a utilização de cartões de pagamento nas transações comerciais.
A Integrity S.A., como Qualified Security Assessor (QSA) fornece auditorias e aconselhamento profissional a empresas que processem e transmitam dados de cartões de pagamento, no decorrer da sua atividade.
Além disso, dispõe também um serviço de gestão continuada dos requisitos PCI-DSS, o DSSManager.
A formação em PCI-DSS premite dotar as empresas que precisam de conseguir atingir a conformidade com o PCI-DSS, mas que não tem recursos habilitados para o efeito, de conseguir informar e formar elementos de uma potencial equipa de trabalho.
A formação incide sobre:
A nossa equipa de QSAs fornecerá orientações PCI, por via de uma abordagem baseada no risco, onde:
Caso sejam necessárias correções para alcançar ou manter a conformidade com o PCI, os elementos QSA da Integrity S.A. poderão:
A equipa permanecerá disponível para rever o progresso, enquanto o cliente efetua as atividades de correção, de forma a garantir que os esforços são efetuados de modo a atingir a conformidade.
Os SAQ's são elaborados para uma tipologia concreta de operações com cartões de créditos, existem 9 tipos de SAQ ao dia de hoje ex: A,B,B-IP,C,D. Estes questionários permitem ao comerciante efetuar uma autoavaliação da sua conformidade com o PCI-DSS, documentar as diferentes práticas necessárias para poder executar operações com cartões de créditos em segurança, bem como identificar nos casos em que exista divergência com os objetivos de controlo identificar e documentar a forma como as preocupações latentes no PCI-DSS são endereçadas.
Relatório composto por mais de 200 requisitos resultantes do trabalho presencial desenvolvido no terreno, como a inspeção de evidências, e as entrevistas realizadas por um QSA da Integrity S.A.. O elemento QSA atribuído ficará responsável por conduzir a avaliação, e irá orientar o cliente através deste processo.
A avaliação PCI-DSS realizada inclui:
O Atestado de Conformidade é um documento formal emitido pela Integrity S.A. que certifica a execução da avaliação de conformidade e o seu resultado. Este documento faz prova de que os controlos definidos como necessários pelo Consórcio PCI se encontram devidamente implementados na respetiva Organização e no ambiente específico no âmbito desta Atestação. Este documento pode ser emitido quando acompanhado de um SAQ ou ROC.
Os consultores QSA da Integrity S.A. podem ajudar os comerciantes e prestadores de serviço deste nível a realizar a sua avaliação QSA, por via de:
Avaliações de conformidade PCI;
Preenchimento de relatórios de conformidade;
E do SAQ’s (Self-Assessment Questionnaire).
Os comerciantes e provedores de serviço nestes níveis, podem recorrer a um consultor (QSA) da Integrity S.A. para os ajudar a:
Determinar o seu âmbito;
Definir quais os requisitos PCI apropriados à sua organização;
Preencher o Questionário de Autoavaliação (SAQ*).
*É uma mais valia socorrer-se da ajuda de um QSA, dado que demonstra, tanto a clientes como ao banco, que a organização recorreu um parceiro externo e imparcial para avaliar a sua conformidade.
| NÍVEIS | TRANSAÇÕES ANUAIS COM CARTÃO | REQUISITO SAQ* | ||
| 1 | + 6 Milhões | *SAQ substituído com certificação PCI-DSS | ||
| 2 | Entre 1M-6 Milhão | *SAQ obrigatório, assinado por um QSA ou um elemento PCI SSC ISA treinado | ||
| 3 | Entre 20mil – 1 Milhão | *SAQ obrigatório | ||
| 4 | Até 20 mil | *SAQ recomendado, mas não obrigatório |
| * SAQ = Self-Assessment Questionnaire SAQ. Trata-se de uma ferramenta de auto-validação para avaliar a segurança dos dados do titular do cartão. |
O PCI-DSS (Payment Card Industry Data Security Standard) trata-se de um padrão de segurança global, com requisitos operacionais e técnicos, projetados para aperfeiçoar o controlo sobre os dados dos cartões de pagamento dos utilizadores.
Esta norma, e respetivos standards, visam garantir um ambiente seguro para utilizadores e entidades que processem dados provenientes de cartões de pagamento, evitando fraudes.
Os requisitos de conformidade PCI-DSS cobrem componentes técnicos e operacionais do sistema, incluídos ou diretamente ligados aos dados do portador do cartão.
Caso a sua empresa aceite ou processe pagamentos com cartões de crédito, precisa de estar em conformidade com os 12 requisitos apresentados na tabela:
| OBJETIVOS | REQUISITOS PCI-DSS | |
| Construir e Manter uma Rede Segura |
1. Instale e mantenha uma configuração de firewall para proteger os dados do titular do cartão 2. Não use padrões fornecidos pelo fornecedor para senhas de sistemas ou outros parâmetros de segurança |
|
| Proteger os Dados do Titular do Cartão |
3. Proteja os dados armazenados do titular do cartão 4. Criptografe a transmissão dos dados do titular do cartão em redes públicas abertas |
|
| Manter um Programa de Gestão de Vulnerabilidades |
5. Use e atualize regularmente software ou programas antivírus 6. Desenvolva e mantenha seguros sistemas e aplicações |
|
| Implementar Medidas Robustas de Controlo de Acesso |
7. Restrinja o acesso aos dados do titular do cartão, de acordo com a necessidade de conhecimento da empresa 8. Atribua um ID exclusivo a cada pessoa com acesso ao computador 9. Restrinja o acesso físico aos dados do titular do cartão |
|
| Monitorizar e Testar Regularmente as Redes |
10. Localize e monitorize todos os acessos a recursos de rede e dados do titular do cartão 11. Teste regularmente os sistemas e processos de segurança |
|
| Manter uma Política de Segurança da Informação | 12. Mantenha uma política que aborde a segurança da informação para funcionários e supervisores |
Todas as empresas que processem, manuseiem ou armazenem dados provenientes de cartões de pagamento, devem cumprir os requisitos PCI-DSS.
Estes, asseguram que o processamento das transações efetuadas com recurso a cartões de pagamento é seguro, para todas as partes envolvidas, salvaguardando consumidores e os próprios negócios contra problemas de roubo e violação de dados.
Sim. As marcas de cartões de pagamento que compõem o consórcio PCI podem multar um banco recetor até 500,000$ (aproximadamente 425,000€) por mês, por violações de conformidade com o PCI. Sendo bastante provável que os bancos repassem essa multa até ao comerciante.
Contudo, mais grave que as coimas, é a revogação do direito de processar transações com cartões de pagamento que poderá ser emitida pelo Consórcio, e ditará a sentença de morte para muitas empresas.
O Consórcio PCI, em inglês PCI-SSC, trata-se de uma entidade global independente formada em 2006 pelos cinco principais sistemas de cartões de pagamento (American Express, Discover, MasterCard, Visa e Japan Credit Bureau).
Este órgão tem como responsabilidades desenvolver, gerir, educar e consciencializar acerca dos Standards de Segurança de dados PCI. Além disso, cabe-lhe reconhecer os QSAs (Qualified Security Assessors) e ASVs (Approved Scanning Vendors) como entidades qualificadas e aptas à validação da conformidade, em alinhamento com o PCI, conforme sucedeu com a Integrity S.A..
