PCI vem de Payment Card Industry e DSS de Data Security Standard
O PCI DSS é o padrão global de segurança de dados adotado pelas marcas de cartões de pagamento para todas as entidades que irão processar, armazenar ou transmitir dados do titular do cartão e / ou dados de autenticação confidenciais.
Site Oficial – https://www.pcisecuritystandards.org
Requerimentos do PCI
- Requisito 1: Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão
- Requisito 2: não usar padrões fornecidos pelo fornecedor para senhas do sistema e outros parâmetros de segurança
- Requisito 3: Proteger os dados armazenados do portador do cartão
- Requisito 4: criptografar a transmissão dos dados do portador do cartão em redes públicas abertas
- Requisito 5: Proteger todos os sistemas contra malware e atualizar regularmente softwares ou programas antivírus
- Requisito 6: Desenvolver e manter sistemas e aplicativos seguros
- Requisito 7: restringir o acesso aos dados do portador do cartão por empresa que precisa conhecer
- Requisito 8: Identificar e autenticar o acesso aos componentes do sistema
- Requisito 9: restringir o acesso físico aos dados do portador do cartão
- Requisito 10: rastrear e monitorar todo o acesso a recursos de rede e dados do portador do cartão
- Requisito 11: Testar regularmente os sistemas e processos de segurança
- Requisito 12: Manter uma política que aborde a segurança das informações para todo o pessoal
Documentos para Download
- PCI Data Security Standard (PCI DSS)
- The Standard: https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf
- Supporting Documents: https://www.pcisecuritystandards.org/document_library
- Self-Assessment Questionnaires:
www.pcisecuritystandards.org/document_library?category=saqs#results - Glossary: https://www.pcisecuritystandards.org/pci_security/glossary
O objetivo do PCI DSS (Padrão de segurança de dados do PCI) é proteger os dados do titular do cartão e os dados de autenticação confidenciais onde quer que eles sejam processados, armazenados ou transmitidos.
PCI DSS Quick Reference Guide
Como Cumprir o PCI DSS
Cada marca de cartão de pagamento definiu requisitos específicos para validação e relatório de conformidade, como provisões para realizar autoavaliações e quando contratar um auditor.
Dependendo da classificação ou do nível de risco de uma entidade (determinado pelas marcas individuais do cartão de pagamento),
Os processos de conformidade geralmente seguem estas etapas:
- Escopo – determine quais componentes do sistema e redes estão no escopo do PCI DSS
- Avaliar – examinar a conformidade dos componentes do sistema no escopo após o teste
procedimentos para cada requisito do PCI DSS - Relatório – avaliador e / ou entidade preenche a documentação exigida (por exemplo, Autoavaliação Questionário ou Report on Compliance (ROC)), incluindo documentação de todos os
controles compensadores - Atestar – preencher o Atestado de conformidade (AOC) apropriado
- Enviar – enviar o SAQ, ROC, AOC e outros documentos solicitados, como os relatórios de varredura ASV para o adquirente (para comerciantes) ou para a marca.
- Corrigir – se necessário, executar a correção para atender aos requisitos que não estão em vigor e fornecer um relatório atualizado
Seja o primeiro a comentar