Home Soluções Para Compliance PCI-DSS

Compliance PCI-DSS

Oferta de serviços de Compliance PCI-DSS.


Todas as empresas que processem, manuseiem ou armazenem dados provenientes de cartões de pagamento, devem cumprir os requisitos PCI-DSS. O padrão de segurança de dados global que visa diminuir as fraudes relacionadas com a utilização de cartões de pagamento nas transações comerciais.

A Integrity S.A., como Qualified Security Assessor (QSA) fornece auditorias e aconselhamento profissional a empresas que processem e transmitam dados de cartões de pagamento, no decorrer da sua atividade.

Além disso, dispõe também um serviço de gestão continuada dos requisitos PCI-DSS, o DSSManager.


PCI-DSS Advisory

Os serviços de acessoria PCI destinam-se a empresas que estão a iniciar os seus esforços para a conformidade com o PCI, ou que desejam envolver os padrões do PCI sem uma relação formal com o PCI-DSS.

Formação

Readiness Assessment

Serviços de Remediação

A formação em PCI-DSS premite dotar as empresas que precisam de conseguir atingir a conformidade com o PCI-DSS, mas que não tem recursos habilitados para o efeito, de conseguir informar e formar elementos de uma potencial equipa de trabalho.
A formação incide sobre:

  • O que é o PCI-DSS
  • Controlos PCI-DSS explicados
  • Metodologias de abordagem à implementação da conformidade
  • O processo de pagamentos
  • O processo de Certificação e os documentos que compõe o processo de certificação

A nossa equipa de QSAs fornecerá orientações PCI, por via de uma abordagem baseada no risco, onde:

  • Ser-lhe-á fornecido o respetivo relatório de conformidade, alinhado com os requisitos PCI;
  • As suas metas de conformidade serão validadas;
  • Será ajudado a definir o âmbito e o limite dos dados do portador do cartão;
  • E ser-lhe-á providenciado um workbook com uma Abordagem de Prioridades PCI-DSS, acompanhado de um cronograma para atingir a conformidade.

Caso sejam necessárias correções para alcançar ou manter a conformidade com o PCI, os elementos QSA da Integrity S.A. poderão:

  • Determinar a principal causa das não conformidades;
  • Identificar potenciais soluções para atingir a conformidade;
  • Propor um plano de projeto e cronograma de remediação.

A equipa permanecerá disponível para rever o progresso, enquanto o cliente efetua as atividades de correção, de forma a garantir que os esforços são efetuados de modo a atingir a conformidade.

PCI-DSS Attestation

Os serviços de atestação PCI destinam-se às empresas que têm a obrigação formal de obter a conformidade PCI-DSS e exigem a experiência de uma empresa QSA.

SAQ

Questionário
de
Autoavaliação

ROC

Relatório
de
Conformidade

AOC

Certificado de Atestado e Conformidade

Os SAQ's são elaborados para uma tipologia concreta de operações com cartões de créditos, existem 9 tipos de SAQ ao dia de hoje ex: A,B,B-IP,C,D. Estes questionários permitem ao comerciante efetuar uma autoavaliação da sua conformidade com o PCI-DSS, documentar as diferentes práticas necessárias para poder executar operações com cartões de créditos em segurança, bem como identificar nos casos em que exista divergência com os objetivos de controlo identificar e documentar a forma como as preocupações latentes no PCI-DSS são endereçadas.

Relatório composto por mais de 200 requisitos resultantes do trabalho presencial desenvolvido no terreno, como a inspeção de evidências, e as entrevistas realizadas por um QSA da Integrity S.A.. O elemento QSA atribuído ficará responsável por conduzir a avaliação, e irá orientar o cliente através deste processo.

A avaliação PCI-DSS realizada inclui:

  • Uma análise detalhada do ambiente de dados do titular do cartão da sua organização;
  • E documenta os detalhes da sua conformidade com o PCI-DSS.

O Atestado de Conformidade é um documento formal emitido pela Integrity S.A. que certifica a execução da avaliação de conformidade e o seu resultado. Este documento faz prova de que os controlos definidos como necessários pelo Consórcio PCI se encontram devidamente implementados na respetiva Organização e no ambiente específico no âmbito desta Atestação. Este documento pode ser emitido quando acompanhado de um SAQ ou ROC.

  • Nível de Conformidade Nº 1

    Os consultores QSA da Integrity S.A. podem ajudar os comerciantes e prestadores de serviço deste nível a realizar a sua avaliação QSA, por via de:


    Avaliações de conformidade PCI;

    Preenchimento de relatórios de conformidade;

    E do SAQ’s (Self-Assessment Questionnaire).

  • Níveis de Conformidade Nº 2, 3 e 4

    Os comerciantes e provedores de serviço nestes níveis, podem recorrer a um consultor (QSA) da Integrity S.A. para os ajudar a:


    Determinar o seu âmbito;

    Definir quais os requisitos PCI apropriados à sua organização;

    Preencher o Questionário de Autoavaliação (SAQ*).


    *É uma mais valia socorrer-se da ajuda de um QSA, dado que demonstra, tanto a clientes como ao banco, que a organização recorreu um parceiro externo e imparcial para avaliar a sua conformidade.

NÍVEIS   TRANSAÇÕES ANUAIS COM CARTÃO   REQUISITO SAQ*
1   + 6 Milhões   *SAQ substituído com certificação PCI-DSS
2   Entre 1M-6 Milhão   *SAQ obrigatório, assinado por um QSA ou um elemento PCI SSC ISA treinado
3   Entre 20mil – 1 Milhão   *SAQ obrigatório
4   Até 20 mil   *SAQ recomendado, mas não obrigatório
* SAQ = Self-Assessment Questionnaire SAQ. Trata-se de uma ferramenta de auto-validação para avaliar a segurança dos dados do titular do cartão.

O que é o PCI-DSS?

O PCI-DSS (Payment Card Industry Data Security Standard) trata-se de um padrão de segurança global, com requisitos operacionais e técnicos, projetados para aperfeiçoar o controlo sobre os dados dos cartões de pagamento dos utilizadores.

Esta norma, e respetivos standards, visam garantir um ambiente seguro para utilizadores e entidades que processem dados provenientes de cartões de pagamento, evitando fraudes.

Objetivos e requisitos de conformidade PCI-DSS

Os requisitos de conformidade PCI-DSS cobrem componentes técnicos e operacionais do sistema, incluídos ou diretamente ligados aos dados do portador do cartão.

Caso a sua empresa aceite ou processe pagamentos com cartões de crédito, precisa de estar em conformidade com os 12 requisitos apresentados na tabela:


OBJETIVOS   REQUISITOS PCI-DSS
Construir e Manter uma Rede Segura   1. Instale e mantenha uma configuração de firewall para proteger os dados do titular do cartão
2. Não use padrões fornecidos pelo fornecedor para senhas de sistemas ou outros parâmetros de segurança
Proteger os Dados do Titular do Cartão   3. Proteja os dados armazenados do titular do cartão
4. Criptografe a transmissão dos dados do titular do cartão em redes públicas abertas
Manter um Programa de Gestão de Vulnerabilidades   5. Use e atualize regularmente software ou programas antivírus
6. Desenvolva e mantenha seguros sistemas e aplicações
Implementar Medidas Robustas de Controlo de Acesso   7. Restrinja o acesso aos dados do titular do cartão, de acordo com a necessidade de conhecimento da empresa
8. Atribua um ID exclusivo a cada pessoa com acesso ao computador
9. Restrinja o acesso físico aos dados do titular do cartão
Monitorizar e Testar Regularmente as Redes   10. Localize e monitorize todos os acessos a recursos de rede e dados do titular do cartão
11. Teste regularmente os sistemas e processos de segurança
Manter uma Política de Segurança da Informação   12. Mantenha uma política que aborde a segurança da informação para funcionários e supervisores

Quem deve cumprir com o padrão de segurança PCI-DSS?

Todas as empresas que processem, manuseiem ou armazenem dados provenientes de cartões de pagamento, devem cumprir os requisitos PCI-DSS.

Estes, asseguram que o processamento das transações efetuadas com recurso a cartões de pagamento é seguro, para todas as partes envolvidas, salvaguardando consumidores e os próprios negócios contra problemas de roubo e violação de dados.

Existem sanções em caso de não conformidade?

Sim. As marcas de cartões de pagamento que compõem o consórcio PCI podem multar um banco recetor até 500,000$ (aproximadamente 425,000€) por mês, por violações de conformidade com o PCI. Sendo bastante provável que os bancos repassem essa multa até ao comerciante.

Contudo, mais grave que as coimas, é a revogação do direito de processar transações com cartões de pagamento que poderá ser emitida pelo Consórcio, e ditará a sentença de morte para muitas empresas.

O que é o Consórcio PCI e quais as suas responsabilidades?

O Consórcio PCI, em inglês PCI-SSC, trata-se de uma entidade global independente formada em 2006 pelos cinco principais sistemas de cartões de pagamento (American Express, Discover, MasterCard, Visa e Japan Credit Bureau).

Este órgão tem como responsabilidades desenvolver, gerir, educar e consciencializar acerca dos Standards de Segurança de dados PCI. Além disso, cabe-lhe reconhecer os QSAs (Qualified Security Assessors) e ASVs (Approved Scanning Vendors) como entidades qualificadas e aptas à validação da conformidade, em alinhamento com o PCI, conforme sucedeu com a Integrity S.A..

Cybersecurity newsletter

Quer receber a nossa Newsletter?

Subscreva aqui

Os nossos contactos.

Sede

Edifício Atrium Saldanha
Praça Duque de Saldanha, nº 1, 2º andar
1050-094, Lisboa | Portugal
T: +351 21 33 03 740
(chamada para rede fixa nacional)
E: info@integrity.pt

E estamos presentes em mais 18 países da região EMEA.
world map
 




Consentimento Cookies X

A Devoteam Cyber Trust S.A. utiliza cookies para fins analíticos e de apresentação de informação mais personalizada, com base no perfil elaborado pelos seus hábitos de navegação. Se pretende informação mais pormenorizada, pode aceder à nossa Política de Cookies.