Solucione e previna problemas de segurança da informação e alavanque as vendas e transações de sua empresa!
Certificamos o processo todo em até 2 semanas!
CERTIFICAÇÃO PCI - DSS para todas as empresas que trabalham com cartões de crédito
Somos uma empresa especializada e focada nas necessidades de cada cliente em certificação PCI-DSS, com profissionais qualificados para lhe auxiliar com os requisitos de acordo com seu escopo.
O que é a certificação PCI DSS?
A PCI Compliance é uma certificação necessária para todas as empresas envolvidas em transações que envolvam dados de cartões de crédito, levando em consideração o armazenamento, a transmissão e o processamento dessas informações sigilosas.
Qual o objetivo da certificação PCI DSS?
Por conta de enormes prejuízos com fraudes, as principais bandeiras de cartões de crédito no mundo, criaram o padrão PCI DSS. A Certificação é o conjunto de regras para gerar mais proteção nas transações via internet e também em lojas físicas. Elas devem ser sempre realizadas em ambiente seguro, acompanhadas sempre de ambiente com certificações digitais SSL.
Quem deve cumprir com o PCI DSS?
Todas as entidades que processam dados com cartões de créditos.
Quais os requisitos a certificação PCI DSS?
De maneira resumida, os 12 requisitos que precisam ser atendidos para obter a certificação PCI DSS são:
-
utilizar um firewall eficiente;
-
não utilizar senhas e configurações padrões;
-
proteger as informações guardadas do proprietário do cartão;
-
criptografar a transmissão dos dados;
-
utilizar soluções de segurança como antivírus, antispyware e antimalware;
-
criar e manter aplicações e sistemas seguros;
-
restringir o acesso aos dados dos cartões;
-
criar um login para cada usuário do sistema;
-
restringir o acesso aos dados dos cartões;
-
rastrear e monitorar todos os acessos;
-
testar a segurança do sistema utilizado;
-
definir uma política de segurança.
Qual é a finalidade do questionário de autoavaliação do PCI DSS?
O questionário de autoavaliação do PCI DSS (SAQ) é uma ferramenta de validação que os comerciantes e outros provedores de serviços usam para relatar os resultados de sua autoavaliação do PCI DSS. Os comerciantes preenchem um SAQ todos os anos e o enviam ao banco adquirente para avaliar sua conformidade com o PCI DSS. Além de informar ao banco adquirente que o comerciante está em conformidade, o SAQ ajuda os comerciantes a detectar violações nas práticas de segurança, o que lhes dá a chance de fazer correções antes que se tornem um problema maior.
Solucione e previna problemas de segurança da informação e alavanque as vendas e transações de sua empresa!
SEGURANÇA
Seus servidores e ambiente de rede muito mais seguros, protegendo dados de clientes e evitando fraudes no sistema.
RELACIONAMENTO
A imagem da sua empresa fica protegida de exposição negativa e ainda melhora a credibilidade com os clientes.
CONFIANÇA
Adequação às boas práticas das maiores empresas do mundo, protegendo a imagem de sua empresa diante do mercado.
CONFORMIDADE
Informe seus parceiros e cliente que a sua empresa está dentro dos padrões de segurança mundial para processar cartões.
CONTROLE
Controle de acesso às informações, diminuindo o risco de vazamento de dados da empresa.
MONITORAMENTO
Não basta realizar apenas uma vez a validação, esteja sempre sendo monitorado para evitar a chance qualquer problema futuro.
Níveis do PCI
Level 1
acima de 6 milhões de transações anuais
Para empresas que processam mais de 6 milhões de transações com cartão por ano.
Conduzido por um auditor autorizado do PCI, as empresas devem passar por uma auditoria interna uma vez por ano. Além disso, uma vez por trimestre, eles devem enviar para uma varredura PCI por um Fornecedor de Varreduras Aprovado (ASV, Approved Scanning Vendor).
Requisitos de Validação:
-
O Assessor de Segurança Qualificado (“QSA”) aplica as ações necessárias para o ambiente estar totalmente em conformidade com o PCI-DSS
-
Teste de Vulnerabilidade trimestral Scanner Aprovado (“ASV”).
-
Penetration test com relatório técnico
-
Certificado de conformidade (“AOC”).
Level 3
entre 20 mil e 1milhão de transações anuais
Nível 3 se aplica a comerciantes que processam entre 20.000 e um milhão de transações de comércio eletrônico anualmente.
As empresas são obrigados a concluir uma avaliação uma vez por ano usando um questionário de avaliação (SAQ). Além disso, uma varredura PCI trimestral é necessária, alem de Penetration realizado no ambiente com relatório técnico.
Requisitos de validação:
-
Questionário de Avaliação de ambiente (SAQ)
-
Testes de vulnerabilidades (ASV)
-
Penetration test com relatório técnico
-
Implantar políticas necessárias a cada tipo de ambiente.
-
Certificado de conformidade (AOC)
Level 2
entre 1 e 6 milhões de transações anuais
Nível 2 se aplica a comerciantes que processam entre um e seis milhões de transações de cartão de crédito ou débito anualmente.
As empresas são obrigados a concluir uma avaliação uma vez por ano usando um questionário de avaliação (SAQ). Além disso, uma varredura PCI trimestral é necessária, alem de Pentest realizado no ambiente com relatório técnico.
Requisitos de validação:
-
Questionário de Avaliação de ambiente (SAQ)
-
Testes de vulnerabilidades (ASV)
-
Penetration test com relatório técnico
-
Implantar políticas necessárias a cada tipo de ambiente.
-
Certificado de conformidade (AOC)
Level 4
entre 20 mil e 1milhão de transações anuais
Nível 3 se aplica a comerciantes que processam entre 20.000 e um milhão de transações de comércio eletrônico anualmente.
As empresas são obrigados a concluir uma avaliação uma vez por ano usando um questionário de avaliação (SAQ). Além disso, uma varredura PCI trimestral é necessária, alem de Penetration realizado no ambiente com relatório técnico.
Requisitos de validação:
-
Questionário de Avaliação de ambiente (SAQ)
-
Testes de vulnerabilidades (ASV)
-
Penetration test com relatório técnico
-
Implantar políticas necessárias a cada tipo de ambiente.
-
Certificado de conformidade (AOC)
Tipos de SAQ PCI DSS
Como sua organização armazena, processa ou transmite dados de cartão de pagamento? O PCI Council criou nove questionários de autoavaliação (SAQs) adaptados aos canais de transação de cartão de pagamento. A seleção do PCI SAQ apropriado é uma etapa importante para a conformidade. O PCI Council fornece orientação sobre como selecionar o SAQ apropriado, no entanto, mesmo com a orientação fornecida, muitas organizações lutam para selecionar o SAQ correto.
Tipo de SAQ PCI DSS | Critérios de elegibilidade |
|---|---|
SAQ D para provedores de serviços | Para prestadores de serviços considerados elegíveis para preencher um SAQ. |
SAQ D para comerciantes | Para todos os comerciantes qualificados para SAQ que não atendem aos critérios para outros tipos. Para comerciantes que não terceirizam o processamento do cartão de crédito ou usam uma solução P2PE e podem armazenar os dados do cartão de crédito eletronicamente. |
SAQ P2PE | Para comerciantes que utilizam dispositivos de criptografia ponto a ponto (P2PE) aprovados, sem armazenamento eletrônico de dados do titular do cartão. |
SAQ C | Para qualquer comerciante que utilize um aplicativo de pagamento conectado à Internet, mas sem armazenamento eletrônico de dados do titular do cartão. |
SAQ C-VT | Para comerciantes que utilizam um terminal virtual em um computador dedicado exclusivamente ao processamento de cartões e que não armazenam dados eletrônicos do titular do cartão. Isso não é para atividades de comércio eletrônico. |
SAQ B-IP | Para comerciantes que usam apenas terminais de pagamento independentes aprovados pela PTS com uma conexão IP ao processador de pagamento e que não armazenam dados eletrônicos do titular do cartão. Isso não é para atividades de comércio eletrônico. |
SAQ B | Para comerciantes que utilizam máquinas de impressão e/ou terminais de discagem independentes e não transmitem, processam ou armazenam dados eletrônicos do titular do cartão. Isso não é para atividades de comércio eletrônico. |
SAQ A-EP | Para comerciantes somente de comércio eletrônico que dependem de provedores de serviços terceirizados para lidar com as informações do cartão e que têm um site que não processa dados de cartão de crédito, mas pode afetar a segurança da transação de pagamento. Não há armazenamento, processamento ou transmissão eletrônica de quaisquer dados do titular do cartão nos sistemas ou instalações do comerciante. |
SAQ A | Para comerciantes de e-commerce/correio/pedido por telefone (cartão não presente) que terceirizaram completamente todas as funções de dados do titular do cartão. Não há armazenamento, processamento ou transmissão eletrônica de quaisquer dados do titular do cartão nos sistemas ou instalações do comerciante. |