PCI-logo.png

PCI-DSS

Somos uma empresa especializada é focada nas necessidades de cada cliente em certificação PCI-DSS, com profissionais qualificados para lhe auxiliar com os requisitos de acordo com seu escopo. 

bandeiras-de-cartao.png

O que é a certificação PCI DSS? 

A PCI Compliance é uma certificação necessária para todas as empresas envolvidas em transações que envolvam dados de cartões de crédito, levando em consideração o armazenamento, a transmissão e o processamento dessas informações sigilosas.

 

Qual o objetivo da certificação PCI DSS?

Por conta de enormes prejuízos com fraudes, as principais bandeiras de cartões de crédito no mundo, criaram o padrão PCI DSS. A Certificação é o conjunto de regras para gerar mais proteção nas transações via internet e também em lojas físicas. Elas devem ser sempre realizadas em ambiente seguro, acompanhadas sempre de ambiente com certificações digitais SSL.

 

Quem deve cumprir com o PCI DSS?

Todas as entidades que processam dados com cartões de créditos.

 

Quais os requisitos a certificação PCI DSS?

De maneira resumida, os 12 requisitos que precisam ser atendidos para obter a certificação PCI DSS são:
 

  • utilizar um firewall eficiente;

  • não utilizar senhas e configurações padrões;

  • proteger as informações guardadas do proprietário do cartão;

  • criptografar a transmissão dos dados;

  • utilizar soluções de segurança como antivírus, antispyware e antimalware;

  • criar e manter aplicações e sistemas seguros;

  • restringir o acesso aos dados dos cartões;

  • criar um login para cada usuário do sistema;

  • restringir o acesso aos dados dos cartões;

  • rastrear e monitorar todos os acessos;

  • testar a segurança do sistema utilizado;

  • definir uma política de segurança. 

Qual é a finalidade do questionário de autoavaliação do PCI DSS?

questionário de autoavaliação do PCI DSS (SAQ) é uma ferramenta de validação que os comerciantes e outros provedores de serviços usam para relatar os resultados de sua autoavaliação do PCI DSS. Os comerciantes preenchem um SAQ todos os anos e o enviam ao banco adquirente para avaliar sua conformidade com o PCI DSS. Além de informar ao banco adquirente que o comerciante está em conformidade, o SAQ ajuda os comerciantes a detectar violações nas práticas de segurança, o que lhes dá a chance de fazer correções antes que se tornem um problema maior.

Solucione e previna problemas de segurança da informação e alavanque as vendas e transações de sua empresa!

SEGURANÇA

Seus servidores e ambiente de rede muito mais seguros, protegendo dados de clientes e evitando fraudes no sistema.

RELACIONAMENTO

A imagem da sua empresa fica protegida de exposição negativa e ainda melhora a credibilidade com os clientes.

CONFIANÇA

Adequação às boas práticas das maiores empresas do mundo, protegendo a imagem de sua empresa diante do mercado.

CONFORMIDADE

Informe seus parceiros e cliente que a sua empresa está dentro dos padrões de segurança mundial para processar cartões.

CONTROLE

Controle de acesso às informações, diminuindo o risco de vazamento de dados da empresa.

MONITORAMENTO

Não basta realizar apenas uma vez a validação, esteja sempre sendo monitorado para evitar a chance qualquer problema futuro.

Níveis de Conformidade

Nenhum plano disponívelQuando houverem planos disponíveis para compra, eles aparecerão aqui.

Level 1

acima de 6 milhões de transações anuais

Level 2

entre 1 e 6 milhões de transações anuais

Level 3

entre 20 mil e 1milhão de transações anuais

Level 4

até 20 mil de transações anuais

Para empresas que processam mais de 6 milhões de transações com cartão por ano. 

Conduzido por um auditor autorizado do PCI, as empresas devem passar por uma auditoria interna uma vez por ano. Além disso, uma vez por trimestre, eles devem enviar para uma varredura PCI por um Fornecedor de Varreduras Aprovado (ASV, Approved Scanning Vendor).

Requisitos de Validação: 

  1. O Assessor de Segurança Qualificado (“QSA”) aplica as ações necessárias para o ambiente estar totalmente em conformidade com o PCI-DSS

  2. Teste de Vulnerabilidade  trimestral  Scanner Aprovado (“ASV”). 

  3.  Penetration test com relatório técnico

  4. Certificado de conformidade (“AOC”).

Nível 2 se  aplica a comerciantes que processam entre um e seis milhões de transações de cartão de crédito ou débito  anualmente.

As empresas são obrigados a concluir uma avaliação uma vez por ano usando um questionário de avaliação (SAQ). Além disso, uma varredura PCI trimestral é necessária, alem de Pentest realizado no ambiente com relatório técnico.

 

Requisitos de validação:

  1. Questionário de Avaliação de ambiente (SAQ)

  2. Testes de vulnerabilidades (ASV)

  3.  Penetration test com relatório técnico

  4. Implantar políticas necessárias a cada tipo de ambiente.

  5. Certificado de conformidade (AOC)

 

Nível 3 se aplica a comerciantes que processam entre 20.000 e um milhão de transações de comércio eletrônico anualmente. 

As empresas são obrigados a concluir uma avaliação uma vez por ano usando um questionário de avaliação (SAQ). Além disso, uma varredura PCI trimestral é necessária, alem de Penetration realizado no ambiente com relatório técnico.

 

Requisitos de validação:

  1. Questionário de Avaliação de ambiente (SAQ)

  2. Testes de vulnerabilidades (ASV)

  3.  Penetration test com relatório técnico

  4. Implantar políticas necessárias a cada tipo de ambiente.

  5. Certificado de conformidade (AOC)

Nível 4 se aplica a comerciantes que processam até de 20.000 transações com cartão de crédito anualmente.

 

Eles são obrigados a concluir uma avaliação uma vez por ano usando um questionário de avaliação (SAQ). Além disso, uma varredura PCI trimestral é necessária, juntamente com a implantação de políticas para o ambiente.

 

Requisitos de validação:

  1. Questionário de Avaliação de ambiente (SAQ)

  2. Testes de vulnerabilidades (ASV)

  3. Implantar políticas necessárias a cada tipo de ambiente.

  4. Certificado de conformidade (AOC)

Tipos de SAQ PCI DSS

Como sua organização armazena, processa ou transmite dados de cartão de pagamento? O PCI Council criou nove questionários de autoavaliação (SAQs) adaptados aos canais de transação de cartão de pagamento. A seleção do PCI SAQ apropriado é uma etapa importante para a conformidade. O PCI Council fornece orientação sobre como selecionar o SAQ apropriado, no entanto, mesmo com a orientação fornecida, muitas organizações lutam para selecionar o SAQ correto.

Tipo de SAQ PCI DSS
Critérios de elegibilidade
Número de perguntas
SAQ D para provedores de serviços
Para prestadores de serviços considerados elegíveis para preencher um SAQ.
370
SAQ D para comerciantes
Para todos os comerciantes qualificados para SAQ que não atendem aos critérios para outros tipos. Para comerciantes que não terceirizam o processamento do cartão de crédito ou usam uma solução P2PE e podem armazenar os dados do cartão de crédito eletronicamente.
328
SAQ P2PE
Para comerciantes que utilizam dispositivos de criptografia ponto a ponto (P2PE) aprovados, sem armazenamento eletrônico de dados do titular do cartão.
34
SAQ C
Para qualquer comerciante que utilize um aplicativo de pagamento conectado à Internet, mas sem armazenamento eletrônico de dados do titular do cartão.
84
SAQ C-VT
Para comerciantes que utilizam um terminal virtual em um computador dedicado exclusivamente ao processamento de cartões e que não armazenam dados eletrônicos do titular do cartão. Isso não é para atividades de comércio eletrônico.
161
SAQ B-IP
Para comerciantes que usam apenas terminais de pagamento independentes aprovados pela PTS com uma conexão IP ao processador de pagamento e que não armazenam dados eletrônicos do titular do cartão. Isso não é para atividades de comércio eletrônico.
87
SAQ B
Para comerciantes que utilizam máquinas de impressão e/ou terminais de discagem independentes e não transmitem, processam ou armazenam dados eletrônicos do titular do cartão. Isso não é para atividades de comércio eletrônico.
41
SAQ A-EP
Para comerciantes somente de comércio eletrônico que dependem de provedores de serviços terceirizados para lidar com as informações do cartão e que têm um site que não processa dados de cartão de crédito, mas pode afetar a segurança da transação de pagamento. Não há armazenamento, processamento ou transmissão eletrônica de quaisquer dados do titular do cartão nos sistemas ou instalações do comerciante.
192
SAQ A
Para comerciantes de e-commerce/correio/pedido por telefone (cartão não presente) que terceirizaram completamente todas as funções de dados do titular do cartão. Não há armazenamento, processamento ou transmissão eletrônica de quaisquer dados do titular do cartão nos sistemas ou instalações do comerciante.
24

FICOU NA DÚVIDA DE COMO TIRAR O SEU PCI ?
Solicite uma Proposta