FAQs PCI
Bem-vindo ao Guia de conformidade PCI.
clique nos links abaixo para encontrar respostas às perguntas mais frequentes.
Q1: | o Que é PCI? |
Q2: | a quem se aplica o DSS PCI? |
Q3: | Onde posso encontrar a norma de segurança de dados PCI (PCI DSS)? |
Q4: | quais são os “níveis” de conformidade PCI E como são determinados? |
Q5:o que é que uma pequena e média empresa (comerciante de Nível 4) tem de fazer para satisfazer as exigências do PCI DSS? | |
Q6: | como é que aceitar cartões de crédito por telefone funciona com PCI? |
Q7: | se eu só aceitar cartões de crédito por telefone, o DSS PCI ainda se aplica a mim? |
Q8: | as organizações que utilizam processadores de terceiros têm de ser conformes com o PCI DSS? |
Q9: | a minha empresa tem vários locais, cada local é necessário para validar a conformidade PCI? |
Q10:só fazemos comércio electrónico. Que SAQ devemos usar? | |
Q11: | a minha empresa não armazena dados de cartão de crédito por isso a conformidade PCI não se aplica a nós, certo? |
Q12: | as operações com cartão de débito estão abrangidas pelo ICP? |
Q13: | estou em conformidade com o ICP se tiver um certificado SSL?a minha empresa quer armazenar dados do cartão de crédito. Que métodos podemos usar? |
Q15: | quais são as sanções por incumprimento? |
Q16: | o que é definido como “dados do titular do cartão”?Qual é a definição de “comerciante”?o que constitui um prestador de Serviços?o que constitui um pedido de pagamento? |
Q20: | o que é um gateway de pagamento? |
Q21: | o que é PA-DSS? |
Q22: | o número total do cartão de crédito pode ser impresso na cópia do recibo do consumidor?será que preciso de varredura de vulnerabilidade para validar a conformidade? |
Q24: | o que é uma varredura de vulnerabilidade? |
Q25: | quantas vezes eu tenho que ter uma varredura de vulnerabilidade?e se a minha empresa se recusar a cooperar?se estou a gerir um negócio a partir da minha casa, sou um alvo sério para hackers?o que devo fazer se estou comprometido?os estados têm leis que exigem notificações de violação de dados às partes afectadas? |
Q1: O que é PCI?
A: O Padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS) é um conjunto de padrões de segurança projetado para garantir que todas as empresas que aceitam, processam, armazenam ou transmitem informações de cartão de crédito mantenham um ambiente seguro.
O Payment Card Industry Security Standards Council (PCI SSC) foi lançado em 7 de setembro de 2006 para gerir a evolução em curso das normas de segurança do sector dos cartões de pagamento (PCI), com o objectivo de melhorar a segurança das contas de pagamento ao longo de todo o processo de transacção. O ICP DSS é administrado e gerido pela ICP SSC (www.pcisecuritystandards.org), um organismo independente criado pelas principais marcas de cartões de pagamento (Visa, MasterCard, American Express, Discover e JCB.). É importante notar que as marcas de pagamento e os adquirentes são responsáveis pela execução do cumprimento, e não o conselho PCI. Uma cópia do DSS PCI está disponível aqui.
de volta ao topo
Q2: a quem se aplica o DSS PCI?
A: o DSS PCI aplica-se a qualquer organização, independentemente do tamanho ou número de transações, que aceita, transmite ou armazena quaisquer dados do titular do cartão.
de volta ao topo
T3: Onde posso encontrar o PCI Data Security Standard (PCI DSS)?
A: os actuais documentos DSS do PCI podem ser consultados no sítio web do Conselho de normas de segurança do PCI.
de volta ao topo
Q4: quais são os “níveis” de conformidade PCI E como são determinados?
A: todos os comerciantes cairão num dos quatro níveis mercantes com base no volume da transacção de vistos durante um período de 12 meses. O volume de transacções baseia-se no número agregado de transacções de vistos (incluindo crédito, débito e pré-pago) de um comerciante que opera como (“DBA”). Nos casos em que uma empresa comercial tenha mais de uma DBA, os adquirentes de vistos devem considerar o volume agregado de transacções armazenadas, processadas ou transmitidas pela entidade empresarial para determinar o nível de validação. Se os dados não forem agregados, de modo a que a entidade corporativa não armazene, processe ou transmita dados do titular do cartão em nome de múltiplos BD, os adquirentes continuarão a considerar o volume de transação individual da DBA para determinar o nível de validação.níveis de comércio definidos pelo visto:
Comerciante Nível | Descrição |
1 | Qualquer comerciante, independentemente de aceitação do canal de processamento de mais de 6M de Visto de transações por ano. Qualquer comerciante que o visto, a seu exclusivo critério, determina deve cumprir os requisitos do nível 1 comerciante para minimizar o risco para o sistema de vistos. |
2 | qualquer comerciante — independentemente do canal de aceitação — processamento de 1m a 6M de transacções de vistos por ano. |
3 | qualquer comerciante que processe 20 000 a 1M transacções de comércio electrónico com vistos por ano. |
4 | qualquer comerciante que processe menos de 20.000 transacções de comércio electrónico com visto por ano, e todos os outros comerciantes — independentemente do canal de aceitação — processando até 1m transacções de visto por ano. |
* Qualquer comerciante, que sofreu uma quebra, que resultou em uma conta de dados compromisso pode ser escalado para um maior nível de validação.o que é que uma pequena a média empresa (comerciante de Nível 4) tem de fazer para satisfazer os requisitos do PCI DSS?
A: para satisfazer os requisitos da PCI, um comerciante deve preencher os seguintes passos:
- determinar que questionário de auto-avaliação (SAQ) a sua empresa deve utilizar para validar a conformidade. Veja o gráfico abaixo para o ajudar a seleccionar. (Clique no gráfico para ampliar.)
- Complete o questionário de auto-avaliação de acordo com as instruções que contém.
- completar e obter evidências de uma varredura de vulnerabilidade passageira com um fornecedor de varredura aprovado PCI SSC (ASV). A digitalização de notas não se aplica a todos os comerciantes. É necessário para a SAQ a-EP, SAQ B-IP, SAQ C, SAQ D-Merchant e SAQ D-Service Provider.preencher o atestado de Conformidade relevante na sua totalidade (localizado na ferramenta SAQ).
- submeta o SAQ, a evidência de um scan de passagem (se aplicável), e o atestado de conformidade, juntamente com qualquer outra documentação solicitada, à sua adquirente.
Leia o nosso post no blog, ” The PCI Basics/Quick Guide-What Do Small Merchants Need to Do to Achieve PCI Compliance?”
de volta ao topo
Q6: Como é que aceitar cartões de crédito por telefone funciona com PCI?
A: o seguinte post, ” How Does Taking Credit Cards by Phone Work with PCI?”explica suas responsabilidades de conformidade PCI ao tomar informações de cartão de crédito por telefone (por exemplo, em um call center). Note – se que, embora este post tenha sido publicado em 2014, ainda é relevante com a versão atual do DSS PCI.
de volta ao topo
Q7: Se eu só aceitar cartões de crédito por telefone, o DSS do PCI ainda se aplica a mim?
A: Sim. Todas as empresas que armazenam, processam ou transmitem dados do titular do cartão de pagamento devem estar em conformidade com o PCI.
de volta ao topo
Q8: as organizações que utilizam processadores de terceiros têm de ser compatíveis com o PCI DSS?
A: Sim. A mera utilização de uma empresa terceira não exclui a conformidade de uma empresa com os DSS PCI. Pode reduzir a sua exposição ao risco e, consequentemente, reduzir o esforço para validar a conformidade. No entanto, isso não significa que eles podem ignorar o PCI DSS.
de volta ao topo
Q9: O meu negócio tem vários locais, cada local é necessário para validar a conformidade PCI?
A: se a sua localização de negócios processar sob o mesmo ID fiscal, então normalmente você só é obrigado a validar uma vez por ano para todos os locais. E, submeter scans de rede de passagem trimestrais por um fornecedor de SCS aprovado PCI (ASV) para cada local, se aplicável.de volta ao topo, só fazemos comércio electrónico. Que SAQ devemos usar?
A: Depende de como o seu carrinho de Compras está configurado. Ver PCI SAQ 3.1: opções de Comércio Electrónico explicadas.
de volta ao topo
T11: A minha empresa não armazena dados do cartão de crédito, por isso a conformidade da PCI não se aplica a nós, certo?
A: se você aceitar cartões de crédito ou débito como uma forma de pagamento, então a conformidade PCI se aplica a você. O armazenamento de dados do cartão é arriscado, então se você não armazenar dados do cartão, então tornar-se seguro e compatível pode ser mais fácil.
de volta ao topo
T12: as operações com cartão de débito estão abrangidas pelo PCI?
A: Os cartões in-scope incluem todos os cartões de débito, crédito e pré-pago marcados com um dos cinco logotipos da Associação de cartões/marca que participam do PCI SSC – American Express, Discover, JCB, MasterCard e Visa International.
de volta ao topo
Q13: estarei em conformidade com o ICP se tiver um certificado SSL?
A: No. Os certificados SSL não protegem um servidor web de ataques maliciosos ou intrusões. Os certificados SSL de alta garantia fornecem o primeiro nível de segurança do cliente e garantias, como o abaixo, mas existem outras medidas para alcançar a conformidade PCI. Ver a questão ” o que é que uma pequena e média empresa (comerciante de Nível 4) tem de fazer para satisfazer os requisitos do ICP?”
- Uma conexão segura entre o navegador do cliente e o servidor web
- Validação de que os operadores do site são uma legítima, legalmente responsáveis da organização
Veja post do blog, “o PCI DSS v3.1 e SSL: o Que você deve fazer AGORA.”
Back to Top
Q14: My company wants to store credit card data. Que métodos podemos usar?
A: A maioria dos comerciantes que precisam armazenar dados de cartão de crédito estão fazendo isso para faturamento recorrente. A melhor maneira de armazenar dados de cartão de crédito para faturamento recorrente é utilizando um cofre de cartão de crédito de terceiros e fornecedor de tokenization. Ao utilizar um cofre, Os dados do cartão são removidos de sua posse e você é dado de volta um “token” que pode ser usado com o propósito de faturamento recorrente. Ao usar um terceiro, você move o risco de armazenar dados do cartão para alguém que se especializa em fazer isso e tem todos os controles de segurança no lugar para manter os dados do cartão seguro.
Se você precisa armazenar os dados do cartão, a sua barra para auto-avaliação é muito alta e você pode precisar de ter um QSA (Avaliador de segurança qualificado) no local e realizar uma auditoria para garantir que você tem todos os controles necessários para cumprir as especificações PCI DSS.
Ver post relacionado no blog, ” podemos guardar dados de cartão de forma segura para faturamento recorrente?”
de volta ao topo
Q15: quais são as sanções por incumprimento?
A: as marcas de pagamento podem, a seu critério, multar um banco adquirente de US $5.000 a US $100.000 por mês por violações de conformidade PCI. É provável que os bancos passem esta multa até chegar ao mercador. Além disso, o banco também provavelmente terminará o seu relacionamento ou aumentará as taxas de transação. As sanções não são abertamente discutidas nem amplamente divulgadas, mas podem ser catastróficas para uma pequena empresa. É importante estar familiarizado com o seu contrato de conta comercial, que deve delinear a sua exposição.
Leia mais sobre as penalidades por não-conformidade em nosso post no blog, ” como seus esforços de conformidade PCI podem, em última análise, economizar o dinheiro do seu negócio?”
de volta ao topo
Q16: O que é definido como “dados do titular do cartão”?
A: O PCI Security Standards Council (SCC) define “titular dos dados”, como a total Número de Conta Primária (PAN) ou o total da PANELA, juntamente com qualquer um dos seguintes elementos:
- nome do Titular do cartão
- data de Expiração
- o código do Serviço
Confidenciais de Autenticação de Dados, que também deve ser protegido, com tarja magnética de dados, CAV2, CVC2, CVV2, CID, Ganchos, PINOS blocos e muito mais.Qual é a definição de “comerciante”?
A: Para efeitos do PCI DSS, um comerciante é definido como qualquer entidade que aceita cartões de pagamento com os logotipos de qualquer um dos cinco membros do PCI SSC (American Express, Discover, JCB, MasterCard ou Visa) como pagamento de bens e/ou serviços. Note que um comerciante que aceita cartões de pagamento como pagamento de bens e/ou serviços pode também ser um fornecedor de serviços, caso os serviços vendidos resultado em armazenamento, processamento ou transmissão de dados de portador de cartão em nome de outros comerciantes ou prestadores de serviços. Por exemplo, um ISP é um comerciante que aceita cartões de pagamento para faturamento mensal, mas também é um provedor de serviços se ele acolhe comerciantes como clientes. Fonte: PCI SSC
de volta ao topo
Q18: o que constitui um prestador de Serviços?
A: O PCI SSC define um prestador de Serviços desta forma:
“entidade empresarial que não é uma marca de pagamento, diretamente envolvida no processamento, armazenamento ou transmissão de dados do titular do cartão. Isso também inclui empresas que fornecem serviços que controlam ou podem afetar a segurança dos dados do titular do cartão.”(Fonte: www.pcisecuritystard.org)
O “comerciante como um” provedor de serviço de função é especificado pelo PCI SSC como “um comerciante que aceita cartões de pagamento como pagamento de bens e/ou serviços…se os serviços vendidos resultado em armazenamento, processamento ou transmissão de dados de portador de cartão em nome de outros comerciantes ou prestadores de serviços.”Saiba mais sobre como conseguir a conformidade como Provedor de Serviços. Veja o nosso post no blog, ” PCI Compliance and the Service Provider.”
de volta ao topo
Q19: o que constitui um pedido de pagamento?
A: O que constitui um pedido de pagamento no que se refere ao cumprimento das ICP? O termo pedido de pagamento tem um significado muito lato no PCI. Uma aplicação de pagamento é qualquer coisa que armazena, processa ou transmite dados de cartão eletronicamente. Isto significa que qualquer coisa a partir de um sistema de ponto de Venda (por exemplo, terminais de passagem Verificone, terminais ALOHA, etc.) em um restaurante para um site de comércio eletrônico carrinho de compras (por exemplo, CreLoaded, osCommerce, etc) são todos classificados como pedidos de pagamento. Portanto, qualquer software que tenha sido projetado para tocar os dados do cartão de crédito é considerado uma aplicação de pagamento.
de volta ao topo
Q20: o que é um gateway de pagamento?
A: Gateways de pagamento conectam um comerciante ao banco ou processador que está atuando como a conexão front-end para as marcas de cartão. Eles são chamados gateways porque eles levam muitas entradas de uma variedade de aplicações diferentes e encaminham essas entradas para o banco ou processador apropriado. Os Gateways comunicam com o banco ou processador utilizando ligações de ligação, ligações baseadas na web ou linhas alugadas privadas.
de volta ao topo
Q21: o que é PA-DSS?
A: PA-DSS refere-se à norma de segurança dos dados do pedido de pagamento mantida pelo PCI Security Standards Council (SSC) para resolver a questão crítica da segurança do pedido de pagamento. Os requisitos no âmbito do PA-DSS são concebidos para garantir que os vendedores fornecem produtos que apoiam os esforços dos comerciantes para manter o cumprimento do PCI DSS e eliminar o armazenamento de dados sensíveis do titular do cartão.
O PCI SSC administra o programa para validar a conformidade das aplicações de pagamento com o PA-DSS, e publica e mantém uma lista de aplicações validadas PA-DSS. Veja as normas de segurança PCI para mais informações. Veja também o nosso post no blog sobre a diferença crítica entre o PCI DSS e o PA-DSS aqui.o número completo do cartão de crédito pode ser impresso na cópia do recibo do consumidor?
A: requisito 3.3 do PCI DSS indica a placa da máscara quando apresentada (os primeiros seis e os últimos quatro dígitos são o número máximo de dígitos a apresentar).”Embora o requisito não proíba a impressão do número completo do cartão ou a data de validade nos recibos (tanto a cópia mercante como a cópia do consumidor), por favor note que o PCI DSS não substitui quaisquer outras leis que legislam o que pode ser impresso nos recibos (como a lei de transações de crédito justas e precisas dos EUA (FACTA) ou quaisquer outras leis aplicáveis).
ver a nota em itálico no requisito PCI DSS 3.3 ” Nota: Este requisito não substitui os requisitos mais rigorosos em vigor para a visualização de dados do titular do cartão—por exemplo, requisitos legais ou de marca de cartão de pagamento para recibos de pontos de Venda (POS). Quaisquer recibos de papel armazenados pelos comerciantes devem aderir ao DSS ICP, especialmente o requisito 9 relativo à segurança física”. Fonte: PCI SSC
de volta ao topo
Q23: Será que preciso de varredura de vulnerabilidade para validar a conformidade?
A: Se você se qualificar para determinados questionários de auto-avaliação (SAQs) ou você armazenar eletronicamente dados de titular de cartão pós autorização, então uma varredura Trimestral por um fornecedor de Scanning aprovado PCI SSC (ASV) é necessária para manter a conformidade. Se você se qualificar para qualquer um dos seguintes SAQs na versão 3.x do PCI DSS, então você é obrigado a ter uma passagem de ASV scan:
- SAQ A-PE
- SAQ B-IP
- SAQ C
- SAQ D-Comerciante
- SAQ D-Fornecedor de Serviço
Voltar ao início
Q24: O que é uma análise de vulnerabilidade?
A: Uma análise de vulnerabilidade envolve uma ferramenta automatizada que verifica vulnerabilidades nos sistemas de um comerciante ou prestador de serviços. A ferramenta irá realizar uma varredura não intrusiva para analisar remotamente redes e aplicações web com base nos endereços IP (external-facing Internet protocol) fornecidos pelo comerciante ou provedor de serviços. A digitalização identifica vulnerabilidades em sistemas operacionais, serviços e dispositivos que poderiam ser usados pelos hackers para atingir a rede privada da empresa. Como fornecido por um fornecedor de varredura aprovado (Asv’s), tais como ControlScan, o scan não exige que o comerciante ou provedor de serviços para instalar qualquer software em seus sistemas, e nenhum ataque de negação de serviço será realizada. Saiba mais sobre varreduras de vulnerabilidade aqui.
de volta ao topo
Q25: com que frequência tenho de fazer uma análise de vulnerabilidade?
A: a cada 90 dias / uma vez por trimestre, aqueles que se encaixam nos critérios acima são obrigados a submeter um exame de passagem. Os comerciantes e prestadores de serviços devem apresentar documentação de conformidade (relatórios de verificação de sucesso) de acordo com o calendário determinado pela sua adquirente. As varreduras devem ser realizadas por um fornecedor de varredura aprovado PCI SSC (ASV), como ControlScan.
Ver post relacionado no blog, ” interno vs. External Vulnerability Scans: Why You Need Both.”
de volta ao topo
Q26: e se o meu negócio se recusar a cooperar?
A: PCI não é, por si só, uma lei. O padrão foi criado pelas principais marcas Visa, MasterCard, Discover, AMEX e JCB. À discrição dos seus adquirentes/prestadores de Serviços, os comerciantes que não cumpram os DSS PCI podem estar sujeitos a multas, custos de substituição de cartões, auditorias forenses dispendiosas, danos à marca, etc., caso ocorra uma violação.
para um pouco de esforço inicial e custo para cumprir com o PCI DSS, você ajuda muito a reduzir o seu risco de enfrentar essas consequências extremamente desagradáveis e dispendiosas. Saiba como o ControlScan ajuda a simplificar o DSS PCI.se estou a gerir um negócio a partir da minha casa, sou um alvo sério para os hackers?
A: Sim. Os utilizadores domésticos são, sem dúvida, os mais vulneráveis, simplesmente porque normalmente não estão bem protegidos. Adotando um modelo de “caminho de menor resistência”, intrusos muitas vezes não têm acesso a usuários domésticos—muitas vezes explorando suas conexões de banda larga sempre—e programas típicos de uso doméstico, Como chat, jogos de Internet e aplicações de compartilhamento de arquivos P2P. O serviço de digitalização da ControlScan permite que usuários domésticos e administradores de rede identifiquem e corrijam quaisquer vulnerabilidades de segurança em seus computadores de mesa ou laptop.
Ver post relacionado no blog, ” 5 Melhores Práticas para garantir o seu pequeno negócio.”
de volta ao topo
Q28: o que devo fazer se estou comprometido?
A: embora muitas violações de dados de cartões de pagamento sejam facilmente evitáveis, podem e continuam a acontecer a empresas de todos os tamanhos.
Se o seu pequeno ou médio negócio descobriu que foi violado, existem muitos bons recursos para ajudá-lo com os próximos passos. Recomendamos o seguinte::Departamento de Justiça, melhores práticas para a resposta às vítimas e comunicação de incidentes cibernéticos Conselho ICP, respondendo a uma violação de dados-um guia para a gestão de incidentes Associação de transacções electrónicas (ETA), resposta à violação de Dados: Um Guia de nove etapas para comerciantes mais pequenos
de volta ao topo
Q29: os estados têm leis que exigem notificações de violação de dados às partes afectadas?
A: absolutamente. A Califórnia é o catalisador para comunicar violações de dados às partes afectadas. O estado implementou a sua lei de notificação de infração em 2003, e agora quase todos os estados têm uma lei semelhante em vigor.
a partir de 12 de abril de 2017, NCSL.org relatórios: Quarenta e oito estados, o Distrito de Columbia, Guam, Porto Rico e Ilhas Virgens, promulgaram legislação exigindo privadas, governamentais ou entidades educacionais a notificar as pessoas de violações de segurança da informação envolvendo informações de identificação pessoal.
de volta ao topo
Leave a Reply