O PCI DSS Requirements Fast Guide é uma explicação detalhada do PCI DSS (Payment Card Industry Data Security Standard). O Guia Rápido cobre todos os 12 requisitos do PCI DSS, fornecendo às empresas uma compreensão clara do que é necessário para cumprir com a Norma. O Guia Rápido também inclui uma série de recursos úteis, como um glossário de termos e uma lista de publicações relacionadas ao PCI DSS. Como você faz uma avaliação de risco da PCI? Há muitas maneiras de se fazer uma avaliação de risco de PCI, mas o mais importante é certificar-se de que você cobre todas as bases. A melhor maneira de fazer isso é usar uma lista de verificação que cubra todos os riscos potenciais associados à conformidade com a PCI.
Algumas das coisas que você vai querer incluir na sua lista de verificação são:
Identificação de todos os sistemas que lidam com informações de cartão de crédito
- Identificação de todas as pessoas que têm acesso a esses sistemas
- Identificação de todos os processos que são usados para lidar com informações de cartão de crédito
- Identificação de todos os riscos potenciais associados a cada um desses sistemas, pessoas e processos
- Identificação dos controles que existem para mitigar esses riscos
- Identificação de quaisquer lacunas nesses controles
- Identificação do que precisa ser feito para fechar essas lacunas
Uma vez que você tenha sua lista de verificação, você pode começar a fazer sua avaliação de risco. A melhor maneira de fazer isso é percorrer cada item da lista de verificação e se perguntar quais são os riscos e quais são os controles em vigor para mitigar esses riscos.
Se você não tiver certeza de quais são os riscos, você pode sempre consultar um especialista em conformidade com PCI. Eles serão capazes de ajudá-lo a identificar os riscos e elaborar um plano para mitigá-los.
Quais são os requisitos para o DSS? Os requisitos do DSS (Data Storage System) são bastante simples e diretos. O sistema deve suportar armazenamento e backup de dados, assim como fornecer acesso aos dados para usuários autorizados. O sistema também deve ser capaz de escalar para cima ou para baixo conforme necessário, a fim de acomodar mudanças no volume de dados.
Quais são os requisitos obrigatórios para aderir ao PCI DSS?
Existem 12 requisitos obrigatórios para aderir ao PCI DSS:
1. instalar e manter uma configuração de firewall para proteger os dados
2. Não usar os padrões fornecidos pelo fornecedor para senhas de sistema e outros parâmetros de segurança
3. Proteger dados armazenados
4. Encriptar a transmissão de dados do portador do cartão através de redes públicas abertas
5. Utilizar e actualizar regularmente o software anti-vírus
6. 6. Desenvolver e manter sistemas e aplicações seguras
7. Restringir o acesso aos dados por necessidade de conhecimento do negócio
8. Atribuir uma identificação única a cada pessoa com acesso ao computador
9. 9. Restringir o acesso físico aos dados do portador do cartão
10. Rastrear e monitorar todo o acesso aos recursos da rede e aos dados do portador do cartão
11. Testar regularmente os sistemas e processos de segurança
12. Manter uma política que trate da segurança da informação para todo o pessoal
O que é o PCI DSS framework?
O PCI DSS (Payment Card Industry Data Security Standard) é um conjunto de padrões de segurança concebidos para proteger os dados dos titulares de cartões de crédito. O PCI DSS é gerenciado pelo PCI Security Standards Council, que é composto pelas principais marcas de cartões de crédito como Visa, MasterCard, American Express e Discover.
A estrutura do PCI DSS consiste em 12 requisitos que devem ser cumpridos para que sejam cumpridos. Estes requisitos são concebidos para garantir que os dados do titular do cartão sejam protegidos contra o acesso não autorizado e estejam devidamente protegidos.
Os requisitos do PCI DSS são os seguintes:
1. instalar e manter uma configuração de firewall para proteger os dados do portador do cartão
2. Não utilize os padrões fornecidos pelo fornecedor para senhas de sistema e outros parâmetros de segurança
3. Proteja os dados armazenados do portador do cartão
4. Encripte a transmissão de dados do portador do cartão através de redes abertas e públicas
5. Utilizar e actualizar regularmente o software anti-vírus
6. Desenvolver e manter sistemas e aplicações seguras
7. Restringir o acesso aos dados do portador do cartão por necessidade de conhecimento do negócio
8. Atribuir um ID único a cada pessoa com acesso ao computador
9. Restringir o acesso físico aos dados do portador do cartão
10. Rastrear e monitorar todo o acesso aos recursos da rede e aos dados do portador do cartão
11. Testar regularmente os sistemas e processos de segurança
12. Manter uma política que trate da segurança da informação