Description


Orientação para não aplicabilidade de determinados requisitos específicos



Baixar 1.08 Mb.
Página3/12
Encontro18.09.2019
Tamanho1.08 Mb.
1   2   3   4   5   6   7   8   9   ...   12

Orientação para não aplicabilidade de determinados requisitos específicos


Exclusão: Se você precisar responder o SAQ D para validar sua conformidade com o PCI DSS, as seguintes exceções podem ser consideradas. Consulte a seção "Não aplicabilidade" abaixo para obter uma resposta adequada do SAQ.

  • As perguntas específicas relacionadas a dispositivos sem fio só precisarão ser respondidas se houver dispositivos sem fio em algum lugar da sua rede (por exemplo: os Requisitos 1.2.3, 2.1.1 e 4.1.1). Observe que o Requisito 11.1 (uso de um processo para identificar pontos de acesso sem fio não autorizados) deverá ser respondido, mesmo que o dispositivo sem fio não esteja na sua rede, pois o processo detecta intrusos ou dispositivos não autorizados que possam ter sido adicionados sem seu conhecimento.

  • As questões específicas para aplicativos e códigos personalizados (Requisitos 6.3 e 6.5) só precisarão ser respondidas se sua organização desenvolver seus próprios aplicativos personalizados.

  • As perguntas dos Requisitos 9.1 a 9.4 só precisarão ser respondidas para instalações com "áreas confidenciais", conforme definido aqui. "Áreas confidenciais" referem-se a qualquer central de dados, sala de servidores ou qualquer área que contenha sistemas que armazenem, processem ou transmitam dados do titular do cartão. Isso exclui as áreas que possuem somente terminais de pontos de vendas, como as áreas dos caixas em uma loja de varejo, mas inclui salas de servidores de back-office de lojas de varejo que armazenam dados do titular do cartão e áreas de armazenamento para grandes quantidades de dados do titular do cartão.

Não aplicabilidade: Este e outros requisitos considerados não aplicáveis ao seu ambiente deverão ser indicados com "N/A" na coluna "Especial" do SAQ. Da mesma forma, preencha a planilha "Explicação de não aplicabilidade" no Anexo D para cada entrada "N/A".

Atestado de conformidade, SAQ D — Versão do comerciante


Instruções para envio

O comerciante deve preencher este Atestado de Conformidade como uma declaração do status de conformidade dele com os Requisitos do padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) e procedimentos da avaliação de segurança. Preencha todas as seções aplicáveis e consulte as instruções de envio em Conformidade do PCI DSS – Etapas para preenchimento, neste documento.



Parte 1. Informações sobre o comerciante e o avaliador de segurança qualificado

Parte 1a. Informações sobre a organização do comerciante

Nome da empresa:

     

DBA(s):

     

Contato:

     

Forma de tratamento:

     

Telefone:

     

E-mail:

     

Endereço comercial:

     

Cidade:

     

Estado/Província:

     

País:

     

CEP:

     

URL:

     

Parte 1b. Informações sobre a empresa do assessor de segurança qualificado (se aplicável)

Nome da empresa:

     

Nome do contato principal do QSA:

     

Forma de tratamento:

     

Telefone:

     

E-mail:

     

Endereço comercial:

     

Cidade:

     

Estado/Província:

     

País:

     

CEP:

     

URL:

     




Parte 2. Tipo de negócio do comerciante (assinale todas as alternativas que se aplicam):

Varejo Telecomunicações Gêneros alimentícios e supermercados

Petróleo Comércio eletrônico Pedido por correio/telefone

Outros (especificar):      

Listar as instalações e locais incluídos na análise do PCI DSS:      




Parte 2a. Relações

Sua empresa se relaciona com um ou mais agentes de terceiros (por exemplo: gateways, empresas de hospedagem na Web, agentes de passagens aéreas, agentes de programas de fidelidade, etc.)?

Sim Não

Sua empresa se relaciona com mais de um adquirente?

Sim Não




Parte 2b. Processamento das transações

Como e em qual capacidade seu negócio armazena, processa e/ou transmite dados do titular do cartão?      

Forneça as seguintes informações relacionadas aos aplicativos de pagamentos usados pela sua organização:

Aplicativo de pagamento em uso

Número da versão

Última validação de acordo com o PABP/PA-DSS

     

     

     

     

     

     

Parte 3. Validação do PCI DSS

Com base nos resultados anotados no SAQ D datado de (data do preenchimento), a (Nome da empresa do comerciante) declara o seguinte status de conformidade (marque um):

Em conformidade: Todas as seções do SAQ do PCI estão preenchidas, todas as perguntas foram respondidas afirmativamente, resultando em uma classificação geral de CONFORMIDADE, e uma varredura de verificação aprovada foi preenchida por um Fornecedor de varredura aprovado do PCI SSC, de forma que a (Nome da empresa do comerciante) demonstrou conformidade integral com o PCI DSS.

Não conformidade: Nem todas as seções do SAQ do PCI estão preenchidas ou algumas perguntas foram respondidas negativamente, resultando em uma classificação geral de NÃO CONFORMIDADE, ou uma varredura de verificação aprovada não foi preenchida por um Fornecedor de varredura aprovado do PCI SSC, de forma que a (Nome da empresa do comerciante) não demonstrou conformidade integral com o PCI DSS.

Data prevista para conformidade:      

A entidade que estiver enviando este formulário com um status de Não conformidade talvez tenha de preencher o Plano de ação na Parte 4 deste documento. Verifique junto ao seu adquirente ou às bandeiras de pagamento antes de preencher a Parte 4, já que nem todas as bandeiras de pagamento exigem essa seção.






Parte 3a. Confirmação do status de conformidade

O comerciante confirma que:



O Questionário de Auto-avaliação D do PCI DSS, versão (versão do SAQ), foi preenchido segundo as instruções nele contidas.



Todas as informações contidas no SAQ mencionado anteriormente e neste atestado representam adequadamente os resultados de minha avaliação em todos os aspectos materiais.



Eu confirmei com meu fornecedor do aplicativo de pagamento que o aplicativo não armazena dados de autenticação confidenciais após a autorização.



Eu li o PCI DSS e reconheço que sempre devo manter a conformidade total com o PCI DSS.



Não há evidência de armazenamento de dados de tarja magnética (ou seja, rastros)2, dados CAV2, CVC2, CID ou CVV23, ou dados de PIN4 após a autorização da transação em NENHUM sistema revisto durante esta avaliação.



Parte 3b. Reconhecimento do comerciante




     

Assinatura do responsável executivo pelo comerciante

Data

     

     

Nome do responsável executivo pelo comerciante

Forma de tratamento

     




Empresa comerciante representada






Parte 4. Plano de ação para status de não conformidade

Selecione o "Status de conformidade" adequado para cada requisito. Se você responder "NÃO" a qualquer um dos requisitos, será necessário informar a data na qual a empresa estará em conformidade com o requisito e uma descrição resumida das ações que estão sendo realizadas para atender ao requisito. Verifique junto ao seu adquirente ou às bandeiras de pagamento antes de preencher a Parte 4, já que nem todas as bandeiras de pagamento exigem essa seção.




Requisito do PCI DSS

Descrição do requisito

Status de conformidade (selecione um)

Data e ações de correção
(se o Status de conformidade for "Não")


SIM

NÃO

1


Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão





     

2


Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança





     

3

Proteger os dados armazenados do titular do cartão





     

4

Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas





     

5

Usar e atualizar regularmente o software ou programas antivírus





     

6

Desenvolver e manter sistemas e aplicativos seguros





     

7

Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio





     

8

Atribuir uma identidade exclusiva para cada pessoa que tenha acesso ao computador





     

9

Restringir o acesso físico aos dados do titular do cartão





     

10

Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão





     

11

Testar regularmente os sistemas e processos de segurança





     

12

Manter uma política que aborde a segurança das informações para todas as equipes





     






1   2   3   4   5   6   7   8   9   ...   12


©aneste.org 2017
enviar mensagem

    Página principal