Description


Atestado de conformidade, SAQ D — Versão do prestador de serviços



Baixar 1.08 Mb.
Página4/12
Encontro18.09.2019
Tamanho1.08 Mb.
1   2   3   4   5   6   7   8   9   ...   12

Atestado de conformidade, SAQ D — Versão do prestador de serviços


Instruções para envio

O prestador de serviços deve preencher este Atestado de conformidade como uma declaração do status de conformidade dele com os Requisitos do Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) e procedimentos da avaliação de segurança. Preencha todas as seções aplicáveis e consulte as instruções de envio em "Conformidade do PCI DSS – Etapas para preenchimento", neste documento.



Parte 1. Informações do prestador de serviços e do assessor de segurança qualificado

Parte 1a. Informações sobre a organização do prestador de serviços

Nome da empresa:

     

DBA(s):

     

Contato:

     

Forma de tratamento:

     

Telefone:

     

E-mail:

     

Endereço comercial:

     

Cidade:

     

Estado/Província:

     

País:

     

CEP:

     

URL:

     

Parte 1b. Informações sobre a empresa do assessor de segurança qualificado (se aplicável)

Nome da empresa:

     

Nome do contato principal do QSA:

     

Forma de tratamento:

     

Telefone:

     

E-mail:

     

Endereço comercial:

     

Cidade:

     

Estado/Província:

     

País:

     

CEP:

     

URL:

     



Parte 2. Informações sobre a avaliação do PCI DSS

Parte 2a. Prestador de serviços que FOI INCLUÍDO no escopo da avaliação do PCI DSS (marque todas as opções que se aplicam)

Provedor de hospedagem segura 3-D

Provedor de hospedagem – Hardware

Processamento de pagamentos – ATM

Gerenciamento de contas

Provedor de hospedagem – Web

Processamento de pagamentos – MOTO

Autorização

Processamento de emissões

Processamento de pagamentos – Internet

Serviços de back-office

Programas de fidelidade

Processamento de pagamentos – POS

Gerenciamento do faturamento

Serviços gerenciados

Serviços com pagamento adiantado

Compensação e liquidação

Serviços do comerciante

Gerenciamento de registros

Preparação de dados

Fornecedor/transmissor de redes

Taxas/pagamentos para o governo

Fraude e serviços de cobrança

Gateway/switch de pagamento




Outros (especificar):      




Listar as instalações e locais incluídos na análise do PCI DSS:      



Parte 2b. Se algum serviço listado for fornecido pelo prestador de serviços, mas NÃO ESTIVER INCLUÍDO no escopo da avaliação do PCI DSS, marque-o abaixo:

Provedor de hospedagem segura 3-D

Provedor de hospedagem – Hardware

Processamento de pagamentos – ATM

Gerenciamento de contas

Provedor de hospedagem – Web

Processamento de pagamentos – MOTO

Autorização

Processamento de emissões

Processamento de pagamentos – Internet

Serviços de back-office

Programas de fidelidade

Processamento de pagamentos – POS

Gerenciamento do faturamento

Serviços gerenciados

Serviços com pagamento adiantado

Compensação e liquidação

Serviços do comerciante

Gerenciamento de registros

Preparação de dados

Fornecedor/transmissor de redes

Taxas/pagamentos para o governo

Fraude e serviços de cobrança

Gateway/switch de pagamento




Outros (especificar):      




Parte 2c. Relações

Sua empresa se relaciona com um ou mais prestadores de serviços terceirizados (por exemplo: gateways, empresas de hospedagem na Web, agentes de passagens aéreas, agentes de programas de fidelidade, etc.)?

Sim Não




Parte 2d. Processamento das transações

Como e em qual capacidade seu negócio armazena, processa e/ou transmite dados do titular do cartão?      

Aplicativo de pagamento em uso

Número da versão

Última validação de acordo com o PABP/PA-DSS

     

     

     

     

     

     

Forneça as seguintes informações relacionadas aos aplicativos de pagamentos usados pela sua organização:




Parte 3. Validação do PCI DSS

Com base nos resultados anotados no SAQ D datado de (data do preenchimento do SAQ), a (Nome da empresa do prestador de serviços) declara o seguinte status de conformidade (marque um):

Em conformidade: Todas as seções do SAQ do PCI estão preenchidas, todas as perguntas foram respondidas afirmativamente, resultando em uma classificação geral de CONFORMIDADE, e uma varredura de verificação aprovada foi preenchida por um Fornecedor de varredura aprovado do PCI SSC, de forma que a (Nome da empresa do prestador de serviços) demonstrou conformidade integral com o PCI DSS.

Não conformidade: Nem todas as seções do SAQ do PCI estão preenchidas ou algumas perguntas foram respondidas negativamente, resultando em uma classificação geral de NÃO CONFORMIDADE, ou uma varredura de verificação aprovada não foi preenchida por um Fornecedor de varredura aprovado do PCI SSC, de forma que a (Nome da empresa do prestador de serviços) não demonstrou conformidade integral com o PCI DSS.

Data prevista para conformidade:      

A entidade que estiver enviando este formulário com um status de Não conformidade talvez tenha de preencher o Plano de ação na Parte 4 deste documento. Verifique junto ao seu adquirente ou às bandeiras de pagamento antes de preencher a Parte 4, já que nem todas as bandeiras de pagamento exigem essa seção..





Parte 3a. Confirmação do status de conformidade

O prestador de serviços confirma que:



O Questionário de auto-avaliação D, versão (inserir número da versão), foi preenchido segundo as instruções nele contidas.



Todas as informações contidas no SAQ mencionado anteriormente e neste atestado representam adequadamente os resultados de minha avaliação.



Eu li o PCI DSS e reconheço que sempre devo manter a conformidade total com o PCI DSS.



Não há evidência de armazenamento de dados de tarja magnética (ou seja, rastros)5, dados CAV2, CVC2, CID ou CVV26, ou dados de PIN7 após a autorização da transação em NENHUM sistema revisto durante esta avaliação.



Parte 3b. Confirmação do prestador de serviços




     

Assinatura do responsável executivo pelo prestador de serviços

Data

     

     

Nome do responsável executivo pelo prestador de serviços

Forma de tratamento

     




Representante da empresa prestadora de serviços







Parte 4. Plano de ação para status de não conformidade

Selecione o "Status de conformidade" adequado para cada requisito. Se você responder "NÃO" a qualquer um dos requisitos, será necessário informar a data na qual a empresa estará em conformidade com o requisito e uma descrição resumida das ações que estão sendo realizadas para atender ao requisito. Verifique junto ao seu adquirente ou às bandeiras de pagamento antes de preencher a Parte 4, já que nem todas as bandeiras de pagamento exigem essa seção.




Requisito do PCI DSS

Descrição do requisito

Status de conformidade (selecione um)

Data e ações de correção
(se o Status de conformidade for "Não")


SIM

NÃO

1


Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão





     

2


Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança





     

3

Proteger os dados armazenados do titular do cartão






     

4

Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas





     

5

Usar e atualizar regularmente o software ou programas antivírus





     

6

Desenvolver e manter sistemas e aplicativos seguros





     

7

Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio





     

8

Atribuir uma identidade exclusiva para cada pessoa que tenha acesso ao computador





     

9

Restringir o acesso físico aos dados do titular do cartão





     

10

Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão





     

11

Testar regularmente os sistemas e processos de segurança





     

12

Manter uma política que aborde a segurança das informações para todas as equipes





     



1   2   3   4   5   6   7   8   9   ...   12


©aneste.org 2017
enviar mensagem

    Página principal