Posted on

PCI DSS SAQ D para Comerciantes que armazenam eletronicamente dados de portadores de cartões

, Author

SAQs (questionários de auto-avaliação) são uma forma de os comerciantes poderem validar sua conformidade com o PCI DSS aos bancos adquirentes e ao PCI Security Standard Council (PCI SSC). Incrivelmente importante em termos de como você mantém os dados do portador do cartão seguro, existem oito SAQs para escolher: A, A-EP, B, B-IP, C, C-VT, D, e P2PE.

Having falou sobre seis dos Questionários de Auto-Avaliação existentes até agora, o próximo passo é o PCI DSS SAQ D.

Este Questionário de Auto-Avaliação é o maior que uma organização pode fazer (todas as outras perguntas do SAQ são retiradas deste questionário) e por isso é incrivelmente importante que tenha a certeza absoluta de que o deve fazer. Você não quer passar horas preenchendo-o agora, apenas para perceber que é o errado mais tarde!

Quem deve fazer o Questionário de Auto-Avaliação D?

Este questionário específico se aplica a todo e qualquer tipo de comerciante, então a maneira mais fácil de dizer se você deve ou não fazer o questionário (e a primeira pergunta que você deve fazer a si mesmo antes de fazê-lo) é se você armazena ou não os dados do portador do cartão digitalmente.

Isso pode incluir o armazenamento de dados on-line em relação às transações de comércio eletrônico ou se você é uma empresa de telemarketing que lida com dados do portador do cartão pelo telefone, e então essas chamadas telefônicas são armazenadas e salvas (por exemplo, para fins de treinamento ou verificação de qualidade).

Outra pergunta que você deve fazer a si mesmo é se os outros SAQs se aplicam ou não a você. Os SAQs têm critérios muito específicos (por exemplo, SAQ A é para comerciantes que terceirizam funções de processamento de dados de portadores de cartão e SAQ B é para aqueles que transmitem dados através de uma conexão discada) e então se sua organização não se encaixa nos critérios de qualquer outro questionário SAQ, então você deve pegar o SAQ D. O questionário D diz especificamente que “é para comerciantes que não atendem aos critérios para qualquer outro tipo de SAQ”.

Esta lista de critérios de comerciantes fornece algumas indicações adicionais:

  • Comerciantes que aceitam dados de portadores de cartão em seu site;
  • Comerciantes com armazenamento eletrônico de dados de portadores de cartão;
  • Comerciantes que não armazenam dados de portadores de cartão eletronicamente, mas que não atendem aos critérios de outro tipo de SAQ;
  • Comerciantes com ambientes que podem atender aos critérios de outro tipo de SAQ, mas que possuem requisitos adicionais de PCI DSS aplicáveis ao seu ambiente.

A outra razão chave para responder a este questionário, é que você é um Provedor de Serviços (definido como qualquer empresa que fornece um serviço relacionado com cartões de pagamento, por exemplo, se a sua organização trabalha com comerciantes ou mesmo com bancos). Os prestadores de serviços não precisam olhar para os critérios dos outros SAQs, pois eles têm que tomar o SAQ D por padrão; não há outro SAQ para eles.

Que tipo de questões estão neste questionário?

Quando dissemos que o Questionário de Auto-Avaliação D é um documento enorme, nós realmente não estávamos brincando!

Overall, o SAQ D tem 263 questões para você responder, o que é uma quantidade absolutamente fenomenal. No entanto, as perguntas são divididas e seccionadas de acordo com os 12 diferentes requisitos PCI, o que as torna um pouco mais fáceis de passar – e também devemos notar que as perguntas são exatamente as mesmas para os comerciantes e prestadores de serviços.

Mais, cada questão pode ser respondida com “Não”, “Sim”, “Sim com CCW” (Compensating Control Worksheet) ou N/A (Not Applicable) e, se você responder “Não” a qualquer uma das questões, o questionário também oferece informações sobre como corrigir esse problema em particular e tornar sua organização compatível.

Aqui estão alguns exemplos das questões que pode encontrar no questionário:

  • O PAN está mascarado quando exibido (os primeiros seis e os últimos quatro dígitos são o número máximo de dígitos a serem exibidos) de tal forma que apenas o pessoal com uma necessidade comercial legítima pode ver o PAN completo?
  • O conteúdo completo de qualquer faixa (da banda magnética localizada no verso de um cartão, dados equivalentes contidos em um chip, ou em outro lugar) não são armazenados após autorização?
  • Existe um processo para identificar vulnerabilidades de segurança, incluindo o seguinte: Usando fontes externas respeitáveis para informações sobre vulnerabilidades? Atribuir uma classificação de risco às vulnerabilidades que inclua a identificação de todas as vulnerabilidades “altas” e “críticas”?
  • É necessária a aprovação documentada por partes autorizadas, especificando os privilégios necessários?
  • É incorporada autenticação de dois fatores para acesso remoto à rede originada de fora da rede pelo pessoal (incluindo usuários e administradores) e todos os terceiros (incluindo acesso do fornecedor para suporte ou manutenção)?

A sua organização armazena eletronicamente os dados do portador do cartão?

Com tantas perguntas apresentadas no SAQ D, pode parecer uma tarefa difícil e impossível. Mas com a ajuda de um QSA (Qualified Security Assessor) que é um especialista em conformidade com PCI DSS, descobrir qual é o questionário certo para a sua empresa e alcançar a conformidade com PCI pode se tornar um processo sem estresse.

Advantio_Blog_Banners_PCI-DSS-WhitePaper_V1.1

Deixe uma resposta

O seu endereço de email não será publicado.