Escolar Documentos
Profissional Documentos
Cultura Documentos
Questionrio de auto-avaliao D
e Atestado de conformidade
Alteraes no documento
Data
Verso
Descrio
1 de outubro de
2008
1.2
28 de outubro de
2010
2.0
Outubro de 2010
Pgina i
ndice
Alteraes no documento ............................................................................................. i
Padro de segurana de dados do PCI: Documentos relacionados ...................... iv
Antes de voc comear ................................................................................................ v
Preenchendo o questionrio de auto-avaliao .................................................................. v
Conformidade do PCI DSS Etapas para preenchimento .................................................. v
Orientao para no aplicabilidade de determinados requisitos especficos..................vii
Anexo A:
Requisitos adicionais do PCI DSS para provedores de
hospedagem compartilhada ....................................................................................... 35
Requisito A.1: Os provedores de hospedagem compartilhada devem proteger o ambiente de
dados do titular do carto .......................................................................35
Apndice B:
Anexo C:
Outubro de 2010
Pgina ii
Apndice D:
Outubro de 2010
Pgina iii
Documento
Pblico
Todos os comerciantes e
prestadores de servios
Todos os comerciantes e
prestadores de servios
Todos os comerciantes e
prestadores de servios
Comerciantes qualificados
Comerciantes qualificados
Comerciantes qualificados
Comerciantes qualificados
Comerciantes e prestadores
1
de servios qualificados
Todos os comerciantes e
prestadores de servios
SAQ D do PCI DSS, v2.0, Padro de segurana de dados do PCI: Documentos relacionados
Copyright 2010 PCI Security Standards Council LLC
Outubro de 2010
Pgina iv
Descrio
C-VT
O SAQ D se aplica a todos os comerciantes qualificados para preencher o SAQ no includos nas
descries dos SAQs A a C acima e todos os prestadores de servios definidos por uma bandeira como
sendo qualificados para preencher o SAQ. Os prestadores de servios e comerciantes do SAQ D
validam a conformidade ao preencherem o SAQ D e o Atestado de conformidade associado.
Apesar de vrias organizaes que preenchem o SAQ D precisarem validar a conformidade com todos
os requisitos do PCI DSS, algumas organizaes com modelos de negcio bastante especficos podem
descobrir que alguns requisitos no se aplicam. Por exemplo: no se espera que uma empresa que no
usa tecnologia sem fio de forma alguma valide a conformidade com as sees do PCI DSS que so
especficas da tecnologia sem fio. Consulte a orientao abaixo para obter informaes sobre a excluso
da tecnologia sem fio e de outros requisitos especficos.
Cada seo deste questionrio se concentra em uma rea especfica de segurana, com base nas
exigncias do PCI DSS.
Outubro de 2010
Pgina v
Outubro de 2010
Pgina vi
As perguntas dos Requisitos 9.1 a 9.4 s precisaro ser respondidas para instalaes com "reas
confidenciais", conforme definido aqui. "reas confidenciais" referem-se a qualquer central de dados,
sala de servidores ou qualquer rea que contenha sistemas que armazenem, processem ou
transmitam dados do titular do carto. Isso exclui as reas que possuem somente terminais de
pontos de vendas, como as reas dos caixas em uma loja de varejo, mas inclui salas de servidores
de back-office de lojas de varejo que armazenam dados do titular do carto e reas de
armazenamento para grandes quantidades de dados do titular do carto.
No aplicabilidade: Este e outros requisitos considerados no aplicveis ao seu ambiente devero ser
indicados com "N/A" na coluna "Especial" do SAQ. Da mesma forma, preencha a planilha "Explicao de
no aplicabilidade" no Anexo D para cada entrada "N/A".
Outubro de 2010
Pgina vii
DBA(s):
Contato:
Forma de
tratamento:
Telefone:
E-mail:
Endereo comercial:
Cidade:
Estado/Provncia:
Pas:
CEP:
URL:
Parte 1b. Informaes sobre a empresa do assessor de segurana qualificado (se aplicvel)
Nome da empresa:
Nome do contato principal
do QSA:
Forma de
tratamento:
Telefone:
E-mail:
Endereo comercial:
Cidade:
Estado/Provncia:
Pas:
CEP:
URL:
Telecomunicaes
Petrleo
Comrcio eletrnico
Outros (especificar):
Listar as instalaes e locais includos na anlise do PCI DSS:
Sim
No
Sim
No
Outubro de 2010
Pgina 1
Fornea as seguintes informaes relacionadas aos aplicativos de pagamentos usados pela sua
organizao:
Aplicativo de pagamento em uso
Nmero da
verso
No h evidncia de armazenamento de dados de tarja magntica (ou seja, rastros) , dados CAV2, CVC2,
3
4
CID ou CVV2 , ou dados de PIN aps a autorizao da transao em NENHUM sistema revisto durante
esta avaliao.
Dados codificados na tarja magntica ou dados equivalentes em um chip usados para autorizao durante a transao com o
carto. As entidades no podem manter todos os dados da tarja magntica aps a autorizao da transao. Os nicos
elementos dos dados de rastro que podem ser retidos so o nmero da conta, a data de vencimento e o nome.
O valor de trs ou quatro dgitos impresso direita do painel de assinatura ou na frente do carto de pagamento usado para
verificar transaes com carto no presente.
Nmero de identificao pessoal inserido pelo titular do carto durante uma transao com o carto e/ou bloqueio de PIN
criptografado dentro da mensagem da transao.
Outubro de 2010
Pgina 2
Data
Forma de tratamento
Descrio do requisito
SIM
NO
Outubro de 2010
Pgina 3
Requisito do
PCI DSS
Descrio do requisito
10
11
12
Status de
conformidade
(selecione um)
Outubro de 2010
Pgina 4
DBA(s):
Contato:
Forma de
tratamento:
Telefone:
E-mail:
Endereo comercial:
Cidade:
Estado/Provncia:
Pas:
CEP:
URL:
Parte 1b. Informaes sobre a empresa do assessor de segurana qualificado (se aplicvel)
Nome da empresa:
Nome do contato principal
do QSA:
Forma de
tratamento:
Telefone:
E-mail:
Endereo comercial:
Cidade:
Estado/Provncia:
Pas:
CEP:
URL:
Provedor de hospedagem
Hardware
Processamento
pagamentos ATM
de
Gerenciamento de contas
Provedor de hospedagem
Web
Processamento
pagamentos MOTO
de
Autorizao
Processamento de emisses
Processamento
pagamentos Internet
de
Servios de back-office
Programas de fidelidade
Processamento
pagamentos POS
de
Gerenciamento do faturamento
Servios gerenciados
Servios
adiantado
Compensao e liquidao
Servios do comerciante
3-D
Preparao de dados
Fraude e servios de cobrana
Fornecedor/transmissor
com
pagamento
Gerenciamento de registros
de
redes
Taxas/pagamentos
governo
para
Gateway/switch de pagamento
Outubro de 2010
Pgina 1
Outros (especificar):
Outubro de 2010
Pgina 2
Parte 2b. Se algum servio listado for fornecido pelo prestador de servios, mas NO ESTIVER
INCLUDO no escopo da avaliao do PCI DSS, marque-o abaixo:
Provedor de hospedagem segura
Provedor de hospedagem
Hardware
Processamento
pagamentos ATM
de
Gerenciamento de contas
Provedor de hospedagem
Web
Processamento
pagamentos MOTO
de
Autorizao
Processamento de emisses
Processamento
pagamentos Internet
de
Servios de back-office
Programas de fidelidade
Processamento
pagamentos POS
de
Gerenciamento do faturamento
Servios gerenciados
Servios
adiantado
Compensao e liquidao
Servios do comerciante
3-D
Preparao de dados
Fraude e servios de cobrana
Fornecedor/transmissor
com
pagamento
Gerenciamento de registros
de
redes
Taxas/pagamentos
governo
para
Gateway/switch de pagamento
Outros (especificar):
Sim
No
Nmero da
verso
Fornea as seguintes informaes relacionadas aos aplicativos de pagamentos usados pela sua organizao:
Outubro de 2010
Pgina 3
No conformidade: Nem todas as sees do SAQ do PCI esto preenchidas ou algumas perguntas foram
respondidas negativamente, resultando em uma classificao geral de NO CONFORMIDADE, ou uma
varredura de verificao aprovada no foi preenchida por um Fornecedor de varredura aprovado do PCI SSC,
de forma que a (Nome da empresa do prestador de servios) no demonstrou conformidade integral com o PCI
DSS.
Data prevista para conformidade:
A entidade que estiver enviando este formulrio com um status de No conformidade talvez tenha de
preencher o Plano de ao na Parte 4 deste documento. Verifique junto ao seu adquirente ou s bandeiras de
pagamento antes de preencher a Parte 4, j que nem todas as bandeiras de pagamento exigem essa seo..
Outubro de 2010
Pgina 4
No h evidncia de armazenamento de dados de tarja magntica (ou seja, rastros) , dados CAV2, CVC2,
6
7
CID ou CVV2 , ou dados de PIN aps a autorizao da transao em NENHUM sistema revisto durante
esta avaliao.
Data
Forma de tratamento
Dados codificados na tarja magntica ou dados equivalentes em um chip usados para autorizao durante a transao com o
carto. As entidades no podem manter todos os dados da tarja magntica aps a autorizao da transao. Os nicos
elementos dos dados de rastro que podem ser retidos so o nmero da conta, a data de vencimento e o nome.
O valor de trs ou quatro dgitos impresso direita do painel de assinatura ou na frente do carto de pagamento usado para
verificar transaes virtuais com o carto.
Nmero de identificao pessoal inserido pelo titular do carto durante uma transao com o carto e/ou bloqueio de PIN
criptografado dentro da mensagem da transao.
Outubro de 2010
Pgina 5
Status de
conformidade
(selecione um)
Requisito do
PCI DSS
Descrio do requisito
SIM
NO
10
11
12
Outubro de 2010
Pgina 6
Questionrio de auto-avaliao D
Observao: As perguntas a seguir esto numeradas de acordo com os requisitos e procedimentos de
teste do PCI DSS, conforme definido no documento Requisitos do PCI DSS e procedimentos da
avaliao de segurana.
Data de preenchimento:
Resposta:
Sim
No
Especial
1.1.2
1.1.3
1.1.4
1.1.5
1.1.6
Outubro de 2010
Pgina 1
Resposta:
Sim
No
Especial
1.3
1.2.2
1.2.3
1.3.2
1.3.3
1.3.4
1.3.5
1.3.6
Outubro de 2010
Pgina 2
Resposta:
1.3.7
1.3.8
Sim
No
Especial
Outubro de 2010
Pgina 3
Resposta:
Sim
No
Especial
2.2
Outubro de 2010
Pgina 4
Resposta:
Sim
No
Especial
2.2.3
2.2.4
2.3
Outubro de 2010
Pgina 5
Resposta:
Sim
No
Especial
Outubro de 2010
Pgina 6
Resposta:
Sim
No
Especial
3.2
Outubro de 2010
Pgina 7
3.3
Resposta:
3.2.1
3.2.2
3.2.3
Sim
No
Especial
Outubro de 2010
Pgina 8
Resposta:
Sim
No
Especial
3.4
3.4.1
3.5
3.5.1
Outubro de 2010
Pgina 9
Resposta:
Sim
No
Especial
3.6
3.6.2
3.6.3
3.6.4
3.6.5
Outubro de 2010
Pgina 10
Resposta:
3.6.6
3.6.7
3.6.8
Sim
No
Especial
Outubro de 2010
Pgina 11
Resposta:
Sim
No
Especial
4.1.1
4.2
Outubro de 2010
Pgina 12
Sim
No
Especial
Sim
No
Especial
5.2
Resposta:
Resposta:
Outubro de 2010
Pgina 13
Resposta:
Sim
No
Especial
6.3
Outubro de 2010
Pgina 14
6.4
Resposta:
Sim
No
Especial
6.4.2
6.4.3
6.4.4
6.4.5
Outubro de 2010
Pgina 15
Resposta:
6.4.5.1
Documentao de impacto
6.4.5.2
6.4.5.3
Sim
No
Especial
6.4.5.4
6.5
6.5.2
6.5.3
6.5.4
6.5.5
Outubro de 2010
Pgina 16
Resposta:
Sim
No
Especial
6.6
6.5.7
6.5.8
6.5.9
Outubro de 2010
Pgina 17
Resposta:
Sim
No
Especial
7.1.2
7.1.3
7.1.4
7.2
7.2.2
7.2.3
Outubro de 2010
Pgina 18
Requisito 8: Atribuir uma identidade exclusiva para cada pessoa que tenha acesso ao
computador
Pergunta do PCI DSS
Resposta:
8.1
8.2
8.3
8.4
Sim
No
Especial
8.5.2
8.5.3
Outubro de 2010
Pgina 19
Resposta:
8.5.4
8.5.5
8.5.6
Sim
No
Especial
8.5.8
8.5.9
8.5.10
8.5.11
8.5.12
Outubro de 2010
Pgina 20
Resposta:
Sim
No
Especial
8.5.14
8.5.15
8.5.16
Outubro de 2010
Pgina 21
Resposta:
Sim
No
Especial
9.2
9.1.2
9.1.3
Outubro de 2010
Pgina 22
Resposta:
Sim
No
Especial
9.3.2
9.3.3
9.4
9.5
9.6
9.7
Outubro de 2010
Pgina 23
Resposta:
9.7.1
9.7.2
9.8
9.9
9.10
Sim
No
Especial
9.10.1
9.10.2
Outubro de 2010
Pgina 24
Resposta:
10.1
10.2
10.3
10.4
10.2.1
10.2.2
10.2.3
10.2.4
10.2 5
10.2.6
10.2.7
Sim
No
Especial
Identificao do usurio?
10.3.2
Tipo de evento?
10.3.3
Data e hora?
10.3.4
10.3.5
Origem do evento?
10.3.6
Outubro de 2010
Pgina 25
Resposta:
Sim
No
Especial
10.4.3
10.5
10.5.2
10.5.3
10.5.4
10.5.5
Outubro de 2010
Pgina 26
Resposta:
10.6
10.7
Sim
No
Especial
No
Especial
Resposta:
Sim
Outubro de 2010
Pgina 27
Resposta:
Sim
No
Especial
11.2.2
Outubro de 2010
Pgina 28
Resposta:
Sim
No
Especial
11.4
11.3.1
11.3.2
Outubro de 2010
Pgina 29
Resposta:
Sim
No
Especial
Outubro de 2010
Pgina 30
Resposta:
Sim
No
Especial
12.1.2
12.1.3
12.2
12.3
12.3.2
12.3.3
12.3.4
12.3.5
Outubro de 2010
Pgina 31
Resposta:
12.3.6
12.3.7
12.3.8
12.3.9
12.3.10
Sim
No
Especial
12.5
12.6
12.5.1
12.5.2
12.5.3
12.5.4
12.5.5
Outubro de 2010
Pgina 32
Resposta:
Sim
No
Especial
12.6.2
12.7
12.8
12.9
12.8.1
12.8.2
12.8.3
12.8.4
Outubro de 2010
Pgina 33
Resposta:
12.9.2
12.9.3
12.9.4
12.9.5
12.9.6
Sim
No
Especial
Outubro de 2010
Pgina 34
Anexo A:
Resposta:
Sim
No
Especial
A.1.2
Outubro de 2010
Pgina 35
Resposta:
Sim
No
Especial
A.1.4
Outubro de 2010
Pgina 36
Outubro de 2010
Pgina 37
O responsvel pela avaliao deve analisar os controles de compensao por completo durante cada
avaliao anual do PCI DSS para validar se cada controle de compensao aborda adequadamente o
risco para o qual o requisito do PCI DSS original foi elaborado, de acordo com os itens 1 a 4 acima. Para
manter a conformidade, os processos e controles devem estar implementados para assegurar que os
controles de compensao permaneam efetivos aps a concluso da avaliao.
Outubro de 2010
Pgina 38
2. Objetivo
3. Risco identificado
4. Definio dos
controles de
compensao
5. Validao dos
controles de
compensao
6. Manuteno
Explicao
Outubro de 2010
Pgina 39
Explicao
1. Restries
2. Objetivo
3. Risco identificado
4. Definio dos
controles de
compensao
Definir os controles de
compensao e explicar
como eles abordam os
objetivos do controle original
e o aumento dos riscos,
caso haja algum.
5. Validao dos
controles de
compensao
6.
Definir o processo e os
controles implementados
para manter os controles de
compensao.
Manuteno
Outubro de 2010
Pgina 40
Exemplo:
9.3.1
Outubro de 2010
Pgina 41