PCI DSS

Guia Quick
rápido Guide
do PCI DSS
Customer
Funções Facing
da Tecnologia daRoles
informação
O que é PCI DSS? O que é o Ambiente de dados do titular
O padrão de segurança de dados do setor de cartões de do cartão?
pagamento (PCI DSS) é um conjunto de requisitos O ambiente de dados do titular do cartão (CDE) é
técnicos e operacionais estabelecidos pelo Conselho de composto por pessoas, processos e tecnologias que
padrões de segurança (SSC) do PCI para proteger os armazenam, processam ou transmitem dados do cartão
dados relativos a cartões de crédito. Qualquer empresa de crédito do cliente ou dados confidenciais de
que processe, armazene ou transmita informações de autenticação.
cartão de crédito deve ser compatível com o PCI.
Como defendo os requisitos do PCI?
Por que o PCI DSS é importante? Sua função de TI pode envolver o suporte ou o
Criminosos virtuais têm como alvo funcionários na desenvolvimento de tecnologias, infraestrutura e sistemas
tentativa de roubar informações valiosas, como dados que mantêm ou processam informações do cartão de
do cartão de crédito do cliente, para obter ganhos crédito do cliente. O primeiro passo na defesa dos
financeiros. Temos o compromisso de manter as requisitos do PCI DSS para as funções de tecnologia da
informações do cliente seguras e de defender nossa informação é a consciência.
reputação enquanto empresa de confiança dos clientes.
Problemas na conformidade com o PCI pode resultar em Entenda o procedimento para relatar incidentes (p.1), siga
violação de dados, além das seguintes consequências: as orientações específicas da função (p.2) e conheça seus
recursos (p.3).
• Potenciais passivos, multas e sanções
• Perda da confiança do cliente e queda nas vendas Em caso de dúvidas ou se precisar de ajuda, envie um
e-mail para co-gis-compliance@jci.com
• Expectativas posteriores mais altas em relação à
conformidade
• Perda da capacidade de aceitar cartões de crédito

Como e quando relatar problemas

Denúncia de incidentes de cibersegurança

Denuncie imediatamente qualquer situação em que os dados do Como denunciar:
cartão de crédito do cliente sejam perdidos, roubados ou
acessados/transmitidos incorretamente. Incidentes de  Entre em contato com o
cibersegurança incluem IT Service Desk ou
(entre outros):  Entre em contato com a
• Enviar por e-mail dados do cartão de crédito para um Incident Response Team
destinatário interno ou externo  Denuncie e-mails suspeitos
por meio do botão Denúncia
• Credenciais de acesso comprometidas (por exemplo, Global ID de phishing no Outlook.
e senha usada por alguém que não seja você)
• Informações do cartão de crédito do cliente compartilhadas
por um método não seguro (por exemplo, Skype, SharePoint,

Denúncia de não conformidade com a política Como denunciar:

Entre em contato com a equipe de
Denuncie imediatamente qualquer suspeita ou constatação de não Governança de segurança da
conformidade com a política PCI DSS.Casos de não conformidade informação global: co-gis-grc@jci.com
com a política incluem (entre outros):
• Anotar ou armazenar informações do cartão de crédito
• Deixar um computador da empresa desbloqueado e sem
supervisão
• Conceder acesso ao sistema além do necessário

Updated Jan 2022

1
 PCI DSS
Guia Quick
rápido Guide
do PCI DSS
Customer
Funções Facing
da Tecnologia daRoles
informação
Comportamentos seguros para as funções de tecnologia da informação
Exemplos: funções de aplicativo ou tecnologia de rede (criação/entrega/suporte), administradores de sistemas e
bancos de dados, suporte ao usuário final de TI, serviços de arquitetura de aplicativos e tecnologia, segurança da
informação e funções de conformidade e risco de TI.
Os funcionários de TI são a primeira linha de defesa contra hackers e outras tentativas maliciosas de obtenção
de dados confidenciais. Revise e siga os comportamentos seguros abaixo.
✓ O QUE FAZER - Comportamentos seguros
• Use uma senha complexa e exclusiva para a sua conta
corporativa e proteja-a. Seu Global ID e senha não
devem ser compartilhados com ninguém.
• Priorize a proteção dos dados do cartão de crédito;
somente indivíduos cujos cargos exigem acesso a
tecnologias que armazenam ou processam dados de
cartão de crédito de clientes devem ter acesso. Isso inclui
acesso e privilégios mínimos necessários para
desempenhar as responsabilidades de seu cargo.
• Aplicar controles de segurança física para limitar e
monitorar o acesso aos sistemas com informações do
cartão de crédito do cliente. Consulte Políticas de
segurança corporativa:
Safeguarding Company Information (ESP-701) e
Electronic Access Control (ESP-502).
• Conecte-se à rede da empresa com segurança antes
de acessar tecnologias que armazenam ou processam
dados do cartão de crédito do cliente. Consulte a
Acceptable Use Policy para orientações.
• Retenha apenas os dados do cartão de crédito do
cliente necessários para fins comerciais, legais ou
regulamentares.
Consulte a Enterprise Records Retention Policy and
Schedule, PCI DSS Data Retention and Disposal
Standard, além da Media Handling Standard para
orientações
• Garanta que a linguagem jurídica apropriada do PCI
DSS seja incluída nos contratos do fornecedor antes de
contratar serviços. Colabore com o gerenciamento de
fornecedores e representantes legais.
• Armazene ou compartilhe informações da empresa
com segurança usando serviços aprovados pela
companhia. Consulte o External Storage Device Security
Guide.
• Consulte a página de governança de segurança da
informação para acesso às políticas e padrões de TI
relacionados aos requisitos do PCI DSS.
Information Security Goverenance page
2
• Consulte a norma PCI DSS para obter
orientação sobre:
 Construção e manutenção de uma rede e
sistemas seguros.
 Proteção dos dados do cartão de crédito do
cliente.
 Manutenção de um sistema de gerenciamento
de vulnerabilidades.
 Uso de práticas seguras de codificação e
procedimentos de controle de alterações.
 Implementação de fortes medidas de controle
de acesso.
 Monitoramento e testes regulares das redes.
 Inspeção e proteção de dispositivos de ponto de
venda que capturam dados do cartão de crédito
do cliente.
 O QUE NÃO FAZER - Comportamentos
inseguros
• Não envie ou receba dados do cartão de crédito
do cliente por meio de fax, texto, fotos, e-mail e
tecnologias de mensagens do usuário final (por
exemplo, Skype ou Teams). Esses são métodos
inseguros que colocam as informações do cliente
em risco.
• Não compartilhe credenciais de login para
tecnologias, sistemas ou contas de aplicativos de
negócios.
• Não use senhas padrão para contas de
sistemas, aplicativos de negócios OU hardware
(por exemplo, dispositivos de rede, terminais
compartilhados, dispositivos de ponto de venda).
As senhas padrão de primeiro acesso devem ser
alteradas imediatamente para uma senha única e
complexa.
• Não deixe informações confidenciais sem
supervisão em sua mesa, na tela do computador
ou em qualquer área comum. Guarde as
informações confidenciais em local com acesso
restrito.
 Guia rápido do PCI DSS
Funções da Tecnologia da informação
Identificando dados de autenticação confidenciais
As informações a seguir são consideradas dados de autenticação confidenciais:
• O código de segurança de três ou quatro dígitos impresso na frente ou no verso de um cartão.
Consulte CID, CAV2/CVC2/CVV2 na imagem abaixo.
• Dados armazenados na tarja magnética ou no chip de um cartão, também chamados de “Dados completos
da faixa”.
Consulte a tarja magnética na imagem abaixo.
• O número de identificação pessoal (PIN) do cliente por ele inserido.

Recursos
Revise os recursos essenciais do PCI-DSS

PCI DSS Policy | PCI DSS Quick Guides

Se preferir uma cópia impressa e não tiver uma impressora, peça ajuda ao seu gerente ou representante de RH.
Revise as orientações sobre retenção de dados e tratamento de mídia

Informações adicionais

• Cybersecurity Community site para aprender sobre cibersegurança em casa e no trabalho

• Information Security Goverenance page para encontrar todas as políticas e normas relacionadas ao PCI DSS.
• PCI Security Standards Council para mais informações sobre o PCI
• Acceptable Use Policy

co-gis-compliance@jci.com
3