Escolar Documentos
Profissional Documentos
Cultura Documentos
Documento Aprovado por: Lynsey Kay Harrison, Diretora, Segurança Global da Informação - Conformidade
Data de Revisão/ Data de Entrada Data de
31-MAR-2022 31-MAR-2022 31-MAR-2022
Aprovação: em Vigor: Publicação:
Contato de Governança: Co-gis-grc@jci.com Frequência das Revisões: Anual
Cópias eletrônicas válidas sem assinatura(s)
1.0 Propósito
Esta norma identifica os requisitos pelos quais a Johnson Controls (a “Empresa”) deve assegurar o cumprimento
da Norma de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), para proteger todos os dados
do portador do cartão (CHD) contra acesso não autorizado, divulgação e possível mau uso ou abuso durante todo
o ciclo de vida dos dados.
3.0 Norma
3.1 Requisitos gerais
3.1.1 O PCI DSS aplica-se a todas as entidades envolvidas no processamento de cartões de pagamento,
incluindo comerciantes, processadores, adquirentes, emissores e prestadores de serviços. O PCI DSS
também se aplica a todas as outras entidades que armazenam, processam ou transmitem dados do titular
do cartão e/ou dados de autenticação confidenciais. Os dados do titular do cartão e dados de autenticação
confidenciais são definidos da seguinte forma:
de cartão
Data de expiração Sim Não
Não é possível armazenar conforme
Dados completos da trilha3 Não
Requisito 3.2 do PCI DSS
Dados de
Não é possível armazenar conforme
autenticação CAV2/CVC2/CVV2/CID4 Não
Requisito 3.2 do PCI DSS
confidenciais2
Não é possível armazenar conforme
PIN/Bloqueio de PIN5 Não
Requisito 3.2 do PCI DSS
2 - Os dados de autenticação confidenciais não devem ser armazenados após a autorização (mesmo se estiverem criptografados)
3 - Dados completos da faixa magnética, dados equivalentes no chip ou em outro lugar
4 - O valor de três ou quatro dígitos impresso na frente ou no verso de um cartão de pagamento
5 - Número de identificação pessoal inserido pelo titular do cartão durante uma transação com o cartão presente e/ou bloqueio
de PIN criptografado presente na mensagem da transação
INTERNO
© 2022 Johnson Controls — Todos os Direitos Reservados.
Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS)
Norma de governança de segurança
Cópias impressas apenas
para referência.
ENT-ITSEC-ST-1.12.001 Rev. 01 Página 2 de 11
3.1.2 O Número da conta principal (PAN) é o fator que define os dados do titular do cartão. Se o nome do titular
do cartão, código de serviço e/ou data de expiração forem armazenados, processados ou transmitidos com
o PAN, ou estiverem presentes no ambiente de dados do titular do cartão (CDE), eles devem ser protegidos
de acordo com os requisitos aplicáveis do PCI DSS. Os Requisitos 3.4 e 3.5 do PCI DSS aplicam-se apenas
ao PAN. Se o PAN for armazenado com outros elementos dos dados do titular do cartão, somente o PAN
deverá ser tornado ilegível de acordo com o Requisito 3.4 do PCI DSS.
3.1.3 Os detalhes dos requisitos de controle do PCI DSS podem ser obtidos no Anexo B e diretamente com
o Conselho de Padrões de Segurança do PCI.
3.1.4 Os ambientes dentro do escopo devem executar itens de ação conforme ditado pelo programa, incluindo
avaliações locais e desenvolvimento de planos de mitigação para as lacunas identificadas. Todas as
descobertas relevantes para o PCI, mesmo aquelas fora do escopo definido nesta norma, devem ser
documentadas e incluídas em planos de ação de gerenciamento.
3.1.5 A implementação das atividades de controle da Empresa (que atinge a conformidade com os requisitos do
PCI DSS) pode variar com base na forma como a Empresa processa, transmite ou armazena os dados do
portador do cartão.
3.1.6 A aplicabilidade de todos os 12 requisitos PCI DSS é mandatada pelo Conselho de Padrões de Segurança
do Setor de Cartões de Pagamento (PCI SSC) se os dados do portador do cartão forem processados,
transmitidos ou armazenados dentro de qualquer ambiente de dados do cartão administrado pela
empresa.
• Os ambientes de dados de cartão da Empresa que terceirizam o processamento, transmissão e
armazenamento de dados do portador do cartão estão sujeitos a um subconjunto dos 12 requisitos
do PCI DSS, conforme definido dentro da orientação de autoavaliação do PCI SSC.
INTERNO
© 2022 Johnson Controls — Todos os Direitos Reservados.
Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS)
Norma de governança de segurança
Cópias impressas apenas
para referência.
ENT-ITSEC-ST-1.12.001 Rev. 01 Página 3 de 11
5.0 Referências
Política de segurança da informação empresarial: Link
6.0 Definições
As definições dos termos neste documento podem ser encontradas no documento Definições e Termos Principais
de Tecnologia da Informação Global: Link
INTERNO
© 2022 Johnson Controls — Todos os Direitos Reservados.
Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS)
Norma de governança de segurança
Cópias impressas apenas
para referência.
ENT-ITSEC-ST-1.12.001 Rev. 01 Página 4 de 11
Áreas de soluções empresariais, equipes de entrega de serviços de TI e unidade de negócios de TI (BU IT)
Responsáveis pelo desenvolvimento e manutenção de sistemas e aplicativos seguros. Garantir que todos os componentes
e softwares do sistema estejam protegidos contra vulnerabilidades conhecidas por meio da instalação dos mais recentes
patches de segurança disponibilizados pelo provedor.
Equipe de inteligência contra ameaças e risco (TIR) de segurança da informação global (GIS)
Responsável pela manutenção do Programa de gerenciamento de vulnerabilidades de segurança da informação da
Empresa, incluindo monitoramento e relatório de vulnerabilidades de segurança conhecidas a proprietários de ativos.
INTERNO
© 2022 Johnson Controls — Todos os Direitos Reservados.
Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS)
Norma de governança de segurança
Cópias impressas apenas
para referência.
ENT-ITSEC-ST-1.12.001 Rev. 01 Página 5 de 11
Equipes de Operações de TI
As equipes operacionais de TI são responsáveis por manter a instância operacional de um ativo tecnológico dentro
do sistema de gestão de ativos tecnológicos da Empresa. Observação: O ativo pode ser operacionalmente redefinido
para fornecer capacidades operacionais alternativas ao longo do ciclo de vida de um ativo.
Retenção de registros
Responsável pelo desenvolvimento de uma política de retenção e descarte de dados que limita a quantidade de armazenamento
e o tempo de retenção ao necessário para fins comerciais, legais e/ou regulamentares.
Aquisições e compras
Responsável por desenvolver, comunicar e fazer o acompanhamento de políticas e processos de compras e aquisições
globais, além da assinatura de contratos, acordos e ordens de compras de ativos de hardware.
Prestador/fornecedor terceiro
Terceiros e fornecedores são responsáveis por proteger e monitorar todos os dados dos titulares dos cartões Johnson Controls
em sua posse, mantendo a conformidade com as exigências do PCI-DSS. Terceiros e fornecedores também devem manter um
acordo escrito que inclua um reconhecimento de responsabilidade pela segurança dos dados do portador do cartão que
possuem ou de outra forma armazenam, processam ou transmitem em nome da Johnson Controls.
INTERNO
© 2022 Johnson Controls — Todos os Direitos Reservados.
Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS)
Norma de governança de segurança
Cópias impressas apenas
para referência.
ENT-ITSEC-ST-1.12.001 Rev. 01 Página 6 de 11
Tesouraria
Responsável pelo desenvolvimento, implementação, aprovação e aplicação das políticas e procedimentos de tesouraria
(bancários) da empresa. Estabelece e gerencia as relações bancárias da empresa e a gestão dos Números de identificação
do comerciante atribuídos pelas instituições patrocinadoras do processamento de pagamentos. Mantém e rastreia
volumes de transações e montantes em dólares gerados anualmente pelo ID/CDE do Comerciante.
Gestão de provedores
Qualquer entidade da empresa (Compras, PMO, Gestão de risco do provedor) responsável pela contratação (incluindo
processos de due diligence pré-contratação) e/ou monitoramento de um “prestador de serviços terceiro” que armazena,
processa ou transmite dados do titular do cartão em nome da empresa deve fornecer um AOC (Atestado de Conformidade)
para a equipe de suporte do PCI (co-gis-compliance-support@jci.com).
INTERNO
© 2022 Johnson Controls — Todos os Direitos Reservados.
Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS)
Norma de governança de segurança
Cópias impressas apenas
para referência.
ENT-ITSEC-ST-1.12.001 Rev. 01 Página 7 de 11
INTERNO
© 2022 Johnson Controls — Todos os Direitos Reservados.
Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS)
Norma de governança de segurança
Cópias impressas apenas
para referência.
ENT-ITSEC-ST-1.12.001 Rev. 01 Página 8 de 11
INTERNO
© 2022 Johnson Controls — Todos os Direitos Reservados.
Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS)
Norma de governança de segurança
Cópias impressas apenas
para referência.
ENT-ITSEC-ST-1.12.001 Rev. 01 Página 9 de 11
INTERNO
© 2022 Johnson Controls — Todos os Direitos Reservados.