PCI DSS Security Governance Standard - PRB

Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS)
Norma de governança de segurança

Cópias impressas apenas
para referência.
ENT-ITSEC-ST-1.12.001 Rev. 01 Página 1 de 11
Última Versão / Traduções
Documento Aprovado por: Lynsey Kay Harrison, Diretora, Segurança Global da Informação - Conformidade
Data de Revisão/ Data de Entrada Data de
31-MAR-2022 31-MAR-2022 31-MAR-2022
Aprovação: em Vigor: Publicação:
Contato de Governança: Co-gis-grc@jci.com Frequência das Revisões: Anual
Cópias eletrônicas válidas sem assinatura(s)
1.0 Propósito
Esta norma identifica os requisitos pelos quais a Johnson Controls (a “Empresa”) deve assegurar o cumprimento
da Norma de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), para proteger todos os dados
do portador do cartão (CHD) contra acesso não autorizado, divulgação e possível mau uso ou abuso durante todo
o ciclo de vida dos dados.
2.0 Funções e responsabilidades

Consulte o Apêndice A para ver as funções e responsabilidades específicas cobertas por esta norma.
Consulte o Apêndice B para ver as responsabilidades específicas de atribuição de controle cobertas por esta norma.
3.0 Norma
3.1 Requisitos gerais
3.1.1 O PCI DSS aplica-se a todas as entidades envolvidas no processamento de cartões de pagamento,
incluindo comerciantes, processadores, adquirentes, emissores e prestadores de serviços. O PCI DSS
também se aplica a todas as outras entidades que armazenam, processam ou transmitem dados do titular
do cartão e/ou dados de autenticação confidenciais. Os dados do titular do cartão e dados de autenticação
confidenciais são definidos da seguinte forma:
Renderização de dados armazenados

Armazenamento
Elemento de dados impossível de ler
permitido
de acordo com o requisito PCI DSS 3.4
Número da conta principal (PAN) Sim Sim

Nome do titular do cartão Sim Não
Dados do titular
Código do serviço Sim Não
Número da conta
de cartão
Data de expiração Sim Não
Não é possível armazenar conforme
Dados completos da trilha3 Não
Requisito 3.2 do PCI DSS
Dados de
autenticação CAV2/CVC2/CVV2/CID4 Não
confidenciais2
PIN/Bloqueio de PIN5 Não
2 - Os dados de autenticação confidenciais não devem ser armazenados após a autorização (mesmo se estiverem criptografados)
3 - Dados completos da faixa magnética, dados equivalentes no chip ou em outro lugar
4 - O valor de três ou quatro dígitos impresso na frente ou no verso de um cartão de pagamento
5 - Número de identificação pessoal inserido pelo titular do cartão durante uma transação com o cartão presente e/ou bloqueio
de PIN criptografado presente na mensagem da transação
INTERNO
© 2022 Johnson Controls — Todos os Direitos Reservados.
para referência.
3.1.2 O Número da conta principal (PAN) é o fator que define os dados do titular do cartão. Se o nome do titular
do cartão, código de serviço e/ou data de expiração forem armazenados, processados ou transmitidos com
o PAN, ou estiverem presentes no ambiente de dados do titular do cartão (CDE), eles devem ser protegidos
de acordo com os requisitos aplicáveis do PCI DSS. Os Requisitos 3.4 e 3.5 do PCI DSS aplicam-se apenas
ao PAN. Se o PAN for armazenado com outros elementos dos dados do titular do cartão, somente o PAN
deverá ser tornado ilegível de acordo com o Requisito 3.4 do PCI DSS.
3.1.3 Os detalhes dos requisitos de controle do PCI DSS podem ser obtidos no Anexo B e diretamente com
o Conselho de Padrões de Segurança do PCI.
Objetivos Requisitos do PCI DSS

1. Instalar e manter uma configuração de firewall para
proteger os dados do titular do cartão.
Construir e manter uma rede e sistemas seguros
2. Não usar os padrões fornecidos pelo provedor para
senhas do sistema e outros parâmetros de segurança.
3. Proteger os dados armazenados do titular do cartão.
Proteger os dados do titular do cartão 4. Criptografar a transmissão dos dados do titular do
cartão em redes públicas abertas.
5. Proteger todos os sistemas contra malware e atualizar
Manter um programa de gerenciamento
regularmente softwares ou programas antivírus.
de vulnerabilidades
6. Desenvolver e manter sistemas e aplicativos seguros.
7. Restringir o acesso aos dados do titular do cartão
pelas necessidades da empresa.
8. Identificar e autenticar o acesso aos componentes
Implementar medidas de controle de acesso fortes
do sistema.
9. Restringir o acesso físico aos dados do titular
do cartão.
10. Rastrear e monitorar todo o acesso a recursos
de rede e dados do titular do cartão.
Regularmente monitorar e testar redes
11. Testar regularmente os sistemas e processos
de segurança.
12. Manter uma política que aborde a segurança da
Manter uma política de segurança da informação informação para todos os funcionários e trabalhadores
eventuais da empresa.
3.1.4 Os ambientes dentro do escopo devem executar itens de ação conforme ditado pelo programa, incluindo
avaliações locais e desenvolvimento de planos de mitigação para as lacunas identificadas. Todas as
descobertas relevantes para o PCI, mesmo aquelas fora do escopo definido nesta norma, devem ser
documentadas e incluídas em planos de ação de gerenciamento.
3.1.5 A implementação das atividades de controle da Empresa (que atinge a conformidade com os requisitos do
PCI DSS) pode variar com base na forma como a Empresa processa, transmite ou armazena os dados do
portador do cartão.
3.1.6 A aplicabilidade de todos os 12 requisitos PCI DSS é mandatada pelo Conselho de Padrões de Segurança
do Setor de Cartões de Pagamento (PCI SSC) se os dados do portador do cartão forem processados,
transmitidos ou armazenados dentro de qualquer ambiente de dados do cartão administrado pela
empresa.
• Os ambientes de dados de cartão da Empresa que terceirizam o processamento, transmissão e
armazenamento de dados do portador do cartão estão sujeitos a um subconjunto dos 12 requisitos
do PCI DSS, conforme definido dentro da orientação de autoavaliação do PCI SSC.
INTERNO
para referência.
3.2 Requisitos de segurança para os componentes do sistema

3.2.1 Os requisitos de segurança do PCI DSS aplicam-se a todos os componentes do sistema incluídos
ou conectados ao CDE (ambiente de dados do titular do cartão).
3.2.2 Os componentes do sistema incluem dispositivos de rede, servidores, dispositivos de computação,
sistemas de gravação de voz e aplicativos. Exemplos de componentes do sistema incluem, entre outros,
máquinas virtuais, switches/roteadores, aplicativos/desktops, firewalls, pontos e tecnologias de acesso
sem fio, servidores web/aplicativos/banco de dados, servidores de e-mail/proxy, servidores de NTP
(Network Time Protocol) e DNS (Domain Name System).
3.2.3 Os dispositivos fornecidos pela Empresa devem ser configurados com segurança e utilizados para qualquer
atividade que envolva o acesso, processamento, armazenamento ou transmissão de dados do portador do
cartão. O uso de dispositivos não fornecidos pela Empresa para essas atividades é estritamente proibido,
com exceção dos dispositivos de processamento de cartões de pagamento emitidos por prestadores de
serviços terceiros (por exemplo, dispositivos de Ponto de Venda de terceiros).
3.2.4 Prestadores de serviços terceiros (sob acordos contratuais formalizados, com reconhecimento
de responsabilidades) podem ser usados para armazenar, processar ou transmitir dados do portador
do cartão; ou para gerenciar componentes do sistema como roteadores, firewalls, bancos de dados,
segurança física e/ou servidores.
• Esses prestadores de serviços devem fornecer evidências de avaliações anuais do PCI DSS para
demonstrar conformidade com o PCI DSS.
3.2.5 O uso de e-mail, serviço de mensagens curtas (SMS), mensagens instantâneas (IM) ou outros sistemas de
comunicação eletrônica para a transmissão de dados do portador do cartão é estritamente proibido e uma
violação do PCI DSS.
4.0 Não Conformidades/Desvios

Todos os desvios a esta norma devem ser devidamente documentados e revisados em intervalos planejados. Todos
os desvios devem ser formalmente aprovados por meio da equipe de segurança da informação global. Use este link
para iniciar uma solicitação.
5.0 Referências
Política de segurança da informação empresarial: Link
6.0 Definições
As definições dos termos neste documento podem ser encontradas no documento Definições e Termos Principais
de Tecnologia da Informação Global: Link
7.0 Tabela de Revisões

Revisões Data de Descrição das Alterações
Publicação
01 31-MAR-2022 Lançamento inicial como um padrão combinado de governança de segurança:
ENT-ITSEC-PO-1.14.02.00 (Política do PCI DSS)
ENT-ITSEC-ST-1.14.02.01 (Padrão de requerimentos do PCI DSS)
INTERNO
para referência.
Apêndice A: Funções e responsabilidades
Áreas comerciais (como parte de um CDE)

Projetar e implementar processos e controles comerciais em torno da coleta, processamento, armazenamento e destruição
dos dados do titular do cartão. Gerenciar a garantia de conformidade anual dos processos comerciais e comprovar a eficácia
operacional dos controles mediante solicitação, apoiando a conclusão do Questionário de Autoavaliação (SAQ) apropriado.
Criar, assimilar, implementar e reportar a situação de planos de correção para deficiências no controle de conformidade
com o PCI.
Diretor de segurança da informação (CISO)

Responsável por fornecer a orientação de alto nível para a execução do programa de segurança da informação
da empresa e iniciativas relacionadas, incluindo o Programa de conformidade com o PCI.
Gestão de segurança e instalações empresariais

Responsável pela manutenção e aplicação de controles de segurança física e de entrada em instalações a fim de limitar
e monitorar o acesso físico aos sistemas dentro do ambiente de dados do titular do cartão.
Comitê executivo de governança do PCI

Fornecer direção estratégica, aprovação executiva e servir como ponto final de encaminhamento para as atividades
do Programa de conformidade com o PCI. Fornecer orientação e se manter informado sobre o status, o progresso
e o alinhamento do Programa de conformidade com o PCI aos objetivos comerciais da empresa.
Áreas de soluções empresariais, equipes de entrega de serviços de TI e unidade de negócios de TI (BU IT)
Responsáveis pelo desenvolvimento e manutenção de sistemas e aplicativos seguros. Garantir que todos os componentes
e softwares do sistema estejam protegidos contra vulnerabilidades conhecidas por meio da instalação dos mais recentes
patches de segurança disponibilizados pelo provedor.
Equipe de Conformidade de Segurança Global da Informação (GIS)

Responsável por fornecer à equipe de Governança GIS a experiência em assuntos de PCI para manter as políticas e
padrões de conformidade da PCI da Empresa. Avalia a implementação dos controles de segurança cibernética do PCI e
retém evidências que demonstram a eficácia da garantia de controles. Facilita e monitora as atividades anuais de relatório
de conformidade com o PCI, os riscos identificados durante as avaliações de riscos da unidade de negócios e os planos
de correção associados. Ministra treinamento de conscientização do programa de conformidade com o PCI.
Equipe de Governança e Conscientização sobre Segurança da Informação Global (GIS)

Responsável pela manutenção das políticas e padrões de Conformidade PCI, com experiência no assunto PCI da equipe
de Conformidade GIS. Ministra treinamento de conscientização do programa de conformidade com o PCI.
Equipe de Risco de Segurança Global da Informação (GIS)

Facilita e monitora os riscos anuais identificados durante as avaliações de risco da unidade de negócios, e os planos
de remediação associados.
Equipe de inteligência contra ameaças e risco (TIR) de segurança da informação global (GIS)
Responsável pela manutenção do Programa de gerenciamento de vulnerabilidades de segurança da informação da
Empresa, incluindo monitoramento e relatório de vulnerabilidades de segurança conhecidas a proprietários de ativos.
INTERNO
para referência.
Recursos Humanos (RH)

Responsável pelas atividades de integração dos funcionários, incluindo triagem do pessoal da Empresa antes da contratação,
para minimizar as ameaças cibernéticas de fontes internas.
Equipes de Operações de TI
As equipes operacionais de TI são responsáveis por manter a instância operacional de um ativo tecnológico dentro
do sistema de gestão de ativos tecnológicos da Empresa. Observação: O ativo pode ser operacionalmente redefinido
para fornecer capacidades operacionais alternativas ao longo do ciclo de vida de um ativo.
Equipe de gerenciamento de ativos de operações de TI

A equipe de Gerenciamento de Ativos de TI (ITAM) é responsável pela gestão do ciclo de vida dos ativos tecnológicos
adquiridos ou alugados pela empresa. Isto inclui a governança, o inventário e a manutenção de todos os ativos tecnológicos
(como previsto no Padrão de Governança de Gerenciamento de Ativos Tecnológicos) dentro do(s) sistema(s) de gestão
de ativos tecnológicos da empresa.
Equipe de gerenciamento de identidade e acesso às operações de TI

Responsável pelo desenvolvimento, implementação, aprovação e aplicação de todas as políticas, padrões, processos,
ferramentas e serviços de gestão de autenticação e autorização que apoiam a infraestrutura de gestão de acesso e de
identidade da Empresa.
Equipe de serviços de rede das operações de TI

Responsável pelo desenvolvimento, implementação, aprovação e aplicação de políticas e normas de rede da empresa,
desenho de redes, sistemas de acesso e proteção à rede; inspeção da rede, revisões de regras de configuração da rede
regulamente agendadas e serviços de monitoramento.
Retenção de registros
Responsável pelo desenvolvimento de uma política de retenção e descarte de dados que limita a quantidade de armazenamento
e o tempo de retenção ao necessário para fins comerciais, legais e/ou regulamentares.
Proprietários de ativos tecnológicos

Os proprietários de ativos tecnológicos são responsáveis pelos ativos tecnológicos da Empresa adquiridos, alugados
ou designados a eles, representativos da responsabilidade fiscal e estratégica dentro do sistema de gestão de ativos da
Empresa. Dependendo do ciclo de vida operacional do ativo, a propriedade pode ser reatribuída com base na necessidade
comercial ou reutilização do ativo durante todo o seu ciclo de vida.
Aquisições e compras
Responsável por desenvolver, comunicar e fazer o acompanhamento de políticas e processos de compras e aquisições
globais, além da assinatura de contratos, acordos e ordens de compras de ativos de hardware.
Prestador/fornecedor terceiro
Terceiros e fornecedores são responsáveis por proteger e monitorar todos os dados dos titulares dos cartões Johnson Controls
em sua posse, mantendo a conformidade com as exigências do PCI-DSS. Terceiros e fornecedores também devem manter um
acordo escrito que inclua um reconhecimento de responsabilidade pela segurança dos dados do portador do cartão que
possuem ou de outra forma armazenam, processam ou transmitem em nome da Johnson Controls.
INTERNO
para referência.
Tesouraria
Responsável pelo desenvolvimento, implementação, aprovação e aplicação das políticas e procedimentos de tesouraria
(bancários) da empresa. Estabelece e gerencia as relações bancárias da empresa e a gestão dos Números de identificação
do comerciante atribuídos pelas instituições patrocinadoras do processamento de pagamentos. Mantém e rastreia
volumes de transações e montantes em dólares gerados anualmente pelo ID/CDE do Comerciante.
Gestão de provedores
Qualquer entidade da empresa (Compras, PMO, Gestão de risco do provedor) responsável pela contratação (incluindo
processos de due diligence pré-contratação) e/ou monitoramento de um “prestador de serviços terceiro” que armazena,
processa ou transmite dados do titular do cartão em nome da empresa deve fornecer um AOC (Atestado de Conformidade)
para a equipe de suporte do PCI (co-gis-compliance-support@jci.com).
INTERNO
para referência.
Apêndice B: Responsabilidades de controle do PCI DSS

Prestação de contas: a entidade final única, que responde pela implementação, execução e monitoramento
de um requisito específico.
Responsável: as diversas entidades responsáveis por garantir que os requisitos operem efetivamente.
ID Requisitos do PCI DSS Prestação de contas Responsável

1 Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão
1.1 Estabelecer e implementar padrões de • Vice-presidente, • Equipe de serviços de rede
configuração de firewall e roteadores. Infraestrutura, Arquitetura, das operações de TI
Operações e CTO
1.2 Os ambientes de dados de titulares do • Comitê executivo de • CDE
cartão (CDEs) no escopo devem segmentar governança do PCI • Equipe de serviços de rede
a atividade de pagamento de acordo com das operações de TI
a arquitetura de referência do programa PCI.
1.5 Garantir que as políticas e os • Comitê executivo de • CDE
procedimentos operacionais de segurança governança do PCI • Equipe de serviços de rede
estejam documentados, em uso e sejam das operações de TI
conhecidos por todas as partes afetadas.
Não usar as predefinições fornecidas pelo provedor para senhas do sistema e outros parâmetros de
2
segurança
2.1 Mudar as credenciais fornecidas pelo • Comitê executivo de • CDE
provedor (nomes de usuário e senhas) governança do PCI • Equipe de gerenciamento
de suas definições iniciais da plataforma. de identidade e acesso
às operações de TI
2.4 Manter um inventário dos componentes • Comitê executivo de • CDE
do sistema que estão no escopo do PCI DSS. governança do PCI • Equipe de gerenciamento de
ativos de operações de TI
2.5 Garantir que as políticas de segurança e os • Comitê executivo de • CDE
procedimentos operacionais relacionados governança do PCI • Equipe de gerenciamento
estejam documentados, em uso e sejam de identidade e acesso
conhecidos por todas as partes afetadas. às operações de TI
2.6 Garantir que os prestadores de serviços • Comitê executivo de • CDE
terceirizados que armazenam dados de governança do PCI • Gestão de provedores
titulares de cartões em nome da empresa
sejam certificados como estando em
conformidade com o PCI DSS.
3 Proteger os dados armazenados do titular do cartão
3.1 Minimizar o armazenamento e o tempo • Comitê executivo de • CDE
de retenção dos dados do titular do cartão governança do PCI
apenas para atender às exigências de
retenção comerciais ou regulamentares.
3.2 Garantir que os dados do portador do • Comitê executivo de • CDE
cartão sejam armazenados com segurança. governança do PCI
3.3 Mascarar o Número de conta principal • Comitê executivo de • CDE
(PAN) quando exibido. governança do PCI
INTERNO
para referência.

3.4 Tornar o PAN ilegível em qualquer lugar • Comitê executivo de • CDE
onde esteja armazenado. governança do PCI
3.6 Garantir que os dados do portador do • Comitê executivo de • CDE
cartão sejam protegidos com métodos governança do PCI • Equipe de serviços de rede
de comunicação seguros, quando das operações de TI
transmitidos (isto é, enquanto
os dados estiverem em trânsito).
procedimentos operacionais relacionados governança do PCI
estejam documentados, em uso e sejam
4 criptografar a transmissão dos dados do titular do cartão em redes públicas abertas
4.1 Usar criptografia e protocolos de segurança • Comitê executivo de • CDE
robustos para salvaguardar os dados do governança do PCI • Equipe de serviços de rede
titular do cartão durante a transmissão. das operações de TI
4.1.1 Garantir que as redes sem fio transmitindo • Comitê executivo de • CDE
os dados do titular do cartão ou conectadas governança do PCI
ao ambiente de dados do titular do cartão
usem práticas recomendadas do setor para
implementar criptografia robusta para
autenticação e transmissão.
4.3 Garantir que as normas de criptografia • Comitê executivo de • CDE
em uso e conhecidas por todas as partes governança do PCI
afetadas sejam documentadas.
Os ambientes de dados do portador do

cartão devem ter documentação do
sistema, fluxos de dados e diagramas de
arquitetura retratando a implementação de
metodologias de criptografia padronizadas
aprovadas.
5 Proteger todos os sistemas contra malware e atualizar regularmente softwares ou programas antivírus
5.1 Instalar software antivírus em todos • Diretor de segurança • Operações de Segurança GIS
os sistemas normalmente afetados. da informação • Funções de soluções
empresariais, equipes de
entrega de serviços de TI
e unidade de negócios de TI
5.3 Garantir que o software antivírus seja • Diretor de segurança • Operações de Segurança GIS
configurado para gerar logs de auditoria da informação • Funções de soluções
como prova de que o software antivírus empresariais, equipes de
está fornecendo cobertura apropriada entrega de serviços de TI
e funcionando corretamente. e unidade de negócios de TI
5.4 Garantir que as políticas e os procedimentos • Diretor de segurança • Equipe de Inteligência
de segurança relacionados ao gerenciamento da informação e Risco de Ameaças GIS
de vulnerabilidades estejam documentados,
em uso e sejam conhecidos por todas as
partes afetadas
INTERNO
para referência.

6 Desenvolver e manter sistemas e aplicativos seguros
6.1 Estabelecer um processo para identificar • Diretor de segurança • Equipe de Inteligência
vulnerabilidades de segurança, utilizando da informação e Risco de Ameaças GIS
fontes externas confiáveis. • Funções de soluções
6.2 Proteger todos os componentes do sistema • Comitê executivo de • CDE
e software contra vulnerabilidades governança do PCI • Funções de soluções
conhecidas. Instalar os patches de empresariais, equipes de
segurança aplicáveis fornecidos pelo entrega de serviços de TI
provedor. NOTA: Instalar patches críticos e unidade de negócios de TI
• Proprietários de ativos
de segurança dentro de um mês após
de software
o lançamento.
6.7 Garantir que as políticas de segurança e os • Comitê executivo de• CDE
procedimentos operacionais relacionados governança do PCI • Funções de soluções
estejam documentados, em uso e sejam empresariais, equipes de
conhecidos por todas as partes afetadas. entrega de serviços de TI
Proprietários de ativos
de software
• Equipe de Inteligência
e Risco de Ameaças GIS
7 Restringir o acesso aos dados do titular do cartão à necessidade de conhecimento para fins comerciais
7.1 Limitar o acesso a componentes do sistema • Comitê executivo de • CDE
e dados do titular do cartão apenas aos governança do PCI • Gerente de linha direta
indivíduos cujo trabalho exige tal acesso. para aprovação de acesso
• Equipe de gerenciamento
de identidade e acesso
8 Identificar e autenticar o acesso aos componentes do sistema
8.1 Garantir o gerenciamento adequado da • Comitê executivo de • CDE
identificação do usuário para usuários e governança do PCI • Equipe de gerenciamento
administradores em todos os componentes de identidade e acesso
do sistema. às operações de TI
8.2 Empregar pelo menos um dos métodos • Comitê executivo de • CDE
a seguir para autenticar todos os usuários: governança do PCI • Equipe de gerenciamento
algo que você conhece, como uma senha de identidade e acesso
ou frase secreta; algo que você tem, às operações de TI
como um dispositivo de token ou
cartão inteligente; ou algo que você é,
como a identificação biométrica.
INTERNO
para referência.

8.7 Garantir que todo acesso a qualquer banco • Comitê executivo de • CDE
de dados que contenha dados do titular governança do PCI • Equipe de gerenciamento
do cartão seja restrito. de identidade e acesso
9 Restringir o acesso físico aos dados do titular do cartão
9.1 Documentar e implementar mecanismos • Comitê executivo de • CDE
para restringir o acesso físico aos dados governança do PCI • Gestão de segurança
do titular do cartão. e instalações empresariais
procedimentos operacionais relacionados governança do PCI • Gestão de segurança
estejam documentados, em uso e sejam e instalações empresariais
10 Rastrear e monitorar todo o acesso a recursos de rede e dados do titular do cartão
10.1 Implementar trilhas de auditoria para • Comitê executivo de • CDE
vincular todo o acesso aos componentes governança do PCI • Equipe de serviços de rede
do sistema a cada usuário individual. das operações de TI
• Funções de soluções
10.2 Implementar trilhas de auditoria • Comitê executivo de • CDE
automatizadas para todos os componentes governança do PCI • Equipe de serviços de rede
do sistema para reconstrução de eventos. das operações de TI
• Funções de soluções
procedimentos operacionais relacionados governança do PCI • Equipe de serviços de rede
11 testar regularmente os sistemas e processos de segurança
11.1 Implementar processos para testar a • Vice-presidente, • Equipe de serviços de rede
presença de pontos de acesso sem fio. Infraestrutura, Arquitetura, das operações de TI
Operações e CTO
11.2 Executar varreduras de vulnerabilidade • Diretor de segurança • Equipe de Inteligência
de rede internas e externas pelo menos da informação e Risco de Ameaças GIS
trimestralmente e após qualquer alteração
significativa na rede.
11.3 Desenvolver e implementar uma metodologia • Diretor de segurança • Equipe de Inteligência
para testes de penetração que inclua testes da informação e Risco de Ameaças GIS
de penetração externos e internos pelo
menos uma vez ao ano e após qualquer
atualização ou modificação significativa.
INTERNO
para referência.

11.4 Usar técnicas de detecção e/ou prevenção • Vice-presidente, • Equipe de serviços de rede
de invasão de rede para identificar e/ou Infraestrutura, Arquitetura, das operações de TI
evitar invasões na rede. Operações e CTO • Equipe de Inteligência
11.5 Implantar um mecanismo de detecção de • Comitê executivo de • CDE
alterações (por exemplo, ferramentas de governança do PCI • Funções de soluções
monitoramento de integridade de arquivos) empresariais, equipes de
para alertar o pessoal sobre modificações entrega de serviços de TI
não autorizadas (incluindo alterações, e unidade de negócios de TI
inclusões e exclusões) de arquivos críticos
do sistema, arquivos de configuração
ou arquivos de conteúdo.
11.6 Garantir que as políticas de segurança e os • Comitê executivo de
• CDE
procedimentos operacionais relacionados governança do PCI
• Equipe de serviços de rede
conhecidos por todas as partes afetadas. • Equipe de Inteligência
manter uma política que aborde a segurança da informação para todos os funcionários e trabalhadores
12
eventuais
12.1 Estabelecer, publicar, manter e divulgar • Diretor de segurança • Equipe de Governança do GIS
uma política de segurança da informação. da informação
12.3 Desenvolver políticas de uso (por exemplo, • Comitê executivo de • CDE
uso aceitável, políticas de segurança da governança do PCI • Equipe de Governança do GIS
informação) para tecnologias críticas para • Proprietários de tecnologia
definir seu uso adequado por todo o pessoal.
12.4 Garantir que a política e os procedimentos • Comitê executivo de • CDE (Nível de procedimento)
de segurança definam claramente as governança do PCI • Equipe de Governança GIS
responsabilidades de segurança da (nível de Política Empresarial
informação para todo o pessoal. e Normas)
INTERNO

PCI DSS Security Governance Standard - PRB

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

PCI DSS Security Governance Standard - PRB

Enviado por

Direitos autorais:

Formatos disponíveis

Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS)

Norma de governança de segurança

Última Versão / Traduções

2.0 Funções e responsabilidades

Renderização de dados armazenados

Número da conta principal (PAN) Sim Sim

Objetivos Requisitos do PCI DSS

3.2 Requisitos de segurança para os componentes do sistema

4.0 Não Conformidades/Desvios

7.0 Tabela de Revisões

Apêndice A: Funções e responsabilidades

Áreas comerciais (como parte de um CDE)

Diretor de segurança da informação (CISO)

Gestão de segurança e instalações empresariais

Comitê executivo de governança do PCI

Equipe de Conformidade de Segurança Global da Informação (GIS)

Equipe de Governança e Conscientização sobre Segurança da Informação Global (GIS)

Equipe de Risco de Segurança Global da Informação (GIS)

Recursos Humanos (RH)

Equipe de gerenciamento de ativos de operações de TI

Equipe de gerenciamento de identidade e acesso às operações de TI

Equipe de serviços de rede das operações de TI

Proprietários de ativos tecnológicos

Apêndice B: Responsabilidades de controle do PCI DSS

ID Requisitos do PCI DSS Prestação de contas Responsável

ID Requisitos do PCI DSS Prestação de contas Responsável

Os ambientes de dados do portador do

ID Requisitos do PCI DSS Prestação de contas Responsável

ID Requisitos do PCI DSS Prestação de contas Responsável

ID Requisitos do PCI DSS Prestação de contas Responsável

Você também pode gostar