Escolar Documentos
Profissional Documentos
Cultura Documentos
1. Questões Gerais
Q 1.1 Qual é o propósito da Planilha de Itens Apontados para Melhoria (INFI) do PCI DSS v4.x?
A Fornecer um método consistente para os assessores documentarem ações corretivas e
atividades de reavaliação durante um período de avaliação e fornecer uma ferramenta
consistente para facilitar as conversas relacionadas entre o assessor e a entidade avaliada.
Q 1.2 Esta Planilha tem que ser preenchida para avaliações do PCI DSS v3.2.1?
A Não, esta Planilha destina-se a avaliações do PCI DSS v4.x. O preenchimento da Planilha INFI
é recomendado, mas não obrigatório, para avaliações do PCI DSS v3.2.1.
2. Responsabilidades do Avaliador
Q 2.1 Os QSAs são obrigados a preencher uma Planilha INFI para cada avaliação do PCI DSS
v4.x?
A Sim.
Q 2.2 Os QSAs são obrigados a preencher uma Planilha INFI mesmo se não houver Itens
Apontados para Melhoria?
A Sim, os QSAs são obrigados a preencher a seção de Reconhecimento e Atestado do Avaliador,
mesmo que não haja itens apontados que precisem de melhorias durante a avaliação, caso em
que o QSA marcará a caixa “Não” nessa seção.
Q 2.3 Os ISAs que preenchem um Relatório de Conformidade para sua organização são
obrigados a preencher uma Planilha INFI?
A Os ISAs são incentivados, mas não obrigados, a preencher uma Planilha INFI.
Q 2.4 O QSA ainda pode assinar o Atestado de Conformidade (AOC) se uma entidade se recusar
a receber a Planilha INFI?
A Sim, o QSA ainda é obrigado a assinar o AOC. A planilha INFI não é considerada um
documento de conformidade, portanto, o fato de a entidade recebê-la não afeta as obrigações
do QSA de preencher e assinar o AOC. Neste cenário, o QSA também deve documentar nos
papéis de trabalho que a entidade se recusou a aceitar a Planilha INFI.
Q 3.2 Por que a Planilha INFI inclui se uma falha de controle foi identificada pela primeira vez
pela entidade ou pelo assessor?
A Entidades com processos estabelecidos para identificar falhas de controle e implementar ações
corretivas em seus ambientes geralmente possuem processos de gestão de riscos e segurança
mais maduros, com informações sobre se esses processos estão operando de forma eficaz.
Embora as entidades não sejam obrigadas a identificar falhas para uso de uma planilha INFI, a
planilha INFI inclui uma seção para identificar se a falha foi identificada primeiro pela entidade
ou pelo assessor. Incluir se a falha de controle foi identificada pela entidade ou pelo assessor
destina-se a ajudar as entidades a entender se estão efetivamente mantendo e monitorando
seus controles e ambiente.
Q 3.3 Qual é o papel da INFI para requisitos com periodicidade ou frequência definida, quando
uma entidade não realizou a atividade no prazo exigido?
A Vários requisitos do PCI DSS especificam que uma atividade de segurança deve ser executada
periodicamente ou em uma frequência definida. Se uma entidade falhar em executar o controle
em um ou mais dos prazos definidos, não há como executar o controle retroativamente ou
retroagir uma ocorrência posterior do controle para um período anterior.
Um exemplo comum são as varreduras ASV externas, que são necessárias pelo menos uma
vez a cada três meses. Se uma varredura ASV não for realizada por seis meses, a entidade não
terá relatórios de varredura ASV suficientes para fornecer como evidência durante a avaliação.
Outros exemplos incluem não instalar um patch de segurança crítico dentro de 30 dias após o
lançamento e não revisar as configurações de controle de segurança de rede pelo menos uma
vez a cada seis meses.
Nesses cenários, o assessor pode usar a Planilha INFI para dar suporte a uma constatação de
“Implementado” se a entidade implementou ações corretivas e executou com sucesso o
controle de acordo com o requisito, e o assessor tem garantia de que:
▪ A entidade tem um processo repetível e documentado para realizar o controle,
▪ A entidade demonstra que a atividade foi perdida devido a uma circunstância excepcional
(práticas de segurança insatisfatórias e falhas recorrentes não são uma "circunstância
excepcional"),
Q 3.4 O que um QSA deve fazer se observar que o mesmo item é anotado para melhoria durante
a próxima avaliação?
A A intenção da Planilha INFI é ajudar as entidades entender melhor sua postura de segurança,
melhorar seus processos e controles de segurança e identificar áreas de melhoria enquanto
trabalham para a segurança como um processo contínuo. Espera-se que a entidade aborde os
itens observados para melhoria, incluindo a implementação de processos para prevenir a
recorrência. Entretanto, não se destina a ser uma descoberta automática de “Não
implementado” se esse mesmo item for indicado para melhoria durante a próxima avaliação do
PCI DSS.
O assessor tem liberdade para decidir como relatar itens repetidos apontados para melhoria,
considerando o seguinte:
▪ Os processos previamente implementados pela entidade para prevenir a recorrência do
item foram ineficazes ou não seguidos?
▪ As circunstâncias ou motivos da falha atual foram diferentes da falha anterior (por
exemplo, a falha ocorreu em uma parte diferente da empresa ou em um conjunto diferente
de sistemas que se enquadram em processos separados ou a falha ocorreu por um motivo
completamente diferente)?
Se o assessor identificar um tema recorrente e determinar que a falha atual resultou de uma
falha dos processos desenvolvidos anteriormente pela entidade para prevenir a recorrência, um
resultado “Não Implementado” pode ser a descoberta apropriada.