Payment Card Industry (PCI)

Padrão de Segurança de Dados

PCI DSS v4.x: Planilha de Itens Apontados para

Melhoria (INFI) − Perguntas Frequentes
Junho de 2023

TERMO DE RECONHECIMENTO: A versão em inglês deste documento, conforme

disponibilizada no site do PCI SSC, para todos os efeitos, é considerada a versão oficial
destes documentos e, na medida em que houver ambiguidades ou inconsistências entre a
redação do presente texto e do texto em inglês, a versão em inglês disponibilizada no local
mencionado prevalecerá.
Objetivo do Documento
O PCI DSS v4.x: A Planilha de Itens Apontados para Melhoria (Planilha INFI) destina-se ao uso interno
entre o assessor e a entidade avaliada para ajudar as entidades a entender melhor sua postura de
segurança, melhorar seus processos e controles de segurança e identificar as áreas de melhoria à
medida que trabalham em prol da segurança como um processo contínuo. A Planilha também fornece
um método útil para as entidades relatarem itens que precisam de melhorias e ações corretivas
associadas à alta gestão. Este documento aborda questões sobre o uso da Planilha INF do PCI DSS
v4.x.

1. Questões Gerais
Q 1.1 Qual é o propósito da Planilha de Itens Apontados para Melhoria (INFI) do PCI DSS v4.x?
A Fornecer um método consistente para os assessores documentarem ações corretivas e
atividades de reavaliação durante um período de avaliação e fornecer uma ferramenta
consistente para facilitar as conversas relacionadas entre o assessor e a entidade avaliada.

Q 1.2 Esta Planilha tem que ser preenchida para avaliações do PCI DSS v3.2.1?
A Não, esta Planilha destina-se a avaliações do PCI DSS v4.x. O preenchimento da Planilha INFI
é recomendado, mas não obrigatório, para avaliações do PCI DSS v3.2.1.

2. Responsabilidades do Avaliador
Q 2.1 Os QSAs são obrigados a preencher uma Planilha INFI para cada avaliação do PCI DSS
v4.x?
A Sim.

Q 2.2 Os QSAs são obrigados a preencher uma Planilha INFI mesmo se não houver Itens
Apontados para Melhoria?
A Sim, os QSAs são obrigados a preencher a seção de Reconhecimento e Atestado do Avaliador,
mesmo que não haja itens apontados que precisem de melhorias durante a avaliação, caso em
que o QSA marcará a caixa “Não” nessa seção.

Q 2.3 Os ISAs que preenchem um Relatório de Conformidade para sua organização são
obrigados a preencher uma Planilha INFI?
A Os ISAs são incentivados, mas não obrigados, a preencher uma Planilha INFI.

Q 2.4 O QSA ainda pode assinar o Atestado de Conformidade (AOC) se uma entidade se recusar
a receber a Planilha INFI?
A Sim, o QSA ainda é obrigado a assinar o AOC. A planilha INFI não é considerada um
documento de conformidade, portanto, o fato de a entidade recebê-la não afeta as obrigações
do QSA de preencher e assinar o AOC. Neste cenário, o QSA também deve documentar nos
papéis de trabalho que a entidade se recusou a aceitar a Planilha INFI.

Planilha INFI do PCI DSS v4.x - Perguntas Frequentes Junho de 2023

© 2023 PCI Security Standards Council, LLC. Todos os Direitos Reservados. Página 1
 Q 2.5 Os QSAs são obrigados a preencher as Planilhas INFI quando auxiliam as entidades com
os SAQs?
A Não. Se um QSA ajudar uma entidade a concluir seu SAQ (por exemplo, testando requisitos
para determinar se eles foram atendidos), a due dilligence do QSA deve incluir a identificação
de quaisquer problemas que precisem de ação corretiva. É recomendado, mas não obrigatório,
que um QSA preencha uma Planilha INFI para documentar quaisquer problemas observados
como parte da conclusão do SAQ.

3. Uso da Planilha INFI

Q 3.1 Como as entidades avaliadas devem utilizar a Planilha INFI?
A É uma prática recomendada para as entidades manter este documento e compartilhá-lo
internamente com os departamentos de conformidade e risco de sua organização. As entidades
também podem optar por compartilhar a planilha externamente com os assessores e outros
terceiros, pois é uma ferramenta eficaz para permitir que futuros assessores e terceiros
entendam os desafios passados e como eles foram abordados.

Q 3.2 Por que a Planilha INFI inclui se uma falha de controle foi identificada pela primeira vez
pela entidade ou pelo assessor?
A Entidades com processos estabelecidos para identificar falhas de controle e implementar ações
corretivas em seus ambientes geralmente possuem processos de gestão de riscos e segurança
mais maduros, com informações sobre se esses processos estão operando de forma eficaz.
Embora as entidades não sejam obrigadas a identificar falhas para uso de uma planilha INFI, a
planilha INFI inclui uma seção para identificar se a falha foi identificada primeiro pela entidade
ou pelo assessor. Incluir se a falha de controle foi identificada pela entidade ou pelo assessor
destina-se a ajudar as entidades a entender se estão efetivamente mantendo e monitorando
seus controles e ambiente.

Q 3.3 Qual é o papel da INFI para requisitos com periodicidade ou frequência definida, quando
uma entidade não realizou a atividade no prazo exigido?
A Vários requisitos do PCI DSS especificam que uma atividade de segurança deve ser executada
periodicamente ou em uma frequência definida. Se uma entidade falhar em executar o controle
em um ou mais dos prazos definidos, não há como executar o controle retroativamente ou
retroagir uma ocorrência posterior do controle para um período anterior.
Um exemplo comum são as varreduras ASV externas, que são necessárias pelo menos uma
vez a cada três meses. Se uma varredura ASV não for realizada por seis meses, a entidade não
terá relatórios de varredura ASV suficientes para fornecer como evidência durante a avaliação.
Outros exemplos incluem não instalar um patch de segurança crítico dentro de 30 dias após o
lançamento e não revisar as configurações de controle de segurança de rede pelo menos uma
vez a cada seis meses.
Nesses cenários, o assessor pode usar a Planilha INFI para dar suporte a uma constatação de
“Implementado” se a entidade implementou ações corretivas e executou com sucesso o
controle de acordo com o requisito, e o assessor tem garantia de que:
▪ A entidade tem um processo repetível e documentado para realizar o controle,
▪ A entidade demonstra que a atividade foi perdida devido a uma circunstância excepcional
(práticas de segurança insatisfatórias e falhas recorrentes não são uma "circunstância
excepcional"),

Planilha INFI do PCI DSS v4.x - Perguntas Frequentes Junho de 2023

© 2023 PCI Security Standards Council, LLC. Todos os Direitos Reservados. Página 2
 ▪ A entidade mostra que abordou o problema que levou à exceção e
▪ A entidade incluiu etapas em seu processo para evitar a recorrência.
Se a entidade não puder demonstrar o acima, ou o assessor não tiver certeza de que a
entidade possui processos em vigor para atender ao requisito, o assessor pode considerar se
uma constatação “Não implementado” seria o resultado apropriado.

Q 3.4 O que um QSA deve fazer se observar que o mesmo item é anotado para melhoria durante
a próxima avaliação?
A A intenção da Planilha INFI é ajudar as entidades entender melhor sua postura de segurança,
melhorar seus processos e controles de segurança e identificar áreas de melhoria enquanto
trabalham para a segurança como um processo contínuo. Espera-se que a entidade aborde os
itens observados para melhoria, incluindo a implementação de processos para prevenir a
recorrência. Entretanto, não se destina a ser uma descoberta automática de “Não
implementado” se esse mesmo item for indicado para melhoria durante a próxima avaliação do
PCI DSS.
O assessor tem liberdade para decidir como relatar itens repetidos apontados para melhoria,
considerando o seguinte:
▪ Os processos previamente implementados pela entidade para prevenir a recorrência do
item foram ineficazes ou não seguidos?
▪ As circunstâncias ou motivos da falha atual foram diferentes da falha anterior (por
exemplo, a falha ocorreu em uma parte diferente da empresa ou em um conjunto diferente
de sistemas que se enquadram em processos separados ou a falha ocorreu por um motivo
completamente diferente)?
Se o assessor identificar um tema recorrente e determinar que a falha atual resultou de uma
falha dos processos desenvolvidos anteriormente pela entidade para prevenir a recorrência, um
resultado “Não Implementado” pode ser a descoberta apropriada.

Q 3.5 O uso da Planilha INFI se aplica a todos os requisitos do PCI DSS?

A Sim. O uso da Planilha INFI se aplica a todos os requisitos do PCI DSS, incluindo cenários em
que:
▪ O assessor está validando que um controle foi realizado periodicamente ou com uma
frequência definida.
▪ O assessor está validando se um controle está implementado em um único ponto no
tempo.

Planilha INFI do PCI DSS v4.x - Perguntas Frequentes Junho de 2023

© 2023 PCI Security Standards Council, LLC. Todos os Direitos Reservados. Página 3