Questionário de Auto-Avaliação do PCI DSS
Declaração Diretiva
Todos os estabelecimentos ou unidades que armazenam, processam ou transmitem dados do portador do cartão devem realizar uma auto-avaliação anual em parceria com as Operações de Cartão de Pagamento.
Motivo da Diretriz
Os comerciantes de cartões de crédito da Universidade da Flórida devem seguir procedimentos rigorosos para proteger os dados dos cartões de crédito dos clientes e maximizar a conformidade com o PCI DSS. A falha em proteger tais informações pode resultar em perdas financeiras para os clientes, suspensão dos privilégios de processamento de cartão de crédito, multas impostas aos comerciantes de cartão de crédito e danos à reputação da Universidade.
Quem deve cumprir?
Todos os departamentos da Universidade cujo pessoal armazena, processa ou transmite informações do titular do cartão de crédito. Isto também se aplica a unidades que terceirizam o processamento de informações de cartões de pagamento para fornecedores terceiros.
Overificação
O Questionário de Auto-Avaliação do PCI DSS (SAQ) é uma ferramenta de validação destinada a auxiliar os comerciantes e prestadores de serviços na auto-avaliação de sua conformidade com o PCI DSS. Todos os comerciantes do campus da Universidade da Flórida são obrigados a preencher um SAQ a cada ano. Existem várias versões do SAQ para atender a vários cenários.
| SAQ | Descrição |
|---|---|
| A | Comerciantes de cartão-não presentes (e-commerce ou correio/telefone pedido), que tenham terceirizado completamente todas as funções de dados do portador do cartão para um provedor de serviços terceirizado compatível com o PCI DSS, sem armazenamento, processamento ou transmissão eletrônica de quaisquer dados do portador do cartão nos sistemas ou instalações do estabelecimento. Não aplicável aos canais presenciais |
| A-EP | E-commerce merchants que terceirizam todo o processamento de pagamentos para terceiros validados pelo PCI DSS, e que possuem um website(s) que não recebe diretamente os dados do portador do cartão, mas que pode impactar a segurança da transação de pagamento. Nenhum armazenamento, processamento ou transmissão eletrônica de dados do portador do cartão nos sistemas ou instalações do estabelecimento comercial. Aplicável apenas aos canais de comércio electrónico |
| B | Merchants usando apenas:
Não aplicável aos canais de comércio electrónico |
| B-IP | Merchants usando apenas terminais de pagamento autónomos, aprovados pelo PTS, com uma ligação IP ao processador de pagamento sem armazenamento electrónico de dados do titular do cartão. Não aplicável a canais de comércio electrónico |
| C-VT | Merchants que introduzem manualmente uma única transacção de cada vez através de um teclado numa solução de terminal de pagamento virtual baseada na Internet que é fornecida e alojada por um fornecedor de serviços de terceiros validado por PCI DSS. Nenhum armazenamento de dados do portador de cartão eletrônico. Não se aplica aos canais de comércio eletrônico |
| C | Merchants com sistemas de aplicação de pagamento conectados à Internet – nenhum armazenamento de dados do portador de cartão eletrônico Não se aplica aos canais de comércio eletrônico |
| D | SAQ D for Merchants: Todos os comerciantes não incluídos nas descrições para os tipos de SAQ acima
SAQ D para Prestadores de Serviços: Todos os prestadores de serviços definidos por uma marca de pagamento como elegíveis para completar um SAQ |
| P2PE | Merchants usando apenas terminais de pagamento por hardware incluídos e geridos através de uma solução de criptografia ponto-a-ponto (PP2E) validada e listada no PCI SSC, sem armazenamento electrónico de dados do titular do cartão. Não aplicável aos canais de comércio electrónico. |
O PCI Security Standards Council fornece o SAQ Instruction Guide para ajudar a completar o SAQ anual.
Definições
Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS)
O PCI DSS (Payment Card Industry Data Security Standard) foi desenvolvido para encorajar e melhorar a segurança dos dados de segurança do portador do cartão e facilitar a ampla adoção de medidas consistentes de segurança de dados em todo o mundo. O PCI DSS se aplica a todas as entidades envolvidas no processamento de cartões de pagamento, incluindo comerciantes, processadores, adquirentes, emissores e prestadores de serviços. O PCI DSS também se aplica a todas as outras entidades que armazenam, processam ou transmitem dados de portadores de cartões de pagamento.
Primeira Revisão
01/31/2021: conteúdo revisado