Solve and prevent information security problems and leverage your company's sales and transactions!
We certify the whole process in up to 2 weeks!
PCI - DSS CERTIFICATION for all companies that work with credit cards
We are a specialized company focused on the needs of each client in PCI-DSS certification, with qualified professionals to assist you with the requirements according to your scope.
What is PCI DSS certification?
PCI Compliance is a required certification for all companies involved in transactions involving credit card data, taking into account the storage, transmission and processing of this sensitive information.
What is the purpose of PCI DSS certification?
Due to huge losses from fraud, the main credit card brands in the world created the PCI DSS standard. Certification is the set of rules to generate more protection in transactions via the internet and also in physical stores. They must always be carried out in a secure environment, always accompanied by an environment with SSL digital certifications.
Who must comply with PCI DSS?
All entities that process data with credit cards.
What are the requirements for PCI DSS certification?
Briefly, the 12 requirements that must be met to obtain PCI DSS certification are:
-
use an efficient firewall;
-
do not use default passwords and settings;
-
protect stored cardholder information;
-
encrypt data transmission;
-
use security solutions such as antivirus, antispyware and antimalware;
-
create and maintain secure applications and systems;
-
restrict access to card data;
-
create a login for each system user;
-
restrict access to card data;
-
track and monitor all accesses;
-
test the security of the system used;
-
define a security policy.
What is the purpose of the PCI DSS Self-Assessment Questionnaire?
The PCI DSS Self-Assessment Questionnaire (SAQ) is a validation tool that merchants and other service providers use to report the results of their PCI DSS self-assessment. Merchants complete an SAQ each year and submit it to the acquiring bank to assess their PCI DSS compliance. In addition to informing the acquiring bank that the merchant is in compliance, the SAQ helps merchants detect breaches in security practices, giving them a chance to make corrections before they become a bigger issue.
Solve and prevent information security problems and leverage your company's sales and transactions!
SEGURANÇA
Seus servidores e ambiente de rede muito mais seguros, protegendo dados de clientes e evitando fraudes no sistema.
RELACIONAMENTO
A imagem da sua empresa fica protegida de exposição negativa e ainda melhora a credibilidade com os clientes.
CONFIANÇA
Adequação às boas práticas das maiores empresas do mundo, protegendo a imagem de sua empresa diante do mercado.
CONFORMIDADE
Informe seus parceiros e cliente que a sua empresa está dentro dos padrões de segurança mundial para processar cartões.
CONTROLE
Controle de acesso às informações, diminuindo o risco de vazamento de dados da empresa.
MONITORAMENTO
Não basta realizar apenas uma vez a validação, esteja sempre sendo monitorado para evitar a chance qualquer problema futuro.
PCI Levels
Level 1
acima de 6 milhões de transações anuais
Para empresas que processam mais de 6 milhões de transações com cartão por ano.
Conduzido por um auditor autorizado do PCI, as empresas devem passar por uma auditoria interna uma vez por ano. Além disso, uma vez por trimestre, eles devem enviar para uma varredura PCI por um Fornecedor de Varreduras Aprovado (ASV, Approved Scanning Vendor).
Requisitos de Validação:
-
O Assessor de Segurança Qualificado (“QSA”) aplica as ações necessárias para o ambiente estar totalmente em conformidade com o PCI-DSS
-
Teste de Vulnerabilidade trimestral Scanner Aprovado (“ASV”).
-
Penetration test com relatório técnico
-
Certificado de conformidade (“AOC”).
Level 3
entre 20 mil e 1milhão de transações anuais
Nível 3 se aplica a comerciantes que processam entre 20.000 e um milhão de transações de comércio eletrônico anualmente.
As empresas são obrigados a concluir uma avaliação uma vez por ano usando um questionário de avaliação (SAQ). Além disso, uma varredura PCI trimestral é necessária, alem de Penetration realizado no ambiente com relatório técnico.
Requisitos de validação:
-
Questionário de Avaliação de ambiente (SAQ)
-
Testes de vulnerabilidades (ASV)
-
Penetration test com relatório técnico
-
Implantar políticas necessárias a cada tipo de ambiente.
-
Certificado de conformidade (AOC)
Level 2
entre 1 e 6 milhões de transações anuais
Nível 2 se aplica a comerciantes que processam entre um e seis milhões de transações de cartão de crédito ou débito anualmente.
As empresas são obrigados a concluir uma avaliação uma vez por ano usando um questionário de avaliação (SAQ). Além disso, uma varredura PCI trimestral é necessária, alem de Pentest realizado no ambiente com relatório técnico.
Requisitos de validação:
-
Questionário de Avaliação de ambiente (SAQ)
-
Testes de vulnerabilidades (ASV)
-
Penetration test com relatório técnico
-
Implantar políticas necessárias a cada tipo de ambiente.
-
Certificado de conformidade (AOC)
Level 4
entre 20 mil e 1milhão de transações anuais
Nível 3 se aplica a comerciantes que processam entre 20.000 e um milhão de transações de comércio eletrônico anualmente.
As empresas são obrigados a concluir uma avaliação uma vez por ano usando um questionário de avaliação (SAQ). Além disso, uma varredura PCI trimestral é necessária, alem de Penetration realizado no ambiente com relatório técnico.
Requisitos de validação:
-
Questionário de Avaliação de ambiente (SAQ)
-
Testes de vulnerabilidades (ASV)
-
Penetration test com relatório técnico
-
Implantar políticas necessárias a cada tipo de ambiente.
-
Certificado de conformidade (AOC)
PCI DSS SAQ Types
How does your organization store, process or transmit payment card data? The PCI Council has created nine self-assessment questionnaires (SAQs) tailored to payment card transaction channels. Selecting the appropriate PCI SAQ is an important step towards compliance. The PCI Council provides guidance on how to select the appropriate SAQ, however, even with the guidance provided, many organizations struggle to select the correct SAQ.
Tipo de SAQ PCI DSS | Critérios de elegibilidade |
|---|---|
SAQ D para provedores de serviços | Para prestadores de serviços considerados elegíveis para preencher um SAQ. |
SAQ D para comerciantes | Para todos os comerciantes qualificados para SAQ que não atendem aos critérios para outros tipos. Para comerciantes que não terceirizam o processamento do cartão de crédito ou usam uma solução P2PE e podem armazenar os dados do cartão de crédito eletronicamente. |
SAQ P2PE | Para comerciantes que utilizam dispositivos de criptografia ponto a ponto (P2PE) aprovados, sem armazenamento eletrônico de dados do titular do cartão. |
SAQ C | Para qualquer comerciante que utilize um aplicativo de pagamento conectado à Internet, mas sem armazenamento eletrônico de dados do titular do cartão. |
SAQ C-VT | Para comerciantes que utilizam um terminal virtual em um computador dedicado exclusivamente ao processamento de cartões e que não armazenam dados eletrônicos do titular do cartão. Isso não é para atividades de comércio eletrônico. |
SAQ B-IP | Para comerciantes que usam apenas terminais de pagamento independentes aprovados pela PTS com uma conexão IP ao processador de pagamento e que não armazenam dados eletrônicos do titular do cartão. Isso não é para atividades de comércio eletrônico. |
SAQ B | Para comerciantes que utilizam máquinas de impressão e/ou terminais de discagem independentes e não transmitem, processam ou armazenam dados eletrônicos do titular do cartão. Isso não é para atividades de comércio eletrônico. |
SAQ A-EP | Para comerciantes somente de comércio eletrônico que dependem de provedores de serviços terceirizados para lidar com as informações do cartão e que têm um site que não processa dados de cartão de crédito, mas pode afetar a segurança da transação de pagamento. Não há armazenamento, processamento ou transmissão eletrônica de quaisquer dados do titular do cartão nos sistemas ou instalações do comerciante. |
SAQ A | Para comerciantes de e-commerce/correio/pedido por telefone (cartão não presente) que terceirizaram completamente todas as funções de dados do titular do cartão. Não há armazenamento, processamento ou transmissão eletrônica de quaisquer dados do titular do cartão nos sistemas ou instalações do comerciante. |