O PCI-DSS possui 4 níveis:
Nesse tópico vamos abordar os Níveis de Conformidade com o PCI-DSS, de acordo com o seu volume de transações anual com cartão, sua empresa se enquadra em um dos níveis abaixo:
Nível 1
Se aplica a comerciantes que processam mais de 6 (seis) milhões de transações com cartão de crédito anualmente.
Conduzido por um auditor autorizado do PCI (QSA), as empresas devem passar por uma auditoria interna uma vez por ano. Além disso, uma vez por trimestre, eles devem enviar para uma varredura PCI por um Fornecedor de Varreduras Aprovado (ASV, Approved Scanning Vendor).
Requisitos de Validação:
(1). O Assessor de Segurança Qualificado (“QSA”) aplica as ações necessárias para o ambiente estar totalmente em conformidade com o PCI-DSS
(2). Teste de Vulnerabilidade trimestral Scanner Aprovado (“ASV”).
(3). Pen Test/teste de Intrusão com relatório técnico
(4).Implantar políticas necessárias a cada tipo de ambiente.
(5). ROC Relatorio de conformidade descrito pelo auditor QSA
(6).Certificado de conformidade assinado pelo QSA (“AOC”).
Nível 2
Se aplica a comerciantes que processam entre 1 (um) e 6 (seis) milhões de transações com cartão de crédito anualmente.
As empresas são obrigados a concluir uma avaliação uma vez por ano usando um questionário de avaliação (SAQ). Além disso, uma varredura PCI trimestral é necessária, alem de Pentest realizado no ambiente com relatório técnico.
Requisitos de validação:
(1). Questionário de Avaliação de ambiente (SAQ)
(2). Testes de vulnerabilidades trimestrais (ASV)
(3). Pentest com relatório técnico
(4). Implantar políticas necessárias a cada tipo de ambiente.
(5). Certificado de conformidade (AOC)
Nível 3
Se aplica a comerciantes que processam entre 20 mil e 1 (um) milhão de transações com cartão crédito anualmente.
As empresas são obrigados a concluir uma avaliação uma vez por ano usando um questionário de avaliação (SAQ). Além disso, uma varredura PCI trimestral é necessária, alem de Pentest realizado no ambiente com relatório técnico.
Requisitos de validação:
(1). Questionário de Avaliação de ambiente (SAQ)
(2). Testes de vulnerabilidades (ASV)
(3). Pentest com relatório técnico
(4). Implantar políticas necessárias a cada tipo de ambiente.
(5). Certificado de conformidade (AOC)
Nível 4
Se aplica a comerciantes que processam até de 20 (vinte) mil transações com cartão de crédito anualmente.
Eles são obrigados a concluir uma avaliação uma vez por ano usando um questionário de avaliação (SAQ). Além disso, uma varredura PCI trimestral é necessária, juntamente com a implantação de políticas para o ambiente.
Requisitos de validação:
(1). Questionário de Avaliação de ambiente (SAQ)
(2). Testes de vulnerabilidades (ASV)
(3). Pentest com relatório técnico
(4). Implantar políticas necessárias a cada tipo de ambiente.
(5). Certificado de conformidade (AOC)
O que define os níveis de conformidade com o PCI-DSS é o volume de transações com cartão anual da sua empresa!
Confira com o seu parceiro/solicitante se sua empresa esta enquadrado no requisitos PCI-DSS ou se há uma regra de negócio que se enquadra em um volume diferente.
