As verificações de vulnerabilidade precisam ser realizadas pelo menos trimestralmente e após uma alteração significativa. O que significa “alteração significativa” no PCI DSS?

Mudança significativa no PCI DSS

A definição de mudança significativa depende muito da configuração do seu ambiente.

No entanto, o Conselho PCI considera as seguintes atividades como "mudança significativa":

• Novo hardware, software ou equipamento de rede adicionados ao CDE.
• Qualquer troca ou atualização importante no hardware e no software no CDE.
• Qualquer alteração no fluxo ou no armazenamento dos dados da conta.
• Qualquer alteração no limite do CDE e/ou no escopo da avaliação do PCI DSS.
• Qualquer alteração na infraestrutura de suporte do CDE (incluindo, entre outras, alterações nos serviços de diretório, servidores de tempo, registro e monitoramento).
• Qualquer alteração nos fornecedores/provedores de serviços (ou serviços prestados) terceirizados que dão suporte ao CDE ou que atendam aos requisitos do PCI DSS em nome da entidade.

Cada uma dessas atividades, no mínimo, tem impactos potenciais na segurança do ambiente de dados do titular do cartão (CDE) de uma entidade e deve ser considerada e avaliada para determinar se uma mudança é significativa para essa entidade e no contexto dos requisitos relacionados do PCI DSS.