Quais são as principais alterações nos documentos de validação do PCI DSS v4.0?

Alterações nos documentos de validação do PCI DSS v4.0

Se você usa a solução criptografada da Adyen, como a integração de pagamentos on-line ou a integração de pagamentos presenciais, confira abaixo as principais alterações na nova versão do PCI DSS. Esses requisitos estão voltados para e varejistas que aceitam pagamentos com cartão de crédito e avaliam com a versão 4.0 do PCI DSS.

SAQ A

• Nova senha e requisitos expandidos na autenticação multifator (MFA) (Requisito 8): A autenticação multifatorial é altamente recomendada para todos os componentes do sistema, a fim de gerar uma camada extra de segurança para evitar a violação dos dados da conta. No entanto, quando a MFA não for implementada, e a senha/frase secreta for usada como o único método de login, essa senha/frase secreta deverá ser alterada pelo menos uma vez a cada 90 dias. Como alternativa, os varejistas podem implementar uma abordagem personalizada para dar acesso aos componentes do sistema, caso a caso, com base na configuração de segurança dessas contas.
• Noções de segurança (Requisito 6): os varejistas são obrigados a se manterem atualizados com alertas ou informações sobre novas vulnerabilidades de segurança de equipes de resposta a emergências de computadores (CERTs) internacionais e locais. 
• Varredura trimestral de vulnerabilidades externas (Requisito 11): os varejistas que aceitam pagamentos de ecommerce são obrigados a realizar ou a ter políticas e procedimentos para os documentos que exigem a checagem de vulnerabilidades feitas por prestadores de escaneamento aprovados pelo PCI SSC pelo menos uma vez a cada três meses e após qualquer alteração significativa no ambiente de pagamentos. Embora não sejam inicialmente necessários quatro escaneamentos aprovados dentro de 12 meses, os anos subsequentes exigem a aprovação de exames pelo menos a cada três meses. Esse requisito entra em vigor imediatamente.

SAQ BIP para pagamentos presenciais (IPP)

• Atualização de segurança de aparelhos IPP (Requisito 6): se o varejista controlar qual atualização de aparelho está instalada, os patches de segurança deverão ser gerenciados e instalados no terminal de pagamentos de acordo com a gravidade e o impacto da vulnerabilidade identificada.

SAQ B-IP para MOTO no aparelho IPP

• Atualização de segurança de aparelhos IPP (Requisito 6): se o varejista controlar qual atualização de aparelho está instalada, os patches de segurança deverão ser gerenciados e instalados no terminal de pagamentos de acordo com a gravidade e o impacto da vulnerabilidade identificada.
• Controle de acesso (Requisito 7): esse requisito se limita ao acesso temporário aos dados dos titulares dos cartões no fluxo de pagamento MOTO pela classificação e função do trabalho dos funcionários. É importante cada um só receba os direitos de usuário quando for necessário para executar o trabalho.

SAQ C-VT para MOTO no aparelho IPP

• Controle de acesso (Requisito 7): assim como o MOTO em aparelhos IPP, este requisito para o MOTO preenchido via terminal virtual se limita ao acesso temporário aos dados do titular do cartão no fluxo de pagamento do MOTO pela classificação de trabalho e função dos funcionários. É importante cada um só receba os direitos de usuário quando for necessário para executar o trabalho.

Mudanças com data no futuro

Os requisitos a seguir são recomendações até 31 de março de 2025 e podem ser "Não Aplicáveis" na avaliação do varejista. Eles só estão totalmente dentro do escopo das avaliações realizadas após essa data. 

SAQ A

• Novo requisito para senha: diferente do requisito mínimo de 7 caracteres na versão 3.2.1, o tamanho mínimo de 12 caracteres (ou, SE o sistema não aceitar 12 caracteres, o tamanho mínimo de oito caracteres) contendo caracteres numéricos e alfabéticos é necessário para os componentes do sistema.
• Monitore a integridade do conteúdo da página de pagamentos (Requisitos 6 e 11): para reduzir o risco de ataques com o intermediário, os varejistas precisam ter um procedimento em vigor (como um mecanismo/tecnologia de detecção de adulteradores/alterações) para monitorar/confirmar a integridade do cabeçalho HTTP da página de pagamento e scripts, incluindo a web contendo a estrutura/iFrame embutido do TPSP, executado no site/aplicativo da Web do lojista. 

Saiba mais sobre a transição para o PCI DSS v4.0 no guia de conformidade do PCI DSS da Adyen e no nosso blog de conformidade com o PCI DSS v4.0.