Padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS)
Os serviços de nuvem distribuída da F5 são compatíveis com PCI-DSS como um provedor de serviços de nível 1
O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) incentiva e aprimora a segurança de dados de contas de cartão de pagamento e facilita uma adoção mais ampla de medidas consistentes de segurança de dados em todo o mundo. O PCI DSS fornece uma linha de base de requisitos técnicos e operacionais projetados para proteger dados de contas. Embora tenha sido projetado especificamente para focar em ambientes com dados de contas de cartão de pagamento, o PCI DSS também pode ser usado para proteger contra ameaças e proteger outros elementos no ecossistema de pagamento.
O PCI DSS é destinado a todas as entidades que armazenam, processam ou transmitem dados do titular do cartão (CHD) e/ou dados de autenticação confidenciais (SAD) ou que podem impactar a segurança do ambiente de dados do titular do cartão (CDE). Isso inclui todas as entidades envolvidas no processamento de contas de cartão de pagamento — incluindo comerciantes, processadores, adquirentes, emissores e outros provedores de serviços.
A conformidade com o PCI DSS também garante que as empresas sigam as melhores práticas do setor ao processar, armazenar e transmitir dados de cartão de crédito. Por sua vez, a conformidade com o PCI DSS promove a confiança entre clientes e partes interessadas.
O PCI DSS compreende um conjunto mínimo de requisitos para proteger dados de contas e pode ser aprimorado por controles e práticas adicionais para mitigar ainda mais os riscos. A tabela abaixo lista os requisitos do PCI DSS em alto nível. A F5 se qualifica como Provedora de Serviços Nível 1 e, embora não processe, armazene ou transmita CHD/SAD, ela pode impactar a segurança do ambiente de dados do titular do cartão (CDE) de nossos clientes.
Produtos aplicáveis: F5 Distributed Cloud, Defesa de Bot e Silverline
| Padrão de segurança PCI DSS - Visão geral de alto nível |
|
|
|||
|---|---|---|---|---|---|
| Crie e mantenha uma rede e sistemas seguros | 1. Instalar e manter controles de segurança de rede 2. Aplique configurações seguras a todos os componentes do sistema. |
||||
Proteja os dados da conta |
3. Proteja os dados da conta armazenada. 4. Proteja os dados do titular do cartão com criptografia forte durante a transmissão em redes públicas abertas. |
||||
| Manter um programa de gerenciamento de vulnerabilidades | 5. Proteja todos os sistemas e redes contra softwares maliciosos. 6. Desenvolver e manter sistemas e softwares seguros. |
||||
| Implementar medidas fortes de controle de acesso | 7. Restrinja o acesso aos componentes do sistema e aos dados do titular do cartão conforme a necessidade comercial. 8. Identificar usuários e autenticar acesso aos componentes do sistema. 9. Restringir o acesso físico aos dados do titular do cartão. |
||||
| Monitore e teste redes regularmente | 10. Registre e monitore todo o acesso aos componentes do sistema e aos dados do titular do cartão. 11. Teste a segurança de sistemas e redes regularmente. |
||||
| Manter uma Política de Segurança da Informação | 12. Dê suporte à segurança da informação com políticas e programas organizacionais.
|
||||
Fonte: Padrão de segurança de dados do setor de cartões de pagamento: Requisitos e procedimentos de teste, v4.0
PERGUNTAS FREQUENTES
Quais dados pessoais a F5 processa para seus clientes?
Para muitos serviços, a F5 atua como um “processador” (não um controlador) dos dados pessoais necessários para fornecer um serviço. Detalhes sobre os dados pessoais que a F5 processa estão listados nas Declarações de Privacidade de cada serviço. Encontre todos os links da Declaração de Privacidade específicos do serviço na introdução do Aviso de Privacidade da F5 em https://www.f5.com/company/policies/privacy-notice .
Quais medidas de segurança específicas a F5 fornece para dados pessoais?
A F5 e seus serviços priorizam a proteção de dados pessoais e mantêm os mais altos padrões de privacidade de dados. Os controles técnicos e organizacionais que protegem os dados pessoais coletados pela F5 estão listados nos contratos de serviço específicos (por exemplo, os Termos Específicos do Serviço aplicáveis aos serviços fornecidos sob nosso Contrato de Serviços ao Usuário Final) e no relatório SOC2 Tipo II da F5. O F5 Global Support é certificado pela ISO 27001 e o F5 Distributed Cloud Services é certificado pela ISO 27001 com uma extensão de ISO 27017 e ISO 27018. A F5 também é compatível com PCI-DSS como Provedora de Serviços de Nível 1 para os Serviços de Nuvem Distribuída F5. Certificações de segurança adicionais se aplicam a serviços F5 específicos e hardware F5. Encontre informações mais detalhadas sobre práticas de segurança de dados em https://www.f5.com/company/policies/privacy-notice .
