FRAMEWORK · PCI-DSS v4.0

PCI-DSS v4.0.
Para quem processa cartões.

Se a sua empresa processa, armazena ou transmite dados de cartões (TPV físicos, e-commerce, terminais POS), o PCI-DSS v4.0 é obrigatório. O Itamite cobre os requisitos técnicos sobre endpoints (Req. 5, 6, 7, 8, 10, 11.5) com evidência assinada para o seu QSA.

Ver preços Demo PCI-DSS

Níveis PCI por volume

Level 1: > 6M transações/ano. Auditoria QSA anual obrigatória + scan ASV trimestral. Level 2: 1-6M transações. SAQ (Self Assessment Questionnaire) anual + scan ASV trimestral. Level 3: 20K-1M e-commerce. SAQ anual + scan ASV trimestral. Level 4: < 20K e-commerce ou < 1M total. SAQ anual recomendado.

Coimas por incumprimento: 5 000-100 000 USD/mês conforme o banco adquirente. Em caso de brecha: até 500 000 USD por evento + possível exclusão de processamento de cartões.

REQUISITOS PCI ↔ ITAMITE

Mapeamento ponto a ponto

Req. 5 — Proteção antimalware

O Itamite verifica continuamente: AV instalado e operacional (5.2.1), AV atualizado <7 dias (5.2.2), AV faz scan automaticamente (5.2.3), sem possibilidade de desativação pelo utilizador final (5.2.5). Compatível com CrowdStrike, SentinelOne, Defender, Sophos, ESET, Kaspersky.

Req. 6 — Sistemas e aplicações seguros

Deteção de patches críticos pendentes (6.3.3), inventário de software com versões (6.2), software EOL alertado, vulnerabilidades CVE conhecidas no software detetado (6.2.4).

Req. 7 — Restrição de acesso por função

Deteção de contas administrador locais e respetiva justificação (7.2), políticas de mínimo privilégio (7.2.2), revisão periódica de acessos (7.2.4). Integração com AD/Azure AD para gestão centralizada.

Req. 8 — Identificação e autenticação

Política de palavras-passe (comprimento, complexidade, validade — 8.3), MFA para acesso administrativo (8.4), deteção de contas inativas, conta Guest desativada. Auditoria completa de logins.

Req. 10 — Registo e monitorização

Auditoria imutável hash-chain de toda a atividade administrativa (10.2), retenção mínima de 1 ano com 3 meses imediatamente acessíveis (10.5.1), sincronização de tempos NTP (10.6), revisão diária automática dos registos (10.4.1).

Req. 11.5 — Deteção de alterações não autorizadas

O Itamite deteta alterações na configuração crítica de cada equipamento, alertando para modificações não autorizadas (11.5.2). Políticas declarativas que revertem alterações automaticamente.

PERGUNTAS FREQUENTES

Dúvidas sobre PCI-DSS

O Itamite é PCI-DSS compliant?
O Itamite NÃO armazena dados de cartões (PAN, CVV, etc.) em si próprio. Por isso, o âmbito PCI da própria plataforma é limitado. A Stripe (o nosso processador de pagamentos) é PCI-DSS Level 1. A sua utilização do Itamite não alarga o seu âmbito PCI desde que o use apenas para gestão de IT.
Cobre o scan ASV trimestral?
Não diretamente. O scan ASV é um scan externo de vulnerabilidades web realizado por um Approved Scanning Vendor (Qualys, Tenable, Trustwave). O Itamite é complementar: cobre o estado interno dos endpoints, não o scan perimetral.
E para ambientes com TPV físicos?
Especialmente útil. Cada terminal POS deve ter o agente Itamite. Verifica continuamente: AV ativo, patches em dia, configuração correta, sem software não autorizado. Reduz drasticamente o risco de skimming/POS malware.
O relatório Itamite é válido para QSA?
Sim, como evidência técnica dos requisitos cobertos. O QSA fará igualmente as suas próprias verificações. O Itamite reduz o tempo de auditoria entregando evidência preparada e assinada.
Quanto reduz o custo da auditoria QSA?
Dependendo do QSA e do âmbito, tipicamente 20-40% de redução em horas faturáveis ao ter evidência técnica preparada em formato direto. Alguns QSA já recomendam aos seus clientes ferramentas como o Itamite pela agilidade do processo.

Próxima auditoria PCI-DSS?

Demo orientada ao seu nível PCI com caso real de retail/e-commerce. Mostramos-lhe o relatório técnico para QSA.

Ver preços Solicitar demo