PT Glossary

Consulte a “Seção 8 do PCI DSS: Abordagens para Implementação e Validação do PCI DSS”.

Consulte a “Seção 8 do PCI DSS: Abordagens para Implementação e Validação do PCI DSS”.

Acesso lógico a um componente de sistema que ocorre por meio de uma interface de rede em vez de uma conexão física direta ao componente de sistema. O acesso não-console inclui acesso por redes locais/internas, bem como acesso por redes externas ou remotas.

Acrônimo para “Advanced Encryption Standard [Padrão de Criptografia Avançada]”. Consulte Criptografia Forte.

Também conhecido como "algoritmo de encriptação". Um processo matemático reversível claramente especificado usado para transformar dados de texto não criptografado em dados criptografados e vice-versa. Consulte Criptografia Forte.

Consulte Algoritmo de Criptografia.

Acrônimo para “American National Standards Institute [Instituto Nacional Americano de Normas]”.

Acrônimo para “Atestado de Conformidade.” O AOC é o formulário oficial do PCI SSC para comerciantes e prestadores de serviços atestarem os resultados de uma avaliação do PCI DSS, conforme documentado em um Questionário de Autoavaliação (SAQ) ou Relatório de Conformidade (ROC).

Sigla para “Reunião da Comunidade da Ásia-Pacífico.”

Inclui todos os programas ou grupos de programas adquiridos, personalizados e sob medida, incluindo aplicativos internos e externos (por exemplo, web).

Acrônimo para “Approved Scanning Vendor [Fornecedor de Varredura Aprovado].” Empresa aprovada pelo PCI SSC para conduzir serviços de varredura de vulnerabilidade externa.

Processo de verificação da identidade de um indivíduo, dispositivo ou processo. A autenticação normalmente ocorre com um ou mais fatores de autenticação. Consulte Conta, Credencial de Autenticação, e Fator de Autenticação.

Autenticação projetada para impedir a divulgação e o uso de segredos de autenticação a qualquer parte que não seja o sistema legítimo no qual o usuário está tentando se autenticar (por exemplo, por meio de ataques in-the-middle (ITM) ou de representação). Os sistemas de resistêcia ao phishing geralmente implementam criptografia assimétrica como um controle central de segurança. Os sistemas que dependem exclusivamente de fatores baseados em conhecimento ou limitados no tempo, como senhas ou senhas de uso único (OTPs), não são considerados resistentes ao phishing, nem SMS ou links mágicos. Exemplos de autenticação resistente ao phishing incluem FIDO2.

Processo em toda a empresa que identifica recursos valiosos de sistema e ameaças; quantifica as exposições de perda (ou seja, potencial de perda) com base em frequências estimadas e custos de ocorrência; e (opcionalmente) recomenda como alocar recursos para contramedidas para minimizar a exposição total. Consulte Análises de Risco Direcionada.

Uma organização com cartões de pagamento de sua marca ou outras formas de cartão de pagamento. As bandeiras de pagamento regulam onde e como os cartões de pagamento ou outras formas com sua marca ou logotipo são usados. Uma bandeira de pagamento pode ser uma bandeira de pagamento participante do PCI SSC ou outra bandeira, esquema ou rede de pagamento global ou regional.

Também conhecida como "bandeira de pagamento". Uma bandeira de cartão de pagamento que, na época em questão, foi formalmente admitida como (ou afiliada) um membro do PCI SSC de acordo com seus documentos regulamentares. No momento em que este artigo foi escrito, as Bandeiras de Pagamento Participantes incluem Membros Fundadores e Membros Estratégicos do PCI SSC.

Sigla para “Conselho de Consultores.”

Métodos utilizados por comerciantes para aceitar pagamentos dos clientes. Os canais de pagamento comuns incluem os cartão presente (em pessoa) e o cartão não presente (comércio eletrônico e MO/TO).

Para fins de PCI DSS, qualquer forma de cartão de pagamento que tenha o logotipo de qualquer Bandeira de Pagamento Participante do PCI SSC.

Acrônimo para “Cardholder Data Environment [Ambiente de Dados do Titular do Cartão]” O CDE é composto por:

• Componentes de sistema, pessoas e processos que armazenam, processam e/ou transmitem dados do titular do cartão ou dados de autenticação confidenciais e,
• Componentes de sistema que podem não armazenar, processar ou transmitir CHD/SAD, mas têm conectividade irrestrita aos componentes do sistema que armazenam, processam ou transmitem CHD/SAD.

Um parâmetro usado em conjunto com um algoritmo de criptografia que é usado para operações como:

• Transformar dados de texto não criptografado em dados de texto cifrado,
• Transformar dados de texto cifrado em dados de texto não criptografado,
• Gerar uma assinatura digital calculada a partir de dados,
• Verificar uma assinatura digital calculada a partir de dados,
• Um código de autenticação calculado a partir de dados, ou
• Um acordo de troca de um segredo compartilhado.

 Consulte Criptografia Forte.

Valor de três ou quatro dígitos na tarja magnética após a data de vencimento do cartão de pagamento na trilha de dados. É usado para várias coisas, como definir atributos de serviço, diferenciar entre intercâmbio internacional e nacional ou identificar restrições de uso.

Também conhecido como Código ou Valor de Validação do Cartão ou Código de Segurança do Cartão. Para fins de PCI DSS, é o valor de três ou quatro dígitos impresso na frente ou no verso de um cartão de pagamento. Pode ser referido como CAV2, CVC2, CVN2, CVV2 ou CID de acordo com as bandeiras de pagamento participantes. Para mais informações, entre em contato com as Bandeiras de Pagamento Participantes.

Para os fins do PCI DSS, um comerciante é definido como qualquer entidade que aceita cartões de pagamento com os logotipos de qualquer Bandeira de Pagamento Participante do PCI SSC como pagamento por bens e/ou serviços. Um comerciante que aceita cartões de pagamento como pagamento por mercadorias e/ou serviços também pode ser um prestador de serviços, se os serviços vendidos resultarem no armazenamento, processamento ou transmissão de dados do titular do cartão em nome de outros comerciantes ou prestadores de serviços. Por exemplo, um ISP (Provedor de Serviços de Internet) é um comerciante que aceita cartões de pagamento para faturamento mensal, mas também é um prestador de serviços se hospedar comerciantes como clientes.

Tela e/ou teclado diretamente conectado que permite acesso e controle de um servidor, computador mainframe ou outro tipo de sistema. Consulte o Acesso Não-Console.

Também conhecido como "ID do usuário", "ID da conta" ou "ID do aplicativo". Usado para identificar um indivíduo ou processo em um sistema de computador. Consulte Credencial de Autenticação e Fator de Autenticação.

Mecanismos que limitam o acesso a um espaço físico ou ambiente apenas a pessoas autorizadas. Consulte Controle de Acesso Lógico.

Mecanismos que limitam a disponibilidade de informações ou recursos de processamento de informações apenas para pessoas ou aplicativos autorizados. Consulte Controle de Acesso Físico.

Processos e procedimentos para revisar, testar e aprovar alterações em sistemas e software para impacto antes da implementação.

Processo de uso de duas ou mais entidades separadas (geralmente pessoas) operando em conjunto para proteger funções ou informações confidenciais. Ambas as entidades são igualmente responsáveis pela proteção física de materiais envolvidos em transações vulneráveis. Nenhuma pessoa individualmente tem permissão para acessar ou usar os materiais (por exemplo, a chave criptográfica). Para processos manuais de geração, transporte, carregamento, armazenamento e recuperação de chaves, o controle duplo requer a divisão do conhecimento da chave entre as entidades. Consulte Conhecimento Dividido.

Combinação do ID do usuário ou ID da conta mais o(s) fator(es) de autenticação usado(s) para autenticar um indivíduo, dispositivo ou processo. Consulte Conta e Fator de Autenticação.

A transformação (reversível) de dados por um algoritmo criptográfico para produzir texto cifrado, ou seja, para ocultar o conteúdo de informação dos dados. Consulte Criptografia Forte.

Técnica ou tecnologia (software ou hardware) para criptografar o conteúdo de uma coluna específica em um Banco de Dados versus o conteúdo completo de todo o Banco de Dados. Como alternativa, consulte Criptografia de Disco e Criptografia em Nível de Arquivo.

Técnica ou tecnologia (software ou hardware) para criptografar todos os dados armazenados em um dispositivo (por exemplo, um disco rígido ou unidade flash). Como alternativa, a Criptografia em nível de arquivo ou Criptografia de banco de dados em nível de coluna é usada para criptografar o conteúdo de arquivos ou colunas específicas.

Técnica ou tecnologia (software ou hardware) para criptografar o conteúdo completo de arquivos específicos. Como alternativa, consulte Criptografia de Disco e Criptografia de Banco de Dados em Nível de Coluna.

A criptografia é um método para proteger os dados por meio de um processo de criptografia reversível e é uma base primitiva usada em muitos protocolos e serviços de segurança. A criptografia forte é baseada em algoritmos testados e aceitos pelo setor, juntamente com comprimentos de chave que fornecem um mínimo de 112 bits de força de chave efetiva e práticas de gerenciamento de chave adequadas. A força efetiva da chave pode ser menor do que o comprimento de 'bit' real da chave, o que pode levar a algoritmos com chaves maiores fornecer menos proteção do que algoritmos com tamanhos de chave reais menores, porém mais efetivos. Recomenda-se que todas as novas implementações usem um mínimo de 128 bits de força de chave efetiva. Exemplos de referências da indústria em algoritmos criptográficos e comprimentos de chave incluem:

• NIST Special Publication 800-57 Part 1,
• BSI TR-02102-1,
• ECRYPT-CSA D5.4 Algorithms, Key Size and Protocols Report (2018), and
• ISO/IEC 18033 Encryption algorithms, and
• ISO/IEC 14888-3:2-81 IT Security techniques – Digital signatures with appendix – Part 3: Discrete logarithm based mechanisms.

O intervalo de tempo durante o qual uma chave criptográfica pode ser usada para seu propósito definido. Frequentemente definido em termos do período durante o qual a chave está ativa e/ou a quantidade de texto cifrado que foi produzido pela chave e de acordo com as práticas recomendadas e diretrizes da indústria (por exemplo, NIST Special Publication 800-57).

Acrônimo para “Common Vulnerability Scoring System [Sistema de Pontuação de Vulnerabilidade Comum].” Consulte o Guia do Programa ASV para obter mais informações.

Informações relacionadas à segurança usadas para autenticar os titulares dos cartões e/ou autorizar transações com cartões de pagamento. Essas informações incluem, mas não se limitam a, códigos do cartão, dados de trilha completos (de tarja magnética ou equivalente em um chip), PINs e blocos de PIN.

Consulte Dados de Trilha.

Um diagrama que mostra os componentes de sistema e as conexões em um ambiente de rede.

Sigla para “Lei de Resiliência Operacional Digital.”

Acrônimo para “Elliptic Curve Cryptography [Criptografia de Curva Elíptica].” Consulte Criptografia Forte.

Um dispositivo físico, geralmente conectado a um dispositivo legítimo de leitura de cartão, projetado para capturar e/ou armazenar ilegitimamente as informações de um cartão de pagamento.

Processo de identificação de todos os componentes de sistema, pessoas e processos a serem incluídos em uma avaliação do PCI DSS. Consulte a seção 4 do PCI DSS “Escopo dos Requisitos do PCI DSS”.

Uma restrição legal devido a uma lei, regulamento ou requisito regulatório local ou regional, onde o cumprimento de um requisito do PCI DSS violaria essa lei, regulamento ou requisito regulatório. Obrigações contratuais ou aconselhamento jurídico não são restrições legais.Consulte os seguintes documentos do PCI DSS v4.x para obter informações sobre como relatar exceções jurídicas:

• O Modelo de Relatório de Conformidade (ROC) e Atestados de Conformidade relacionados.
• Os Questionários de Autoavaliação (SAQs) e os Atestados de Conformidade relacionados.

Observação: Quando uma entidade opera em vários locais, uma exceção jurídica só pode ser reivindicada para os locais regidos pela lei, regulamento ou requisito regulamentar, e não pode ser reivindicada para locais onde tal lei, regulamento ou requisito regulamentar seja inaplicável.

O elemento usado para provar ou verificar a identidade de um indivíduo ou processo em um sistema de computador. A autenticação normalmente ocorre com um ou mais dos seguintes fatores de autenticação:

• Algo que você conhece, como uma senha ou frase secreta,
• Algo que você possui, como um dispositivo de token ou cartão inteligente,
• Algo que você é, como um elemento biométrico.

O ID (ou conta) e o fator de autenticação juntos são considerados credenciais de autenticação. Consulte Conta e Credencial de Autenticação.

Sigla para “Mesa-Redonda Global de Assessores Executivos.”

A geração de chaves é uma das funções do gerenciamento de chaves. Os documentos a seguir fornecem orientações reconhecidas sobre a geração adequada de chaves:

• NIST Special Publication 800-133: Recommendation for Cryptographic Key Generation
• ISO 11568-2 Financial services — Key management (retail) — Part 2: Symmetric ciphers, their key management and life cycle
  • 4.3 Key generation
• ISO 11568-4 Financial services — Key management (retail) — Part 4: Asymmetric cryptosystems — Key management and life cycle
  • 6.2 Key life cycle stages — Generation
• European Payments Council EPC 342-08 Guidelines on Algorithms Usage and Key Management
  • 6.1.1 Key generation [para algoritmos simétricoss]
  • 6.2.1 Key generation [para algoritmos assimétricos]

Uma função de hashing que incorpora uma chave secreta gerada aleatoriamente para fornecer resistência a ataques de força bruta e integridade de autenticação secreta. Algoritmos de hash criptográficos com chave adequados incluem, mas não estão limitados a: HMAC, CMAC e GMAC, com uma força criptográfica efetiva de pelo menos 128 bits (NIST SP 800-131Ar2). Consulte o seguinte para obter mais informações sobre HMAC, CMAC e GMAC, respectivamente: NIST SP 800-107r1, NIST SP 800-38B, e NIST SP 800-38D). Consulte NIST SP 800-107 (Revision 1): Recommendation for Applications Using Approved Hash Algorithms §5.3.

• É computacionalmente inviável determinar a entrada original dado apenas o código hash,
• É computacionalmente inviável encontrar duas entradas que forneçam o mesmo código hash.

Sigla para “Assessor Interno de Segurança.”

Sigla para “Operações de Gerenciamento de Chaves.”

Em criptografia, um acrônimo para “message authentication code [código de autenticação de mensagem]”. Consulte Criptografia Forte.

Acrônimo para “Mail-Order/Telephone-Order [Pedido Por Telefone/Correio]”.

Sigla para “Pagamentos Móveis em COTS.”

Acrônimo para “Open Web Application Security Project [Proteção de Segurança para Aplicações de Internet Aberta]”.

Sigla para “Criptografia Ponto a Ponto.”

• Um único documento ou instância,
• Um documento ou componente exibido em um “inline frame [quadro embutido]” em uma página de não pagamento,

Funcionários em tempo integral e parcial, funcionários temporários, contratados e consultores com responsabilidades de segurança para proteger os dados da conta ou que podem afetar a segurança dos dados do titular do cartão e/ou dos dados de autenticação confidenciais. Veja Visitante.

Sigla para “Organizações Participantes Principais.”

Entidade comercial que não é uma bandeira de pagamento, diretamente envolvida no processamento, armazenamento ou transmissão de dados do titular do cartão (CHD) e dos dados de autenticação confidenciais (SAD) em nome de outra entidade. Isso inclui portais de pagamento, prestadores de serviços de pagamento (PSPs) e organizações de vendas independentes (ISOs). Isso também inclui empresas que prestam serviços que controlam ou poderiam impactar a segurança dos dados do CHD e/ou do SAD. Os exemplos incluem prestadores de serviços gerenciados que fornecem firewalls gerenciados, IDS e outros serviços, assim como provedores de hospedagem e outras entidades. Se uma entidade fornece um serviço que envolve apenas o fornecimento de acesso à rede pública - como uma empresa de telecomunicações que fornece apenas o link de comunicação - a entidade não seria considerada um prestador para esse serviço (embora possam ser considerados um prestador para outros serviços). Consulte Prestador de Serviços Multilocatário e Prestador de Serviços Terceirizado.

Um tipo de Prestador de Serviços Terceirizado que oferece vários serviços compartilhados com os comerciantes e outros prestadores de serviço, onde os clientes compartilham recursos do sistema (como servidores físicos ou virtuais), infraestrutura, aplicativos (incluindo software como serviço (SaaS)) e/ou bancos de dados. Os serviços podem incluir, mas não estão limitados a, hospedagem de múltiplas entidades em um único servidor compartilhado, prestação de serviço de comércio eletrônico e/ou “carrinho de compras”, serviços de hospedagem baseados na web, aplicativos de pagamento, vários aplicativos e serviços de nuvem e conexões com processadores e portais de pagamento. Consulte Prestador de Serviços e Prestador de Serviços Terceirizados.

Qualquer terceiro agindo como um prestador de serviços em nome de uma entidade. Consulte Prestador de Serviços Multilocatário e Prestador de Serviços

Algumas vezes é referido como "gateway de pagamento" ou "prestador de serviços de pagamento (PSP)". Entidade contratada por um estabelecimento comercial ou outra entidade para lidar com transações de cartões de pagamento em seu nome. Consulte Adquirente.

Acrônimo para "Qualified Integrator or Reseller" [Revendedor ou Integrador Qualificado]. Consulte o Guia do Programa QIR no site do PCI SSC para obter mais informações.

Sigla para “Asesor PIN Qualificado.”

Acrônimo para “Qualified Security Assessor [Assessor de Segurança Qualificado]”. As empresas QSA são qualificados pelo PCI SSC para validar a aderência de uma entidade aos requisitos do PCI DSS no local. Consulte os Requisitos de Qualificação do QSA para obter detalhes sobre os requisitos para Empresas e Funcionários do QSA.

Sigla para “Conselho de Engajamento Regional.”

Consulte o Registro de Auditoria.

Sigla para “Solicitação de Comentários.”

Acrônimo para “Report on Compliance [Relatório de Conformidade]”. Relatório usado para documentar resultados detalhados da avaliação PCI DSS de uma entidade.

Sigla para “Grupo de Discussão Sobre Roteiro.”

Algoritmo para codificação de chave pública. Consulte Criptografia Forte.

Também conhecido como "segmentação de rede" ou "isolamento". A segmentação isola os componentes de sistemas que armazenam, processam ou transmitem os dados do titular do cartão dos sistemas que não o fazem. Consulte "Segmentação" na seção do PCI DSS: 4 Escopo dos Requisitos do PCI DSS.

Prática de dividir as etapas em uma função entre vários indivíduos, para evitar que um único indivíduo subverta o processo.

Os exemplos de serviços de emissão incluem, mas não estão limitados a, autorização e personalização do cartão.

Um servidor que redireciona o navegador do cliente do site de um comerciante para um local diferente para processamento de pagamento durante uma transação de comércio eletrônico.

O software “bespoke [sob medida]” é desenvolvido para a entidade por um terceiro em nome da entidade e de acordo com as especificações da entidade. O software personalizado é desenvolvido pela entidade para seu próprio uso.

Sigla para “Conselho Consultivo Técnico.”

Acrônimo para “Triple Data Encryption Standard [Padrão de Codificação Tripla de Dados]”. Também conhecido como "3DES" ou "Triple DES".

Abreviatura de “telephone network protocol [protocolo de rede telefônica]”.

Sigla para “Grupo de Diretrizes de Tecnologia.”

Cliente para o qual um cartão de pagamento é emitido ou qualquer indivíduo autorizado a usar o cartão de pagamento. Veja Visitante.

Um fornecedor, convidado de qualquer funcionário, prestador de serviços ou pessoal que normalmente não tem acesso à área em questão. Os titulares de cartão presentes em um local de varejo para adquirir bens ou serviços não são considerados “visitantes”. Consulte Titular do Cartão e Pessoal.