Auditoria PCI
1. Introdução
Gere um relatório final com as seguintes informações
1. Capa
2. Índice
3. Introdução
4. Resumo Executivo
a) Descrição da Entidade
Descrever o negócio da empresa, sua função comercial nos cartões de pagamento, que é como e por que eles armazenam, processam e/ou transmitem dados do portador do cartão
Como eles processam o pagamento (diretamente, indiretamente, etc.), sistemas utilizados, estrutura, etc.
b) Canais de pagamento utilizados
Descrever quais tipos de canais de pagamento eles atendem, como:
Cartão não presente, (por exemplo, pedido por e-mail-pedido por telefone, e-commerce
Cartão presente
c) Entidades conectadas
Bandeiras que trabalham (ex: MasterCard, Visa, American Express, Diners Club, etc).
d) Descrição do escopo de trabalho e abordagem adotada
i. Ambiente no qual a avaliação se concentrou
Ambiente no qual a avaliação se concentrou (por exemplo: Estações, Sistemas Operacionais, Servidores, Switches, Roteador, Link de Internet e demais informações da rede corporativa interna que estão dentro do escopo da auditoria) ii. Amostragem utilizada
Preencher a tabela abaixo.
iii. Detalhes sobre o ambiente analisado
Desenho da Topologia Lógica da rede iv. Pessoas entrevistadas
A lista das pessoas entrevistadas e seus cargos
v. Documentações revisadas
A lista das documentações revisadas vi. Descobertas e observações
Sintetize quaisquer descobertas que talvez não se encaixem no formato do modelo do Relatório sobre conformidade padrão.
e) Métricas
Indicar métricas como:
Conformidades X Não conformidades X Não aplicáveis
Conformidades por Requisitos
Não conformidades X Requisitos
Não conformidades X Prioridade etc... f) Situação dos controles do PCI-DSS
Anexar a tabela dos Requisitos indicando para cada item:
Conformidades
Não conformidades (GAPs)
Plano de Ação
Prioridade dos Planos de Ação
1. PONTOS CRÍTICOS
1.1 (PCI 3.0 Item 1.1.3) Não