Quanto custa realmente o PCI DSS?
Auditorias, infraestrutura segmentada, análises, ferramentas e horas de pessoal acumulam-se rapidamente. A maior alavanca na fatura é a quantidade de dados de cartão que guarda — e a tokenização pode retirar quase todos do âmbito.
Os seis custos do PCI DSS
A conformidade raramente é uma única fatura. Estas são as rubricas recorrentes que compõem o seu custo total.
Avaliação e QSA
Questionários de autoavaliação ou, em níveis superiores, uma auditoria no local por um Avaliador de Segurança Qualificado.
Análises ASV
Análises trimestrais de vulnerabilidades externas por um Fornecedor de Análises Aprovado, mais testes de penetração.
Infraestrutura
Segmentação de rede, servidores protegidos, gestão de chaves e armazenamento seguro para o ambiente de dados do titular do cartão.
Ferramentas de segurança
WAF, registo, deteção de intrusões, monitorização da integridade de ficheiros e antimalware em todos os sistemas no âmbito.
Pessoal e formação
Horas de engenharia para manter os controlos, mais formação de sensibilização para a segurança e atualização de políticas.
Remediação e risco
Corrigir as conclusões de auditoria — e o custo de uma violação se os dados de cartão forem expostos. Ambos escalam com o âmbito.
O mesmo negócio, dois custos muito diferentes
A variável mais importante é se os dados de cartão passam pelos seus sistemas. Retire-os do âmbito e a base de custos colapsa.
SAQ D
Dados de cartão no seu ambiente
- ~300 controlos a implementar e evidenciar
- CDE segmentado, infraestrutura protegida e gestão de chaves
- Âmbito total de análises ASV e testes de penetração
- Horas significativas de engenharia e auditoria
- Maior exposição a violações
SAQ A
Sem dados de cartão nos seus sistemas
- ~30 controlos — uma fração do trabalho
- Sem CDE para construir ou manter
- Âmbito de análises mínimo
- Muito menos horas de engenharia
- Risco de violação de dados de cartão transferido para o cofre
Leia a comparação completa SAQ A vs SAQ D para ver exatamente quais os requisitos que deixam de ser aplicáveis.
Leitura relacionada
Tudo o que precisa para planear, orçamentar e reduzir o seu custo de conformidade.
SAQ A vs SAQ D
Qual o questionário aplicável e o que cada um exige.
Reduzir o âmbito PCI com tokenização
Os mecanismos para retirar os dados de cartão do seu ambiente.
ROI da conformidade PCI
Construa o caso de negócio com valores de poupança reais.
Tokenização e comissões de pagamento
Como os preços IC++ transparentes reduzem a sua taxa efetiva.
Conformidade PCI DSS
O que o PCI DSS exige e como o ajudamos a cumprir.
Alterações PCI DSS v4
O que há de novo para os comerciantes europeus na v4.
Custo do PCI DSS, respondido
01 Quanto custa a conformidade PCI DSS por ano?
Depende do seu nível SAQ e volume. Ao abrigo do SAQ A (sem dados de cartão no âmbito) pode gastar apenas algumas centenas de euros em questionários e análises. Ao abrigo do SAQ D, tratar dados de cartão em bruto pode custar dezenas de milhares se adicionar auditorias QSA, infraestrutura segmentada, análises, remediação e horas de pessoal.
02 O que determina o custo da conformidade PCI DSS?
A dimensão do seu ambiente de dados do titular do cartão, o tipo SAQ, as comissões QSA e ASV, as ferramentas de segurança, e as horas de engenharia e auditoria para manter os controlos. Remover os dados de cartão do âmbito reduz quase todos eles.
03 Como é que a tokenização reduz o custo do PCI DSS?
Quando os dados de cartão residem num cofre externo PCI DSS Nível 1 e os seus sistemas contêm apenas tokens, a maioria dos controlos deixa de se aplicar. Muitos comerciantes passam do SAQ D (centenas de requisitos) para o SAQ A (cerca de 30), reduzindo o âmbito de auditoria, a infraestrutura e o tempo de pessoal.
Reduza o âmbito de conformidade, reduza a fatura
Veja como mover os dados de cartão para o nosso cofre certificado o coloca no SAQ A — e o que isso poupa.