Abaixo são feitas afirmações sobre compliance em segurança da informação. Analise-as e responda: I. A ISO 27001, a LGPD (Lei Geral de Proteção de Dados) e o PCI-DSS são exemplos de normas, regulações e leis que são exigidas em determinados tipos de organizações. II. A ISO 27001, a LGPD (Lei Geral de Proteção de Dados) e o PCI-DSS não são exemplos de normas, regulações e leis que são exigidas em determinados tipos de organizações. III. A segmentação de redes é um requisito exigido pelo PCI-DSS. É correto apenas o que se afirmar em:

Vamos avaliar cada afirmativa.

I. Verdadeira.

• ISO/IEC 27001 é uma norma (certificável) de Sistema de Gestão de Segurança da Informação (SGSI).
• LGPD é uma lei brasileira (Lei nº 13.709/2018) que impõe obrigações a organizações que tratam dados pessoais.
• PCI-DSS é um padrão/requisito de segurança aplicável a organizações que armazenam, processam ou transmitem dados de cartão (exigido no contexto das bandeiras/arranjos e adquirentes). Logo, são exemplos de norma/lei/padrão de compliance exigidos conforme o tipo de organização e operação.

II. Falsa. Ela nega exatamente o que é correto na I.

III. Verdadeira. O PCI-DSS exige controle de rede, incluindo segmentação (por exemplo, para isolar o ambiente de dados do titular do cartão — CDE — e reduzir escopo), como prática/medida prevista para atender aos requisitos de segurança de rede (firewalls/isolamento e redução de exposição).

Portanto, é correto apenas o que se afirma em I e III.

Alternativa correta: (C).