PCI-DSS: O seu negócio está legalmente enquadrado?
O PCI-DSS, ou Padrão de Segurança de Dados da Indústria de Cartão de Pagamento, é um conjunto de padrões de segurança projetado para garantir que as empresas que aceitam e processam informações de cartões de crédito e débito, o façam em um ambiente de dados seguro.
Os incidentes de roubo de identidade cresceram 88% em 2017. Não é à toa, portanto, que a segurança de dados pessoais tem sido cada vez mais discutida, com regulações específicas sendo aprovadas na Europa e no Brasil em 2018.
Enquanto as novas legislações envolvem o tratamento geral dos dados dentro da empresa, o PCI-DSS foi criado para regulamentar o tratamento dos dados financeiros provenientes de compras realizadas com pagamento via cartões.
Isso porque, à medida que um volume crescente de consumidores compra e paga faturas online, torna-se ainda mais fundamental que as empresas que aceitam esses pagamentos atendam aos padrões de segurança.
Independentemente do porte da sua empresa ou do setor em que sua empresa atua, se aceita pagamentos com cartões e processa estes dados, transmite e armazena informações pessoais do portador dele, deve hospedar, por via de regras, essas informações de forma segura em um provedor de hospedagem compatível com PCI.
Mas o que isso quer dizer especificamente e como saber se sua empresa está em Compliance? Continue lendo e descubra conosco!
O que é o PCI-DSS?
O PCI Security Standards Council foi formado em 2006 pelas cinco principais marcas de cartões de crédito — American Express, Visa, MasterCard, Japanese Credit Bureau (JCB) e Discover. Embora cada marca de cartões de crédito tenha seus próprios programas de conformidade, os padrões PCI são a base para a padronização de todos eles.
Mesmo que o conselho não tenha autoridade legal, se sua empresa pretende aceitar ou já aceita transações com cartões de crédito ou débito, ela precisará aderir aos padrões da PCI.
O PCI é composto por um conjunto de 12 requisitos específicos que abrangem seis metas. Os objetivos fundamentais são maximizar a segurança em relação aos pagamentos e informar aos comerciantes sobre como torná-los mais seguros.
Isso significa construir e manter uma rede segura, protegendo os dados dos titulares de cartões e testar e monitorar regularmente as redes. Mas quais são os níveis de conformidade com o PCI?
Quais os níveis de conformidade com o PCI?
Basicamente, a conformidade com o PCI exige que sua empresa:
- Desenvolva e mantenha uma política de segurança da informação;
- Mantenha um programa de gerenciamento de vulnerabilidades;
- Implemente medidas de controle de acesso fortes;
- Monitore / teste regularmente as suas redes;
- Proteja dados do portador do cartão;
- Mantenha sua rede segura.
Você encontrará quatro níveis diferentes de conformidade com PCI, dependendo do volume de transações com cartões, sejam eles de crédito, débito ou pré-pago, que sua empresa realiza em um período de 12 meses. Para saber em qual nível sua empresa deve se enquadrar, considere a classificação abaixo:
Nível 1 do PCI
- Mais de 6.000.000 de transações Visa ou MasterCard por ano;
- Mais de 2.500.000 transações da American Express por ano;
- Qualquer comerciante que a Visa ou a MasterCard determinar deve atender aos requisitos do comerciante Nível 1 para minimizar os riscos para o sistema;
- Qualquer comerciante MasterCard que tenha dados da conta comprometidos no ano anterior;
- Qualquer entidade que manipule dados de cartões de crédito e/ou forneça serviços de processamento de cartões em nome de outros comerciantes.
Nível 2 do PCI
- 1.000.000 a 6.000.000 de transações Visa ou MasterCard por ano;
- 50.000 e 2.500.000 transações American Express por ano.
Nível 3 do PCI
- 20.000 a 1.000.000 de transações Visa ou MasterCard por ano;
- 50.000 transações da American Express por ano.
Nível 4 do PCI
- Menos de 20.000 transações com Visa ou MasterCard por ano;
- Nota: American Express não usa o nível 4.
O PCI se aplica ao meu negócio?
Sim. Não há como se livrar da conformidade com a PCI. Qualquer organização ou comerciante, não importa quão grande ou pequeno (ou quantas transações eles processem) que aceite, transmita ou armazene quaisquer dados de cartões de crédito, deve estar em conformidade com os padrões PCI.
Mesmo que um único cliente da sua empresa pague os seus produtos ou serviços usando cartões de crédito ou débito, legalmente sua empresa e seu padrões precisam ser enquadrados. É simples assim.
Por que você deve seguir o padrão PCI?
Os cibercriminosos sabem onde e o que procurar para adquirir as informações que precisam. Sabem que se tiverem acesso ao número de conta do titular do cartão e seus dados de autenticação fica fácil usar sua identidade e fazer compras.
Os cartões de crédito com marca regulam a conformidade e os padrões da PCI. O objetivo é reduzir incidentes de fraude de cartões de crédito, aumentando o controle sobre como as empresas lidam e armazenam os detalhes dos portadores de cartões.
Os reguladores realizam a validação da conformidade anualmente. Isso garante que as empresas estejam sempre atualizadas com suas estratégias e implementações de segurança.
O acesso não autorizado a dados de cartões de crédito geralmente acontece em bancos de dados do sistema de pagamento, redes sem fio invadidas em seu escritório ou loja e leitores de cartões comprometidos.
Se você não souber como proteger esses pontos fracos de sua empresa, perderá a confiança dos seus clientes. Em alguns casos, a negligência pode até colocá-lo em risco legal.
Como atender aos requisitos do PCI?
Para atender aos requisitos da PCI, você deve provar que pode proteger seus sistemas de ponto de venda, roteadores, transmissão e armazenamento de dados de cartões de crédito, impressões de registros e leitores de cartões.
O primeiro e mais importante passo para alcançar a conformidade com a PCI começa com o preenchimento do Questionário de Autoavaliação (SAQ — Self Assessment Questionaire) e o recebimento da verificação trimestral de vulnerabilidades.
Além do formulário de autoavaliação, que pode variar dependendo do seu negócio e como sua empresa escolhe processar as informações de cartões, talvez você também precise atender aos requisitos de segurança de transação do PIN.
Isso inclui diretrizes para terminais PIN, como PIN pads, terminais de pagamento não assistidos e dispositivos POS. Se você estiver usando software ou aplicativos para receber pagamentos com cartões de crédito, precisará verificar se está usando aplicativos de pagamento validados.
Cada formulário SAQ coloca questões específicas para ajudá-lo a descobrir as práticas de segurança internas e os riscos para o seu site, loja ou back office.
Além de enviar o SAQ, as empresas também devem trabalhar com um fornecedor aprovado pelo PCI para concluir uma avaliação externa de todos os pontos conectados à Internet, incluindo redes de escritórios, conexões de funcionários e serviços de Internet permanentes, como seu site e contas de e-mail. Isso pode ser feito por meio de uma análise de vulnerabilidades.
Depois que as varreduras de vulnerabilidades forem concluídas, as empresas devem resolver todos os pontos fracos descobertos, que geralmente exigem a ajuda de um provedor de segurança externo.
Atender aos requisitos definidos pelo PCI Security Standards Council garante que você não esteja apenas usando a tecnologia mais recente, mas também as estratégias recomendadas para evitar violações de dados que podem custar caro à sua empresa
Quando seus clientes confiam em você o suficiente com suas informações pessoais, você deve se sentir confiante em assegurar-lhes que seus detalhes estão em boas mãos.
Se você deseja orientação para garantir que sua empresa seja compatível com PCI, entre em contato conosco. Ficaríamos felizes em colocar nossa ampla experiência em conformidade com TI e protocolos de segurança para trabalhar para você.