Se você tem uma empresa e aceita pagamentos com cartão de crédito e/ou débito, provavelmente já ouviu falar no PCI DSS. Todas as organizações, independentemente do seu porte ou segmento de atuação, que aceitam pagamentos nessas modalidades devem conhecer o PCI DSS e se adequar às suas diretrizes, a fim de garantir a aplicação de boas práticas de compliance no negócio.
Em um mercado cada vez mais digital, é imprescindível investir em ferramentas, procedimentos e estratégias visando garantir a segurança digital. Mas, afinal, o que é a certificação PCI DSS — também conhecida como PCI compliance —, para que ela serve, qual a sua importância e requisitos? Neste artigo, você terá acesso a um panorama completo sobre o assunto. Continue a leitura e entenda!
O que é PCI DSS?
PCI DSS é a sigla para “Payment Card Industry Data Security Standard”, que pode ser traduzido como “Padrão de Segurança de Dados da Indústria de Pagamento com Cartão”.
A expressão, que também é conhecida como PCI Compliance, é uma norma de âmbito internacional que tem o escopo de avaliar o nível de segurança de uma empresa responsável pelo processamento, armazenamento e transmissão de dados de cartões de crédito e débito.
Os dados que devem ser protegidos incluem informações como o número do cartão, a validade e o código de segurança.
Criado em 2006, o PCI DSS teve origem após a fundação do Conselho dos Padrões de Segurança da Indústria de Pagamento com Cartão, um órgão que reúne grandes nomes do setor: MasterCard, Visa, American Express, JCB e Discover Financial Services. O conselho é responsável por definir os protocolos de segurança necessários para a proteção no manuseio de dados de cartões de crédito em transações online.
Dessa forma, a certificação tem o propósito de prevenir a ocorrência de fraudes relacionadas ao uso de cartões de crédito em compras online. Por isso, as empresas que aceitam pagamentos devem conhecer e ter essa certificação, trazendo mais confiabilidade na relação com os clientes.
Quais as vantagens do PCI DSS?
Existe uma série de vantagens associadas à certificação PCI DSS. A primeira delas diz respeito à segurança das transações.
Sem dúvida, as empresas que contam com a certificação oferecem mais proteção aos consumidores no que diz respeito à realização de transações digitais com cartões de crédito. Mas não é só isso. A seguir, elencamos outras vantagens do PCI DSS. Conheça!
Minimiza o risco de fraudes
A expansão do mercado digital trouxe consigo o aumento de fraudes. Essa é uma preocupação não só dos consumidores como das empresas, que têm sua responsabilidade no tratamento de dados e manuseio de informações de clientes.
Nesse contexto, o PCI DSS dificulta a ação de fraudadores que atuam invadindo sistemas e roubando informações da base de dados das empresas. O roubo de dados pessoais de cartão de crédito é uma das fraudes mais comuns no meio online e a certificação do PCI DSS amplia a proteção.
Vale lembrar que as empresas precisam cumprir com as determinações da LGPD relacionadas ao tratamento de dados pessoais e à proteção das informações mantidas em sua base de dados. Por isso, ações de compliance são fundamentais em uma estratégia de gestão de riscos do negócio.
Aumenta a credibilidade junto ao mercado
Uma empresa preocupada com a proteção das informações dos seus clientes e da segurança dos seus sistemas tem mais credibilidade junto ao mercado. Por isso, quem adere a certificações como o PCI DSS traz mais confiança para os clientes e consumidores em potencial.
Quando uma empresa pensa em adotar certas certificações e investir em protocolos de segurança, ela não está focando apenas em si própria, pois a ação preserva também os seus clientes, e é natural que essa preocupação gere uma imagem positiva da marca.
Relaciona-se diretamente com a compliance
Por fim, como já mencionamos, o PCI DSS tem vínculo com boas práticas de compliance. Aqui, é importante salientar não se tratar de uma certificação obrigatória, porém, ela é um mecanismo interessante para as empresas preocupadas com a proteção de dados dos seus consumidores.
Equipes de compliance que atuam em grandes corporações já exigem a certificação PCI DSS, a fim de garantir a adoção de boas práticas de proteção para o negócio.
Quais são os requisitos do PCI DSS?
Mas, afinal, como conseguir o PCI DSS? Além de entender o que é, o gestor precisa entender como colocar em prática essa certificação.
A seguir, listamos os 12 requisitos essenciais que precisam ser checados antes de obter a certificação. Acompanhe!
Requisito 1 — Configuração de firewall
O primeiro requisito do PCI DSS é a instalação e configuração de firewall para garantir a proteção de dados do portador do cartão de crédito. Os firewalls são responsáveis por controlar o tráfego entre redes internas e externas, bem como a entrada e saída de informações em áreas sensíveis, mesmo em redes internas confiáveis.
Para você entender o que isso significa na prática, basta pensar nos dados do portador do cartão como um fator sensível que circula dentro de uma rede confiável. O firewall trabalha examinando o tráfego da rede e bloqueando todas as transmissões que não se adéquam aos critérios de segurança estabelecidos. Todo sistema precisa ter proteção contra acessos não autorizados vindos de redes não confiáveis.
Requisito 2 — Senhas e parâmetros de segurança
O segundo requisito da certificação PCI DSS está relacionado ao uso de padrões dados pelo fornecedor para senhas do sistema e demais parâmetros de segurança. Sabe aquela senha gerada automaticamente quando você cria um cadastro?
Pois bem, de acordo com os parâmetros da certificação, esses padrões sugeridos não devem ser utilizados para colocar senhas. Isso porque criminosos costumam usar senhas e configurações padrão oferecidas pelos fornecedores para comprometer sistemas.
Requisito 3 — Proteção de dados do portador do cartão
O terceiro requisito é a proteção dos dados do portador do cartão, que são armazenados na base de dados. Entre os métodos, podem ser utilizados: mascaramento, criptografia, truncamento e hashing, por exemplo.
Com o uso das proteções adequadas, o criminoso que tentar contornar a segurança e tiver acesso a dados criptografados não terá êxito, pois eles ficam ilegíveis sem as respectivas chaves criptografadas.
Existem vários métodos que podem ser aplicados para a proteção de dados armazenados. Eles devem ser levados em consideração durante a formatação da estratégia de PCI DSS e de compliance, tendo em vista sua capacidade de mitigar riscos.
A empresa pode optar ainda pelo não armazenamento dos dados do portador do cartão. Essa é outra alternativa segura e que minimiza muito os riscos sob a ótica das tentativas de roubo de dados.
Requisito 4 — Criptografia e transmissão de dados
Todos os dados do portador do cartão que transitam em redes públicas abertas precisam ser criptografados durante a transmissão. Isso se faz necessário e é requisito para a certificação, porque essas redes são facilmente acessadas por hackers e são consideradas um dos principais meios para acessar informações pessoais.
Requisito 5 — Proteção contra malware e uso de antivírus
O quinto requisito é a proteção de todos os sistemas por meio da atualização regular dos softwares e/ou uso de programas antivírus. Os malwares, que são softwares maliciosos responsáveis pelos vírus, cavalos de tróia e worms, normalmente acessam a rede durante a realização de atividades aprovadas pelo usuário.
Isso pode acontecer, por exemplo, no uso da rede de internet ou durante uma troca de e-mails. Os sistemas antivírus precisam ser utilizados com o propósito de proteger os sistemas contra essas ameaças. Além do antivírus, é possível usar também soluções adicionais como forma de complemento da proteção.
Requisito 6 — Vulnerabilidade de segurança
Outro requisito que precisa ser atendido para obter a certificação PCI DSS é o desenvolvimento e manutenção de sistemas e aplicativos seguros. Mas o que isso significa?
Criminosos utilizam as vulnerabilidades de segurança dos sistemas para obter acesso a eles. Grande parte dessas vulnerabilidades pode ser corrigida por patches de segurança, instalados pelos responsáveis pelo gerenciamento do sistema utilizado na empresa.
Os sistemas precisam ter todos os patches dos softwares, a fim de garantir uma camada extra de proteção contra o risco de comprometimento de dados por meio do acesso de softwares não autorizados.
Vale destacar que, para sistemas desenvolvidos internamente, as vulnerabilidades podem ser minimizadas por meio da aplicação de processos e o desenvolvimento de sistemas de codificação suficientemente fortes e seguros.
Requisito 7 — Restrições de acesso
Requisito essencial, a restrição de acesso aos dados é um cuidado que precisa ser tomado. Isso significa restringir o número de pessoas autorizadas a acessar essas informações. A orientação é que o acesso seja permitido apenas àqueles que precisam disso para executar o seu trabalho.
Quando se limita o acesso aos dados do portador do cartão com base nas necessidades a essas informações a partir das responsabilidades de trabalho, amplia-se a segurança no tratamento e armazenamento dos dados.
Requisito 8 — Acesso aos componentes do sistema
Outro requisito da certificação é a necessidade de identificar e autenticar acessos ao sistema. Isso significa atribuir identificações únicas às pessoas que usam o sistema. Com isso, a empresa consegue identificar claramente as responsabilidades pelas ações, neste caso, especificamente com relação a eventuais vazamentos de dados.
Requisito 9 — Restrição de acesso físico
Também é essencial restringir o acesso físico aos dados do portador do cartão. O acesso físico é uma oportunidade para que pessoas mal-intencionadas acessem dispositivos e dados do portador do cartão e façam uso não autorizado das mesmas.
Requisito 10 — Rastreio e monitoramento de acessos
Outro requisito para certificação é o rastreio e monitoramento de todos os acessos aos recursos de rede e dados armazenados do portador do cartão. Por meio dessa prática, fica mais fácil detectar e minimizar o impacto de um possível ataque e comprometimento de informações pessoais. Com o registro de atividade do sistema, é mais fácil determinar a causa para o comprometimento.
Requisito 11 — Testes regulares de sistemas e processos
A empresa que busca a certificação PCI DSS precisa testar regularmente os sistemas e processos de segurança. Infelizmente, as vulnerabilidades são continuamente testadas por hackers. Dessa forma, as empresas são orientadas a realizar testes e controles de forma contínua e sistemática.
Requisito 12 — Política de segurança da informação
Por fim, o último requisito é a implementação de uma política de segurança da informação. Esse mecanismo traz orientações e definições importantes que vão contribuir para a conduta de todas as pessoas envolvidas nas atividades do negócio.
Os funcionários, contatos, consultores e fornecedores que acessam as informações e têm contato com o ambiente em que os dados do portador do cartão estão armazenados devem conhecer a política de segurança e agir em consonância com as suas diretrizes.
Além de cumprir todos esses requisitos, é interessante a empresa considerar outras boas práticas que podem facilitar a obtenção da certificação, além de favorecer a proteção dos sistemas e dados neles armazenados:
- desenvolva um programa de compliance;
- crie uma cultura de proteção de dados;
- implemente um programa de conformidade com o PCI DSS;
- defina métricas de desempenho;
- treine e oriente os profissionais constantemente; e,
- atribua responsabilidades e supervisione as equipes.
Como obter as certificações PCI DSS?
O PCI DSS é aplicado a qualquer empresa que realize o processamento e transmissão de dados de cartões de crédito e débito. Para obter a certificação é necessário demonstrar o cumprimento de todos os requisitos exigidos pelo PCI DSS. Para quem tem interesse, o ponto de partida é a avaliação das particularidades do negócio e a definição das estratégias iniciais.
Existem, no mercado, consultorias especializadas em oferecer o suporte para cumprimento dos requisitos e solicitação da certificação PCI DSS. Avalie as necessidades e particularidades do seu negócio antes de dar início ao processo.
Você gostou de conhecer mais sobre a certificação PCI DSS? Então aproveite para deixar um comentário contando para a gente quais são as boas práticas de segurança da informação utilizadas no seu negócio ou deixe suas dúvidas sobre o assunto.