Scroll Top

Conformidade com o PCI DSS: o que é, e por que é tão importante?

PCI DSS

O PCI DSS vêm do inglês “Payment Card Industry Data Security Standard”. Ou seja, é o Padrão de Segurança de Dados da Indústria de Pagamento com Cartão, que se trata de um conjunto de diretrizes de práticas recomendadas empresariais e de segurança de rede adotadas pelo Conselho de Normas de Segurança do PCI.

Todo e qualquer negócio que aceite pagamento feito com cartão de crédito e débito deve seguir as diretrizes do PCI DSS. E a conformidade com PCI DSS é essencial.

Seu objetivo é estabelecer um padrão de segurança para proteger as informações dos titulares cartões, e então reduzir o risco de roubo de dados de cartão e fraude. O escopo do PCI DSS inclui todos os sistemas, redes e aplicativos que processam, armazenam ou transmitem dados dos titulares de cartões, e também os sistemas utilizados para proteger e registrar o acesso aos sistemas dentro do escopo.

Como todas as grandes operadoras de cartões de crédito cumprem o padrão PCI, qualquer empresa que aceita cartões de crédito deve aderir a ele.

Como surgiu o PCI DSS

As normas atuais têm sua origem nos anos 1990, quando se iniciava o comércio eletrônico. Com o avanço da tecnologia, também começaram a surgir golpes sofisticados no meio do varejo eletrônico.

Com isso em mente, a operadora Visa foi a primeira a se antecipar frente à violação de dados, e logo estabeleceu um conjunto de padrões conhecidos como Programa de Segurança da Informação para Titulares de Cartões (CISP), entrando em vigor em 2001.

Em seguida, outras grandes operadoras de cartões a seguiram. Porém, a falta da unificação de normas ainda gerava confusão para o setor varejista lidar com a proteção de dados dos titulares dos cartões. Estes precisavam garantir proteção em todas as transações financeiras, tornando difícil manter a conformidade (compliance).

Então, em 2004, as empresas de cartões, como Visa, Mastercard, American Express, JCB Internacional e Discover se comprometeram em estabelecer um padrão unificado de segurança para o pagamento com cartões de crédito.

Por fim, o PCI SSC lançou a versão 1.0 em 2004, e 2006 lançou a versão 1.1, e assim sucessivamente. A versão 4.0 é mais recente destes padrões e foi lançada em maio de 2021. Ela contém os complementos mais recentes, inclusive as Camadas de Soquetes Segura (SSL) e a autenticação multifator.

Que tipo de organização precisa estar em compliance com o PCI?

Mesmo os pequenos negócios devem estar em compliance com o PCI, independente do seu setor, porte ou localização. Esta é uma exigência das operadoras de cartões de créditos para todas as organizações. Até mesmo para os pequenos negócios, quando estes transmitem, armazenam, coletam dados de cartões de créditos ou dos titulares dos cartões. Esta é uma obrigação para que todos passem segurança aos seus clientes em cada operação financeira.

Mas no caso de sua empresa utilizar um fornecedor terceirizado, e não armazena ou registra as informações dos cartões de crédito, é o fornecedor terceirizado que precisa manter a compliance com o PCI DSS. Isso porque a sua empresa não acessa e também não processa informações de pagamento dos seus clientes.

Entretanto, quanto mais adequado às normas do PCI DSS sua empresa estiver, mais segurança e boa imagem você passará aos seus clientes.

“Todas as organizações, independente do seu porte ou segmento de atuação, que aceitam pagamento, devem seguir o PCI dss e se adequar às suas diretrizes, a fim de garantir maior proteção para seus clientes e inteligência para seus negócios.”
Sylvio Sobreira Vieira, CEO & Head Consulting da SVX Corporate

Os benefícios do compliance com o PCI

Estar em compliance com o PCI DSS pode parecer difícil. Mas é extremamente necessário que sua empresa cumpra os padrões para estar apta a realizar transações de cartão de crédito.

Existem muitos benefícios em estar em compliance com os padrões estabelecidos pelo PCI, como:

  • Maior confiança – Oferecer uma experiência de compra segura e tranquila, sem que seu cliente fique tenha medo de ter seus dados clonados ou fraudados é essencial. Portanto, estar em compliance com as normas do PCI pode garantir mais confiança por parte dos seus clientes e, portanto, um aumento no seu faturamento;
  • Clientes fiéis – A conformidade garante a segurança de todos os seus sistemas digitais, garantindo a confiança e a fidelidade dos seus clientes;
  • Melhorar a reputação no mercado – forma de mostrar a sua preocupação com a proteção dos dados dos seus clientes;
  • Sem multas – Violações de dados resultam geralmente em multas pesadas aplicadas pelas autoridades caso entendam que a organização não cumpriu as normas do PCI;
  • Como garantir o compliance com o PCI DSS.

O PCI DSS é um conjunto de padrões complexos que impõe grandes responsabilidades às empresas, e garantir o compliance com o PCI DSS é imprescindível. E apesar das organizações não serem legalmente obrigadas a atendê-los, uma violação de dados pode gerar severas multas, além do descredenciamento junto às operadoras e bandeiras de cartão de crédito, e da perda total de confiança dos consumidores na sua marca.

Pensando nisso, se faz necessário contar com o apoio de uma consultoria especializada no assunto para garantir que sua empresa consiga estar compliance com o PCI, mesmo antes de se pensar na certificação.

Lembre-se que, estar em compliance com o framework PCI DSS garante não só que sua empresa esteja em conformidade com todos padrões de segurança requeridos pelo mercado, como também transmite garantia dos processos capazes de transmitir segurança e confiabilidade perante clientes e demais stakeholders.

Por Sylvio Sobreira Vieira

+ conteúdo