Scroll Top

Guia completo para a conformidade PCI DSS

PCI DSS

O setor de pagamentos eletrônicos é alvo das mais diversas fraudes e golpes, tornando a aderência a conformidade PCI DSS crítica para garantir a segurança das transações. Criado pelas cinco principais empresas de cartão de crédito na época — American Express, Discover JCB, MasterCard e Visa —, o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) traz um conjunto de diretrizes voltadas para a proteção do ecossistema de processamento dessas transações digitais contra possíveis vulnerabilidades. 

Os requisitos do PCI DSS, foram lançados em 2006 para garantir que as empresas do setor de pagamentos processassem, armazenassem e transmitissem informações de cartões de crédito por meio de um ambiente seguro. Com o uso de uma estrutura robusta e diversas ferramentas e recursos, as normas fornecem o suporte necessário para as empresas processarem pagamentos com maior segurança. 

Com o tempo, o PCI DSS se expandiu para as transações via internet e se tornou o principal protocolo de segurança para qualquer empresa que lide com pagamentos eletrônicos. E, em um mundo no qual os ataques cibernéticos se tornam cada vez mais complexos, é essencial que as informações financeiras dos clientes estejam seguras. Para isso, funciona como uma camada extra de proteção para manter esses dados longe de pessoas mal-intencionadas. 

Quem precisa aderir à conformidade PCI DSS?

Todas as empresas que aceitam, armazenam ou transmitem informações relacionadas a pagamentos eletrônicos precisam cumprir os padrões PCI. Comerciantes, prestadores de serviço, instituições financeiras e qualquer outra entidade que armazene ou processe essas informações, obrigatoriamente, devem estar em conformidade. 

Apesar de não ser exigida por lei, os requisitos do PCI DSS são aplicados por meio de contratos assinados entre as empresas de meios de pagamento, lojistas e afiliados, determinando que, para as empresas aceitarem cartões de pagamento, elas devem aderir às normas. Caso não sigam as regras, essas organizações estão sujeitas a multas e até serem descredenciadas junto às operadoras de pagamento eletrônico. 

Os dados que precisam ser protegidos incluem: 

  • Número do cartão 
  • Nome do titular 
  • Data de expiração do cartão 
  • Código de serviço (CVV) 
  • Dados completos da trilha (encontrados no chip ou tarja magnética) 
  • Número de identificação pessoal (PIN) 
  • Bloco de número de identificação pessoal (PIN) 

A não conformidade com o PCI DSS, além das possíveis penalidades, coloca as empresas em risco de violações, perda ou roubo de informações dos clientes, além de sofrerem danos à reputação. Por outro lado, estar em conformidade proporciona maior tranquilidade aos clientes por saberem que seus dados estão em segurança e cria a possibilidade de novas parcerias e oportunidades de negócios, já que grandes empresas exigem que seus parceiros sejam aderentes ao PCI DSS. 

Os 12 requisitos do PCI DSS

São 12 os requisitos do PCI DSS, que abrangem desde proteção de dados e segurança de rede até gerenciamento de senhas e controle de acesso. Cada um deles conta com um grau de complexidade diferente. Estudo da Verizon mostra maior conformidade, por exemplo, com aqueles voltados para a criptografia e controle de acesso, chegando a 90,8% de adesão por parte das empresas. 

Proteção da rede

O primeiro requisito exige que as organizações protejam seus sistemas implementando controles de segurança de redes 

Configurações seguras

São regras que indicam o que os usuários devem fazer para manter seus sistemas em segurança, isso inclui exigir que usuários alterem nomes de usuários, senhas e configuração padrão. 

Armazenagem de dados

A norma determina que o armazenamento de dados deve ser pelo tempo mínimo determinado pelo prazo legal de retenção, e que mecanismos de segurança sejam implementados para proteger as informações. 

Criptografia e transmissão de dados

As normas indicam que o uso de criptografia é essencial para tornar os dados ilegíveis no caso de roubo ou vazamento. Dessa forma, é possível reduzir a chance de atores mal-intencionados interceptarem as informações durante a transmissão. 

Proteção de sistemas contra malware

O PCI DSS instrui as empresas a manterem seus softwares antimalware atualizados e criarem um programa de gestão de vulnerabilidades. 

Sistemas e softwares atualizados

Da mesma forma, esse requisito é voltado para garantir que as empresas mantenham seus sistemas e softwares atualizados. 

Restrição de acesso aos dados

Organizações precisam implementar o controle de acesso baseado em função e monitorar quem acessa as informações relacionadas aos titulares dos cartões de pagamento. 

Identificação e autenticação de acesso do usuário

Todos os usuários precisam ter um nome de usuário exclusivo e a empresa deve implementar a autenticação multifator e desativar contas inativas. 

Restrição de acesso físico

As organizações precisam restringir o acesso físico aos servidores que armazenem dados do titular do cartão. 

Registro e gestão de acesso

A regra estabelece a necessidade de registrar logs de acesso, processo fundamental para rastrear e monitorar o acesso aos dados e aplicativos. 

Teste de sistemas e processos de segurança

Diz respeito a execução de testes de vulnerabilidade e penetração para identificar possíveis brechas de segurança. Esses testes devem ser realizados por pessoal habilitado ou por empresas especializadas. 

Políticas de segurança

A criação de uma política de segurança robusta, que inclui procedimentos, avaliação de riscos, treinamento de conscientização e planos de resposta a incidentes é obrigatória. 

Maneiras de atender aos requisitos do PCI DSS

São três as formas de obter e manter a conformidade com o PCI DSS e cada maneira varia de acordo com os recursos de pessoal e financeiros disponíveis, além do tempo de lançamento no mercado. 

Faça você mesmo

Aqui, a adesão e obtenção da certificação PCI DSS é por conta da própria empresa. Para isso, é necessário contratar profissionais habilitados em segurança e realizar as avaliações de acordo com o nível. Por exemplo, um comerciante de nível 1 precisa ser analisado por um avaliador de segurança qualificado (QSA). O processo pode levar de 3 a 12 meses, sendo necessário repeti-lo anualmente. 

Trabalhar com um provedor

Esse modelo envolve encontrar e trabalhar com um fornecedor que será responsável pelo processamento e armazenamento dos dados dos titulares dos cartões. Dessa forma, todo o processo de certificação passa a ser de responsabilidade do provedor, cabendo a empresa monitorar se ele atende plenamente às normas. 

Parceria com uma plataforma compatível com PCI

Tipicamente a opção mais rápida. Nesse modelo, a empresa fecha uma parceria com uma plataforma compatível com o PCI e todas as atividades são realizadas pela plataforma, exigindo menos recursos financeiros para ser implementada. 

Como a SVX pode ajudar sua empresa

Por meios da análise, avaliação, mapeamento e implementação de controles do PCI DSS, a SVX ajuda sua empresa a atuar com pagamentos via cartão, melhorar seu framework e alcançar a maturidade em governança, segurança, continuidade dos negócios e proteção de dados. Entre em contato e fale com nossos especialistas. 

+ conteúdo