Recebeu uma cobrança iugu? Veja o que fazer ou fale conosco

Tudo que você precisa saber sobre a certificação PCI DSS

Escrito em 26 de Maio de 2022 por Redação iugu

Atualizado em 24 de Agosto de 2023

Com a expansão da vendas pelo e-commerce e do mercado de SaaS (Software as a Service, ou Software como Serviço, em português), cresce a necessidade de implementar sistemas de pagamento em aplicações web.

Normalmente, esta funcionalidade é implementada a aplicações por meio de integrações com ferramentas de terceiros. Fazendo isso, o host da aplicação se exime da responsabilidade sobre o manuseio de dados do seu usuário, deixando esta responsabilidade para a empresa que oferece a solução de pagamentos.

Mas este tipo de operação, que envolve a coleta e o tratamento de dados sensíveis do usuário, também vem com requisitos e normas de segurança. Um destes conjuntos de normas é o PCI DSS.

As empresas de meios de pagamento devem estar em conformidade com as normas do PCI DSS para operar regularmente com cartões de crédito e débito. Para entender melhor sobre esse padrão de segurança, continue a leitura!

 

O que é o PCI DSS?

PCI DSS é um acrônimo para Payment Card Industry Data Security Standard (em português, Padrão de Segurança de Dados da Indústria de Cartões de Pagamento).

Esse padrão de segurança de dados (Data Security Standard — DSS) foi criado em 2006 pelo PCI SSC, a sigla para Payment Card Industry Security Standards Council, ou Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento.

Faziam parte do conselho, à época, as bandeiras American Express, Discover, JCB, MasterCard e Visa.

O padrão foi criado para garantir a segurança de dados sensíveis de usuários no processamento de transações financeiras com cartão via internet. Por exigência do PCI SSC, toda empresa que processe, armazene ou manipule de qualquer forma dados de cartões de pagamento na internet devem estar em conformidade com o PCI DSS.

Para atestar compliance ao padrão, são emitidas certificações para as empresas que manuseiam dados de cartões de pagamento.

 

Que tipo de dados estão protegidos pelo PCI DSS?

Estão protegidos pelo PCI DSS as informações do cartão como número, senha, código de segurança, data de validade, etc.

Além disso, o padrão também protege as informações pessoais do titular do cartão, como nome, endereço e números de documentos como o CPF, no Brasil.

 

Níveis de compliance do PCI DSS

A certificação PCI DSS prevê quatro níveis de compliance em que são classificadas as empresas. A classificação se dá de acordo com o número de transações em compliance com o DSS que a empresa a ser certificada faz ao ano.

Essa classificação em níveis não diz respeito a maior ou menor conformidade com o padrão, mas sim aos requisitos impostos à empresa para se manter compliant com o DSS. Confira quais são os níveis:

 

Nível 1

É o nível mais alto de compliance. Encaixam-se nesse nível as empresas com mais de 6 milhões de transações anuais com cartões de crédito e débito. Estas transações devem estar em plena conformidade com o padrão de segurança de dados do PCI SSC.

Empresas de nível 1 de compliance têm como requisito passar por uma auditoria anual, feita por terceiros, para verificar a conformidade das transações. Além disso, suas redes são anualmente escaneadas por um Vendedor de Escaneamento Aprovado.

Estas empresas recebem um Atestado de Compliance e um Relatório de Compliance de suas operações.

 

Nível 2

Empresas classificadas como nível 2 de compliance de acordo com o PCI DSS são aquelas que movimentam entre 1 e 6 milhões de transações com cartão por ano. Estas empresas não necessitam de auditorias externas anuais, mas requerem o preenchimento de um Questionário de Autoavaliação todos os anos.

 

Nível 3

São classificadas como nível 3 de compliance as empresas com o número anual de transações com cartão entre 20 mil e 1 milhão. Assim como para o nível 2, estas empresas dispensam a necessidade de auditorias externas anuais, mas o Questionário de Autoavaliação se faz igualmente necessário.

 

Nível 4

As empresas com menos de 20 mil transações anuais com cartão são classificadas como nível 4 de compliance. Estas empresas também cumprem suas obrigações apenas preenchendo o Questionário de Autoavaliação anual, dispensando a necessidade de auditorias externas.

 

Requisitos para compliance com o PCI DSS

Os 12 requisitos básicos para conformidade com o PCI DSS são divididos em 6 grupos. São eles: segurança da rede; segurança dos dados do titular do cartão; gerenciamento de vulnerabilidades; controle de acesso; testagem e monitoramento de rede; e segurança da informação.

Abaixo, conheça os requisitos de cada grupo:

1. Segurança de rede

  1. Firewall: a empresa deve contar com um firewall instalado, configurado e regularmente mantido por pessoal qualificado;
  2. Senhas: as senhas dos sistemas devem ser únicas e originais, não podendo a empresa manter as senhas padrão para sistemas críticos.

2. Segurança dos dados do titular do cartão

  1. Dados armazenados: os dados armazenados do titular do cartão devem ser protegidos com as medidas adequadas de cibersegurança;
  2. Transmissão de dados: a transmissão de dados do titular do cartão deve estar protegida por criptografia de ponta a ponta.

3. Gerenciamento de vulnerabilidades

  1. Antivírus: a empresa e seus sistemas devem contar com proteção antivírus de um software confiável e regularmente atualizado;
  2. Segurança de sistemas: os sistemas e aplicações desenvolvidas devem ser projetados em conformidade com as normas e medidas de cibersegurança.

4. Controle de acesso

  1. Restrição de acesso: devem ser compartilhados com empresas terceiras somente os dados necessários do titular do cartão;
  2. ID Único: cada pessoa com acesso ao sistema deve ter um ID único de acesso, capaz de identificá-la e impedir o acesso de pessoas não autorizadas;
  3. Acesso físico aos dados: o acesso físico aos dados do titular do cartão deve ser restringido e impedido.

 

5. Testagem e monitoramento de rede

  1. Rastreio e monitoramento: a empresa deve monitorar e rastrear cada acesso, ainda que autorizado, aos dados do titular do cartão;
  2. Testes de segurança: testes regulares devem ser conduzidos para verificar a integridade e eficiência dos processos e sistemas de segurança.

<h3> Segurança da informação

  1. Política de segurança: empresas em conformidade com o PCI DSS devem ter uma política interna a respeito do tratamento de questões de segurança da informação.

 

PCI DSS e a iugu

A iugu tem orgulho de estar em perfeita conformidade com o PCI DSS, possuindo a certificação PCI DSS Compliance Nível 1. Colocamos a segurança em primeiro lugar ao oferecer soluções de pagamento com cartão para aplicações web de todos os portes.

Conheça nossos serviços e garanta a segurança dos seus clientes.

 
Tags: Tecnologia programação

Escrito em 26 de Maio de 2022 por

Redação iugu

Posts relacionados

Inovação SaaS
abr 25 4 min para ler

O que é fintech e como funciona?
Experiência do cliente Gestão estratégica
abr 11 4 min para ler

Painel de personalização da iugu: entenda as vantagens do produto
Inovação SaaS
abr 02 4 min para ler

O que é embedded finance e quais as vantagens