PCI Compliance: o que é e por que você precisa saber sobre isso
Escrito em 08 de Setembro de 2021 por Redação iugu
Atualizado em 12 de Agosto de 2024
O padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS) é um conjunto de requisitos destinados a garantir que todas as empresas que processam, armazenam e/ou transmitem informações de cartão de crédito, mantêm um ambiente seguro.
Com o objetivo de gerenciar os padrões de segurança PCI e melhorar a segurança em todo o processo da transação, é regido pelo PCI SSC (um órgão independente criado por bandeiras de cartão como Visa, Mastercard e American Express), desde sua criação em 2006.
Em tempos de avanço das transações bancárias online e compras online se tornando cada vez mais comuns, é natural que os consumidores se preocupem com a segurança das informações digitadas em sites e aplicativos.
Assim como, paralelamente, também é natural que as empresas busquem soluções que tragam a segurança necessária para seus consumidores e para si mesmas.
Mas atenção: isso vai além do sistema antifraude.
Veja no artigo de hoje o que é o PCI, sua importância e por que sua empresa deve se preocupar com isso!
O que é PCI Compliance?
PCI Compliance é uma das maiores certificações de segurança do mundo.
Trata-se de um conjunto de padrões técnicos e operacionais, que as empresas seguem para proteger os dados do cartão de crédito fornecidos pelos titulares dos cartões e transmitidos por meio de transações de processamento do cartão.
Ou seja, é um certificado exigido para todas as empresas que tratam dados de cartões, como número, validade e código de segurança.
Que empresas precisam da certificação PCI DSS?
Como dissemos, todas as empresas que tratam dados de pagamentos de terceiros devem obter a certificação, que garante a segurança desses dados e a sua conformidade.
Independente do tamanho de sua operação e número de transações, todos os provedores de sistemas que participam do processamento de dados de cartões são obrigados a seguir os requisitos de segurança do PCI-DSS.
Veja abaixo quais empresas precisam da certificação:
- Servidores;
- Gerenciadores de banco de dados;
- Gateways de pagamento;
- Processadores de pagamento;
- Plataformas de e-commerce.
Benefícios da conformidade com PCI
Obter um selo PCI parece uma tarefa difícil, no mínimo. Garantir os padrões exigidos parece uma tarefa difícil para grandes organizações, e ainda mais para empresas menores.
No entanto, a conformidade está se tornando cada dia mais importante e pode não ser tão problemática quanto você imagina, especialmente se você tiver as ferramentas certas.
De acordo com o órgão regulatório do PCI (PCI SSC), há grandes benefícios na conformidade, especialmente considerando que o não cumprimento pode resultar em consequências sérias e de longo prazo. Por exemplo:
- Conformidade com PCI significa que seus sistemas estão seguros e seus clientes podem confiar à você suas informações confidenciais de cartão de pagamento.
- O PCI Compliance melhora sua reputação com adquirentes e empresas de pagamento.
- O PCI Compliance é um processo contínuo que ajuda a prevenir violações de segurança e roubo de dados de cartão de pagamento no presente e no futuro.
- A conformidade com PCI significa que você está contribuindo para uma solução global de segurança de dados de cartão de pagamento.
- O PCI Compliance contribui para as estratégias de segurança corporativa (mesmo que seja apenas um ponto de partida).
- A conformidade com o PCI leva à melhoria da eficiência da infraestrutura de TI.
Quais são os níveis do PCI?
O PCI compliance possui 4 níveis, que variam de acordo com o número de transações realizadas por ano pela empresa.
São eles:
- Nível 1: mais de 6 milhões de transações por ano;
- Nível 2: entre 1 e 6 milhões de transações por ano;
- Nível 3: entre 20 mil e 1 milhão de transações ao ano (em geral, e-commerce);
- Nível 4: menos de 20 mil transações ao ano (em geral, e-commerce).
A iugu possui o nível 1 da certificação e realizamos anualmente uma auditoria para garantir a conquista do selo.
Os 12 requisitos para conformidade com PCI DSS
O PCI DSS tem 12 requisitos principais, 78 requisitos básicos e mais de 400 procedimentos de teste, determinados pelo PCI SSC.
Seus 12 requisitos principais são:
1. Use e mantenha Firewalls
Os firewalls bloqueiam essencialmente o acesso de entidades estrangeiras ou desconhecidas que tentam acessar dados privados.
Esses sistemas de prevenção costumam ser a primeira linha de defesa contra hackers (mal-intencionados ou não). Os firewalls são necessários para conformidade com o PCI DSS devido à sua eficácia na prevenção de acesso não autorizado.
2. Proteção de senha adequada
Roteadores, modems, sistemas de ponto de venda (POS) e outros produtos de terceiros geralmente vêm com senhas genéricas e medidas de segurança facilmente acessadas pelo público.
Garantir a conformidade nesta área inclui manter uma lista de todos os dispositivos e software que requerem uma senha (ou outro tipo de segurança para acesso).
Além de um inventário de dispositivo/ senha, precauções e configurações básicas também devem ser aplicadas (por exemplo, alterar a senha).
3. Proteja os dados do titular do cartão
O terceiro requisito de conformidade com PCI DSS é uma proteção dupla dos dados do titular do cartão. Os dados do cartão devem ser criptografados com certos algoritmos.
Essas criptografias são implementadas com chaves de criptografia - que também devem ser criptografadas para fins de conformidade.
A manutenção regular e a varredura dos números de contas primárias (PAN) são necessárias para garantir que não existam dados não criptografados.
4. Criptografar dados transmitidos
Os dados do titular do cartão são enviados através de vários canais comuns (ou seja, processadores de pagamento, home office de lojas locais, etc.).
Esses dados devem ser criptografados sempre que forem enviados a esses locais conhecidos. Os números de conta também nunca devem ser enviados para locais que são desconhecidos.
5. Use e mantenha o antivírus
Instalar software antivírus é uma boa prática fora da conformidade com PCI DSS.
No entanto, o software antivírus é necessário para todos os dispositivos que interagem e / ou armazenam o PAN. Este software deve ser corrigido e atualizado regularmente. Seu provedor de PDV também deve empregar medidas antivírus onde não puder ser instalado diretamente.
6. Software devidamente atualizado
Firewalls e software antivírus exigirão atualizações com frequência.
A maioria dos produtos de software inclui medidas de segurança, como patches para lidar com vulnerabilidades descobertas recentemente, em suas atualizações, que adicionam outro nível de proteção.
Essas atualizações são especialmente necessárias para todos os softwares em dispositivos que interagem ou armazenam dados do titular do cartão.
7. Restringir o acesso aos dados
Os dados do titular do cartão devem ser estritamente restritos.
Todos os funcionários, executivos e terceiros que não precisam de acesso a esses dados não devem tê-los. As funções que precisam de dados confidenciais devem ser bem documentadas e regularmente atualizadas - conforme exigido pelo PCI DSS.
8. IDs exclusivos para acesso
Indivíduos que têm acesso aos dados do portador do cartão devem ter credenciais individuais e identificação para acesso.
Por exemplo, não deve haver um único login para os dados criptografados com vários funcionários sabendo o nome de usuário e a senha.
IDs exclusivos criam menos vulnerabilidade e um tempo de resposta mais rápido caso os dados do evento sejam comprometidos.
9. Restringir o acesso físico
Todos os dados do titular do cartão devem ser fisicamente mantidos em um local seguro. Os dados fisicamente gravados ou digitados e os dados mantidos digitalmente (por exemplo, em um disco rígido) devem ser trancados em uma sala, gaveta ou gabinete seguro.
Não apenas o acesso deve ser limitado, mas sempre que os dados confidenciais são acessados, eles devem ser mantidos em um registro para permanecerem em conformidade.
10. Criar e manter registros de acesso
Todas as atividades que lidam com os dados do titular do cartão e números de contas primárias (PAN) exigem uma entrada de registro. Talvez o problema de não conformidade mais comum seja a falta de manutenção de registros e documentação adequada quando se trata de acessar dados confidenciais.
A conformidade requer a documentação de como os dados fluem para a sua organização e o número de vezes que o acesso é necessário. Produtos de software para registrar o acesso também são necessários para garantir a precisão.
11. Verificar e testar vulnerabilidades
Todos os dez padrões de conformidade anteriores envolvem vários produtos de software, locais físicos e provavelmente alguns funcionários.
Existem muitas coisas que podem funcionar incorretamente, ficar desatualizadas ou sofrer com erro humano. Essas ameaças podem ser limitadas pelo cumprimento do requisito PCI DSS para varreduras regulares e testes de vulnerabilidade.
12. Políticas e documentos
O inventário de equipamentos, software e funcionários que têm acesso precisará ser documentado para conformidade.
Os registros de acesso aos dados do titular do cartão também exigirão documentação.
Como as informações fluem para a sua empresa, onde são armazenadas e como são usadas após o ponto de venda também precisam ser documentadas.
Por que escolher uma ferramenta de pagamento que possui a certificação PCI Compliance?
Somente no primeiro semestre de 2021, o Brasil teve alta de quase 33% nas tentativas de fraude com cartão de crédito, atingindo 2,6 milhões de tentativas observadas por um estudo da Clearsale.
Criminosos estão de olho nas oportunidades e sabemos que estamos sujeitos a esse tipo de fraude.
Por isso é tão importante garantir que as soluções de pagamento que você está oferecendo aos seus clientes, sejam as mais seguras possíveis, isso fará com que ele se sinta seguro e também aumenta as chances de reter esse cliente.
Esse é o papel de certificações como o PCI Compliance, elas nos ajudam a analisar as empresas e selecioná-las pela seriedade com que tratam os dados recebidos em cada transação de pagamento.
Se você tem a preocupação de oferecer um ambiente seguro aos seus clientes no seu e-commerce, opte por empresas de pagamento que possuam o PCI Compliance, de preferência nível 1, assim você poderá ter certeza de que está lidando com uma empresa que se preocupa com seus clientes tanto quanto você!
Escrito em 08 de Setembro de 2021 por
Redação iugu