PCI-DSS e compliance: última revisão do padrão traz novidades

Do pequeno negócio a grandes empresas, se você trabalha com e-commerce e pagamento online, certamente já ouviu falar em PCI-DSS.

O certificado é requisito básico para negócios que fazem transação com cartões de crédito e débito, é ele quem vai identificar para seus clientes que o seu site é seguro para que ele possa inserir dados sensíveis e bancários durante a realização de uma compra.

PCI-DSS é a sigla em inglês para Padrão de Segurança da Indústria de Pagamento com Cartão, que tem como objetivo garantir a segurança dos dados dos titulares de cartões de crédito ou débito durante uma compra.

O que é PCI-DSS?

Criado em 2004, PCI-DSS é um padrão internacional surgido da iniciativa conjunta das bandeiras MasterCard, Visa, AmericanExpress, Discover e JCB, tem como objetivo combater fraudes e roubo de dados, tornando a internet um ambiente mais seguro para transações.

É importante salientar que todo negócio que opera vendas com cartões de crédito ou débito é obrigado a ter o certificado. 6 objetivos foram traçados, são eles:

1. Construir e manter uma rede e sistemas seguros.
2. Proteger dados da conta.
3. Manter um Programa de Gerenciamento de Vulnerabilidades.
4. Implementar medidas fortes de controle de acesso.
5. Monitorar e testar regularmente redes.
6. Manter um policiamento de segurança da informação.

Para padronizar os requisitos básicos para se conquistar uma certificação, foram definidas 12 etapas importantes que toda empresa para estar em compliance deve seguir:

1. Use um firewall forte o suficiente para ser eficaz, mas sem causar inconvenientes indevidos a comerciantes e portadores de cartão.
2. Não use senhas ou padrões de fornecedores.
3. Proteja as informações armazenadas do titular do cartão (data de nascimento, documento e número de telefone e endereço de e-mail)
4. Use criptografia ao transmitir dados do titular do cartão quando transmitidos por redes públicas.
5. Use software antivírus, anti-spyware e anti-malware e atualize-o com frequência.
6. Desenvolva e mantenha sistemas e aplicativos seguros.
7. Restrinja o acesso às informações do cartão de crédito de acordo com o cargo de cada funcionário na empresa.
8. Atribua credenciais exclusivas e confidenciais a cada usuário e sistema na rede
9. Restrinja o acesso físico e eletrônico aos dados do cartão.
10. Monitorize e rastreie todos os acessos à rede e dados do cartão de crédito.
11. Teste regularmente a segurança de sistemas e processos.
12. Defina uma política de segurança que todos sigam e defendam.

Além disso, é importante que toda companhia que deseja tal certificado, procure por um gateway ou processador de pagamentos, que seja de confiança e tenha credibilidade no mercado. A garantia de uma certificação é importante para que o consumidor tenha confiança no seu negócio.

PCI-DSS 4.0: nova atualização

Desde sua criação, o padrão vem passando periodicamente por atualizações, sendo a última lançada em março de 2022, denominada PCI-DSS 4.0 que vem como sucessora da versão 3.2.1, que continuará coexistindo com a nova atualização por 2 anos como período de adaptação. Até lá, é opcional de cada companhia escolher qual adotar. Essa nova versão foi orientada por 4 objetivos:

1. Garantir que o PCI-DSS continue atendendo às necessidades de segurança.
2. Flexibilidade e suporte para diferentes formas de garantir a segurança.
3. Promover a segurança como um processo contínuo.
4. Aprimorar métodos e processos.

Abaixo estão as áreas técnicas que estão sendo consideradas para modificação sob PCI-DSS 4.0:

• Autenticação e orientação por senha.
• Requisitos avançados de monitoramento do sistema.
• Orientação adicional sobre autenticação multifatorial.

Em suma, o PCI DSS 4.0 foi projetado para proteger ainda mais os dados dos titulares de cartões, ajudando as organizações a ter uma visão mais holística das medidas de segurança e controles de acesso. Além disso, para responder a novas ameaças representadas pelos avanços da tecnologia.

Quais são os níveis de PCI Compliance?

Os níveis de conformidade PCI-DSS são classificações por transação comercial por ano, divididas por níveis. O Payment Card Industry (PCI) usa padrões de negócios para determinar o risco de fraude e verificar o nível apropriado de segurança para o seu negócio. Há 4 níveis de certificação PCI: 1, 2, 3 e 4. A divisão entre os níveis, chamada de tiers, são as seguintes:

Os níveis determinam a avaliação e validação de segurança necessários para que o comerciante seja aprovado na avaliação do PCI-DSS. O próprio padrão define as etapas que todos os comerciantes que processam pagamentos com cartão e armazenam ou transmitem informações de cartão de crédito, débito ou pré-pago devem seguir para fornecer transações seguras.

Quais os requisitos que o compliance deve cumprir?

Agora que já sabemos o que é PCI-DSS e quais seus requisitos, é preciso também saber como é feita a avaliação para obtê-la. E nesse processo o profissional de compliance é fundamental, pois é o seu setor o responsável pela governança de documentos e formulários.

Durante a avaliação uma entidade Qualified Security Assessor (QSA), que é quem certificará se os 12 requisitos foram cumpridos. Sendo necessário também comprovar a comprovar anualmente a conformidade através um Questionário de Autoavaliação (SAQ) ou Relatório de Conformidade.</ p>

O trabalho da equipe pode ser agilizado por meio do uso de softwares de compliance que facilitam a implementação e acompanhamento dos procedimentos.

O clickCompliance é uma plataforma que permite reduzir o trabalho manual através da automatização de processos, o que também significa redução de custos e prazos.