O PCI DSS representa uma certificação de segurança internacional obrigatória para todas as organizações que lidam com o processamento, armazenamento ou transmissão de dados de cartões.
Para assegurar uma experiência segura e conquistar a confiança dos clientes, é essencial escolher um sistema de pagamento que garanta a devida segurança nas transações do seu comércio eletrônico.
Desta forma, neste artigo, abordaremos de forma abrangente o conceito do PCI DSS, os objetivos e requisitos, além de explicar a relevância da certificação. Além disso, realizaremos uma análise comparativa entre as diferentes versões do PCI DSS, destacando as alterações que ocorreram ao longo das transições da versão 3.2.1 para a versão 4.0.
Qual a definição e o objetivo do PCI DSS?
Conforme mencionado, o PCI DSS – Payment Card Industry Data Security Standard – ou, em português, “Padrão de Segurança de Dados para a Indústria de Pagamentos com Cartão” -, é uma normativa de segurança internacional reconhecida no meio do mercado de pagamentos.
Criado em 2004 através de uma iniciativa conjunta de algumas das bandeiras dos principais cartões: Mastercard, Visa, JCB, American Express e Discover, o PCI DSS trata-se de um conjunto de diretrizes e procedimentos de segurança que deve ser seguido por empresas que fazem o manuseio de dados sensíveis, como número, nome do portador, validade e CVV do cartão do cliente (titular).
O seu principal objetivo é trazer a garantia da segurança quanto ao processamento das transações realizadas por meio do cartão, protegendo e garantindo que as informações dos Titulares de Dados não sejam objeto de fraudes e apropriação dos dados, reduzindo assim o risco de fraudes.
Quais os requisitos do PCI DSS?
Esses requisitos são projetados para garantir que as organizações adotem medidas abrangentes para proteger as informações de cartões de pagamento e prevenir possíveis violações de dados.
É importante observar que o PCI DSS é atualizado periodicamente para abordar novas ameaças e tecnologias emergentes. As organizações devem se manter atualizadas e em conformidade com as versões mais recentes do padrão.
Abaixo listamos os 12 requisitos distribuídos em 6 categorias (objetivos):
1. Construir e Manter uma Rede Segura:
Requisito 1: Instalar e manter uma configuração de firewall para proteger os dados do cartão
Os firewalls são essenciais para evitar que entidades não autorizadas acessem dispositivos digitais, sendo a primeira barreira de proteção online. A maioria dos computadores e notebooks já incluem um firewall, proporcionando uma defesa inicial.
Mesmo com a proteção já existente nos notebooks e computadores, as empresas precisam realizar uma configuração personalizada dos firewalls e roteadores para assegurar a proteção dos ambientes, sendo necessária a definição de diretrizes definindo quais tipos de tráfego são permitidos.
Tráfego é o que chamamos de visualizações, visitas recebidas na páginas, redes sociais, blogs, entre outros. Muitas empresas realizam o bloqueio desse tráfego para impedir ou limitar o acesso de funcionários a determinados serviços ou recursos, prevenindo riscos.
Requisito 2: Eliminar a configuração padrão do fornecedor
Realize as alterações das configurações padrão fornecidas pelos fabricantes, especialmente no que diz respeito a senhas, e outros parâmetros de segurança, sendo essencial personalizar as configurações para cada novo dispositivo, mantendo sempre a documentação atualizada para garantir maior efetividade das medidas de proteção.
2. Proteger os Dados do Titular do Cartão:
Requisito 3: Proteger os dados armazenados.
As organizações devem buscar compreender detalhadamente o destino dos dados dos titulares dos cartões, bem como, seu local de armazenamento e o tempo de retenção.
Além disso, é vital garantir que todos os dados relativos ao titular do cartão passem por um processo de criptografia, utilizando algoritmos e chaves de segurança reconhecidas pelo setor.
Requisito 4: Criptografar a transmissão dos dados do cartão.
Essa fase do requisito PCI DSS se relaciona à anterior, sendo fundamental ter conhecimento sobre a origem e o destino dos dados do titular do cartão, assegurando a realização da criptografia dos dados do Titular do cartão antes do compartilhamento, utilizando versões seguras de protocolos que minimizem os riscos de comprometimento durante a transferência de dados.
3. Manter uma Vigilância Contra Ameaças e Práticas de Segurança:
Requisito 5: Utilizar software antivírus e manter programas seguros.
Atualizar o software antivírus e efetuar as correções necessárias regularmente é essencial para o padrão de segurança PCI. Desta maneira, devem ser atualizados todos os servidores, estações de trabalho, e demais dispositivos móveis dos colaboradores. O software antivírus deve estar sempre em execução ativa, usando as assinaturas mais recentes e gerando logs que possam ser auditados.
Requisito 6: Desenvolver e manter sistemas e aplicativos seguros.
Para implantação de tecnologias, há necessidade da definição e implementação de processos para contribuir com a classificação dos riscos com relação a tecnologia. Com a avaliação de risco, é possível começar a implantar equipamentos e softwares usados no processamento ou manuseio de informações referentes aos cartões de pagamento.
4. Implementar Controles de Acesso Restrito:
Requisito 7: Restringir o acesso aos dados do cartão apenas às pessoas necessárias.
Os dados dos titulares de cartão devem ser restritos com base na função e de acordo com a permissão. Vale ressaltar que o requisito é aplicado tanto ao acesso digital, quanto à segurança física, devendo a organização conter políticas, procedimentos, e controles referente ao acesso, documentados e os mantendo atualizados.
Requisito 8: Atribuir uma identificação única a cada pessoa com acesso.
Para evitar uma violação interna, e otimizar a detecção e rastreabilidade no caso de violação, a organização deve conceder acessos segregados para cada usuário, ou seja, cada um precisa ter seu próprio nome de usuário e senha para acesso, atendendo às recomendações mínimas de segurança e, se possível a empresa deve solicitar sempre a autenticação de dois fatores. Não deve ser usado em nenhuma hipótese nomes ou senhas compartilhados.
5. Monitorar e Testar as Redes Regularmente:
Requisito 9: Restringir o acesso físico aos dados.
Este requisito contempla o acesso físico aos servidores, arquivos de papel e todas as estações de trabalho que armazenem ou transmitam dados do Titular. Ainda, o requisito coloca como obrigatoriedade a utilização de câmeras de vídeo e monitoramento eletrônico dos locais físicos (ex: data centers).
Requisito 10: Rastrear e monitorar todos os acessos aos recursos de rede e dados do cartão.
Todos os sistemas da rede precisam conter uma proteção e ser monitorados de forma periódica, devendo conter um histórico de todas as atividades que necessitam ser mantidas e enviadas a um servidor centralizado para serem avaliados diariamente.
6. Manter uma Política de Segurança da Informação:
Requisito 11: Testar processos e sistemas continuamente em busca de vulnerabilidades
Tendo em vista o atual cenário em que criminosos diariamente buscam o acesso indevido a sistemas, é necessário que as empresas frequentemente realizem testes para verificar possíveis vulnerabilidades, como por exemplo, os testes de penetração (PENTEST). Para o PCI os testes de vulnerabilidade devem ocorrer a cada 3 meses, e o teste de penetração a cada 12 meses (anualmente).
Requisito 12: Manter uma política que aborde a segurança das informações dos cartões de pagamento.
A empresa deve implementar uma Política de Segurança da Informação, a qual deve ser revisada anualmente e divulgada para o público interno e externo. Também é necessário que seja estabelecido um plano de ação para conscientização de todos os usuários, e sejam sempre realizada diligências de todos os fornecedores e funcionários para evitar o acesso indevido aos dados dos titulares dos cartões.
Quem precisa estar em conformidade?
As operadoras de cartões de crédito exigem que todas as empresas, independente do porte, estejam em conformidade com o PCI. Caso a instituição colete, transfira, e armazene dados de cartões de crédito dos titulares dos cartões, é obrigatório.
Vale ressaltar que caso a instituição possua um fornecedor terceirizado e não armazene ou registre as informações dos dados de cartões de crédito, neste caso, é o fornecedor que deve estar em conformidade, pois a empresa não processa e nem acessa as informações de pagamento dos clientes.
Como a Be pode te ajudar?
Pensando em contribuir com o processo da sua empresa para a conformidade com todos os requisitos do PCI, a Be desenvolveu uma Plataforma voltada para o Compliance regulatório, onde é possível realizar gestão otimizada de todos os requisitos dos normativos, e ainda:
• Concentrar as evidências em um só lugar;
• Inventário de ativos;
• Treinamentos;
• Estabelecer plano de ação;
• Analisar riscos;
• Monitorar políticas, procedimentos e controles internos;
• Realização de auditorias e revisões, e muito mais.
Além disso, a Plataforma já conta com todos os requisitos da PCI 3.2.1 e PCI 4.0, permitindo a realização de uma gestão centralizada e integrada desses requisitos da normativa através de um painel visual super moderno.
Ficou interessado em conhecer a Plataforma? Agende uma demonstração com nossos especialistas, e saiba mais sobre a plataforma que vem revolucionando as empresas e contribuindo com o processo de adequação ao PCI e outras normativas.