O constante aumento e expansão do comércio online é a prova de que a era da internet veio para ficar e que os hábitos de consumo vão, pouco a pouco, se modificando. Com grande demanda online e benefícios expressivos para comerciantes de atacado e varejo, o fluxo financeiro segue intenso na web.
Mas como ter cem por cento de certeza de que as empresas manterão seguros dados como informações do seu cartão de crédito ou cartão de pagamento?
Pensando em oferecer bases para a confiança do consumidor, o Conselho de Normas de Segurança estabeleceu diretrizes obrigatórias para todas as instituições que processem, aceitem ou armazenem dados de cartões de crédito.
Entenda mais sobre essas diretrizes e sua importância para a segurança da informação abaixo.
O que é o PCI DSS?
O PCI DSS é a sigla referente a Payment Card Industry Data Security Standard, que, em português, significa Padrão de Segurança de Dados da Indústria de Cartões de Pagamento, e designa um conjunto de medidas de segurança estabelecidas pelo PCI Security Standards Council, o órgão regulamentador global de medidas de segurança referentes a cartão de crédito.
Lançada em 2004, é agora uma norma reconhecida e praticada globalmente na aplicação de medidas de segurança sobre dados de cartões de pagamento, minimizando as possibilidades de violação de segurança.
O PCI DSS trata diversas ameaças, como malwares, skimming de cartões, phishing, controle de acesso remoto e muitas outras.
Quais são os requisitos para compliance com o PCI DSS?
Com atualizações cada vez mais complexas e sofisticadas para frear os ataques cibernéticos também mais sofisticados, há alguns requisitos básicos para compliance das normas estabelecidas.
Os 12 requisitos fundamentais do PCI DSS
- Atualizações regulares e frequentes de softwares antivírus: A atualização dos softwares antivírus devem ser efetuadas em todo ecossistema de TI do titular do cartão, mantendo proteção contra malwares e vírus, mantendo-se sempre em execução ativa.
- Implantação de sistemas e aplicativos seguros: Após uma avaliação de risco completa, já é possível implantar sistemas e aplicativos seguros que processem as informações confidenciais da titularidade.
- Criptografia de transmissão de dados: Dados em trânsito geralmente são alvo de hackers, considerando que são informações mais vulneráveis e passíveis de acesso, portanto usar criptografia é uma estratégia obrigatória que deixa ilegíveis os dados entre sua origem e destino.
- Proteção ao armazenamento de dados do titular do cartão: Esse é o requisito mais difícil, pois consiste em identificar o movimento dos dados, seu armazenamento e o tempo de armazenamento, contando com criptografia e auxílio de algoritmos e chaves de segurança. É necessário atentar-se ao PAN e restringir a exibição das numerações de cartões a fim de evitar acessos mal intencionados.
- Eliminação da configuração padrão do fornecedor: Nenhum padrão previamente estabelecido deve ser confiável dentro das normas do PCI.
- Identificação de acesso do usuário: Cada usuário deve ter seu login de acesso, com senhas complexas e jamais devem ser aceitos nomes de usuários e senhas coletivas em acessos a dados do cartão de pagamento.
- Restrição de acesso físico a dados: Todo local de processamento de dados deve possuir câmeras, senhas e monitoramento eletrônico de acesso para garantir o não vazamento de informações.
- Testes regulares de sistemas e processos buscando vulnerabilidades: Testes de penetração e análise de vulnerabilidades são quesitos obrigatórios para detecção e manutenção dos ambientes de armazenamento de dados.
- Criação e gerenciamento de políticas de infosec: É fundamental a criação, implementação e manutenção de políticas de infosec na empresa, abrangendo funcionários, liderança e terceirizações.
- Rastreamento e monitoramento de acesso à rede: Todos os sistemas de rede devem ser protegidos e monitorados o tempo todo, gerando relatórios concisos de atividades de referência.
- Instalação e uso contínuo de firewall: Os firewalls restringem o tráfego de rede de entrada e saída como a primeira linha de defesa em ataques cibernéticos, sendo de extrema importância e a camada mais básica de compliance do PCI DSS.
- Restrição de acesso aos dados do titular do cartão conforme necessidade: O acesso aos dados privados do titular do cartão é restrito a uma base essencial para os negócios, ou seja, o acesso só deve ser liberado em caso de necessidade.
Atualizações mais recentes na versão 4.0
A atualização mais recente do PCI DSS estabelece novas previsões:
- Autenticação e orientação de senha
- Requisitos avançados de monitoramento do sistema
- Orientação sobre autenticação multifator
Essas três atualizações foram pensadas para garantir que os padrões PCI continuem atendendo às necessidades de segurança do setor de pagamentos, que haja flexibilidade e suporte de outras metodologias para aumentar a segurança dos pagamentos.
Que a promoção da segurança do titular do cartão seja um processo contínuo, mesclando a segurança com processos de negócios e que haja também aprimoramento de métodos e procedimentos de validação para simplificar o processo de conformidade.
Quais são os benefícios de estar em conformidade com o PCI DSS?
Segurança de dados do cliente
O primeiro e um dos mais importantes benefícios de estar dentro das conformidades com o PCI DSS é a confiabilidade que dados bem armazenados e seguros transmitem ao cliente, gerando identificação e criando uma atmosfera de segurança que pode ser convertida em novas e frequentes transações financeiras.
Redução de riscos de multas e fraudes
A minimização de fraudes e vazamento de dados não só é um ponto de confiabilidade, mas também indica que a empresa segue as normas globais e nacionais de proteção de dados, como a LGPD, evitando multas e punições por desconformidades legais.
Que tipos de empresa precisam mandatoriamente estar em conformidade com o PCI DSS?
Qualquer empresa que armazene, transmita ou processe dados de cartões de pagamento é obrigatoriamente instruída a seguir os padrões do PCI DSS, independentemente do tamanho da empresa ou de seu volume de transações.
Qual é a penalidade para uma empresa que não cumpre o PCI DSS?
As penalidades para o descumprimento das normas do PCI DSS incluem multas que podem chegar a valores significativos, danos à reputação da empresa em caso de possível vazamento de dados de clientes e parceiros e até suspensão da capacidade de processar pagamentos, interrompendo o fluxo comercial e gerando prejuízos expressivos ao negócio.
Como obter a certificação PCI DSS?
Para obter a certificação PCI DSS, é preciso cumprir algumas etapas baseadas nas diretrizes mencionadas acima.
Etapas do processo de auditoria
O primeiro passo do processo de auditoria é a autoavaliação, que consiste em realizar uma análise detalhada utilizando os requisitos do PCI DSS como referência, identificando lacunas existentes e melhorias possíveis.
Após ela, vem a escolha de um QSA, o Qualified Security Assessor, profissional certificado pela SSC que realiza a auditoria completa de compliance, com coleta de evidências e testes de funcionamento.
É, então, a partir de revisões e análises, que é possível fazer uma identificação de não conformidade e gerar um relatório detalhado com ações necessárias de correção.
Depois de corrigidas as falhas e lacunas de segurança, há uma reavaliação para revalidação. Caso tudo esteja de acordo com as normas, é emitido um relatório final com a certificação PCI DSS.
Escolhendo um parceiro de compliance confiável
Na hora de escolher um parceiro de compliance, analise sua experiência em auditorias de PCI DSS e outros setores, se as certificações da empresa estão em conformidade e avalie a disponibilidade de outros serviços oferecidos, como consultorias e treinamentos de funcionários.
Não esqueça de consultar referências e fazer comparação de custos antes de tomar sua decisão.
Quais são os desafios comuns na implementação do PCI DSS?
Gestão de terceirizados
É importante estar atento aos desafios comuns na implementação do PCI DSS, como a gestão de terceirizados, que pode ser um processo com obstáculos a serem superados.
Os limites de visibilidade, elaboração de contratos e questões referentes ao monitoramento contínuo devem ser tratados com atenção especial e dedicação para que o processo de implementação seja o mais eficaz possível.
Custos e recursos necessários
A implementação do PCI DSS exige um investimento inicial em ferramentas, softwares, hardwares e treinamento de funcionários, o que pode significar um expressivo impacto no orçamento. O PCI DSS demanda custos contínuos para manutenção de sua conformidade, como atualização de sistemas, auditorias, renovação de certificados e outros.
Quais são as práticas recomendadas para manter a conformidade?
Revisões regulares
Para manter a conformidade com o PCI DSS, são altamente recomendadas autoavaliações periódicas para garantir o cumprimento das medidas de segurança, auditoria externa sempre que possível, monitoramento de logs a fim de identificar atividades suspeitas e contínuas varreduras de vulnerabilidades para identificar possíveis pontos de ataque e corrigir antes de ameaças à segurança.
Treinamento da equipe
Além do treinamento inicial e conscientização do uso e do cumprimento dos requisitos estabelecidos, é importante manter treinamento contínuo, com ações que mantenham os funcionários atualizados sobre práticas e atualizações das diretrizes, além de orientações sobre ameaças e ajustes às práticas já em vigor.
As soluções em Segurança da Informação que você precisa estão reunidas em um só lugar!
