O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) é um conjunto de padrões de segurança formado em 2004 pela Visa, MasterCard, Discover Financial Services, JCB International e American Express para a certificação de empresas. Governado pelo Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento (PCI SSC), o esquema de conformidade visa proteger as transações de cartão de crédito e débito contra roubo e fraude de dados.
Embora o PCI SSC não tenha autoridade legal para obrigar a conformidade, é um requisito para qualquer empresa que processe transações de cartão de crédito ou débito. A certificação PCI também é considerada a melhor forma de proteger dados e informações confidenciais, ajudando assim as empresas a construir relacionamentos duradouros e de confiança com seus clientes.
Certificação PCI DSS
A certificação PCI garante a segurança dos dados do cartão em sua empresa por meio de um conjunto de requisitos estabelecidos pelo PCI SSC. Isso inclui uma série de práticas recomendadas comumente conhecidas, como:
- Instalação de firewalls
- Criptografia de transmissões de dados
- Uso de software antivírus
Além disso, as empresas devem restringir o acesso aos dados do titular do cartão e monitorar o acesso aos recursos da rede.
A segurança compatível com PCI fornece um ativo valioso que informa aos clientes que sua empresa é segura para transações. Por outro lado, o custo da não conformidade, tanto em termos monetários quanto de reputação, deve ser suficiente para convencer qualquer empresário a levar a segurança de dados a sério.
Uma violação de dados que revele informações confidenciais do cliente provavelmente terá graves repercussões em uma empresa. Uma violação pode resultar em multas de emissores de cartões de pagamento, ações judiciais, redução de vendas e danos graves à reputação.
Depois de experimentar uma violação, uma empresa pode ter que deixar de aceitar transações de cartão de crédito ou ser forçada a pagar taxas subsequentes mais altas do que o custo inicial de conformidade de segurança. O investimento em procedimentos de segurança PCI é um grande passo para garantir que outros aspectos do seu comércio estejam protegidos contra agentes mal-intencionados online.
Níveis de conformidade da Certificação PCI DSS
A conformidade com a Certificação PCI DSS é dividida em quatro níveis, com base no número anual de transações de cartão de crédito ou débito que um negócio processa. O nível de classificação determina o que uma empresa precisa fazer para permanecer em conformidade.
Nível 1 : Aplica-se a comerciantes que processam mais de seis milhões de transações de cartão de crédito ou débito no mundo real anualmente. Conduzidos por um auditor autorizado PCI, eles devem passar por uma auditoria interna uma vez por ano. Além disso, uma vez por trimestre, eles devem se submeter a uma varredura PCI por um Fornecedor de varredura aprovado (ASV).
Nível 2 : Aplica-se a comerciantes que processam entre um e seis milhões de transações de cartão de crédito ou débito do mundo real anualmente. Eles são obrigados a completar uma avaliação uma vez por ano usando um Questionário de Autoavaliação (SAQ). Além disso, uma varredura PCI trimestral pode ser necessária.
Nível 3 : Aplica-se a comerciantes que processam entre 20.000 e um milhão de transações de comércio eletrônico anualmente. Eles devem completar uma avaliação anual usando o SAQ relevante. Uma varredura PCI trimestral também pode ser necessária.
Nível 4 : Aplica-se a comerciantes que processam menos de 20.000 transações de comércio eletrônico anualmente ou aqueles que processam até um milhão de transações do mundo real. Uma avaliação anual usando o SAQ relevante deve ser concluída e uma varredura PCI trimestral pode ser necessária.
Requisitos PCI DSS
A Certificação PCI SSC descreveu 12 requisitos para lidar com os dados do titular do cartão e manter uma rede segura. Distribuídos entre seis objetivos mais amplos, todos são necessários para que uma empresa se torne compatível.
- Uma configuração de firewall deve ser instalada e mantida
- As senhas do sistema devem ser originais (não fornecidas pelo fornecedor)
- Os dados armazenados do titular do cartão devem ser protegidos
- As transmissões de dados do titular do cartão em redes públicas devem ser criptografadas
- O software antivírus deve ser usado e atualizado regularmente
- Sistemas e aplicativos seguros devem ser desenvolvidos e mantidos
- O acesso aos dados do titular do cartão deve ser restrito à necessidade de conhecimento do negócio
- Cada pessoa com acesso ao computador deve receber uma identificação exclusiva
- O acesso físico aos dados do titular do cartão deve ser restrito
- O acesso aos dados do titular do cartão e recursos de rede deve ser rastreado e monitorado
- Os sistemas e processos de segurança devem ser testados regularmente
- Uma política que lida com a segurança da informação deve ser mantida
Nos sites https://www.pcicomplianceguide.org/ e https://www.pcisecuritystandards.org contem várias informações que auxiliam a como tender os rígidos requisitos para atendimento desta normativa.
Concluímos que os padrões de segurança da Certificação PCI DSS garantem um nível adequado no armazenamento, transmissão e guarda de informações sensíveis em transações eletrônicas
Segue mais alguns artigos sobre segurança da informação.
CIOs estão preocupados sobre os riscos de segurança dos certificados SSL/TLS
Microsoft Office 365 – substituição do TLS 1.0 e 1.1