Porque, de fato, garantir que sua empresa siga o padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é uma das etapas mais importantes que pode ser tomada para proteger os dados do cliente e garantir a conformidade com os regulamentos e diretrizes do setor de cartões de pagamento.
Mas o que é o PCI DSS? Quais são os requisitos? E como se tornar compatível com PCI? Todas essas perguntas tentaremos responder neste mesmo artigo.
Então, vamos começar do começo. O que é o padrão de segurança de dados PCI?
O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é um padrão criado pelas principais bandeiras de cartões de pagamento para garantir que os comerciantes sigam as melhores práticas de segurança de dados. O padrão foi introduzido em 2004 e foi atualizado desde então.
Este é o complexo de regras que os comerciantes devem seguir para garantir que seus sistemas sejam seguros e protejam os dados do cliente.
Às vezes, os iniciantes têm uma pergunta: o DSS se refere a uma tecnologia específica? Então, gostaríamos de responder agora: não, não. Como dissemos, é apenas um conjunto de requisitos que os comerciantes devem seguir para estar em conformidade com o PCI.
Cabe ao lojista decidir sobre o sistema ou sistemas de segurança que atendem à norma. Tornar-se compatível com PCI não é um processo difícil, mas requer conhecimento e compreensão da essência dos padrões mencionados acima.
Quais são os requisitos do PCI DSS?
Existem 12 requisitos que os comerciantes devem atender para estar em conformidade com o padrão. Os requisitos se enquadram em quatro categorias principais:
- Construir e manter uma rede segura
- Proteja os dados do titular do cartão
- Mantenha um programa de gerenciamento de vulnerabilidades
- Implemente fortes medidas de controle de acesso. A lista de requisitos pode ser facilmente encontrada em fontes abertas.
Como os comerciantes devem construir e manter uma rede segura?
Assim, em primeiro lugar, os comerciantes devem construir e manter uma rede segura que proteja os dados do titular do cartão durante todo o processo de transação. Eles devem usar firewalls para proteger os dados do titular do cartão e devem empregar sistemas de detecção de intrusão e sistemas de prevenção de intrusão.
Eles também devem usar criptografia para proteger os dados em trânsito, como em redes sem fio. Eles também devem usar criptografia para proteger os dados em repouso, como os armazenados em bancos de dados (falaremos mais sobre esse assunto mais adiante). Eles devem garantir que seus provedores de serviços usem medidas de segurança adequadas para proteger os dados do titular do cartão.
Mas como os comerciantes devem proteger os dados do titular do cartão?
Os comerciantes devem proteger as informações confidenciais do titular do cartão durante todo o processo de transação, inclusive durante a transmissão e armazenamento. Eles também devem protegê-lo durante qualquer comunicação subsequente com o titular do cartão, como e-mails. Além disso, eles devem usar criptografia forte para proteger os dados em trânsito e em repouso.
O que é criptografia forte?
A criptografia forte é uma técnica de criptografia que torna as informações confidenciais ilegíveis, tanto em trânsito quanto em repouso. Criptografia forte deve ser usada com todos os dados pessoais, incluindo dados do titular do cartão. O método de criptografia especial que queremos discutir aqui é a tokenização.
Introdução à tokenização?
À medida que a tecnologia avançou e se tornou mais prevalente em nossa vida diária, a segurança cibernética tornou-se cada vez mais importante, e essa mudança implicou o desenvolvimento de várias tecnologias de segurança.
Um dos métodos mais populares e amplamente usados para proteger dados confidenciais é a tokenização, que substitui dados confidenciais por equivalentes não confidenciais.
Em outras palavras, a tokenização é um método de proteção de dados baseado no princípio de que, na criptografia, a matéria não pode ser criada ou destruída, apenas movida.
Esse princípio é aplicado quando informações confidenciais estão sendo convertidas em tokens não confidenciais. Os tokens são armazenados em um banco de dados e, quando necessário, podem ser usados para recuperar as informações confidenciais.
Esse processo é conhecido como tokenização e substituição de token. Os tokens são semelhantes em estrutura aos dados originais, mas não contêm as mesmas informações.
Na verdade, um token é apenas uma linha de sinais gerados aleatoriamente que podem estar de alguma forma conectados a informações confidenciais, mas ainda assim não as contêm (mesmo na forma alterada). Assim, os tokens só podem ser usados para fins de recuperação e não podem ser usados para roubar dados confidenciais.
Para resumir tudo, a tokenização é o processo de conversão de um dado sensível em um código ou identificador exclusivo. Esse código pode ser usado no lugar dos dados originais para executar funções e transações sem expor informações confidenciais.
A tokenização é popular para proteger as informações do cartão de crédito. Ele também pode ser usado para proteger IDs e senhas de usuários, códigos de acesso e outros dados que devem ser mantidos em segredo de usuários não autorizados.
Pode até ser aplicado para proteger a integridade de ativos físicos, como carros e casas, e assim por diante. É por isso que a tokenização é uma opção confiável em relação à conformidade com o PCI DSS.
O início do seu passe
O primeiro passo para se tornar compatível com o PCI é obter uma compreensão completa dos padrões PCI. Como já dissemos, o PCI DSS é dividido em doze requisitos principais que são aplicáveis a todos os estabelecimentos comerciais e prestadores de serviços.
Então, vamos dar uma olhada em cada um deles:
- Requisito 1 – Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão.
- Requisito 2 – Não use padrões fornecidos pelo fornecedor para senhas do sistema e outros parâmetros de segurança.
- Requisito 3 – Proteger os dados armazenados do titular do cartão.
- Requisito 4 – Criptografar a transmissão dos dados do titular do cartão em redes públicas abertas.
- Requisito 5 – Use e atualize regularmente o software antivírus.
- Requisito 6 – Desenvolver e manter sistemas e aplicativos seguros.
- Requisito 7 – Restrinja o acesso aos dados do titular do cartão por necessidade comercial.
- Requisito 8 – Atribuir um ID único a cada pessoa com acesso ao computador.
- Requisito 9 – Restrinja o acesso físico aos dados do titular do cartão.
- Requisito 10 – Rastreie e monitore todo o acesso a recursos de rede e dados do titular do cartão.
- Requisito 11 – Testar regularmente os sistemas e processos de segurança.
- Requisito 12 – Manter uma política que aborde a segurança da informação para todos os funcionários.
Com certeza, recomendamos que você observe mais a fundo essa questão por conta própria – afinal, é a parte mais importante do processo de compliance.
Próxima etapa: PCI SAQ ou RoC?
Além disso, as empresas também devem cumprir o Questionário de autoavaliação (SAQ) ou o Relatório de conformidade (ROC) do PCI.
O SAQ inclui perguntas sobre medidas de segurança tomadas por uma empresa, incluindo firewalls, tecnologia de criptografia e software antivírus.
Por outro lado, o ROC exige que um avaliador externo audite os sistemas de segurança de uma empresa e forneça um relatório independente descrevendo as descobertas.
Ambas as avaliações são projetadas para proteger os dados do cliente enquanto ajudam as empresas a permanecerem em conformidade com as diretrizes e regulamentações do PCI.
Portanto, você precisaria preencher um Questionário de Autoavaliação ou RoC.
Resumindo: Benefícios da conformidade com o PCI DSS
A conformidade pode ser um procedimento complexo, mas os benefícios da conformidade com o PCI DSS valem a pena. Por um lado, esse tipo de conformidade ajuda a proteger os dados do titular do cartão e reduz o potencial de fraude ou uso indevido.
Além disso, estar em conformidade com o PCI mostra aos clientes que suas informações estão seguras com sua empresa e aumenta a confiança deles em você como fornecedor ou varejista on-line.
Ter um sistema compatível com PCI também reduz o risco de perdas financeiras devido a violações de dados, bem como quaisquer multas ou penalidades associadas resultantes da não conformidade.
Além disso, as organizações que atendem a esses padrões geralmente recebem tratamento preferencial de processadores de pagamento e adquirentes que reconhecem o valor de tais medidas de conformidade.
Afinal, se você deixar de cumprir o PCI e ainda realizar transações com cartão de crédito, será multado. Você definitivamente não precisa desses problemas, então é sua prioridade ganhar esse status.
Na esperança de termos explicado os fundamentos da conformidade com o PCI DSS com sucesso, desejamos a você toda a sorte possível.