A importância do PCI-DSS para o mercado de pagamentos

Segurança da Informação, Tecnologia Bancária
• 11 ago 2022

O que é o PCI-DSS? É de comer ou de passar no cabelo? Como surgiu? Essas dúvidas e a importância desse padrão no mercado de pagamentos serão pontos esclarecidos neste artigo, venha com a gente!

A origem do PCI-DSS

Antes de falar do PCI-DSS, vamos falar sobre como surgiu esse conceito! De acordo com o site oficial do PCI-DSS, o PCI Security Standards Council (PCI SSC), trata-se de um fórum global que tem por objetivo reunir as empresas que atuam no mercado de pagamentos.

O objetivo é claro: desenvolver e adotar os melhores padrões e recursos de segurança para gerar, de forma globalizada, pagamentos seguros. Ou seja, o PCI-SSC tem como finalidade a criação de uma base sólida de controles para aumentar a segurança em todo o ciclo de uso dos cartões.

A criação do fórum teve início em 2006, fundado inicialmente pelas empresas American Express, Discover, JCB International, Mastercard e Visa Inc.

A partir disso, ficou estabelecido o Payment Card Industry Data Security Standard (PCI-DSS) ou, em sua tradução, Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI-DSS), buscando estabelecer padrões de segurança que devem ser adotados pelas empresas que armazenam, processam ou transmitem dados de cartões.

É importante mencionar que o PCI-DSS está sob coordenação do PCI-SSC, então não é regulado sob legislações federais ou estaduais, e sim regulado pela própria indústria de pagamentos.

Curiosidade: nos estados americanos de Nevada, Minnesota e Washington, os padrões de segurança foram incorporados a sua legislação, tornando-os obrigatórios.

A quem se aplica o PCI-DSS? É comigo?

O PCI-DSS é aplicável a todas as instituições que processam, armazenam ou transmitem informações de cartão de crédito.

Partindo desse princípio, quais informações seriam essas?

Considerando o que é abordado no site oficial do PCI-DSS, as informações de cartão de crédito podem ir desde o nome do titular do cartão até aos dados de rastreamento completo do cartão de crédito, por exemplo.

Abaixo, temos a definição completa dessas informações que podem ser tratadas por essas instituições:

Tabela com o título “Dados contábeis” e duas colunas divisórias. Os dados do titular do cartão incluem: o número da conta principal (PAN); Nome do titular do cartão; Data de vencimento; Código de serviço. Os dados de autenticação confidenciais incluem: dados de rastreamento completo (dados em tarja magnética ou equivalentes em chip); CAV2/CVC2/CVV2/CID; PINs/Bloqueios de PIN. — Fonte: Padrão de segurança de dados da indústria de cartão de pagamento (PCI), v3.2.1 – pg. 7 – 2006-2018 PCI Security Standards Council, LLC.

Ou seja, nas operações da sua empresa, caso você utilize algum dos dados acima, sim, o PCI-DSS é com você! É extremamente necessário que você implemente e mantenha os controles que são requisitos do PCI-DSS.

Além disso, as empresas que operam os dados de cartão de crédito devem certificar sua conformidade com os requisitos anualmente.

Mas o que é certificação PCI-DSS?

Quando falamos em certificação PCI-DSS, o produto ou o entregável em questão, são dois relatórios que garantem a conformidade da sua empresa com o padrão de segurança estabelecido pelo framework, sendo um deles o AOC (Attestation of Compliance, ou Atestado de conformidade, em português) e o outro é o ROC (Report on Compliance ou Relatório de conformidade).

O primeiro é um relatório mais sucinto, atestando a avaliação independente do QSA (Qualified Security Assessor, ou Assessor de Segurança Qualificado, em português) na certificação da empresa, enquanto o segundo é um complemento do primeiro, dando os detalhes na avaliação do QSA sobre os controles avaliados.

A partir da emissão desses dois relatórios, é garantido que sua empresa está em conformidade com os doze requisitos abordados pelo framework, que, por sua vez, têm validade de um ano – considerando que a certificação é anual.

Mesmo terceirizando operações de transmissão, processamento e/ou armazenamento dos dados de cartão de crédito, ainda sim é de responsabilidade da empresa acompanhar a conformidade com o PCI de terceiros com envolvimento no processo, garantindo que os requisitos aplicáveis estejam aderentes ao exigido nos padrões PCI. Vamos exemplificar abaixo!

Como funciona na prática

A empresa A possui base de dados de cartão de crédito e realiza operações de pagamento de clientes, mas não possui data center próprio e utiliza data center e infraestrutura da empresa B.

Dessa maneira, os controles de segurança e acesso físico ao data center (Requisito 9 – PCI-DSS), serão executados pela empresa B, mas a empresa A precisa garantir que os controles da empresa B são eficazes.

Neste cenário, a empresa A pode garantir isso de duas maneiras:

Estendendo o escopo de avaliação à empresa B, pedindo as evidências necessárias para sua avaliação;
Recebendo um relatório de avaliação independente dos controles da empresa B (AoC, SOC II, por exemplo).

Mas por quê o PCI-DSS? Quais os principais objetivos do PCI-DSS?

Já deu para perceber pelos tópicos acima, que o principal objetivo do PCI-DSS é garantir maior segurança nas transações de cartão de crédito, isto é, no processamento, transmissão e armazenamento, protegendo os dados de titulares e de seus cartões, evitando casos de fraude e apropriação indevida dos dados.

O PCI-DSS, visando atingir esse padrão de segurança, estabeleceu seis objetivos e doze requisitos que orientam as instituições sobre quais medidas devem ser instituídas em seus negócios e operações para garantir que a segurança nas transações seja eficaz.

Objetivos e requisitos

Tabela com o título Padrão de segurança de dados do PCI - Visão geral alto nível, com duas colunas divisórias. Na primeira linha, Construir e manter a segurança de rede e sistemas: 1. Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão e 2. Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança. Na segunda, Proteger os dados do titular do cartão com 3. Proteger os dados armazenados do titular do cartão e 4. Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas. Na terceira, Manter um programa de gerenciamento de vulnerabilidades com 5. Proteger todos os sistemas contra malware e atualizar regularmente programas ou software antivírus e 6. Desenvolver e manter sistemas e aplicativos seguros. Na quarta, Implementar medidas rigorosas de controle de acesso com 7. Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio; 8. Identificar e autenticar o acesso aos componentes do sistema; e 9. Restringir o acesso físico aos dados do titular do cartão. Na quinta, Monitorar e testar as redes regularmente com 10. Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão e 11. Testar regularmente os sistemas e processos de segurança. Na última linha, Manter uma política de segurança de informações com 12. Manter uma política que aborde a segurança da informação para todas as equipes. — Fonte: Padrão de segurança de dados da indústria de cartão de pagamento (PCI), v3.2.1 – pg. 5 – 2006-2018 PCI Security Standards Council, LLC.

O que eu ganho com isso?

Você deve estar se perguntando: afinal, quais os benefícios da adoção do PCI-DSS no mercado de pagamentos? Confira abaixo alguns deles:

Maior confiança

Um levantamento da empresa ClearSale mostra que o e-commerce brasileiro sofreu quase 785 mil tentativas de fraudes apenas no primeiro trimestre de 2022, um aumento de 23,6% em relação ao mesmo período de 2021. As tentativas de fraudes representaram cerca de 2% do total de pedidos no varejo digital.

Provavelmente, você não faria uma transação ou faria um negócio sabendo que existe um risco maior de ter seu cartão de crédito clonado ou roubado. Dessa forma, proporcionar uma experiência de compra segura e conquistar a confiança de clientes é fundamental, ou seja, estar PCI-compliant pode afetar seu número de clientes, transações e consequentemente aumentar seu faturamento.

Maior redução de riscos

Ter os controles listados pelo PCI-DSS é uma ótima maneira de tratar e reduzir riscos específicos de transações de cartões, como Criptografia e Tokenização dos dados de cartão; e riscos de segurança da informação mais abrangentes, por exemplo: Políticas e Treinamentos de Segurança, seja diminuindo a probabilidade e/ou impacto do risco.

Maior padronização

Seguir o padrão PCI-DSS garante que os controles da organização tenham um nível mínimo de qualidade e de segurança, além da padronização como boa prática do setor.

Além disso, o PCI-SSC e empresas associadas contribuem ativamente para atualizações nos requisitos e em documentos auxiliares de qualificação; sem contar o treinamento que torna possível a evolução constante frente a novas ameaças.

Considerações finais

Reunindo as principais informações que foram tratadas aqui, pode-se dizer que o PCI-DSS é um padrão internacional de segurança de pagamentos e a sua certificação é a mais reconhecida do mercado de pagamentos, que foi criado pelo PCI-SSC com o objetivo final de incentivar e aprimorar a segurança dos dados da pessoa titular do cartão.

Empresas que não se adequam às diretrizes e normas do Padrão PCI estão sujeitas à multa e até mesmo ao descredenciamento junto às operadoras e bandeiras de cartão de crédito.

Partindo disso, estar em compliance com o framework PCI-DSS garante não só que sua empresa esteja em conformidade com todos os controles que o padrão PCI defende, como também traz uma garantia de que os seus processos são capazes de transmitir segurança e confiabilidade perante clientes e demais stakeholders.

Referências