Conformidade PCI

O Payment Card Industry (PCI) Security Standards Council (uma organização formada por todas as principais marcas de cartões de crédito) concebeu o Payment Card Industry Data Security Standard em 2006, precisamente quando a internet começou a tornar-se uma ferramenta global importante para as empresas. A Conformidade PCI é uma certificação fornecida pelo PCISS que é exigida para empresas que realizam transações com cartões de crédito.

À medida que a Internet começou a crescer no início dos anos 2000, as empresas começaram a adicionar sistemas de processamento de pagamentos online. O aumento dos negócios online tem acompanhado o nível de conforto dos consumidores ao usarem cartões de crédito para fazer compras online.

A Norma de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) define normas de segurança de pagamento que garantem que todos os vendedores aceitem, armazenem, processem e transmitam de forma segura os dados do titular do cartão durante uma transação de cartão de crédito. Em resposta ao aumento do roubo de dados, a PCI DSS foi criada pelas cinco maiores empresas de cartões de crédito (Visa, MasterCard, Discover, American Express e JCB).

O PCI DSS foi criado para ajudar a controlar e prevenir violações de dados de consumidores e bancos. Com a criação deste regulamento, bem como o PCI Security Standards Council (um órgão independente formado para monitorizar e validar a conformidade das empresas), a conformidade PCI tornou-se um passo essencial na regulação da segurança da indústria de pagamentos com cartão de crédito e na proteção de consumidores e empresas contra ciberataques.

O próprio Conselho é responsável por definir os padrões e estabelecer requisitos que os vendedores devem seguir, mas uma parte importante da política implementada pelo PCI SSC exige conformidade PCI auto-regulada. Transferiu a responsabilidade da manutenção da conformidade para as empresas de cartões de crédito, que devem aplicar as regras com os vendedores e organizações.

Qualquer comerciante com um ID de comerciante que aceite cartões de pagamento deve seguir estas regulamentações para se proteger contra violações de dados. Os requisitos variam desde a criação de políticas de segurança de dados para o seu negócio e funcionários, até à remoção de dados de cartões do seu sistema de processamento e terminais de pagamento.

Requisitos de conformidade PCI

Construir e manter uma rede segura. As empresas têm de criar a sua própria política de configuração de firewall e desenvolver um procedimento de teste de configuração concebido para proteger os dados dos titulares de cartão.

Proteger os dados do titular do cartão. Um requisito exclusivo para as empresas que mantêm informações do titular do cartão entre transações. As empresas que não armazenam automaticamente os dados do titular do cartão evitam possíveis violações de segurança de dados e diminuem a dificuldade de manter a conformidade.

Manter um programa de gestão de vulnerabilidades. O software antivírus deve ser utilizado e atualizado frequentemente para proteger contra novas formas de malware. Se os seus dados estiverem alojados em servidores externos, então a responsabilidade de ter o software antivírus adequado recai sobre o fornecedor do servidor utilizado.

Implementar medidas de controlo de acesso rigorosas. Limitar o número de pessoal é um passo necessário para reduzir as hipóteses de uma violação de segurança. Isto pode ser feito atribuindo um ID único a cada pessoa com acesso ao computador.

Manter uma política de segurança da informação. Esta política deve definir usos aceitáveis da tecnologia, revisões e processos anuais para análise de risco, procedimentos de segurança operacional e outras tarefas administrativas gerais.

Os requisitos PCI listados aplicam-se a todos os números de hardware e aplicações web:

• Leitores de cartões
• Sistemas de ponto de venda
• Redes de lojas e routers de acesso sem fios
• Armazenamento e transmissão de dados de cartões de pagamento
• Dados de cartões de pagamento armazenados em registos em papel
• Aplicações de pagamento online e carrinhos de compras

Tornar-se compatível com PCI e manter a conformidade com PCI pode ser um processo complexo. Muitas vezes, envolve a implementação de controlos de segurança, a contratação de consultores externos caros para ajudar na instalação de software e hardware dispendiosos, e a assinatura de contratos vinculativos nos quais concorda com os termos do banco para a conformidade anual com PCI. Também são geralmente exigidas autoavaliações anuais.

As tecnologias que tornam os negócios diários eficientes também facilitam o acesso de hackers a informações importantes. É por isso que uma empresa que aceita até mesmo uma pequena quantidade de cartões de crédito está igualmente obrigada a proteger esses dados de cartão como qualquer outro grande retalhista que realiza milhões de transações.

Portanto, quando devidamente implementados, os requisitos do PCI DSS proporcionam a todas as empresas uma forte defesa contra o cibercrime e responsabilidade, garantindo um elevado nível de satisfação e segurança do cliente.