Se você já teve que inserir as informações do seu cartão de crédito em um site, você interagiu com o PCI DSS. O Payment Card Industry Security Standards Council criou este conjunto de padrões de segurança para proteger os dados do cartão de crédito.
A conformidade com o PCI é um requisito para qualquer empresa que processe, armazene ou transmita informações de cartão de crédito.
Neste artigo, você encontrará uma visão geral do PCI DSS (Payment Card Industry Data Security Standard) e aprenderá o que as empresas precisam fazer para se tornarem compatíveis. Também discutirá os efeitos da não conformidade em clientes e comerciantes.
O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é um conjunto de requisitos que garantem que as empresas que processam, armazenam ou transmitem informações de cartão de crédito mantenham um ambiente seguro. Isso inclui ter um firewall, senhas seguras e outras medidas de segurança.
O PCI DSS foi criado em resposta ao crescente número de violações de dados envolvendo informações de cartão de crédito sendo roubadas e mal utilizadas. Ao estabelecer esse padrão, o Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento (PCI SSC) espera reduzir a quantidade de informações de cartão de crédito roubadas.
Para gerenciar e administrar o PCI DSS, MasterCard, Visa, JCB, Discover e American Express criaram o Conselho de Padrões de Segurança PCI (PCI SSC). É um órgão independente que fornece orientação e suporte às organizações sobre como atender aos requisitos da norma.
Embora o Payment Card Institute tenha sido estabelecido em 2004, as raízes dos padrões de segurança de pagamento atuais são ainda mais antigas.
As compras online seguiram-se à medida que a Internet se tornou mais proeminente no final dos anos 90. Este novo desenvolvimento foi recebido com grande alegria por varejistas e consumidores. No entanto, os fraudadores não ficaram muito atrás.
Logo ficou claro que as proteções de segurança existentes eram insuficientes para proteger os dados do cliente em uma escala tão grande. Para resolver a situação, a Visa estabeleceu o Programa de Segurança de Informações do Titular do Cartão (CISP). Seu objetivo era fornecer aos varejistas requisitos de segurança para o processamento de transações com cartão de crédito.
Isso foi seguido pelo programa Site Data Protection (SDP) da MasterCard e pela American Express Data Security Operating Policy (DSOP). Essas iniciativas ajudaram a preparar o caminho para um único padrão de segurança unificado em todas as empresas de cartões de pagamento.
Enquanto a Discover e a American Express seguiram o exemplo, a falta de padrões de segurança unificados em todas as empresas de cartão dificultou a garantia de um nível consistente de proteção. Para resolver isso, o Conselho de padrões de segurança do setor de cartões de pagamento foi formado em 2006 e o PCI DSS foi criado.
A evolução do PCI DSS está em andamento desde a sua criação em 2004. À medida que a tecnologia avança, aumenta também a necessidade de melhores medidas de segurança para proteger os dados do cliente.
É por isso que o padrão é atualizado regularmente para garantir que continue relevante e eficaz contra as ameaças modernas. Ao longo dos anos, houve várias mudanças no padrão, incluindo um foco na criptografia e nos controles de autenticação.
A versão 1.2 do protocolo de segurança foi estabelecida em outubro de 2008 para descrever as melhores práticas para proteger redes sem fio e usar software antivírus. Foi seguido pela versão 2.0 em outubro de 2010, que introduziu o conceito de teste de penetração e processos de criptografia fortalecidos.
Depois vieram as versões 3.2 e 3.2.1 do PCI DSS, lançadas em 2018. O PCI DSS 3.2.1 incluiu requisitos adicionais para provedores de serviços para proteger os dados do titular do cartão quando eles são transferidos pela Internet ou armazenados em dispositivos móveis. Também exige que as organizações mantenham um ambiente seguro testando regularmente seus sistemas de segurança.
E atualmente, a versão mais recente é o PCI DSS 4.0, lançado pelo PCI SSC em 31 de março de 2022. Esta versão inclui novos requisitos para desenvolvimento de software seguro e foco na proteção dos dados do titular do cartão dentro e fora da organização. Ele também fornece mais clareza sobre criptografia e controles de acesso.
Em uma tentativa de proteger os dados na indústria de cartões de pagamento, o PCI Security Standards Council mantém altos padrões para os comerciantes. Eles fornecem especificações sobre ferramentas, estruturas, medições e recursos de suporte para ajudar as empresas a manter as informações do titular do cartão sempre seguras.
Esses padrões abordam prevenção, detecção e como responder a ameaças de segurança. Para ajudar, o PCI SSC oferece as seguintes ferramentas:
O PCI SSC tem seis metas que contêm 12 requisitos que as empresas devem observar para atingir e manter a conformidade. Você deve concluir as seguintes tarefas descritas na lista de verificação de conformidade PCI para conseguir isso.
O primeiro objetivo da lista de verificação de conformidade PCI é construir e manter uma rede segura. Afinal, esta é a base da segurança do cartão de pagamento da sua organização. Os dois requisitos que se enquadram nesse objetivo são:
Quando se trata de segurança cibernética, os firewalls são um elemento integral. Os firewalls fornecem a primeira linha de defesa contra tráfego indesejado, ajudando a impedir que hackers mal-intencionados acessem as redes da sua empresa.
Graças à sua eficácia na prevenção de tráfego indesejado, usar e manter um firewall é um requisito de conformidade fundamental para o PCI DSS.
Infelizmente, muitas empresas não protegem seus roteadores, modems, sistemas de ponto de venda (POS) e outros produtos de terceiros. Esses dispositivos geralmente vêm com senhas genéricas que qualquer pessoa pode acessar facilmente.
Depois de configurar o firewall, é importante alterar as senhas padrão e as configurações de segurança. Isso ajuda a proteger contra qualquer pessoa que possa saber ou adivinhar as credenciais ou configurações padrão.
Além de alterar as senhas, é importante atualizá-las regularmente e garantir que apenas usuários autorizados tenham acesso. Você deve implementar sistemas de autenticação fortes, como autenticação de dois fatores ou multifatores, para conseguir isso.
Para manter a conformidade, crie uma lista de todos os dispositivos e softwares que precisam de algum tipo de senha ou medida de segurança para acessar. Este inventário de dispositivo/senha deve ser atualizado regularmente, e outras precauções básicas (como alterar senhas com frequência) devem ser tomadas.
Proteger os dados do titular do cartão é o segundo objetivo da conformidade com o PCI. Também é conhecido como proteção de dados e criptografia. Quando se trata de proteger as informações do titular do cartão, você deve atender a dois requisitos:
Quando as empresas processam, armazenam ou transmitem dados do titular do cartão, devem tomar precauções extras para protegê-los. Fazer isso envolve armazenar dados com segurança e usar criptografia sempre que possível.
O PCI SSC recomenda um sistema duplo de proteção das informações do titular do cartão. Envolve criptografar os dados com algoritmos. Além disso, as chaves de criptografia usadas para implementar as criptografias também devem ser criptografadas.
Por exemplo, coloque todos os dados armazenados do titular do cartão em um servidor seguro separado, acessível apenas para aqueles que precisam. Além disso, criptografe todas as transmissões de dados do titular do cartão em redes públicas.
Para manter seus dados seguros, você deve verificar com frequência e manter seus números de conta principais (PAN).
Para proteger os dados do titular do cartão quando transmitidos publicamente (como quando um cliente faz um pedido online), as empresas devem usar protocolos seguros, como os especificados pelo PCI DSS.
Por exemplo, os sites devem ter um certificado Secure Socket Layer (SSL) ou Transport Layer Security (TLS) atualizado e validado. Isso ajudará a proteger os dados confidenciais dos clientes quando eles fizerem compras.
Além disso, você deve restringir o acesso aos dados do titular do cartão apenas para aqueles que precisam. Isso significa criar um sistema seguro de contas de usuário que são monitoradas e atualizadas com frequência.
Essas medidas ajudarão a proteger os dados confidenciais dos clientes de qualquer pessoa que possa tentar interceptá-los ou roubá-los enquanto estiverem em trânsito.
O terceiro objetivo é manter um programa de gerenciamento de vulnerabilidades. Isso envolve monitorar e testar redes em busca de vulnerabilidades de segurança e resolvê-las o mais rápido possível. Existem dois requisitos que você deve cumprir no terceiro objetivo. Estes são:
É importante instalar e manter um software antivírus em todos os computadores e aplicativos que processam, armazenam ou transmitem dados do titular do cartão. Isso ajudará a detectar e remover software malicioso de seus sistemas.
Além disso, para qualquer dispositivo que armazene ou interaja com o PAN, é necessário ter um antivírus. Você também deve atualizar o software antivírus regularmente para garantir que esteja atualizado.
Além disso, as empresas devem verificar regularmente suas redes e aplicativos em busca de vulnerabilidades de segurança. Isso significa usar um fornecedor de varredura aprovado (ASV) para realizar varreduras trimestrais de suas redes externas.
O software e os sistemas precisam ser atualizados regularmente com os patches de segurança mais recentes. Isso garante que quaisquer vulnerabilidades de segurança sejam abordadas rapidamente antes de serem exploradas.
Você também deve testar todos os novos aplicativos antes de serem lançados para garantir que não tenham falhas ou pontos fracos que possam ser explorados.
Com seu programa de gerenciamento de vulnerabilidade implantado, é hora de passar para a quarta meta; implementando fortes medidas de controle de acesso. Isso significa limitar o acesso aos dados do titular do cartão com base na função do usuário. Sob este objetivo, existem três requisitos:
Certificando-se de que apenas aqueles que precisam acessar os dados do titular do cartão os tenham. Isso significa implementar medidas rígidas de controle de acesso e garantir que as contas de usuário sejam monitoradas e atualizadas com frequência.
Uma maneira de conseguir isso é garantir que os dados estejam estritamente disponíveis com base na necessidade de conhecimento. Independentemente do cargo, a equipe só deve acessar os dados se precisar. Além disso, de acordo com o PCI DSS, você deve documentar e atualizar regularmente as funções que precisam de acesso a dados confidenciais.
Uma parte essencial da segurança de dados é saber quem acessa os dados e quando. Portanto, quando funcionários com acesso a dados confidenciais usam credenciais de login compartilhadas, será um desafio determinar quem acessou os dados.
Em vez disso, crie IDs exclusivos para cada usuário para ajudar a garantir que apenas o pessoal autorizado possa acessar os dados. Isso também ajuda a evitar qualquer acesso não autorizado ou manipulação dos dados do titular do cartão.
O acesso físico aos dados do titular do cartão também precisa ser restrito e monitorado. Isso significa configurar medidas de segurança física, como portas trancadas, armários seguros e áreas de acesso restrito.
Você também deve incluir medidas para monitorar e registrar tentativas de acesso físico e revogar contas de usuário quando os funcionários deixarem a organização.
Não basta ter uma grande infraestrutura e sistemas instalados. Você precisa monitorar e testar suas redes regularmente. E é isso que o objetivo 5 implica. Os dois requisitos sob este objetivo incluem:
Uma entrada de log é necessária para todas as atividades que envolvem números de contas primárias (PAN) e dados do titular do cartão. No entanto, o problema de segurança mais prevalente ocorre quando as pessoas não têm a documentação correta ou não mantêm registros adequados de acesso a informações confidenciais.
Para estar em conformidade, você precisa rastrear como os dados entram na sua empresa e com que frequência as pessoas precisam de acesso. Você também precisará de um software que registre todas as atividades com precisão.
Sob este objetivo, você precisa usar uma ferramenta de verificação de vulnerabilidade fornecida por um Fornecedor de Verificação Aprovado (ASV). O ASV examinará suas redes e aplicativos para identificar problemas de segurança ou vulnerabilidades.
Executando varreduras regularmente, você pode ter certeza de que seus sistemas estão atualizados e que seu programa de gerenciamento de vulnerabilidades está em conformidade com o PCI DSS.
Por fim, o objetivo 6 diz respeito à manutenção de uma política que trate da segurança da informação. Inclui um requisito:
Criar e manter uma política de segurança da informação é o último requisito do PCI DSS. Esta política deve definir regras, procedimentos e papéis relacionados à segurança de dados. Também deve abordar como as informações confidenciais devem ser armazenadas, transmitidas e usadas.
Esta política deve ser atualizada e aprovada pelo conselho. Ele também deve ser revisado regularmente para garantir que esteja em conformidade com os regulamentos atuais e as melhores práticas do setor.
O padrão de segurança de dados do setor de cartões de pagamento afeta qualquer empresa que coleta, armazena ou transmite dados de cartão de crédito do cliente. Isso inclui comerciantes, processadores de pagamento, bancos e prestadores de serviços.
As organizações devem apresentar prova de conformidade com o PCI a qualquer uma das cinco empresas de cartão de pagamento para processar pagamentos de clientes. Não fazer isso pode levar a multas, litígios ou outras penalidades.
Os requisitos do PCI DSS se estendem à infraestrutura física e digital de uma organização. Todo o pessoal envolvido no manuseio de pagamentos também deve estar em conformidade com o padrão.
Os clientes desempenham um papel importante no sucesso da conformidade com o PCI. Como organização, você deve garantir que os clientes conheçam os riscos associados aos pagamentos com cartão e as medidas que você toma para mantê-los seguros.
Ao estarem em conformidade, as organizações podem garantir que os dados dos clientes estejam seguros e que seus pagamentos com cartão sejam seguros. Isso pode construir a confiança do cliente e ajudar a estabelecer um relacionamento positivo entre a empresa e seus clientes.
O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) orienta empresas de todos os tamanhos sobre como lidar com informações de cartão de crédito com segurança. Apesar de sua aparência complexa, a conformidade é vital e pode ser mais fácil de alcançar do que se pensava inicialmente - especialmente com as ferramentas certas.
Depois de fazer isso, você desfrutará de benefícios como:
Por fim, a conformidade com o PCI DSS ajudará a proteger os dados do cliente, demonstrando que sua organização leva a sério a segurança das informações. Isso pode afetar positivamente a retenção e aquisição de clientes, levando ao aumento de vendas e lucros.
A não conformidade com o padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) afeta clientes e comerciantes.
Para os clientes, a não conformidade significa que seus dados correm o risco de serem comprometidos, levando a roubo de identidade ou perda financeira. Para os comerciantes, a não conformidade pode resultar em multas por parte das empresas de cartões de pagamento, ações legais e danos à reputação.
É importante observar que a não conformidade afeta todas as partes envolvidas, não apenas os comerciantes. Para ajudar a proteger os clientes e seus negócios, é crucial cumprir os requisitos do PCI DSS.
As organizações podem atender aos requisitos de conformidade com o PCI seguindo um conjunto de práticas recomendadas descritas pelo Conselho de padrões de segurança do setor de cartões de pagamento (PCI SSC). As práticas que recomendamos incluem:
Seguindo as melhores práticas descritas pelo PCI SSC, você pode garantir que sua empresa permaneça em conformidade com os padrões de segurança mais recentes e proteja os dados de seus clientes.
O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é um conjunto complexo de controles de segurança projetados para proteger os dados do titular do cartão do cliente. Cumprir o padrão pode ser assustador, mas não precisa ser.
Com as ferramentas e os processos certos, você pode garantir a conformidade com o PCI de maneira rápida e fácil. Mais importante, você precisará do parceiro certo. E é aqui que a Veritas entra em ação. Temos anos de experiência ajudando as organizações a cumprir o PCI e podemos ajudá-lo a fazer o mesmo.
Oferecemos um conjunto de produtos projetados para simplificar a conformidade e serviços personalizados adaptados às suas necessidades. Entre em contato conosco hojee deixe-nos mostrar como você pode atender aos seus requisitos de PCI sem esforço.
Os clientes da Veritas incluem 95% das empresas da Fortune 100, e o NetBackup™ é a escolha nº 1 para empresas que procuram proteger grandes quantidades de dados.
Saiba como a Veritas mantém seus dados totalmente protegidos em cargas de trabalho virtuais, físicas, em nuvem e herdadas com o Data Protection Services for Enterprise Businesses.