Caso de Uso
Tecnologia
Indústria
/f/137721/88x80/cfd2ecb569/icon-pillar1-v2-2x.png){kind=icon}
/f/137721/88x80/c59573b73a/icon-pillar2-v2-2x.png){kind=icon}
/f/137721/88x80/1804a57e46/icon-pillar3-v2-2x.png){kind=icon}
Caso de Uso
Tecnologia
Indústria
Suporte
O que é a conformidade com o PCI-DSS?
As vendas no varejo online vêm aumentando ao longo dos últimos anos. Mas com a pandemia da Covid-19, que afetou as lojas físicas em todo o mundo, os consumidores passaram a comprar ainda mais no ambiente online.
Esta mudança de comportamento também levou a um aumento de violações de dados, de clientes e empresas. Um estudo feito antes da pandemia pela Universidade de Maryland revelou que, em média, uma pessoa é hackeada a cada 39 segundos.
Os clientes estão com medo. Cerca de 70% dos americanos afirmaram temer que seus dados estejam menos seguros hoje que cinco anos atrás. Portanto, trata-se de um problema sério para as empresas. A falta de confiança por parte dos consumidores prejudica as possíveis vendas. Por isso, as operadoras de cartões de crédito criaram um conjunto de padrões de segurança — o padrão PCI ou PCI-DSS — para proteger as informações dos consumidores e a reputação das organizações.
Mas o que significa PCI?
O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento, com a sigla em inglês PCI-DSS (Payment Card Industry Data Security Standard), foi criado para tranquilizar e proteger os consumidores e seus dados. Hoje, todas as empresas precisam seguir este conjunto de normas de segurança para transações com cartões de crédito.
Confira abaixo o que você precisa saber sobre o PCI e como cumprir estes padrões:
O que é a conformidade com o PCI?
A conformidade com o PCI da indústria de cartões de pagamento é um mandato que foi implantado pelas cinco maiores operadoras de cartões de crédito. Ele aumenta a segurança de todas as transações com cartões de crédito.
O padrão PCI é dividido em duas categorias:
Técnica
Operacional
As organizações devem usar estes padrões para proteger os dados de cartão de crédito de todos os clientes.
Como todas as grandes operadoras de cartões de crédito cumprem o padrão PCI, qualquer empresa que aceita cartões de crédito deve aderir a ele.
O atual órgão responsável pelo desenvolvimento, gestão e evolução destes padrões é o Conselho de Segurança dos Padrões da PCI (PCI Security Standards Council).
A história do PCI-DSS
As normas atuais têm sua origem nos anos 1990, quando o comércio eletrônico ainda ensaiava os primeiros passos. Embora este período tenha sido um dos mais fascinantes em termos de tecnologia, os golpistas logo demonstraram que também eram sofisticados e tecnicamente avançados.
A Visa foi a primeira operadora de cartões de crédito que reagiu às violações de dados, estabelecendo um conjunto de padrões conhecidos como Programa de Segurança da Informação para Titulares de Cartões (CISP). O CISP entrou em vigor pela primeira vez em 2001.
Logo depois, outras grandes operadoras de cartões de crédito seguiram o mesmo caminho. No entanto, as indústrias do setor de varejo ainda não tinham normas unificadas. Para os comerciantes, lidar com a proteção de dados dos titulares dos cartões era confuso, e era difícil manter a conformidade.
A história do PCI-DSS começou em 2004. Os fundadores que se comprometeram a estabelecer um padrão unificado de segurança para o pagamento com cartões de crédito eram:
Visa
MasterCard
American Express
JCB International
Discover
O PCI SSC lançou a versão 1.0 em 2004 e já em 2006 foi lançada a versão 1.1.
A versão 4.0 é mais recente destes padrões e foi lançada em maio de 2021. Ela contém os complementos mais recentes, inclusive as Camadas de Soquetes Segura (SSL) e a autenticação multifator.
Níveis de estabelecimentos comerciais conveniados de acordo com o PCI
Para as organizações, atender o PCI não é tão simples quanto cumprir uma lista de requisitos. Dependendo do nível em que sua organização se enquadra como estabelecimento comercial conveniado, ela deve seguir um conjunto específico de requisitos de segurança para ser classificada como uma entidade em conformidade com o PCI.
Os níveis de estabelecimento comercial conveniado são definidos com base no potencial risco para o titular do cartão. Dependendo deste risco, cada nível de estabelecimento comercial conveniado determina como uma empresa deve agir. Seu nível de estabelecimento comercial conveniado indica o nível de validação e avaliação de segurança.
Cada nível possui seu próprio conjunto de requisitos para os estabelecimentos comerciais conveniados, mas o nível da sua organização depende em grande parte da quantidade de transações que você realiza por ano.
Confira a seguir a lista completa dos quatro níveis de estabelecimentos comerciais conveniados:
Nível 1 – Realiza mais de seis milhões de transações por ano.
Nível 2 – Processa entre um e seis milhões de transações por ano.
Nível 3 – Entre 20.000 e um milhão de transações por ano.
Nível 4 – Menos de 20.000 transações são processadas anualmente.
A grande maioria dos pequenos negócios se classifica nos níveis 3 ou 4. Vale ressaltar que os emissores de cartões possuem seus próprios critérios. Por exemplo, JCB e American Express têm suas próprias versões. Em 99% dos casos, se você se classifica como uma empresa de nível três com a Visa, você também estará no nível três com a JCB.
No entanto, sempre é bom verificar qual o seu nível em cada operadora de cartões de crédito para conferir se sua empresa não é uma das exceções.
Que tipo de organização precisa estar em conformidade com o PCI?
Quando você analisa as leis de proteção de dados com o PCI, você pode até pensar que sua empresa não é grande o suficiente para precisar atender esta norma.
Mas as operadoras de cartões de crédito exigem que todas as organizações estejam em conformidade com o PCI, independentemente do setor, porte ou localização.
Mesmo pequenos negócios devem cumprir as normas se eles coletam, transmitem ou armazenam dados PCI. Ou seja, se você coleta, transmite ou armazena dados de cartões de crédito/titulares dos cartões, o cumprimento do padrão é obrigatório.
Mas se você estiver usando um fornecedor terceirizado e não armazena ou registra as informações dos cartões de crédito, é o fornecedor terceirizado que tem de manter a conformidade, porque você nem processa nem acessa as informações de pagamento dos seus clientes.
Por exemplo, se a sua empresa vende produtos e processa os pagamentos exclusivamente por sites de terceiros, como a Amazon, e não coleta ou armazena os dados de cartão de crédito, você não precisa se preocupar com o padrão PCI.
Requisitos de conformidade com o PCI
Existem cerca de 12 requisitos gerais que uma organização deve atender para estar em conformidade com o PCI-DSS.
Embora possa parecer um grande esforço para as empresas, sua organização provavelmente já está cumprindo a maioria destes requisitos.
Confira a lista com 13 requisitos que sua organização deve cumprir:
1. Usar e manter um firewall
Os firewalls bloqueiam o acesso aos seus dispositivos digitais por outras entidades, protegendo assim os dados nestes dispositivos.
Um firewall é a principal linha de defesa que você tem no mundo online. Praticamente todos os computadores ou notebooks vendidos vêm com firewall incluso, portanto, você provavelmente já conta com esta proteção.
Certifique-se apenas de manter as atualizações em dia.
2. Seguir as melhores práticas para criação de senhas
Ao seguir as melhores práticas para criação de senhas, você evita que hackers roubem ou adivinhem suas senhas. Crie senhas fortes usando números, caracteres especiais e letras maiúsculas e minúsculas.
Você também deve trocar senhas genéricas em roteadores, modens e outros sistemas semelhantes. Muitas organizações não fazem isso, criando assim pontos de vulnerabilidade.
Também é uma boa prática trocar sua senha de seis em seis meses.
3. Proteger os dados dos titulares de cartões com criptografia dupla
As empresas devem criptografar todos os dados dos cartões dos consumidores com algoritmos de proteção, ou seja, chaves de criptografia. Estas chaves de criptografia, por sua vez, devem também ser criptografadas para manter a conformidade.
As organizações devem realizar verificações periódicas para garantir que nenhum dado fique sem criptografia.
4. Criptografar todos os dados transmitidos
Quando um cliente realiza um pagamento, os dados do seu cartão são enviados por vários canais. Eles podem ser enviados via escritórios, lojas físicas e processadores de pagamentos.
Para garantir a conformidade contínua, estes dados devem ser criptografados, e as informações das contas nunca podem ser enviadas para locais desconhecidos.
5. Mascarar os dados dos cartões de crédito nos ambientes de desenvolvimento, testes e analytics de aplicações e IA/ML
Considerando que estes ambientes podem representar até 80% dos dados de uma empresa, com certeza existem informações sujeitas ao PCI. Em vez de limitar os dados que podem ser usados nestas atividades essenciais, as organizações podem mascarar as informações sensíveis com dados fictícios, mas realistas, que são referência em todos os bancos de dados.
6. Usar e manter um sistema antivírus reconhecido
Os sistemas antivírus, como os firewalls, normalmente já são integrados ao sistemas quando você compra um novo notebook ou computador.
Você sempre deve ter um software antivírus instalado em todos os dispositivos que acessam ou armazenam dados de Número de Acesso Pessoal (PAN).
Além disso, as empresas devem atualizar periodicamente o antivírus. Você pode automatizar estes processos, pois a maioria das soluções antivírus enviam uma notificação quando há um novo patch ou versão disponível.
7. Atualizar o software com frequência
Quando um software não é atualizado, ele se torna vulnerável. Você deve atualizar cada parte do software que você usa na sua empresa o mais rápido possível. Isso inclui patches que são geralmente lançados depois da identificação de vulnerabilidades.
Um software sempre atualizado é mais um nível de proteção para os dados dos titulares de cartões. Os hackers se aproveitam das empresas que não atualizam seus softwares para a versão mais recente.
Lembre-se que isso não se aplica apenas aos softwares especializados. Isso vale também para dashboards da web como WordPress.
8. Restringir o acesso aos dados
O padrão PCI estabelece que os dados dos titulares de cartões devem ser distribuídos estritamente com base na necessidade destes dados. Ou seja, nem todo mundo na sua empresa deveria ter acesso a estes dados. Apenas certos colaboradores especializados precisam acessar estas informações sensíveis. As diretrizes do PCI recomendam limitar o acesso a informações sensíveis ao máximo possível, especialmente se houver dados mestre envolvidos.
Como parte da sua auditoria anual de conformidade, é necessário registrar e enviar informações sobre o acesso dos seus colaboradores.
9. Acesso apenas para IDs exclusivos
Colaboradores que têm acesso a dados sensíveis devem possuir um login exclusivo. O padrão PCI determina que um único login não pode ser compartilhado por vários colaboradores.
IDs exclusivos reduzem a vulnerabilidade e permitem um tempo de resposta mais rápido em caso de violação dos dados sensíveis de uma organização.
10. Restringir o acesso físico
As empresas também devem evitar o acesso físico às informações sensíveis mantendo os dados físicos e digitais em locais seguros.
Por exemplo, um dispositivo de armazenamento de senhas deve ser mantido em uma sala segura ou em uma gaveta trancada. O acesso deve ser restrito. Sua organização também deve manter um registro de cada instância em que alguém acessa os dados.
11. Manter registros de acesso precisos
Todas as atividades relevantes que envolvem o PAN e outras informações dos titulares de cartões devem gerar uma entrada de registro. Este é o problema de não conformidade mais comum entre as organizações.
A falta de registros precisos dificulta o rastreamento de violações até a fonte de entrada e sua resolução.
O padrão PCI exige softwares para garantir a precisão dos registros de acesso.
12. Testes de vulnerabilidade
Os dez padrões anteriores descrevem a criação e o gerenciamento dos requisitos para manter a conformidade com o PCI. No entanto, em algum momento, todos os sistemas ficam desatualizados ou apresentam falhas no funcionamento. Por isso é importante conduzir testes periódicos de vulnerabilidade que indicam as áreas de maior fragilidade na organização. O padrão PCI atual exige que as empresas realizem varreduras trimestrais dos seus sistemas.
13. Políticas de documentação
Você precisa possuir uma documentação adequada sobre o acesso, os colaboradores e os softwares, bem como das datas nas quais as atualizações foram instaladas. O registro do fluxo de informações e dos procedimentos de armazenamento constituem uma parte importante da sua auditoria anual.
Felizmente, as soluções mais modernas para o PCI registram todas as alterações automaticamente. Muitas opções de softwares possuem ferramentas de geração de documentos que permitem criar relatórios em um clique.
Os benefícios da conformidade com o PCI
O caminho para chegar à conformidade com o PCI-DSS pode parecer longo e cheio de obstáculos. Mas é necessário cumprir estes padrões para que sua empresa possa realizar transações de cartão de crédito. Fazer mais do que o seu dever e superar os padrões mínimos traz vários benefícios. Seguem aqui alguns deles:
Sua conformidade garante a segurança de todos os seus sistemas digitais. Isso reforça a sua confiabilidade e a probabilidade de aumentar a confiança dos consumidores e com isso, a fidelidade dos clientes.
Melhore sua reputação mostrando sua dedicação para com a proteção dos dados dos seus clientes.
O padrão PCI é apenas uma parte pequena de uma ampla estratégia de segurança organizacional. Talvez seja apenas o ponto de partida, mas a instalação desta infraestrutura pode facilitar o cumprimento de outros regulamentos ao longo do tempo.
Evite as multas. Violações de dados resultam geralmente em pesadas multas aplicadas pelas autoridades locais e federais caso elas julguem que a organização não cumpriu os requisitos do PCI.
Como você pode ver, seu empenho para cumprir o padrão PCI vale a pena, tanto para o funcionamento interno quanto para a percepção da sua empresa pelo público externo. Em uma época em que a reputação é tudo (e qualquer pessoa consegue atingir milhares de pessoas no mesmo instante pela internet), seus esforços para garantir a conformidade não são apenas uma recomendação, elas são fundamentais.
Como garantir a conformidade com a PCI
Ao contrário de outros padrões recomendados para as organizações, não é possível realizar uma autoavaliação de conformidade com o PCI e simplesmente postar o resultado no seu site. É necessário seguir um procedimento específico.
Como preencher a autoavaliação
Na primeira etapa, é preciso acessar o site do PCI Security Standards Council (PCI SSC) e baixar o questionário de autoavaliação.
O questionário a ser preenchido depende da sua empresa. No questionário, você precisa responder as perguntas sobre as medidas de segurança na sua empresa com sim/não.
As áreas mais comuns de deficiência são, por exemplo, protocolos de segurança desatualizados, credenciais de autenticação desprotegidas e falta de verificação para obter o certificado SS1.
Depois de concluir o questionário, você precisa passar por um teste de vulnerabilidade realizado por um Fornecedor de Varredura Aprovado(ASV) pelo PCI SSC. Este requisito se aplica apenas a certos estabelecimentos comerciais conveniados. Se sua empresa fizer parte destes estabelecimentos comerciais conveniados, só poderá receber o atestado de conformidade após a conclusão da varredura.
Envie todas as informações que coletou em cada etapa.
Os custos para cumprir o PCI
Os custos com a conformidade dependem em grande parte da organização. Quanto mais transações com cartões ela tem, mais complexa e mais cara fica a manutenção da conformidade.
Sendo assim, as maiores corporações e empresas, em geral estabelecimentos comerciais conveniados de nível 1 ou 2, contratam especialistas em PCI. Estes profissionais trabalham diretamente com as empresas para garantir a conformidade. Para organizações menores, não é necessário ter um especialista em PCI.
Muitos fornecedores de contas de estabelecimentos comerciais conveniados oferecem software gratuitos ou de baixo custo para garantir a conformidade anual com o padrão PCI. Para uma organização que já está em conformidade, o custo anual para se manter em conformidade não deve ser alto.
Já para uma empresa que começa do zero, os gastos ficam mais elevados, pois é preciso instalar todos os softwares necessários.
Sanções em caso de não conformidade
Em 2020, menos de 30% das organizações cumpriram os requisitos de conformidade com o PCI. O número de empresas conformes está caindo a cada ano.
Embora as multas não sejam divulgadas publicamente, elas são aplicadas. O valor das multas podem variar de US$ 5.000 a 100.000 por mês até que o estabelecimento comercial conveniado volte à cumprir o PCI.
Os bancos que recebem tais multas têm o hábito de repassar os custos para seus clientes. Eles fazem isso aumentando as taxas de transação, e no pior dos casos, encerrando o relacionamento comercial.
As organizações também devem levar em consideração ações judiciais, ações de órgãos governamentais e encargos de monitoramento de crédito. Violações de dados geram multas enormes. A rede de supermercados Target foi forçada a pagar US$ 18,5 milhões em um acordo com 47 procuradores gerais de estado em 2017.
Sua empresa conseguiria arcar com sanções desta magnitude se sofresse uma violação?
Se sua organização for afetada por uma violação de dados, é possível que ela enfrente outras consequências. Existe a possibilidade da sua empresa ser reclassificada para um nível de estabelecimento comercial conveniado mais elevado. Quanto mais alto o nível de estabelecimento comercial conveniado, maior a complexidade dos requisitos de conformidade.
E por fim, em alguns poucos casos, você poderia até perder o direito de processar transações de cartões de crédito. Na era digital dos negócios online, isso seria uma sentença de morte para seu empreendimento.
Conformidade com o PCI e o comércio eletrônico
Empresas que operam exclusivamente online são as entidades com menor probabilidade de atender ao padrão PCI. O motivo talvez venha do mito de que microempresas não precisam seguir tais padrões. (Microempresas possuem menos de 10 colaboradores.) As únicas empresas que não precisam aderir aos padrões são as que operam por meio de fornecedores terceirizados, como a Amazon.
Todas as operações de comércio eletrônico que de fato processam informações de pagamento precisam de uma estratégia para garantir a conformidade. Grande parte pode ser gerenciada por softwares.
Confira a seguir algumas opções.
1. Software comercial
Infraestrutura de dados programáveis (PDI) da Delphix - A Delphix usa uma abordagem automatizada para identificar e mascarar dados de cartões de crédito e informações dos titulares dos cartões em bancos de dados não produtivos para atividades de desenvolvimento, testes, analytics e IA/ML. Além disso, a Delphix ajuda a identificar alterações não autorizadas nos dados nestes ambientes para evitar a exposição dos dados do PCI-DSS. Os dados não produtivos são responsáveis por até 80% dos dados de uma organização. Portanto, ao garantir que as informações do PCI são anonimizados, os consumidores, seus dados e a empresa ficam protegidos, ficando em conformidade com o PCI-DSS.
SolarWinds Security Event Manager (SEM) – Uma aplicação leve com um console dinâmico que mesmo uma pessoa sem conhecimento tecnológico pode usar e entender. Todos os dados são mostrados em forma de gráficos. Os recursos incluem a coleta e normalização de registros, segurança de endpoint, pesquisa histórica e relatórios de conformidade.
ManageEngine ADAudit Plus – Um excelente software comercial para implementar conformidade e gerar relatórios instantâneos de controle. Ele foca no Active Directory, monitorando e registrando qualquer alteração no acesso. Todas as ações dos usuários são registradas e as alterações podem ser rastreadas.
Splunk – A melhor opção comercial da Splunk é Splunk Enterprise, pois ela apresenta características de um sistema de prevenção contra intrusão IPS (Intrusion Prevention System). O software oferece procedimentos de detecção e o monitoramento integral do tráfego na rede. Também é possível fazer um upgrade para detectar anomalias baseadas em IA.
2. Software de código aberto
As empresas do comércio eletrônico podem optar por uma solução de código aberto, pois são geralmente mais baratas e mais adequadas para microempresas.
Além de ser mais acessível, o software de código aberto facilita o escalonamento e a simplificação da infraestrutura tecnológica que auxilia os fornecedores.
Ferramentas de código aberto, como Logstash e Fluentd são gratuitas ou extremamente baratas. No entanto, o software de código aberto precisa ser ajustado às características específicas da sua empresa. Isso pode aumentar o tempo necessário para configuração.
3. Plataformas SaaS hospedadas
Para pequenas empresas que queiram cumprir os requisitos do PCI mas não têm os recursos necessários, as plataformas SaaS hospedadas são a solução.
O SaaS e a tecnologia de comércio eletrônico baseada na nuvem já vêm com a conformidade integrada. O provedor assume a maior parte do trabalho, e as responsabilidades da sua empresa são drasticamente reduzidas.
O número de plataformas populares de SaaS para cumprir o padrão PCI está aumentando no mundo do comércio eletrônico. Um exemplo é o BigCommerce.
Como garantir uma conformidade contínua
É difícil manter a conformidade. Um dos motivos é a obrigatoriedade de realizar varreduras trimestrais de vulnerabilidades. Em segundo lugar, as organizações precisam enviar o questionário de autoavaliação todos os anos. A consequência deste trabalho adicional é que muitas empresas negligenciam a conformidade.
A solução é terceirizar esta tarefa da sua organização. Com tantas plataformas dedicadas que ajudam as empresas a manterem a conformidade, esta despesa a mais vale a pena. Os softwares automatizam grande parte do processo, mas você mantém o controle total por meio de dashboards de controle intuitivos.
O PCI DSS é um conjunto de padrões complexos que impõe grandes responsabilidades às empresas. Apesar das organizações não serem legalmente obrigadas a atendê-los, uma violação de dados pode gerar severas multas, além da perda total de confiança dos consumidores na sua marca.
Garanta a conformidade com o PCI-DSS e proteja os dados dos titulares dos cartões com undefined.