Artigos

Descomplicando: Tudo o que você precisa saber sobre o PCI

Por 7 de fevereiro de 2020 Sem comentários

*Carolina Fernandes

O que é o PCI?

O PCI Security Standards Council é um conselho de fórum aberto formado pelas empresas American Express, Discover Financial Services, JCB International, MasterCard e Visa.

Em 2006 esse conselho estabeleceu as regras e normas para garantir a segurança durante o manuseio dos dados de cartões de crédito em transações eletrônicas. Atualmente o conselho é responsável por desenvolver, gerenciar, educar e conscientizar sobre os Padrões de Segurança do PCI, por exemplo: os requisitos do Padrão de Segurança de Dados (DSS), Padrão de Segurança de Dados de Aplicativo de Pagamento (PA-DSS) e Dispositivo de Entrada de Pin (PED).

Fluxo do Meios de Pagamento

Para poder entender o fluxo é necessário conhecer os termos existentes nos meios de pagamento.

  • Adquirente: Realiza o papel de liquidar as transações financeiras por meio de cartões. Elas se comunicam com as bandeiras de cartão e com os bancos emissores para processar as transações. Em resumo, adquirente são as “maquininhas de cartão”.
  • Bandeiras: São órgãos reguladores que determinam e padronizam as regras do mercado de cartão de crédito. Elas definem, por exemplo, em quantas vezes é permitido parcelar, se é internacional ou nacional, entre outros.

Todas as transações de compras ocorrem em segundos, porém há diversas etapas no decorrer da ação. Ao inserir o cartão na maquininha é enviada uma mensagem criptografada com um pedido de autorização para realizar a transação, à bandeira pela adquirente.

A bandeira entra em contato com o Banco emissor para verificar se a transação pode ou não ser aprovada. Se a resposta for positiva, o banco envia a mensagem de autorização para a bandeira, que autoriza a transação. Nesse momento, a compra foi efetivada, porém não é o último passo.

O valor da compra precisa ser pago pelo consumidor, e o vendedor precisa receber esse dinheiro, então a adquirente envia para a bandeira os dados da venda, os dados são validados pela bandeira e logo em seguida enviados para o Banco emissor, que realiza o resto da ação.

Toda essa explicação serve para ser entendido a abrangência do escopo do PCI. Os padrões do PCI devem ser seguidos por qualquer instituição que armazena, processa ou transmite os dados dos portadores de cartões.

PCI-DSS: Padrão de Segurança de Dados da Indústria de Pagamento com Cartão

O PCI-DSS é composto por um conjunto de requerimentos e procedimentos de Segurança a fim de proteger as informações pessoais dos titulares de cartão, reduzindo as chances de roubo/vazamento de dados e fraude. A certificação é uma exigência das principais bandeiras. O PCI-DSS possui doze requisitos agrupados em seis objetivos que devem ser 100% implementados e seguidos pela organização que deseja obter a certificação.

Veja abaixo os objetivos e requisitos:

  1. Construir e manter uma rede segura através da qual conduzir as transações:
  • Utilizar um firewall suficientemente forte para ser efetivo, mas sem provocar excessivos inconvenientes para os vendedores e titulares de cartões.
  • Não utilizar senhas e configurações padrão fornecidas pelos vendedores.

     2. As informações dos titulares de cartão devem ser protegidas:

  • Proteger a informação guardada do titular do cartão (data de nascimento, número de documento, telefone e endereço de e-mail).
  • Usar criptografia na transmissão de dados dos titulares quando realizada através de redes públicas.
  1. Manter o sistema protegido de hackers:
  • Utilizar software de proteção contra vírus, spyware e malware e que eles sejam frequentemente atualizados.
  • Desenvolver e manter sistemas e aplicações seguras.
  • Restringir acesso aos dados de cartões de crédito segundo o cargo de cada empregado da empresa.
  1. Implementar fortes medidas de controle de acesso:
  • Designar dados de login únicos e confidenciais para cada usuário da rede e sistema.
  • Restringir o acesso físico e eletrônico aos dados do cartão.
  1. Monitorar e testar as redes frequentemente:
  • Rastrear e monitorar todos os acessos à rede e dados de cartões de crédito.
  • Testar a segurança de sistemas e processos regularmente.
  1. Manter uma política de segurança formal:
  • Definir uma política de segurança que seja seguida e mantida por todos.

Por que as empresas devem implementar o PCI-DSS?

A certificação PCI-DSS reúne os elementos necessários para garantir a maior segurança para as transações online, sendo assim diminuindo as chances de algum incidente relacionado a vazamento/roubo de dados ou fraudes acontecer.

Caso ocorresse algum desses casos, a instituição poderia receber ações judiciais, prejuízos financeiros e prejuízo de imagem, podendo ocasionar até mesmo a falência da instituição. Portanto, investir na certificação vai valorizar, transmitir confiança para o cliente e garantir que a Segurança da Informação seja vista como uma estratégia de negócio.

*Carolina Fernandes é consultora de Segurança na [SAFEWAY]

Sobre a [SAFEWAY]

SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.

Hoje através de mais de 17 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.

Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!