*Por Eliana Francisco
Atualmente o sistema de cartões é um meio de pagamento muito utilizado tanto em empresas quanto por consumidores.
Como todo sistema este também possui fragilidades que são exploradas por criminosos para explorar e cometer fraudes ou obter vantagens.
Mediante a prejuízos recorrentes, as principais bandeiras de cartões de crédito (American Express, Discover, JCB, MasterCard e Visa) desenvolveram em 2006 o padrão internacional PCI DSS (Payment Card Industry – Data Security Standard).
O que é PCI? Quem é o público da certificação e por que obtê-la?
O PCI DSS (Payment Card Industry – Data Security Standard) tem como premissa assegurar a proteção de informações confidenciais e garantir a segurança de dados sensíveis em transações financeiras. Possui um conjunto de requisitos para certificar a segurança de transações por meio da internet ou loja física. Investir na certificação trará segurança e confiança não só aos clientes, mas também para as regras do negócio.
Esse padrão é requerido em entidades que operam com meios de pagamento, tais como: processamento, armazenamento e/ou transmissão de dados de cartões.
Para obter a certificação é necessário realizar o acompanhamento para atender os requisitos da PCI Compliance Assessment (Avaliação de Conformidade PCI) e contratar uma empresa ou um responsável autorizado (Qualified Security Assessors) para emissão de conformidade dos controles.
O QSA (Qualified Security Assessors), poderá ser um individuo ou empresa qualificada para realizar auditoria e/ou consultoria com relação a dados de cartão de crédito. Os consultores que possuem a certificação QSA, concedida por meio do PCI Security Standards Council, precisam obter a recertificação anualmente devido quaisquer alterações nos requisitos e diretrizes do PCI-DSS.
Quais são os requisitos da certificação PCI DSS?
Primeiramente a empresa que deseja obter a certificação deve avaliar os controles aplicáveis (processador / ponto de venda).
Um processador de pagamento é o responsável processo de transação com cartão de crédito ou débito. Ele atua entre os envolvidos da operação (banco, consumidor e comerciante), repassando informações.
Os pontos de vendas transmitem e/ou armazenam dados, em geral comerciantes.
São 12 requisitos agrupados em 6 categorias, conforme abaixo:
- Construção e manutenção de uma rede segura:
Aplicar um firewall efetivo, que garanta a proteção contra os tipos mais comuns de malwares, sem pesar demais as transações;
Não utilizar as configurações e senhas padrão de acesso entregues pelos fornecedores das soluções.
- Proteção das informações dos portadores de cartões:
Proteger de forma incisiva todos os dados referentes ao titular do cartão que possam ser utilizadas em fraudes, como data de nascimento, números de documentos, e-mail e outros;
Utilizar-se de criptografia sempre que se for transmitir os dados de uma transação de pagamento em redes públicas.
- Criação de um programa de controle de vulnerabilidades:
Aplicar sistemas de antivírus, frequentemente atualizados, que busquem vulnerabilidades e garantam a segurança do ambiente e dos bancos de dados contra invasões e vazamentos;
Desenvolver sistemas seguros, atualizados com as mais novas tecnologias e protegidos.
- Implementação de medidas sólidas de controle de acesso:
Restringir o acesso aos dados dos titulares dos cartões apenas para os colaboradores que realmente necessitam desse acesso;
Criar logins únicos para cada um dos colaboradores, permitindo assim o rastreio das atividades dentro da rede e dos sistemas;
Restringir o acesso físico aos dados, evitando que qualquer pessoa possa chegar até os servidores que as informações estão salvas.
- Monitoramento constante das redes (testes):
Rastrear de forma frequente todos os acessos e movimentações dentro da rede e a circulação de dados de cartões de crédito e débito;
Testar periodicamente todo o sistema de segurança da rede utilizada assim como todos os processos envolvidos.
- Elaboração de uma política de segurança da informação:
Definir uma política de segurança a ser seguida por todos os colaboradores da empresa para controle e proteção dos dados em circulação.
A certificação se divide em quatro níveis de acordo com a quantidade de transações por ano.
- Nível 1:mais de 6 milhões de transações por ano;
- Nível 2: entre 1 e 6 milhões de transações por ano;
- Nível 3:entre 20 mil e 1 milhão de transações ao ano (em geral, e-commerce);
- Nível 4: menos de 20 mil transações ao ano (em geral, e-commerce).
Desejo obter, mas não sei por onde começar!
O estudo Payment Security Report realizado pela Verson em 2020, demonstrou dados alarmantes: apenas 27,8% das empresas conseguiram se manter em compliance com as exigências do PCI, mostrando não conformidade com itens mencionados até mesmo na LGPD (Lei Geral de Proteção de Dados).
A Safeway Consultoria poderá ajudá-lo por meio do auxílio na definição do escopo do PCI, identificação de Gaps, gestão de vulnerabilidades, monitoramento de eventos, testes de invasão, desenvolvimento e atualização de políticas, entre outros serviços.
Para saber mais consulte nosso site ou entre em contato conosco.
— Eliana Francisco é GRC and Information Security Consultant na [SAFEWAY]
Como podemos Ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.
Com o intuito de apoiar as empresas nesse processo de avaliação e adequação aos requisitos da LGPD, a [SAFEWAY] possui em seu portfólio de serviços, o Cybersecurity Health Check cujo objetivo é executar um diagnóstico dos controles de CyberSecurity, Segurança da Informação e Privacidade de Dados implementados na sua empresa, contemplando os pilares de Processos, Pessoas e Tecnologia.
Por meio do Cybersecurity Health Check, são identificados os riscos associados a segurança da informação e privacidade dos processos e atividades internas, os controles existentes e avaliados novos controles de acordo com o porte de sua organização para aumentar o nível de maturidade e compliance, de acordo com as boas práticas de segurança da informação. Caso deseje mais informações, entre em contato com um de nossos especialistas!
