À luz das recentes violações de dados de alto perfil , incidentes de hackers dispendiosos e relatórios de segurança cibernética deficiente, os clientes têm o direito de estar cansados. A grande quantidade de informações de identificação pessoal agora armazenadas em bancos de dados e na nuvem apresenta riscos substanciais para os consumidores preocupados com a privacidade de seus dados. Todos esses fatores e muito mais estão colocando a segurança de dados na vanguarda das empresas modernas, especialmente aquelas do setor financeiro.
A criação de redes de pagamento seguras que permitem que os consumidores façam transações com cartão de pagamento com facilidade sem arriscar a privacidade de seus dados pessoais é uma parte crítica da segurança dos dados financeiros. O PCI DSS foi projetado para atender a essas preocupações impondo requisitos para proteger as informações de cartão de crédito e débito. Esses requisitos estimularam melhorias na segurança da informação em todo o mundo.
O que é PCI-DSS?
O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) é um padrão de segurança da informação estabelecido que se aplica a qualquer organização envolvida no processamento, transmissão e armazenamento de informações de cartão de crédito. Criado e supervisionado por uma agência independente, o PCI Security Standards Council (PCI SSC), o PCI DSS foi projetado para melhorar a segurança das transações com cartão de pagamento e reduzir fraudes com cartão de crédito.
O PCI SSC foi fundado em 2006 como uma joint venture entre as cinco maiores marcas de cartões de pagamento (Visa, MasterCard, American Express, Discover e JCB). Seu objetivo era criar um conjunto claro e interoperável de padrões para proteger as informações do consumidor. Embora o SSC não imponha a conformidade em si, o PCI DSS agora é amplamente aceito e se aplica a todas as organizações que lidam com informações de cartão de crédito, débito ou dinheiro, independentemente do tamanho ou do setor.
Alguns termos-chave entram em jogo ao discutir o PCI DSS:
Um comerciante é qualquer empresa ou indivíduo que aceita pagamento por meio de um cartão de marca fornecido pelas cinco principais empresas de cartão de pagamento. Independentemente de um cartão físico ser usado ou o consumidor apenas fornecer as informações necessárias do titular do cartão para pagar por bens ou serviços, a entidade que aceita o pagamento é considerada um comerciante.
Um provedor de serviços é qualquer empresa que armazene, processe ou transmita dados do titular do cartão em nome de outra empresa ou indivíduo. Os provedores de serviços podem ser considerados intermediários, fornecendo vários serviços relacionados a pagamentos aos comerciantes. Empresas como empresas de telecomunicações podem ser consideradas comerciantes e provedores de serviços porque ambos recebem o pagamento diretamente (por fornecer acesso à Internet) e também permitem o pagamento (transmitindo informações do titular do cartão pela Internet).
PA-DSS significa Padrão de Segurança de Dados de Aplicativos de Pagamento. É um padrão complementar criado para garantir que fornecedores e prestadores de serviços adotem políticas que facilitem o cumprimento dos requisitos do PCI DSS pelos comerciantes. Os dois padrões são distintos, mas o PA DSS foi projetado para dar suporte à aplicação do PCI DSS.
Os 12 requisitos do PCI DSS
O PCI DSS consiste em doze requisitos, organizados em seis objetivos principais delineados pelo PCI SSC. Cada requisito é uma etapa específica de segurança de bom senso que ajuda as empresas a satisfazer o objetivo relevante. Os objetivos e requisitos associados são os seguintes:
Construir e manter uma rede segura
Instale e mantenha uma configuração de firewall para proteger os dados do titular do cartão
Não use padrões fornecidos pelo fornecedor para senhas do sistema e outros parâmetros de segurança
Proteja os dados do titular do cartão
Proteja os dados armazenados do titular do cartão
Criptografe a transmissão de dados do titular do cartão em redes públicas abertas
Manter um programa de gerenciamento de vulnerabilidades
Use e atualize regularmente software ou programas antivírus
Desenvolver e manter sistemas e aplicativos seguros
Implemente medidas fortes de controle de acesso
Restringir o acesso aos dados do titular do cartão por necessidade comercial
Atribua um ID exclusivo a cada pessoa com acesso ao computador
Monitore e teste regularmente as redes
Restringir o acesso físico aos dados do titular do cartão
Acompanhe e monitore todo o acesso a recursos de rede e dados do titular do cartão
Mantenha uma política de segurança da informação
Testar regularmente sistemas e processos de segurança
Manter uma política que aborde a segurança da informação para todo o pessoal
Entendendo os níveis de conformidade do PCI DSS
Existem quatro níveis de conformidade do PCI DSS que categorizam os comerciantes pelo volume de transações que processam a cada ano. Como os comerciantes maiores são responsáveis por mais transações individuais, eles também representam alvos maiores e potencialmente expõem mais pessoas ao risco. Como resultado, os níveis de conformidade para volumes de transações mais altos correspondem a requisitos de conformidade mais rigorosos.
| Nível do comerciante | Aplicabilidade | Requisitos de conformidade |
|---|---|---|
| 1 | Qualquer comerciante que processe mais de 6 milhões de transações com cartão de pagamento por ano, bem como alguns comerciantes especificamente designados por membros do SSC | 1. Relatório sobre conformidade 2. Verificação de vulnerabilidade 3. Atestado de conformidade |
| 2 | Todos os comerciantes processam entre 1 milhão e 6 milhões de transações por ano | 1. Questionário de autoavaliação 2. Verificação de vulnerabilidade 3. Atestado de conformidade |
| 3 | Comerciantes processando entre 20.000 e 1 milhão de transações de comércio eletrônico por ano | 1. Questionário de autoavaliação 2. Verificação de vulnerabilidade 3. Atestado de conformidade |
| 4 | Comerciantes que processam menos de 20.000 transações de comércio eletrônico ou menos de 1 milhão de transações geralmente por ano | 1. Questionário de autoavaliação 2. Verificação de vulnerabilidade 3. Atestado de conformidade |
Cada nível de conformidade envolve alguma permutação de apenas quatro requisitos específicos. O Questionário de Autoavaliação (SAQ), verificação de vulnerabilidades, Atestado de Conformidade (AOC) e Relatório de Conformidade (ROC) são todos procedimentos usados por avaliadores terceirizados ou pelas próprias empresas para avaliar a conformidade com o PCI DSS.
Questionário de Autoavaliação (SAQ)
O SAQ consiste em uma variedade de perguntas sim ou não que se destinam a avaliar se uma entidade está em conformidade com o PCI DSS. Deve ser preenchido por todos os comerciantes que não exigem um Relatório de Conformidade.
Existe uma variedade de questionários, portanto, comerciantes e prestadores de serviços devem determinar qual dos formulários específicos se aplica a eles antes de preencher o SAQ. Essa seleção é baseada principalmente em como a empresa aceita e processa pagamentos com cartão. Por exemplo, os comerciantes que usam aplicativos de pagamento on-line, mas não armazenam os dados do titular do cartão, devem preencher o SAQ-C especificamente. As empresas podem usar os recursos no site do PCI para garantir que escolham o formulário SAQ correto.
Dependendo do questionário específico usado, o SAQ pode variar em tamanho de cerca de 20 a mais de 300 perguntas. Os comerciantes devem responder às perguntas do SAQ com cuidado e sinceridade para determinar corretamente se estão em conformidade com o PCI DSS.
Verificação de vulnerabilidade
Uma verificação de vulnerabilidade é uma verificação externa da Internet pública de um comerciante ou provedor de serviços e de aplicativos e portais de pagamento voltados para o consumidor. Essas verificações são realizadas por um fornecedor de verificação aprovado (ASV) indicado pelo PCI SSC para avaliar a conformidade com o PCI DSS em um nível prático.
Os ASVs usam uma ferramenta remota para detectar quaisquer vulnerabilidades ou riscos de segurança de dados nos sistemas da organização verificados. Essas verificações devem ser realizadas trimestralmente (uma vez a cada 90 dias).
Quase todos os comerciantes devem passar por uma verificação, independentemente do nível de conformidade aplicável. No entanto, alguns comerciantes que preenchem um SAQ podem ser isentos, com base na mesma subclassificação usada para selecionar o formulário SAQ apropriado. Especificamente, as entidades qualificadas para SAQ A-EP, B-IP, C e D (comerciante ou provedor de serviços) são todas obrigadas a passar no requisito de verificação de vulnerabilidade, enquanto SAQ A, B, C-VT e PEPE-HW não são.
Atestado de Conformidade (AOC)
O requisito AOC se aplica a todos os comerciantes que desejam aderir ao PCI DSS, independentemente do nível de conformidade. Este documento é assinado e enviado pelo estabelecimento ou prestador de serviço se estiver preenchendo seu próprio questionário, ou por um assessor no caso de estabelecimentos com o requisito de Relatório de Conformidade.
Há uma versão do AOC para cada tipo de formulário SAQ. Um comerciante que preencha um questionário SAQ ‘A’ deve então usar o documento AOC ‘A’ correspondente, por exemplo.
O AOC é simplesmente uma declaração dos resultados finais de qualquer avaliação do PCI DSS. Em última análise, o documento serve como evidência de conformidade com o PCI DSS.
Relatório de Conformidade (ROC)
Ao contrário do SAQ, um ROC é preenchido por um Avaliador de Segurança Qualificado (QSA), em vez do comerciante. QSAs, como fornecedores de varredura, são terceiros aprovados pelo PCI SCC para avaliar independentemente a conformidade com o PCI DSS.
Após a conclusão, o QSA envia o relatório diretamente ao banco do comerciante avaliado. Os ROCs são exigidos apenas dos comerciantes e fornecedores maiores e de maior risco. Eles são um equivalente mais rigoroso aos questionários de autorrelato preenchidos em outros níveis de conformidade.
A necessidade de conformidade com PCI DSS na nuvem
À medida que as empresas – como comerciantes estabelecidos e a maioria dos grandes provedores de serviços – continuam migrando de sistemas locais para a nuvem, a segurança de dados em geral se tornou uma preocupação crescente. O comércio eletrônico e os serviços financeiros on-line estão crescendo junto com o aumento de práticas mais sofisticadas de fraude e hacking on-line, uma combinação perigosa.
Padrões como o PCI DSS são mais importantes do que nunca para proteger os consumidores dessas empresas e seus dados privados. Projetado em torno de preocupações modernas de privacidade de dados, o PCI DSS tornou-se diretrizes críticas e estabelecidas para empresas que lidam com cada vez mais dados de pagamento na nuvem.
A importância da conformidade com o PCI DSS
O PCI DSS é um padrão voluntário e não está consagrado em lei por nenhuma agência ou governo. No entanto, tem sido amplamente adotado, e há penalidades potenciais significativas para estabelecimentos comerciais e prestadores de serviços que não cumprirem suas exigências.
As penalidades monetárias incluem multas e custos significativos suportados pelo comerciante. Essas multas e taxas de transação aumentadas geralmente são aplicadas pelos bancos, mas as empresas que fogem da conformidade com o PCI DSS também se expõem a possíveis ações punitivas e litígios por parte do governo, indivíduos e outras entidades.
As penalidades não monetárias incluem auditorias e monitoramentos forçados, impostos pelas principais bandeiras de cartões a estabelecimentos comerciais e prestadores de serviços não conformes. Isso afeta negativamente as relações públicas e custa à empresa tempo e recursos significativos.
A Talend fornece um conjunto abrangente de aplicativos focados na integração e integridade de dados que podem ajudar a simplificar a tarefa de conformidade com o PCI DSS para empresas de qualquer tamanho. Com ofertas exclusivas, como acesso restrito de usuários empresariais aos dados do titular do cartão, o Talend Data Fabric pode gerenciar melhor os dados de seus clientes e inspirar confiança em suas redes de pagamento. Experimente o Talend Data Fabric hoje para proteger seus dados confiáveis.
