Acesso rápido

PCI-DSS: o que é? Como ser um PCI? É obrigatório? Quando implantar?

por Célio Egídio Sexta-feira, 22 de setembro de 2017   Tempo de leitura: 4 minutos

O Payment Card Industry – Data Security Standard (PCI-DSS) é um padrão de mercado envolvendo a segurança no uso de cartões de crédito. Foi criado pela união privada de grandes operadoras (American Express, Discover Financial Services, entres outras de grande porte), formando uma espécie de conselho para avaliar as condições de segurança de uso de seus cartões.

Os requisitos de segurança especificados no PCI-DSS se aplicam a todos os elementos dos sistemas que participam do processamento de dados de cartão de crédito. Entre eles estão: os componentes de rede, servidores, aplicativos e os gerenciadores de bancos de dados envolvidos quando um número de cartão de crédito é transmitido, processado ou armazenado durante o fluxo de uma transação comercial.   

Então, para que o processamento digital de um número de cartão de crédito – o qual é tecnicamente conhecido como Personal Account Number (PAN) – seja feito de forma segura, o PCI-DSS define uma série de requisitos.

Tais requisitos são organizados em seis grupos logicamente relacionados: 

  1. Construir e manter uma rede segura;
  2. Proteger as informações dos portadores de cartão;
  3. Manter um programa de gerenciamento de vulnerabilidades;
  4. Implementar medidas fortes de controle de acesso;
  5. Monitorar e testar as redes regularmente;
  6. Manter uma política de segurança da informação.

O Conselho do PCI certificou algumas entidades, conhecidas como Qualified Security Assessors (QSA), para executar a avaliação de conformidade ao PCI-DSS nas empresas e apresentar sugestões de medidas corretivas para promover o alinhamento aos padrões da certificação. Então, falar em PCI-DSS é falar em Certificação de procedimentos de segurança, sendo eles avaliados por uma entidade certificadora. 

Apesar de ser um importante mecanismo, não é determinação legal. Ou seja, a lei não determina que tal comportamento seja obrigatoriamente tomado para obter maior segurança nas transações, mas é um item que pode acrescentar capital de segurança à empresa, levando em consideração os requisitos para se alcançar essa certificação.

Observe o termo criado “capital de segurança” que é o conjunto de medidas possíveis utilizados para a proteção de dados em transações e dados de clientes.

Quanto maior o capital de segurança, maior a tranquilidade do empresário, do cliente e claro, das futuras demandas jurídicas. 

Com isso, uma importante questão fica no ar: minha empresa precisa ser PCI? A resposta para essa pergunta, dependerá do quanto necessário, visto que não há nada em leis que obriguem as empresas a seguir tais procedimentos. Entretanto, ao adotá-los em seu e-commerce poderá se beneficiar. 

Devo ou não devo adotar procedimentos de segurança dessa classe? Claro que sim, sem dúvida, mas se sua empresa possui um bom sistema de segurança de dados, entendemos que não seja necessário buscar tal certificação. Contudo, caso queira evoluir para um segmento de maior movimentação financeira, o que demanda maior segurança nas ações e no tratamento de dados, entendemos que é algo muito bom e que agregará muito ao seu comércio. 

Finalizando a série de questionamentos: qual é o momento certo para buscar tal certificação? Isso tem a variação de empresa para empresa, de caso a caso. Por isso, é altamente recomendado que se tenha uma consultoria empresarial acompanhando os trabalhos de sua empresa virtual, pois dessa forma será possível identificar com maior precisão o momento correto de fazer o investimento e como fazê-lo.

Você recomendaria esse artigo para um amigo?

Nunca

 

Com certeza

 

Deixe seu comentário

0 comentário

Comentários

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Comentando como Anônimo

O projeto E-Commerce Brasil é mantido pelas empresas:

Oferecimento:
Hospedado por: Dialhost Transmissão de Webinars: Recrutamento & Seleção: Dialhost Métricas & Analytics: MetricasBoss

  Assine nossa Newsletter

Fique por dentro de todas as novidades, eventos, cursos, conteúdos exclusivos e muito mais.

Obrigado!

Você está inscrito em nossa Newsletter. Enviaremos, periodicamente, novidades e conteúdos relevantes para o seu negócio.

Não se preocupe, também detestamos spam.