Tudo que você precisa saber sobre os requisitos PCI DSS

por Bianca Lopez Quarta-feira, 04 de outubro de 2017   Tempo de leitura: 3 minutos

Se você tem uma loja online, ou inclusive se está pesquisando sobre abrir um e-commerce e aceitar pagamentos online, você certamente já ouviu falar dos requisitos PCI DSS. Qualquer negócio online que receba pagamentos com cartão de crédito ou débito, independentemente do seu tamanho, deve cumprir com os requisitos PCI DSS para poder processar pagamentos feitos com cartão. Mas, o que é o PCI DSS?

A sigla, em inglês, significa “Payment Card Industry Data Security Standard”. Isto é, trata-se do Padrão de Segurança de Dados da Indústria de Pagamento com Cartão, em tradução livre. Este padrão se compõe de um conjunto de requerimentos e procedimentos de segurança focados na proteção das informações pessoais dos portadores de cartão. Desta forma, tem como objetivo a redução do risco de roubo de dados dos cartões e a incidência de fraude.

O PCI DSS foi apresentado em 2004 como parte de uma iniciativa conjunta das bandeiras de cartão Visa, MasterCard, American Express, Discover e JCB. Juntas, também criaram o órgão conhecido como Payment Card Industry Security Standards Council (Conselho dos Padrões de Segurança da Indústria de Pagamento com Cartão), cuja responsabilidade trata de desenvolver, melhorar, divulgar e ajudar na compreensão dos padrões de segurança para os pagamentos.

Cabe ao Conselho, além disso, desenvolver e promover o próprio padrão PCI DSS, bem como ajudar em sua implementação mediante assessoramento e avaliações de qualificações ou, também, através de questionários de autoavaliação de conformidade.

Apesar disso, o órgão não é responsável pela fiscalização do cumprimento dos requisitos, já que cabe ao banco emissor ou a adquirente dos cartões fazer com que os mesmos sejam cumpridos, bem como punir qualquer violação de dados.

Como mencionado anteriormente, qualquer negócio online que receba, processe ou transmita dados de cartões e de seus titulares, precisam cumprir com os requisitos PCI DSS. A fim de obter a certificação de conformidade com o padrão, os lojistas online, bem como gateways e intermediadores de pagamento, devem demonstrar ter suficientes sistemas e processos para garantir a segurança da informação do cartão e do titular de maneira efetiva, independentemente do volume de negócio. No entanto, alguns provedores de pagamentos, como a PagBrasil, oferecem formas de integração que podem reduzir drasticamente o escopo do cumprimento PCI DSS.

Afinal, quais são os requisitos do PCI DSS?

Apesar de que cada requisito se desdobra em uma série de sub-requisitos, de modo geral se pode dizer que o Padrão de Segurança de Dados da Indústria de Pagamento com Cartão se compõe de doze requisitos agrupados em seis grandes objetivos: 

Objetivo Requisitos
Construir e manter uma rede segura através da qual conduzir as transações 1. Utilizar um firewall eficiente, mas que não provoque excessivos inconvenientes para os vendedores e titulares de cartões.

2. Não utilizar senhas e configurações padrão fornecidas pelos vendedores.

As informações dos titulares de cartão devem ser protegidas 3. Proteger a informação guardada do portador do cartão (data de nascimento, número de documento e telefone e endereço de e-mail)

4. Criptografar a transmissão de dados dos titulares quando realizada através de redes públicas.

Manter o sistema protegido de hackers 5. Utilizar antivírus, antispyware e antimalware e certificar-se que eles estejam sempre atualizados.

6. Desenvolver e manter sistemas e aplicações seguras.

Implementar fortes medidas de controle de acesso 7. Restringir acesso aos dados de cartões de crédito segundo o cargo de cada empregado da empresa.

8. Designar dados de login únicos e confidenciais para cada usuário da rede e sistema.

9. Restringir o acesso físico e eletrônico aos dados do cartão.

Monitorar e testar as redes frequentemente 10. Rastrear e monitorar todos os acessos à rede e aos dados de cartões de crédito.

11. Testar a segurança de sistemas e processos de forma regular.

Manter uma política de segurança formal 12. Definir uma política de segurança que seja seguida e mantida por todos os membros da organização.

Cumprir efetivamente com todos os requisitos PCI DSS faz com que o risco de vazamento de dados se reduza de forma significativa. Por isso, é muito importante que todos os agentes de e-commerce se esforcem para cumpri-los. Neste ponto, os lojistas devem sempre certificar-se que os prestadores de serviços de pagamento utilizados se adequem a estas normas.

Atualmente, o padrão está em sua versão 3.2, mas até 2018 a versão anterior ainda é válida. Além disso, o padrão possui diferentes níveis de segurança. A PagBrasil, por exemplo, é PCI DSS Level 1 versão 3.2, certificado pela Trustwave. Este é o padrão de segurança mais alto da indústria de pagamentos atualmente.

Por isso, fique atento e lembre-se de sempre verificar se o seu provedor de pagamentos está cumprindo com os requisitos. Igualmente, certifique-se de que você também está seguindo adequadamente as medidas de segurança para a sua loja online.

Deixe seu comentário

0 comentário

Comentários

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Comentando como Anônimo

O projeto E-Commerce Brasil é mantido pelas empresas:

Hospedado por: Dialhost Transmissão de Webinars: Leads Qualificados: Dialhost Recrutamento & Seleção: Dialhost Métricas & Analytics: MetricasBoss People Marketing: Dialhost

  Assine nossa Newsletter

Fique por dentro de todas as novidades, eventos, cursos, conteúdos exclusivos e muito mais.

Obrigado!

Você está inscrito em nossa Newsletter. Enviaremos, periodicamente, novidades e conteúdos relevantes para o seu negócio.

Não se preocupe, também detestamos spam.