Conformidade com o PCI DSS: O que é PCI DSS, requisitos e práticas recomendadas

A economia atual, impulsionada pela digitalização, registra dezenas de milhões de transações on-line com cartão de crédito e pagamentos com cartão de débito por dia. Somente a Visa processa 29 milhões de transações on-line por dia, com empresas como a Mastercard e a American Express registrando números semelhantes. Além dos sites de comércio eletrônico e de outros negócios on-line, o ecossistema de processamento de cartões também inclui centenas de milhões de transações em sistemas de ponto de venda em instalações físicas.

Independentemente de os dados de cartões de pagamento serem armazenados em dispositivos de ponto de venda, dispositivos móveis, computadores pessoais, servidores ou aplicativos da Web, eles correm o risco de serem roubados nos sistemas de armazenamento e quando transmitidos aos provedores de serviços. Em resposta à necessidade de proteger os dados do portador do cartão contra roubo ou perda, o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) define os requisitos técnicos e operacionais essenciais da linha de base para obter a proteção adequada dos dados. Aqui está um guia abrangente do PCI DSS para ajudar na conformidade.

O que é o PCI DSS e por que ele é importante para a segurança da informação?

• O PCI DSS é um padrão global de segurança de informações que se aplica a qualquer organização que aceite, transmita ou armazene dados de titulares de cartões. O padrão contém 12 requisitos de segurança importantes que devem ser seguidos.
• A versão mais recente publicada do padrão é a v4.0, que foi lançada em 31 de março de 2022. Entretanto, há um período de transição de dois anos que vai até 31 de março de 2024, no qual a versão v3.2.1 permanece ativa.
• O PCI SSC (Payment Card Industry Security Standards Council, Conselho de Padrões de Segurança do Setor de Cartões de Pagamento) publicou a primeira versão do padrão em 2004, unificando as abordagens e recomendações dos programas de segurança de cinco grandes marcas de cartões. Os cinco membros do PCI SSC são American Express, Discover, JCB, MasterCard e Visa.
• Os requisitos do PCI DSS se aplicam tanto a comerciantes quanto a provedores de serviços. Um comerciante, conforme definido pelo PCI Security Standards Council, é qualquer entidade que aceite pagamentos com cartão para mercadorias ou serviços, em que o cartão de crédito ou débito tenha o logotipo de qualquer um dos cinco membros do Conselho. Um provedor de serviços é qualquer entidade (que não seja uma das cinco marcas de pagamento membros do PCI SSC) que tenha envolvimento direto no processamento, armazenamento ou transmissão de dados do titular do cartão.
• A conformidade com o PCI DSS é obrigatória quando os comerciantes e prestadores de serviços firmam um contrato com uma das cinco bandeiras de cartão. Em outras palavras, assim que você começa a aceitar pagamentos por meio de qualquer uma dessas cinco bandeiras de pagamento, você está contratualmente obrigado a aderir aos requisitos do PCI DSS.
• O fato de não manter os padrões que o PCI DSS visa defender pode resultar em penalidades significativas. Essas penalidades por não conformidade geralmente estão escritas no contrato que você assina com um processador de pagamento ao aceitar pagamentos com cartão.

Para entender por que o PCI DSS é tão importante, é preciso levar em conta a sensibilidade das informações dos cartões de crédito e débito. O número da conta principal (o número longo gravado na frente dos cartões de pagamento), a data de validade, o nome do titular do cartão e o código de segurança exigem proteção contra acesso não autorizado.

Os criminosos cibernéticos valorizam esses dados do titular do cartão e buscam incansavelmente explorar vulnerabilidades nas defesas de TI das empresas para acessá-los e exfiltrá-los. Uma próspera economia clandestina do crime cibernético vê milhões de detalhes de cartões de crédito roubados à venda na dark web. Geralmente, os dados roubados de cartões de crédito à venda são provenientes de violações de dados anteriores que exploraram controles de segurança frouxos.

Quando uma parte não autorizada obtém acesso aos detalhes do cartão de alguém, ela pode fazer compras fraudulentas ou até mesmo limpar a conta bancária da vítima. Os requisitos do PCI DSS estabelecem defesas e processos mínimos de segurança cibernética para reduzir a probabilidade de violações de segurança que resultem no roubo de dados de cartões de pessoas.

Embora estar em conformidade com o PCI DSS não garanta que você não será violado por hackers, pelo menos atinge os padrões básicos de segurança.

4 níveis de conformidade com a PCI

Os caminhos para validar a conformidade com os padrões da PCI dependem principalmente do volume de transações com cartão que um comerciante processa a cada ano. Há quatro níveis de comerciante no total (e há dois níveis separados com requisitos distintos para provedores de serviços).

O outro fator que determina o seu nível de conformidade é se a sua empresa foi atingida anteriormente por uma violação de dados ou outro ataque cibernético que comprometeu os dados do titular do cartão; se esse fator não estiver em jogo, o nível se resume ao volume de transações.

Os membros da marca de cartão de pagamento do PCI SSC usam o volume de transações como um indicador de risco. Em outras palavras, quanto mais transações um comerciante processa, maiores são os riscos percebidos e mais rigoroso é o caminho para validar a conformidade.

Vale a pena observar que todas as empresas de cartões têm seus próprios programas de conformidade e níveis de comerciante correspondentes. Essa distinção pode causar confusão. Entretanto, o que simplifica as coisas é o fato de que a Visa, a MasterCard e a Discover usam os mesmos critérios para todos os níveis de conformidade. Além disso, embora a American Express tenha critérios diferentes e a JCB tenha apenas três níveis, a regra geral é que, se você estiver em um determinado nível de comerciante para uma marca de cartão, o mesmo nível de conformidade se aplica a todas as cinco marcas.

Começando pelo nível mais baixo definido pelas administradoras de cartões e indo para cima, aqui estão os quatro níveis de conformidade com a PCI:

Nível 4
Esse é o seu nível de conformidade se a sua empresa processar menos de 20.000 transações de comércio eletrônico com cartões Visa ou Mastercard por ano ou um total de até 1 milhão de transações anuais com cartões de crédito Visa ou Mastercard em todos os canais. Você deve:

• Preencher um questionário de autoavaliação (SAQ) todos os anos
• Fazer uma varredura trimestral da rede por um fornecedor de varredura aprovado (ASV).
• Preencher um formulário de atestado de conformidade (AoC)

Nível 3
O Nível 3 se aplica se a sua empresa processar entre 20.000 e um milhão de transações anuais de comércio eletrônico com Visa, Mastercard ou Maestro. Para validar a conformidade, aplicam-se os mesmos procedimentos do Nível 4.

Nível 2
A conformidade com o Nível 2 entra em vigor para empresas que processam de um a seis milhões de transações com Visa, MasterCard ou Discover, de 50.000 a dois milhões e meio de transações com American Express ou menos de um milhão de transações com JCB. Os procedimentos de validação são:

• Concluir um SAQ anual
• Realizar uma varredura de rede trimestral usando um ASV
• Preencher um formulário AOC

Nível 1
O Nível 1 se aplica se você processar mais de 6 milhões de transações com cartões Visa, Mastercard e Discover por ano, 2,5 milhões de transações com American Express ou 1 milhão de transações com JCB. Você também deve atingir o Nível 1 de conformidade se já tiver sofrido uma violação em que os dados do titular do cartão tenham sido comprometidos. A validação da conformidade com o Nível 1 envolve:

• Envio de um Relatório Anual de Conformidade (ROC) por um Avaliador de Segurança Qualificado (QSA) ou Avaliador de Segurança Interno
• Varreduras de rede ASV trimestrais

Como o PCI DSS protege os dados do titular do cartão?

O PCI DSS protege os dados do titular do cartão:

• Proibindo o armazenamento de dados de autenticação confidenciais (SAD) após a autorização, incluindo dados da tarja magnética do cartão, códigos de validação do cartão (CAV2/CVC2/CVV2/CID) e códigos PIN.
• Exigindo que qualquer SAD armazenado eletronicamente (antes da autorização) seja protegido com criptografia baseada em criptografia forte.
  Exigindo que a identificação exclusiva (PAN) de qualquer cartão seja tornada ilegível em qualquer lugar onde seja armazenada (por exemplo, dispositivos de backup, mídia removível, servidores). Da mesma forma, outros dados da conta, incluindo o nome do titular do cartão, datas de validade e códigos de serviço, também devem ser ilegíveis se armazenados junto com o PAN.
• Permitindo o armazenamento de dados do titular do cartão somente quando houver uma necessidade comercial legítima.

12 requisitos de conformidade com o PCI DSS

Abaixo está uma visão geral dos 12 requisitos do PCI DSS, atualizados para incluir quaisquer alterações na versão 4.0. Esses 12 requisitos de conformidade se encaixam perfeitamente em seis categorias diferentes.

Criar e manter uma rede e sistemas seguros

Requisito 1: Instale e mantenha controles de segurança de rede – isso pode incluir firewalls, controles de acesso à nuvem, ferramentas de rede definidas por software e qualquer outro sistema que examine o tráfego de rede.

Requisito 2: Aplique configurações seguras a todos os componentes do sistema – evite usar senhas padrão fornecidas pelo fornecedor, remova contas desnecessárias e desative serviços desnecessários.

Proteger os dados da conta

Requisito 3: Proteja os dados armazenados da conta – implemente salvaguardas para proteger os dados do titular do cartão e os dados de autenticação confidenciais enquanto estiverem armazenados.
Requisito 4: Salvaguarde os dados do titular do cartão com criptografia forte durante a transmissão em redes públicas e abertas – quando os dados do PAN forem transmitidos por uma rede pública, como a Internet ou tecnologias sem fio (Wi-Fi), criptografe-os antes da transmissão, criptografe a sessão ou, para obter o máximo de proteção, faça as duas coisas.

Manter um programa de gerenciamento de vulnerabilidades

Requisito 5: Proteja todos os sistemas e redes contra software mal-intencionado – isso requer a implementação de uma série de controles que protejam contra todos os tipos de malware. Portanto, se o seu software antivírus não protege contra outras formas de malware, como cavalos de Troia, rootkits e ransomware, procure ferramentas antimalware que ofereçam cobertura abrangente.

Requisito 6: Desenvolva e mantenha sistemas e softwares seguros – ferramentas e aplicativos que são usados em seu ecossistema de TI, execute varreduras de vulnerabilidade, realize revisões de código, aplique patches de segurança e siga as práticas recomendadas de desenvolvimento seguro de software.

Implementar medidas rigorosas de controle de acesso

Requisito 7: Restrinja o acesso aos componentes do sistema e aos dados do titular do cartão de acordo com a necessidade de conhecimento da empresa – para contas interativas associadas a um usuário específico e acessadas por funcionários, aplicativos e contas do sistema, certifique-se de atribuir acesso com privilégios mínimos e revise periodicamente as contas para verificar se há acesso desnecessário.

Requisito 8: Identifique os usuários e autentique o acesso aos componentes do sistema – implemente processos e sistemas que lhe permitam identificar os usuários e o que eles estão fazendo. A autenticação eficaz garante que você possa verificar se os usuários são quem dizem ser.

Requisito 9: Limite o acesso físico aos dados do portador do cartão – implemente barreiras físicas e controles, como fechaduras e crachás de segurança, que restrinjam o acesso não autorizado aos sistemas no ambiente de dados do portador do cartão.

Monitorar e testar regularmente as redes

Requisito 10: Registre e monitore todo o acesso aos componentes do sistema e aos dados do titular do cartão – a capacidade de registrar e rastrear atividades ajuda a identificar proativamente padrões suspeitos, além de facilitar as investigações pós-incidente.

Requisito 11: Teste a segurança de sistemas e redes regularmente – isso significa executar periodicamente varreduras de rede sem fio, varreduras de vulnerabilidade em aplicativos de pagamento e outros aplicativos, testes de penetração e muito mais para reforçar a segurança.

Manter uma política de segurança da informação

Requisito 12: Apoie a segurança das informações com políticas e programas organizacionais – apoie a proteção dos dados com políticas e programas, incluindo planos de resposta a incidentes, estabelecendo uma função designada que assuma as responsabilidades de segurança das informações, executando programas de conscientização de segurança e realizando análises de risco direcionadas.

Plano de resposta a incidentes do PCI DSS

Cada um dos 12 requisitos do PCI DSS tem vários sub-requisitos associados a eles. Para o 12º requisito, um elemento essencial de uma política de segurança da informação é a implementação de um plano de resposta a incidentes. Em outras palavras, a política não se refere apenas à prevenção de violações de segurança, mas também exige a implementação de processos para limitar os danos causados por invasões.

Algumas dicas para o plano são:

• Estabeleça uma equipe de resposta a incidentes com funções e responsabilidades designadas
• Certifique-se de que cada parte envolvida na resposta a incidentes veja o plano e entenda suas responsabilidades
• Adquira ferramentas e estabeleça processos para limitar a exposição de dados e minimizar a perda de dados, preservando as evidências para investigações forenses posteriores.
• Teste o plano com frequência (de preferência, pelo menos uma vez por ano) para garantir que ele funcione sem problemas

Multas e penalidades

Como o PCI DSS é aplicado por meio de contratos, o mesmo se aplica às penalidades por não conformidade. Em geral, os contratos são firmados entre os comerciantes, as empresas que processam as transações com cartões de pagamento e as bandeiras de pagamento. Em caso de não conformidade, a bandeira do cartão multa o processador de pagamento, e isso é repassado ao comerciante.

As multas variam de US$ 5.000 a US$ 100.000 por mês de não conformidade.

Há outras possíveis penalidades a pagar por ter que reemitir cartões de pagamento ou a pagar por cada cliente afetado por uma violação.

Violações repetidas de conformidade podem fazer com que sua empresa não possa mais aceitar pagamentos com cartão de uma ou de todas as cinco bandeiras de cartões de pagamento.

Como o Endpoint Protector ajuda você a ficar em conformidade com o PCI DSS

O Endpoint Protector é uma solução de prevenção contra perda de dados (DLP) que oferece suporte a vários sistemas operacionais em sistemas macOS, Windows e Linux. O Endpoint Protector ajuda você a se tornar compatível com o PCI DSS ao:

• Descobrir, monitorar e controlar a movimentação dos dados do titular do cartão em seu ambiente.
• Monitorar o uso de dados por diferentes usuários para ajudar a atender aos requisitos de monitoramento e registro do PCI DSS.
• Bloqueio de transferências não autorizadas para impedir o roubo ou a perda de dados do titular do cartão.
• Criptografia automática de dados transferidos para mídia removível, como dispositivos de armazenamento USB.