Tudo o que você precisa saber sobre conformidade com PCI DSS

Tudo o que você precisa saber sobre conformidade com PCI DSS

O padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) é um conjunto de requisitos de segurança que ajuda as organizações a proteger seus sistemas de pagamento contra violações, fraude e roubo de dados do titular do cartão. Isso resultou na necessidade de padronizar e alinhar os requisitos de segurança das maiores marcas de cartão do mundo: American Express, Discover, JCB, MasterCard e Visa. Juntas, as cinco empresas criaram o Conselho de padrões de segurança da indústria de cartões de pagamento (PCI SSC) com a tarefa de supervisionar a evolução e o desenvolvimento do PCI DSS.

Embora não seja legalmente vinculativo, o PCI Data Security Standard foi adotado como um padrão geral por instituições financeiras em todo o mundo, o que significa que a conformidade é necessária para qualquer organização que deseje aceitar pagamentos com cartão de crédito ou débito, seja pessoalmente, por telefone ou online.

A versão mais recente do PCI DSS, emitida em maio de 2018, é composta por doze requisitos básicos de conformidade e cerca de 250 controles de segurança associados. Eles incluem medidas básicas de segurança, como o uso de firewalls, software antivírus e alteração de senhas padrão e outras mais complexas que envolvem o desenvolvimento e manutenção de redes, sistemas e aplicativos seguros.

A quem se aplica o PCI DSS?

O PCI DSS se aplica a todas as entidades envolvidas no processamento de pagamentos com cartão, incluindo comerciantes, processadores, adquirentes, emissores e provedores de serviços. Organizações que armazenam, processam ou transmitem informações de cartão e / ou dados de autenticação confidenciais também se enquadram nessa incidência.

As organizações que terceirizam suas operações para processadores de pagamento terceirizados são responsáveis por garantir que os dados do cartão de crédito continuem protegidos e que os terceiros estejam em conformidade com o PCI DSS.

Que tipo de dados o PCI DSS protege?

O PCI DSS protege duas categorias de dados: informações do titular do cartão e dados de autenticação confidenciais. Os dados do titular do cartão referem-se a informações como números de contas primárias, nome do titular do cartão, data de validade do cartão e código de serviço. Os dados de autenticação confidenciais, por sua vez, incluem dados de rastreamento completo (dados de tarja magnética ou equivalente em um chip), PINs e blocos de PIN e valores de verificação de cartão (CAV2 / CVC2 / CVV2 / CID).

Armazenamento de dados do titular do cartão

De acordo com o requisito 3.2 do PCI DSS, quaisquer dados que se enquadrem na categoria de dados de autenticação confidenciais não podem ser armazenados, mesmo se criptografados. Todos os dados de autenticação confidenciais recebidos devem se tornar irrecuperáveis assim que o processo de autorização for concluído.

Os números das contas primárias podem ser armazenados, mas devem ser tornados ilegíveis em qualquer lugar, inclusive em mídia digital portátil, em arquivos de backup e logs. O PCI Security Standards Council recomenda criptografia baseada em chave, tokens de índice e pads, hashes unilaterais e truncamento para alcançar a ilegibilidade.

No entanto, o Conselho avisa que, uma vez que uma versão com hash e truncada do mesmo número de conta pode ser usada para reconstruir o número original, se um comerciante usar ambos, medidas de segurança adicionais devem ser implementadas para evitar que estranhos mal-intencionados correlacionem os números.

Enquanto isso, os nomes do titular do cartão, as datas de validade e os códigos de serviço podem ser armazenados e não precisam ficar ilegíveis.

Doze requisitos principais do PCI DSS

O PCI DSS fornece uma linha de base de requisitos técnicos e operacionais projetados para proteger os dados da conta. Eles são divididos em doze requisitos que, juntos, abrangem cerca de 250 controles de segurança:

  1.  Instale e mantenha uma configuração de firewall para proteger os dados do titular do cartão
  2. Não use padrões fornecidos pelo fornecedor para senhas do sistema e outros parâmetros de segurança
  3. Proteja os dados armazenados do titular do cartão
  4. Criptografe a transmissão dos dados do titular do cartão em redes públicas abertas
  5. Proteja todos os sistemas contra malware e atualize regularmente o software ou programas antivírus
  6. Desenvolver e manter sistemas e aplicativos seguros
  7. Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de saber
  8. Identifique e autentique o acesso aos componentes do sistema
  9. Restringir o acesso físico aos dados do titular do cartão
  10. Rastreie e monitore todo o acesso a recursos de rede e dados do titular do cartão
  11. Testar sistemas e processos de segurança regularmente
  12. Manter uma política que trate da segurança da informação para todo o pessoal

O PCI DSS oferece não apenas uma descrição detalhada de cada requisito e por que ele é necessário, mas também como ele pode ser testado e oferece orientação sobre como a conformidade com ele pode ser alcançada. Além de firewalls e software antivírus, as organizações que procuram evitar a não conformidade também podem aplicar fortes medidas de controle de acesso e políticas de segurança da informação para limitar o acesso às informações do cartão. Soluções como o software Data Loss Prevention (DLP) também podem dar suporte aos esforços de proteção de dados monitorando e controlando a transferência dos dados do titular do cartão, como números de cartão, nomes e datas de vencimento.

Níveis de conformidade PCI DSS

O PCI DSS estabeleceu quatro níveis de conformidade para as organizações. O nível depende de quantas transações de cartão por ano uma empresa processa. Para se enquadrar no nível mais estrito de conformidade do PCI DSS, Nível 1, os comerciantes precisam processar mais de 6 milhões de transações de cartão anualmente.

As organizações de nível 1 precisam fornecer um relatório anual de conformidade (RoC) que envolve uma auditoria realizada por um avaliador de segurança qualificado (QSA) ou avaliador de segurança interna (ISA) certificado pelo PCI Security Standards Council. O auditor submete a RoC às instituições adquirentes da organização para demonstrar sua conformidade. Eles também devem passar por uma varredura de rede anual por um fornecedor de varredura aprovado (ASV).

Para os níveis 2 a 4, os comerciantes podem preencher um Questionário de Autoavaliação (SAQ), que tem várias versões para acomodar diferentes tipos de negócios e métodos de processamento. Os requisitos para esses níveis, entretanto, podem diferir dependendo do esquema do cartão: MasterCard, por exemplo, requer que as organizações de Nível 2 concluam seu SAQ com a ajuda de um QSA ou ISA treinado.

Penalidades

As organizações que não cumprem os requisitos do PCI DSS enfrentam multas de até US $ 100.000 / mês e aumento nas taxas de transação. Pior ainda, eles podem ter seu relacionamento com seu banco encerrado permanentemente e podem acabar na lista Alerta do comerciante para controlar alto risco (MATCH), o que significa que eles nunca teriam permissão para processar pagamentos com cartão novamente. Os comerciantes que sofrem uma violação de dados também podem ser penalizados tendo seu nível de conformidade com o PCI DSS aumentado.

SOLICITE UMA DEMO
check mark

Seu pedido de Endpoint Protector foi enviado!
Um de nossos representantes entrará em contato com você em breve para agendar uma demonstração.

* Nós não compartilhamos suas informações pessoais com ninguém. Confira nossa Política de Privacidade Para mais informações.