Todos os negócios que aceitem pagamento feitos com cartão de crédito ou débito já ouviram falar sobre o PCI DSS, mesmo que não consigam compreender totalmente o que ele é e quais são as implicações de cumprir seus requerimentos.
Independentemente de que você seja uma grande empresa que processa milhares de transações ao dia ou um pequeno site de e-commerce, cumprir com os requisitos do PCI DSS torna-se obrigatório para poder aceitar o pagamento com cartão.
O que é o PCI DSS?
As iniciais PCI DSS vêm do inglês “Payment Card Industry Data Security Standard”, ou seja, é o Padrão de Segurança de Dados da Indústria de Pagamento com Cartão.
O PCI DSS é composto por um conjunto de requerimentos e procedimentos de segurança cujo objetivo é proteger as informações pessoais dos titulares de cartão e, portanto, reduzir o risco de roubo de dados de cartão ou fraude. O padrão foi criado no ano de 2004 pela iniciativa conjunta das bandeiras de cartão Visa, MasterCard, American Express, Discover e JCB. As bandeiras também são as fundadoras do Payment Card Industry Security Standards Council (Conselho dos Padrões de Segurança da Indústria de Pagamento com Cartão), descrito por eles mesmo como um “órgão mundial aberto e formado para desenvolver, melhorar, divulgar e ajudar na compreensão dos padrões de segurança para as contas de pagamento”.
O Conselho mantém, desenvolve e promove o PCI DSS e ajuda na implementação do padrão através de avaliações e qualificações ou, também, autoavaliações de conformidade. No entanto, o banco emissor ou a adquirente dos cartões são os responsáveis de cumprir as regras estabelecidas e punir qualquer violação de dados. Assim, cabe mencionar que o PCI DSS é aplicado a qualquer negócio que processe ou transmita dados dos portadores de cartões.
Para obter um certificado de conformidade com o PCI, todos os comerciantes devem demonstrar ter suficientes sistemas e processos que garantam a segurança da informação do cartão de maneira efetiva, independentemente do volume de negócio.
Quais são os requisitos do PCI DSS?
O Padrão de Segurança de Dados da Indústria de Pagamento com Cartão está composto de doze requisitos agrupados em seis grandes objetivos:
Tabela de requisitos do PCI DSS
| Goal | Requirements |
| Construir e manter uma rede segura através da qual conduzir as transações. |
1. Utilizar um firewall suficientemente forte para ser efetivo, mas sem provocar excessivos inconvenientes para os vendedores e titulares de cartões. 2. Não utilizar senhas e configurações padrão fornecidas pelos vendedores.
|
| As informações dos titulares de cartão devem ser protegidas. |
3. Proteger a informação guardada do titular do cartão (data de nascimento, número de documento e telefone e endereço de e-mail). 4. Usar criptografia na transmissão de dados dos titulares quando realizada através de redes públicas.
|
| Manter o sistema protegido de hackers. |
5. Utilizar software de proteção antivírus, antispyware e malware e que eles estejam frequentemente atualizados. 6. Desenvolver e manter sistemas e aplicações seguras.
|
| Implementar fortes medidas de controle de acesso. |
7. Restringir acesso aos dados de cartões de crédito segundo o cargo de cada empregado da empresa. 8. Designar dados de login únicos e confidenciais para cada usuário da rede e sistema. 9. Restringir o acesso físico e eletrônico aos dados do cartão.
|
| Monitorar e testar as redes frequentemente. |
10. Rastrear e monitorar todos os acessos à rede e dados de cartões de crédito. 11. Testar a segurança de sistemas e processos regularmente.
|
| Manter uma política de segurança formal. |
12. Definir uma política de segurança que seja seguida e mantida por todos.
|
Quando todos esses preceitos são seguidos corretamente, o PCI DSS reduz significativamente o risco de vazamento de dados. É essencial que todos os negócios de e-commerce que procuram um gateway ou processador de pagamento comprovem que o mesmo se adequa às normas do PCI DSS.
