À medida que os sistemas de pagamento digital se tornam mais populares, também aumentam as ameaças contra eles. Se a sua organização aceita, processa, armazena ou transmite dados de cartão de crédito de qualquer forma, você deve seguir um conjunto de padrões de segurança conhecido como Payment Card Industry (PCI) compliance.
Neste guia abrangente, discutimos o que significa a conformidade com a PCI, por que ela é importante (especialmente para MSPs com clientes no setor financeiro), como se tornar compatível e o que acontece se você não seguir as regras.
O que este artigo abordará:
- O que é conformidade com a PCI?
- PCI DSS v.4.0: O que há de novo e qual versão você deve seguir?
- Quem deve seguir a conformidade com a PCI?
- Por que a conformidade com a PCI é importante?
- Os 7 princípios fundamentais do PCI DSS
- O que é a certificação de conformidade com a PCI?
- Como se tornar compatível com a PCI?
- Requisitos de conformidade com a PCI
- Lista de verificação de conformidade com a PCI
- O que acontece se você não estiver em conformidade com o PCI DSS?
- Benefícios da conformidade com a PCI
- Desafios da conformidade com a PCI
- Perguntas frequentes (FAQs)
O que é conformidade com a PCI?
A conformidade com a PCI refere-se à adesão ao Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), um conjunto de padrões de segurança criado para proteger informações confidenciais de cartões de pagamento durante as transações. Esses padrões foram estabelecidos pelo Payment Card Industry Security Standards Council (PCI SSC), fundado pelas principais empresas de cartão de crédito, como Visa, MasterCard, American Express, Discover e JCB International, para garantir o manuseio seguro dos dados do titular do cartão.
Criado em 2006, o PCI DSS, ou simplesmente PCI, ajuda a manter a segurança da conta durante todo o processo de transação, aumenta o controle sobre os dados do titular do cartão para reduzir fraudes com cartões de crédito e melhorar a o gerenciamento da conformidade.
PCI DSS v.4.0: O que há de novo e qual versão você deve seguir?
O PCI DSS 4.0, lançado em março de 2022, é a versão mais recente do padrão. Ele representa uma evolução significativa em relação ao PCI DSS 3.2.1, pois introduz uma abordagem mais flexível e personalizada para atender e manter a conformidade. Dessa forma, ele enfatiza mais a segurança contínua e aborda melhor as ameaças modernas.
Você pode ver todas as alterações naBiblioteca de Documentos PCI oficial do site , mas algumas das principais alterações incluem:
- Validação personalizada: As organizações podem implementar controles alternativos para atender aos objetivos de segurança, desde que possam justificar sua eficácia.
- Requisitos de autenticação ampliados: Requisitos mais rigorosos para autenticação multifatorial (MFA) em pontos de acesso administrativos e remotos.
- Criptografia e gerenciamento de chaves aprimorados: Controles mais rígidos sobre como os dados confidenciais são criptografados, armazenados e transmitidos.
- Frequência de testes aprimorada: Incentiva a realização de testes mais frequentes e a validação da segurança em tempo real.
⚠️ O PCI DSS 3.2.1 foi oficialmente retirado em março de 2024. As organizações devem estar em conformidade com o 4.0 agora.
Quem deve seguir a conformidade com a PCI?
A conformidade com a PCI é frequentemente associada a marcas de varejo ou empresas de comércio eletrônico, mas seu escopo é muito mais amplo.
A conformidade com a PCI afeta:
- Comerciantes: Isso inclui qualquer empresa ou organização que aceite pagamentos com cartão, seja on-line, na loja, por telefone ou por meio de aplicativos móveis. Mesmo os pequenos comerciantes com baixo volume de transações devem cumprir os requisitos do PCI DSS para garantir a segurança dos dados do titular do cartão do cliente.
- Prestadores de serviços: As empresas que armazenam, processam ou transmitem dados do titular do cartão em nome de terceiros, como processadores de pagamento, data centers ou provedores de hospedagem, são consideradas prestadoras de serviços e devem seguir os padrões da PCI.
- Provedores de serviços gerenciados (MSPs): Os MSPs que gerenciam a infraestrutura de TI de clientes que lidam com dados de titulares de cartões também estão sujeitos aos requisitos do PCI DSS. Mesmo que não processem diretamente os pagamentos com cartão, geralmente têm acesso a sistemas e redes que o fazem, o que torna a conformidade fundamental.
- Profissionais de TI: Qualquer pessoa encarregada de configurar ou gerenciar redes, endpoints ou servidores em um ambiente de pagamento deve garantir que seus sistemas atendam aos requisitos da PCI, desdefirewalls até protocolos de criptografia.
- Fornecedores e desenvolvedores de software: Se você desenvolve sistemas de ponto de venda (POS), plataformas de comércio eletrônico ou aplicativos relacionados a pagamentos, deve garantir que seu software atenda aos requisitos do PCI DSS. Uma vulnerabilidade em seu software pode expor milhares de empresas a riscos.
- Processadores de pagamento de terceiros: Embora muitas empresas terceirizem o processamento de pagamentos para serviços de terceiros, como Stripe, Square ou PayPal, esses próprios provedores devem manter a conformidade com a PCI. Além disso, os comerciantes que usam esses serviços ainda mantêm a responsabilidade compartilhada pela proteção de dados.
⚠️ Vale a pena observar que o PCI DSS é um padrão de segurança internacional. Isso significa que ela não se limita a nenhum país ou região específica e é aplicada em todo o mundo.
Por que a conformidade com a PCI é importante?
Muito tem sido dito sobre o fatode os dados serem a nova moeda nesta era digital. Mas e quanto aos dados namoeda ? A importância da conformidade com a PCI vai muito além das caixas de seleção regulamentares. Ele ajuda as organizações:
- Proteja dados de pagamento confidenciais contra violações e roubos.
- Conquistar a confiança de clientes, consumidores e parceiros, demonstrando compromisso com a proteção de dados.
- Evite multas e penalidades que podem ser financeiramente devastadoras.
- Evite consequências legais e danos à reputação decorrentes deviolações de dados do .
- Melhore a postura de segurança alinhando-se às práticas recomendadas amplamente aceitas.
Com o aumento exponencial das transações digitais, é fundamental garantir a segurança dos dados confidenciais do titular do cartão. A adesão à conformidade com a PCI evita violações de dados, reduz o risco de perdas financeiras e reforça a confiança do cliente. Os clientes estão mais propensos a fazer negócios com organizações que priorizam a segurança dos dados.
Além disso, a conformidade com o PCI DSS é obrigatória para qualquer organização que lide com dados do titular do cartão. Um dos padrões do PCI é o PA-DSS, que garante que os fornecedores que desenvolvem aplicativos de pagamento para terceiros não armazenem informações confidenciais de cartão de crédito. O não cumprimento pode resultar em multas e penalidades pesadas e na possível perda da capacidade de processar pagamentos com cartão. Portanto, a conformidade com a PCI é fundamental para manter a reputação, a estabilidade financeira e o relacionamento com os clientes de uma organização.
Os 7 princípios fundamentais do PCI DSS
O PCI DSS foi criado com base em um conjunto de princípios fundamentais que apoiam o desenvolvimento de um ambiente seguro para os dados do titular do cartão. Listamos sete deles.
1. Criar e manter uma rede segura
Roteadores econfigurações de firewall formam a primeira linha de defesa contra criminosos cibernéticos. Esse princípio enfatiza a prevenção do acesso não autorizado aos ambientes de dados do titular do cartão, protegendo os pontos de entrada e a infraestrutura da rede.
2. Proteger os dados do titular do cartão
Os dados do titular do cartão devem ser criptografados em trânsito e em repouso. A proteção desses dados garante que, mesmo que sejam interceptados ou acessados por pessoas não autorizadas, eles não poderão ser usados de forma maliciosa.
3. Manter um programa de gerenciamento de vulnerabilidades
Atualizações regulares de software antivírus, sistemas operacionais e aplicativos ajudam na defesa contra ameaças conhecidas. Uma abordagem estruturada para ogerenciamento de vulnerabilidades minimiza o risco de exploração devido a sistemas desatualizados ou sem patches. Você também pode considerar uma ferramenta de gerenciamento e atenuação de vulnerabilidades, como o NinjaOne , para ajudá-lo a identificar e resolver rapidamente os problemas de aplicação de patches nos endpoints.
4. Implemente medidas rigorosas de controle de acesso
Somente o pessoal autorizado deve ter acesso aos dados do titular do cartão. Os controles de acesso devem ser baseados noprincípio do menor privilégio, com mecanismos como permissões baseadas em funções para limitar o acesso.
5. Monitorar e testar regularmente as redes
As redes de monitoramento e teste contínuos ajudam a identificar possíveis violações antecipadamente. Registros, varreduras de vulnerabilidade e testes de penetração fornecem visibilidade e ajudam as organizações a verificar se os controles de segurança estão funcionando conforme o esperado. Recomendamos a leitura deste guia, “Teste de penetração vs. varredura de vulnerabilidade” como um recurso adicional.
6. Manter uma política de segurança da informação
Uma política documentada em toda a organização dá o tom para umacultura de segurança . Esse princípio exige que as organizações formalizem e comuniquem suas práticas, funções, responsabilidades e expectativas de segurança.
7. Promover a conscientização e a responsabilidade pela segurança
A segurança não é apenas uma questão técnica – ela exige vigilância constante. O treinamento da equipe, a atribuição de responsabilidades e o estabelecimento de uma cadeia de prestação de contas garantem que a conformidade com a PCI seja uma responsabilidade compartilhada por toda a organização. Recomendamos consultar este guia, “Como criar uma estratégia moderna de segurança cibernética para departamentos de TI“, para obter mais informações.
O que é a certificação de conformidade com a PCI?
A certificação de conformidade com a PCI é uma validação fornecida por um auditor externo de que sua empresa está em conformidade com o padrão PCI DSS. O processo de certificação envolve uma avaliação da rede e dos sistemas, das políticas, dos procedimentos e de outras áreas relevantes de sua empresa. Após a conclusão dessa avaliação, sua empresa recebe um certificado de conformidade.
Requisitos de conformidade com a PCI
O PCI DSS inclui 12 requisitos para o gerenciamento de informações de cartões de pagamento de clientes que podem ser organizados em seis objetivos de controle:
1) Criar e manter uma rede e sistemas seguros:
1.1. Instale e mantenha uma configuração de firewall para proteger os dados do titular do cartão.
1.2. Não use os padrões fornecidos pelo fornecedor para senhas de sistema e outros parâmetros de segurança.
2) Proteger os dados do titular do cartão:
2.1. Proteja os dados armazenados do titular do cartão.
2.2. Criptografar a transmissão de dados do titular do cartão em redes abertas e públicas.
3) Manter um Gerenciamento de vulnerabilidades De vulnerabilidades:
3.1. Proteja todos os sistemas contra malware e atualize regularmente o software ou os programas antivírus.
3.2. Desenvolver e manter sistemas e aplicativos seguros.
4) Implemente medidas rigorosas de controle de acesso:
4.1. Restrinja o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento da empresa.
4.2. Identificar e autenticar o acesso aos componentes do sistema.
4.3. Restringir o acesso físico aos dados do titular do cartão.
5) Monitore e teste regularmente as redes:
5.1. Rastrear e monitorar todo o acesso aos recursos da rede e aos dados do titular do cartão.
5.2. Teste regularmente os sistemas e processos de segurança.
6) Mantenha uma política de segurança da informação:
6.1. Manter uma política que trate da segurança das informações para todos os funcionários.
Lista de verificação de conformidade com a PCI
Criamos uma lista de verificação para ajudá-lo a obter conformidade com a PCI. Nós o organizamos em frases-chave, abrangendo todos os requisitos técnicos, administrativos e processuais. Embora não seja exaustivo, ele deve servir como um ótimo ponto de partida para o seu MSP.
- Definição do escopo e descoberta
- Identificar onde os dados do titular do cartão são recebidos, processados, armazenados e transmitidos
- Documentar todos os sistemas, dispositivos e pessoal envolvidos no manuseio dos dados do titular do cartão
- Determinar os requisitos de conformidade
- Identifique seu nível de comerciante do PCI DSS com base no volume de transações
- Determinar qual Questionário de Autoavaliação (SAQ) se aplica à sua organização
- Envolver um Avaliador de Segurança Qualificado (QSA), se necessário
- Agendar varreduras de vulnerabilidade com um fornecedor de varredura aprovado (ASV), se aplicável
- Implementar controles de segurança
- Instalar e manter firewalls para proteger os dados do titular do cartão
- Criptografar os dados do titular do cartão durante a transmissão em redes abertas ou públicas
- Armazene os dados do titular do cartão de forma segura e limite a duração do armazenamento
- Implantar e manter soluçõesantimalware e antivírus
- Manter todos os sistemas e aplicativos atualizados com patches
- Restringir o acesso aos dados do titular do cartão com base na “necessidade de conhecimento”
- Monitoramento e testes
- Rastreie e registre todo o acesso aos recursos da rede e aos dados do titular do cartão
- Monitore os registros diariamente para detectar anomalias ou acesso não autorizado
- Realizar testes de penetração e varreduras de vulnerabilidade regularmente
- Testar os sistemas e processos de segurança pelo menos trimestralmente
- Política e treinamento
- Criar uma política formal de segurança da informação e revisá-la anualmente
- Treinar funcionários e prestadores de serviços sobre as responsabilidades do PCI DSS e a conscientização sobre segurança
- Mantenha procedimentos documentados para aresposta a incidentes do . Criamos umalista de verificação de planejamento de resposta a ransomwarepara MSPs se você quiser uma discussão mais aprofundada.
- Designar pessoal para supervisionar as responsabilidades de conformidade
- Validação e relatórios
- Preencher e enviar o Questionário de Autoavaliação (SAQ) aplicável
- Manter a documentação de conformidade e os resultados da varredura para fins de auditoria
- Programar revisões e reavaliações anuais para manter a conformidade
O que acontece se você não estiver em conformidade com o PCI DSS?
A não conformidade com a PCI pode levar a:
- Multas e penalidades: As organizações que não estiverem em conformidade poderão enfrentar multas pesadas que podem chegar a centenas de milhões de dólares, dependendo do tamanho, do número de clientes afetados e da duração e do grau de não conformidade.
- Aumento das taxas de transação: Os processadores de pagamento podem impor taxas de transação mais altas às empresas que não estiverem em conformidade com o PCI. Essas taxas são uma forma de os bancos compensarem o risco maior de lidar com comerciantes que não estão em conformidade.
- Danos à reputação: Uma violação de segurança divulgada pode prejudicar gravemente a reputação de sua marca e minar a confiança do cliente. É mais provável que os clientes abandonem as empresas que não protegem suas informações pessoais e financeiras.
Benefícios da conformidade com a PCI
Segurança aprimorada
A conformidade com a PCI oferece segurança aprimorada ao definir padrões rigorosos que ajudam as empresas a proteger os dados de seus clientes. Ele garante que as empresas tenham as proteções necessárias para evitar violações de dados, mantendo a confidencialidade e a integridade das informações confidenciais.
Confiança do cliente
Uma empresa em conformidade com a PCI mostra aos clientes que seus dados são levados a sério e tratados com segurança. Isso gera confiança, vital para a retenção e a fidelidade do cliente, e pode levar ao aumento dos negócios ao longo do tempo.
Evitar penalidades
A não conformidade com os padrões PCI pode resultar em multas e penalidades substanciais por parte dos provedores de cartões de pagamento. Por estarem em conformidade com o PCI, as empresas podem evitar essas armadilhas financeiras, garantindo operações ininterruptas e estabilidade financeira.
Vantagem competitiva
Em um mercado competitivo, estar em conformidade com a PCI pode proporcionar uma vantagem significativa. Os clientes que estão cientes da segurança dos dados preferem fazer negócios com uma empresa que esteja em conformidade com a PCI, o que pode atrair mais clientes e aumentar a participação no mercado.
Conformidade regulatória
A conformidade com a PCI garante que as empresas se alinhem às normas estabelecidas por órgãos governamentais e reguladores. Isso pode evitar possíveis problemas legais e ajudar a facilitar as operações comerciais, contribuindo para o sucesso geral da organização.
Desafios da conformidade com a PCI
Complexidade
A estrutura do PCI DSS inclui centenas de requisitos técnicos e administrativos. Mesmo com a lista de verificação que criamos e detalhamos acima, isso ainda pode ser muito difícil. Entender quais requisitos se aplicam e como implementá-los adequadamente pode exigir um planejamento extenso.
Limitações de recursos
As empresas menores podem não ter os recursos financeiros e de pessoal para se dedicar à conformidade com a PCI. Para manter a conformidade, talvez seja necessário contratar vários consultores e investir em ferramentas de segurança, o que pode ser caro.
Ambientes em mudança
Os ambientes de TI raramente são estáticos, portanto, não podemos esperar que os padrões de conformidade também permaneçam assim. As migrações para a nuvem, os novos aplicativos e as arquiteturas em constante mudança podem expandir e alterar o escopo do PCO. As mudanças exigem monitoramento e reavaliação contínuos para garantir que a conformidade não seja violada acidentalmente.
Riscos de terceiros
Muitas organizações dependem de fornecedores e prestadores de serviços para gerenciar partes de seu ambiente de dados do titular do cartão. É fundamental que você saiba que seu fornecedor também está em conformidade com a PCI para reduzir o risco de violações. Há uma concepção errônea de que a terceirização do processamento de pagamentos transfere totalmente as responsabilidades da PCI para o provedor. Na realidade, os comerciantes ainda são responsáveis por garantir que os dados do titular do cartão sejam protegidos em todo o seu ambiente.
Perguntas frequentes (FAQs)
- A conformidade com a PCI é exigida por lei?
Não, o PCI DSS não é uma lei, mas é exigido pelas principais marcas de cartão de crédito e aplicado pelos bancos adquirentes e processadores de pagamento. O não cumprimento ainda pode levar a penalidades financeiras e operacionais significativas.
- Com que frequência preciso validar a conformidade com a PCI?
Os requisitos de validação dependem do nível do comerciante. Os níveis mais altos devem realizar varreduras de rede trimestrais por um ASV e uma auditoria anual.
- O uso de um processador de terceiros me torna compatível com a PCI?
Não. Embora o uso de um processador terceirizado em conformidade com a PCI possa reduzir sua pontuação na PCI, isso não elimina a responsabilidade pessoal da sua empresa. Você ainda deve garantir que seus sistemas e práticas atendam aos requisitos aplicáveis do PCI DSS.
- As pequenas empresas precisam estar em conformidade com o PCI DSS?
Sim. Todas as empresas que aceitam pagamentos com cartão de crédito, independentemente do tamanho ou do volume, devem estar em conformidade com o PCI DSS.
- Qual é a diferença entre o PCI DSS 3.2.1 e o PCI DSS 4.0?
O PCI DSS 4.0 apresenta uma abordagem mais flexível e baseada em riscos. Ele permite que as organizações usem estratégias de segurança personalizadas para atender aos objetivos da PCI.
O valor da conformidade com a PCI
A conformidade com a PCI é fundamental para a execução de qualquer negócio com transações de cartão de crédito. Ele garante o manuseio seguro de informações confidenciais, protege contra possíveis perdas financeiras e aumenta a confiança do cliente. Embora alcançar a conformidade possa parecer assustador, os benefícios superam em muito o esforço. As empresas devem considerar a conformidade com a PCI não como um fardo, mas como um componente essencial de sua estratégia geral de negócios.
