O que são Dados do Titular do Cartão?

Dados do Titular do Cartão (CHD) são informações sobre um cartão de pagamento protegido pelo Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS). Isso inclui o Número da Conta Principal (PAN) completo e, possivelmente, o nome do titular do cartão, a data de validade e o código de serviço.

CHD são as informações disponíveis após a conclusão da transação, que incluem o nome do titular do cartão, a data de validade do cartão e o número da conta principal (PAN). 

A proteção de dados de cartão de crédito (CHD) é importante por vários motivos. A conformidade do cliente é crucial, ajudando a manter a confiança, a aderir aos regulamentos e a evitar penalidades financeiras. A criptografia e outras medidas de segurança são cruciais para garantir que os dados confidenciais permaneçam seguros e reduzir os possíveis danos de uma violação de dados.

Perdas financeiras podem acontecer de várias maneiras, incluindo roubo de identidade e compras fraudulentas. Limitar o acesso não autorizado a dados confidenciais de CHD é crucial, pois pode minimizar o risco de perdas financeiras potenciais. Qualquer empresa que lida com dados de cartão de crédito deve manter a confiança de seus clientes. A proteção do CHD é crucial para as empresas manterem a conformidade e aumentarem sua credibilidade em relação à segurança de dados.

A violação de dados do titular do cartão (CHD) pode ter um efeito significativo sobre os consumidores, instituições financeiras e varejistas. Responsabilidades financeiras, multas significativas, custos legais, custos de compensação, danos à reputação e perda da confiança do cliente são todos os resultados possíveis de violações.

Para reduzir esses riscos, a adesão ao Payment Card Industry Data Security Standard (PCI DSS) é essencial. Penalidades financeiras adicionais e danos à reputação podem ser consequência da não conformidade. 

Dados de autenticação sensíveis (SAD) e dados do titular do cartão (CHD) são duas categorias de dados cruciais para o processamento de pagamentos. O CHD contém dados como o número da conta principal (PAN), o nome do titular do cartão e a data de validade do cartão de pagamento, que podem ser mantidos após a confirmação de uma transação.

Para autenticar os titulares dos cartões, o SAD inclui componentes como o PIN, dados da trilha magnética ou chip EMV e o código/valor de verificação do cartão (CVC, CVV ou CID). Como o CHD e o SAD têm diferentes requisitos de segurança, é fundamental entender como eles diferem. 

• Os comerciantes podem salvar o CHD, mas se o fizerem, ele precisa ser criptografado. No entanto, mesmo que o SAD seja criptografado, as empresas não têm permissão para armazená-lo após a autorização. 
• Os comerciantes podem manter o CHD, pois ele é menos sensível do que o SAD.
• Os comerciantes podem rastrear as transações dos clientes com o uso do CHD.
• Os comerciantes não devem armazenar o SAD porque ele é mais sensível do que o CHD.
• Os comerciantes não podem rastrear as transações dos clientes com o SAD. 

Todas as organizações que participam de transações com cartão, incluindo bancos, gateways de pagamento, comerciantes e provedores de serviços, devem cumprir o PCI DSS. Isso vale para qualquer empresa, independentemente do tamanho ou volume de transações, que processe, armazene ou transmita informações de cartão de crédito. 

Para garantir a segurança dos dados do titular do cartão durante as transações e armazenamento, todas as organizações envolvidas devem aderir a este processo. Os requisitos contratuais e as validações anuais de conformidade são especificados em contratos de rede de cartão de crédito e exigidos pelas empresas de cartão de crédito. 

Os processadores terceirizados (TPSPs) também devem seguir o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) no processamento de cartões de pagamento. As empresas SaaS devem gerenciar e monitorar a conformidade PCI DSS de seus TPSPs pelo menos uma vez a cada 12 meses. 

Os TPSPs devem demonstrar sua conformidade com o PCI DSS às organizações SaaS para verificá-la por meio de um PCI DSS anual auditoria de conformidade ou várias auditorias aleatórias do TPSP. Uma empresa SaaS deve criar um plano para rastrear o status de conformidade PCI DSS dos TPSPs anualmente e manter o controle de todos os requisitos PCI DSS que são de responsabilidade do TPSP. 

No final das contas, as organizações SaaS são responsáveis pela sua própria conformidade com o PCI DSS. Elas devem garantir que seus TPSPs estejam em conformidade, pois afetam a segurança do ambiente de dados do titular do cartão.

Penalidades financeiras, danos à reputação, perda da confiança do cliente e perda de oportunidades de negócios são apenas algumas das sérias repercussões da não conformidade com o PCI DSS.

Além disso, empresas não conformes correm o risco de sofrer repercussões legais, custos de transação mais altos, padrões de auditoria mais rigorosos ou o término da parceria bancária. Em situações graves, a falência pode resultar da não conformidade.

As empresas de cartão de pagamento podem impor multas aos bancos adquirentes, transferindo as penalidades para os comerciantes. Em particular, a não conformidade com o PCI DSS pode resultar em multas de US$ 5.000 a US$ 100.000 por mês até que a conformidade seja alcançada.

Os dados do titular do cartão não podem ser isentos de requisitos do PCI DSS se a criptografia for usada sozinha. Sistemas que gerenciam Criptografia A criptografia e a descriptografia estão sob a autoridade do PCI DSS, assim como qualquer ambiente que contenha dados do titular do cartão, mesmo que criptografados. No entanto, os sistemas que gerenciam a criptografia e a descriptografia se enquadram no escopo do PCI DSS, mas os dados criptografados do titular do cartão não. Em ambientes onde os dados do titular do cartão estão presentes, a criptografia não invalida a exigência do PCI DSS.