O que é PCI DSS?

PCI DSS significa Payment Card Industry Data Security Standard. É um conjunto de requisitos para organizações que lidam com informações de cartões de crédito para manter essas informações seguras. O padrão foi lançado em setembro de 2006 pelo PCI Security Standards Council, um consórcio das principais marcas de cartões.

Todos os comerciantes e provedores de serviços que aceitam cartões de crédito como forma de pagamento estão vinculados aos termos do PCI DSS. Se um comerciante não cumprir o PCI DSS, poderá enfrentar penalidades financeiras significativas, danos à reputação e a potencial perda de negócios.

O PCI DSS deve ser seguido por todas as empresas que obtêm, gerenciam, armazenam ou transmitem dados do titular do cartão. Isso abrange varejistas, processadores de pagamentos, bancos e outras organizações que podem ter um efeito na segurança dos dados do titular do cartão, como desenvolvedores de software e fabricantes de hardware.

Bancos, cooperativas de crédito, empresas de hospedagem e outras organizações que recebem ou lidam com dados de titulares de cartão por telefone são obrigadas a cumprir. Para continuar aceitando pagamentos com cartão de crédito, qualquer funcionário de uma empresa que lida com dados confidenciais de titulares de cartão deve manter a conformidade com o PCI.

O volume de transações que um comerciante ou provedor de serviços processa a cada ano determina seu grau de conformidade com o PCI DSS. O Nível 1 é o mais alto dos quatro níveis para comerciantes e vem com os requisitos de relatórios mais rigorosos, como um Relatório de Conformidade (RoC) anual de um auditor terceirizado.

Para os Níveis 2 a 4, um Questionário de Autoavaliação (SAQ) geralmente é preenchido. Os comerciantes de Nível 1 devem preencher um RoC anual e lidar com mais de 6 milhões de transações com cartão anualmente.

O PCI Attestation of Compliance (AoC) é um documento que comprova que uma organização está em conformidade com os requisitos do PCI DSS. Ele é emitido após uma organização ter concluído uma autoavaliação ou uma auditoria externa por um Qualified Security Assessor (QSA) e demonstrado que atende aos requisitos do padrão.

O AoC não é um obstáculo ao comércio, mas dá aos potenciais clientes confiança nas práticas de segurança da organização. O AoC não é um certificado de segurança ou uma garantia de segurança, mas sim uma declaração da organização de sua adesão ao PCI DSS.

o Payment Card Industry Data Security Standard (PCI DSS) é um conjunto de regras e procedimentos criados para garantir a segurança das informações pessoais dos titulares de cartão. O padrão é composto por 12 partes ou requisitos, que são divididos em seis grupos de acordo com a política geral de segurança. Esses grupos são os seguintes: 

1) Criar e manter redes seguras; 

2) Proteger os dados do titular do cartão; 

3) Usar criptografia forte; 

4) Controlar o acesso aos dados do titular do cartão; 

5) Monitorar e testar as redes; 

6) Implementar uma política de segurança da informação. 

A versão mais recente do padrão, PCI DSS 4.0, é uma atualização e reestruturação dos 12 requisitos principais, que orientam como empregar os controles de segurança de forma eficaz. Este padrão é aplicável a qualquer comerciante ou provedor de serviços que processa, armazena ou transfere dados de titulares de cartão. As organizações devem entender e aplicar essas regras para proteger as informações e aumentar a credibilidade.

Embora não sejam diretamente regidos pelo PCI DSS, a menos que lidem com dados de titulares de cartão, os aplicativos de pagamento são essenciais para a conformidade com o PCI DSS. Isso ocorre porque os comerciantes que são obrigados a aderir ao PCI DSS os utilizam. Os aplicativos de pagamento devem, portanto, ser desenvolvidos e implantados de forma a reduzir as ameaças à segurança e promover ambientes de rede seguros. 

Para auxiliar os varejistas a cumprir os regulamentos do PCI DSS, isso inclui recursos como gerenciamento de vulnerabilidades, Criptografia, e armazenamento seguro de dados. Em última análise, os comerciantes podem reduzir bastante sua carga de trabalho e proteger os dados do titular do cartão, selecionando um aplicativo de pagamento que prioriza a segurança e facilita a conformidade com o PCI DSS.

O PCI DSS cria um padrão para tratamento e proteção de dados do titular do cartão. Isso reduz a possibilidade de violações de dados e roubo de cartão de crédito. 

É essencial entender que a criação de um sistema para tratamento de dados ajuda a otimizar processos e operações. As empresas SaaS recebem uma estrutura que precisam seguir para implementar controles e manter um ambiente seguro. Além disso, as empresas de software são forçadas a monitorar constantemente seus segurança e conformidade sistemas, garantir que tudo esteja funcionando sem problemas e garantir que estejam em conformidade com os regulamentos do PCI DSS.

Repercussões financeiras e de reputação significativas, como penalidades pesadas, custos de transação mais altos, o término de parcerias comerciais com bancos e empresas de cartão e possíveis ações legais, podem resultar da não conformidade com o PCI DSS. 

As marcas de cartão podem aplicar penalidades monetárias por não conformidade que variam de US$ 5.000 a US$ 100.000 por mês até que a conformidade seja alcançada; empresas maiores podem estar sujeitas a multas mais altas. Além das multas monetárias, a não conformidade pode levar a problemas operacionais, danos à marca, declínio na confiança do cliente, litígios e despesas de correção em caso de violações de dados e possíveis investigações regulatórias. A não conformidade pode ter um custo geral substancial, que vai além das penalidades imediatas para incluir os efeitos a longo prazo das violações de dados e danos à reputação.

Para muitas empresas SaaS, alcançar conformidade com o PCI DSS pode ser uma tarefa complicada. Identificar claramente a extensão do ambiente de dados do titular do cartão, implementar medidas de segurança como firewalls e criptografia, e configurá-las, além de seguir regras rígidas de acesso, são alguns dos desafios mais frequentes. 

Definir e classificar com precisão o ambiente de dados do titular do cartão — que inclui todas as redes, sistemas e aplicativos que lidam com, armazenam ou enviam dados confidenciais de pagamento — é um dos primeiros desafios. Devido à falta de recursos ou experiência, as organizações podem ter dificuldades para cumprir todos os padrões necessários do PCI DSS. Repercussões significativas, como multas pesadas, danos à reputação e possível interrupção dos negócios, podem surgir da não conformidade com o PCI DSS.