Safetica Blogs

Regulamento PCI DSS: âmbito, finalidade e como cumprir

Written by Sample HubSpot User | 2/ago/2022 8:00:00

O Payment Card Industry Data Security Standard (PCI DSS, ou PCI para abreviar) é um conjunto de regras e processos concebidos para proteger os dados sensíveis dos titulares de cartões contra violações de dados e fraudes. Basicamente, indica aos comerciantes como tratar de forma segura a informação dos cartões de crédito dos seus clientes, para que esta não caia nas mãos erradas.

O PCI DSS foi introduzido pela primeira vez nos EUA em dezembro de 2004. As 5 principais empresas de cartões de crédito que criaram a norma formaram depois o Payment Card Industry Security Standards Council (PCI SSC) como organismo de governação. O PCI SSC supervisiona a administração e o desenvolvimento contínuo do PCI DSS.

A norma continua a evoluir e está atualmente na versão 4.0, lançada em março de 2022.


A quem se aplica o PCI DSS?

O PCI DSS aplica-se globalmente a todas as entidades que processam, transmitem ou armazenam dados de titulares de cartões, independentemente da dimensão ou do número de transações.

Em termos simples, se for uma organização ou empresa que lida com cartões de crédito ou débito com os logótipos de pelo menos uma das 5 empresas membros, o PCI DSS aplica-se-lhe. Bancos adquirentes, comerciantes online e offline, e prestadores de serviços, todos têm de cumprir o PCI.

No entanto, não é uma situação "tamanho único". Existem 4 níveis de conformidade que de facto dependem do número de transações processadas por uma empresa.

Outros critérios são também tidos em conta, como se um negócio sofreu anteriormente uma violação de dados ou a forma como aceita pagamentos com cartão (apenas offline vs. um gateway de pagamento online).

Cada empresa emissora de cartões tem a sua própria tabela com critérios exatos para cada nível, mas, em geral, é assim:

  • Nível 1: Mais de 6 milhões de transações por ano, independentemente do canal de aceitação
  • Nível 2: Entre 1 e 6 milhões de transações por ano, independentemente do canal de aceitação
  • Nível 3: 20 000 a 1 milhão de transações de e-commerce por ano
  • Nível 4: Menos de 20 000 transações de e-commerce por ano ou até 1 milhão de transações independentemente do canal de aceitação por ano

Cada nível terá requisitos diferentes para a validação e relato PCI — quanto maior o negócio, mais pesados os requisitos.

Os fundamentos do cumprimento do PCI DSS

O PCI DSS é um conjunto abrangente de orientações destinado a proteger os dados de cartões de crédito de serem divulgados ou roubados a um comerciante ou organização. Existem 12 requisitos gerais. Falaremos deles a seguir.

É importante perceber que manter-se em dia com o PCI DSS é um esforço contínuo, e não um obstáculo único. Para manter a conformidade, são submetidas avaliações e relatórios anualmente, e são realizadas análises aos sistemas com ainda mais frequência.

Os procedimentos específicos de teste e validação variam de nível para nível.

Em geral, todas as organizações sujeitas às orientações do PCI DSS são obrigadas a completar uma autoavaliação anual. Esta indicará quão seguras são as suas práticas de processamento e armazenamento de cartões.

O formulário de avaliação pode ter apenas 9 páginas e ser relativamente fácil de preencher, ou pode ser uma tarefa de 80 páginas que exige assistência de terceiros. Os formulários só têm perguntas de "sim" e "não", o que pode parecer simples, mas a natureza técnica e cada vez mais exigente das perguntas pode levar à incerteza. As empresas também são obrigadas a resolver quaisquer "nãos" antes de submeter o formulário, o que acrescenta outro nível de dificuldade.

Outros requisitos de validação PCI podem incluir a apresentação de prova de aprovação numa análise de vulnerabilidades aprovada ou a conclusão de um atestado de conformidade.

Quais são os 12 requisitos do PCI DSS?

Embora cumprir o PCI DSS possa ser um fardo significativo para uma empresa, é basicamente uma lista de melhores práticas (obrigatórias) que não são assim tão rebuscadas. Cada um dos 12 requisitos é depois desenvolvido em 3 secções: definição, processo de teste e explicação da finalidade.

Os 12 requisitos do PCI são, em resumo:

  1. Instalar e manter uma firewall. Uma firewall é um sistema de prevenção que bloqueia o tráfego recebido de aceder a dados privados no sistema informático de um negócio.

  2. Configurar definições de segurança e palavras-passe. Cada peça de hardware, como routers ou sistemas POS, vem com palavra-passe e definições de fábrica. Garanta sempre alterar estas predefinições.

  3. Proteger os dados armazenados dos titulares de cartões. Encripte os dados armazenados utilizando algoritmos aceites pela indústria. Analise regularmente os sistemas de armazenamento para revelar dados não encriptados.

  4. Proteger os dados dos titulares de cartões transmitidos por redes abertas e públicas. Tem de ser usada encriptação para proteger os dados que viajam por redes abertas.

  5. Usar e atualizar regularmente software antivírus. Todos os sistemas que possam ser afetados por malware têm de ter software antivírus atualizado instalado.

  6. Atualizar e aplicar patches aos sistemas de segurança regularmente. Atualize regularmente o software e implemente quaisquer patches assim que forem lançados, para evitar acesso de hackers através de uma vulnerabilidade descoberta recentemente.

  7. Restringir o acesso aos dados dos titulares de cartões a uma base de necessidade de saber. Quem dentro de uma organização não precisar de acesso aos dados dos titulares de cartões não deve tê-lo. Aqueles que precisam têm de estar bem documentados.

  8. Atribuir um ID único a qualquer pessoa com acesso ao sistema para fins de responsabilização. Cada pessoa com acesso a sistemas críticos de dados tem de ter o seu próprio ID e palavra-passe e todas as instâncias de acesso têm de ser registadas.

  9. Garantir e restringir o acesso físico aos dados dos titulares de cartões. Os dados têm de ser mantidos num local seguro, físico ou digital, para evitar acessos não autorizados e a remoção de dados ou hardware.

  10. Acompanhar e monitorizar todos os acessos aos dados dos titulares de cartões através de mecanismos de registo. Mantenha e reveja registos de acesso aos sistemas informáticos e a todas as atividades dos utilizadores relativas ao acesso aos dados. Têm de ser implementados processos para garantir uma resposta adequada a quaisquer anomalias.

  11. Testar regularmente a segurança dos sistemas e realizar análises de vulnerabilidades. Todos os sistemas e processos precisam de ser regularmente testados quanto a vulnerabilidades e penetração para descobrir potenciais problemas de segurança.

  12. Manter uma política de segurança da informação. Documente as políticas, planos e procedimentos de segurança da empresa. Mantenha a documentação com um inventário de software, hardware, informação de acesso de pessoal e registos.
 

Riscos do incumprimento do PCI DSS

Se uma empresa estiver sujeita ao PCI mas não cumprir ou violar os termos definidos no seu contrato, enfrentará consequências. Estas podem ir desde sanções impostas pelas empresas de cartões de crédito até consequências naturais.

Quais são alguns dos riscos do incumprimento do PCI?

  • Taxa por incumprimento do PCI


Uma empresa pode ser cobrada com uma "taxa por incumprimento do PCI" de centenas de milhares de USD por mês, dependendo da dimensão do negócio. Independentemente de como olhe para isto, esta taxa é uma multa recorrente. Será cobrada todos os meses até que o negócio cumpra os padrões PCI.

  • Sofrer uma violação de dados


Naturalmente, se não estiver a cumprir os padrões PCI, aumenta o risco da sua empresa de violação de dados. Embora os requisitos do PCI não garantam que os dados dos titulares de cartões de um negócio se mantenham seguros contra ataques, reduzem significativamente a probabilidade de uma violação bem-sucedida.

  • Auditoria forense


Será necessário realizar uma auditoria forense a expensas da empresa que foi comprometida, de modo a avaliar a causa da violação de dados.

  • Custos adicionais após uma violação


Se os dados de cartões de crédito de clientes forem comprometidos, a empresa incorrerá em custos adicionais como compensar clientes, custos de responsabilidade ou multas por cada cartão cujos dados tenham sido roubados ou postos em risco e possíveis aumentos de tarifas cobradas por bancos ou empresas de cartões de crédito após a violação.

Não é raro que se siga um processo judicial após uma violação de segurança, caso em que os custos podem multiplicar-se rapidamente.

  • Danos à marca


Qualquer empresa que perca ou ponha em risco os dados dos titulares de cartões sofrerá aos olhos dos seus clientes. Os inevitáveis danos à marca podem tornar reconquistar a confiança dos clientes uma tarefa impossível. Muitos negócios fecharam portas após uma violação de dados.


Exemplos de violações do PCI DSS

Ignorar os requisitos tecnicamente mais complicados do PCI DSS é um exemplo óbvio de quebra de conformidade. Mas há instâncias em que a violação é puramente não intencional. Eis alguns exemplos:

  • Armazenar informação de cartões de crédito em armazenamento ou endpoints não encriptados
  • Permitir que qualquer pessoa na organização aceda aos dados dos cartões de crédito
  • Perder o controlo de onde estão e por onde se movimentam os dados dos cartões de crédito dentro da organização
  • Enviar informação de titulares de cartões por e-mail dentro da empresa.
  • Não exigir que os colaboradores iniciem sessão no sistema com um ID e palavra-passe únicos.
  • Apenas proteger os dados fora do horário de trabalho, pensando erradamente que é nessa altura que ocorrem a maioria das tentativas de hack.

Muitas vezes, basta a falta de compreensão ou de atenção às orientações PCI para não implementar os processos corretamente, ou em alguns casos para nem os implementar de todo.

Garantir que o pessoal de uma empresa está devidamente formado em PCI DSS é também uma parte importante do processo.

O PCI é exigido por lei?

Não. A entidade que governa e administra o PCI DSS é o PCI SSC. Os requisitos do PCI DSS são impostos com base em contratos entre uma empresa e o seu banco e empresa de cartões de crédito.

Alguns estados nos EUA incorporaram o PCI DSS nas suas leis estaduais, sobretudo no sentido de que as empresas que cumprem o PCI DSS ficam protegidas de responsabilidades em caso de violação de dados.

Na Europa, o PCI DSS é uma norma amplamente utilizada que tem sido cada vez mais promovida nos últimos anos. Tal como nos EUA, o PCI não é exigido por lei.

Como a Safetica ajuda com a conformidade PCI DSS

Saiba mais sobre como a Safetica ajuda a cumprir o PCI DSS
View full post