Investor's wiki

Conformidade PCI

Conformidade PCI

O que é conformidade com PCI?

conformidade do setor de cartões de pagamento (PCI) é exigida pelas empresas de cartão de crédito para ajudar a garantir a segurança das transações com cartão de crédito no setor de pagamentos. A conformidade do setor de cartões de pagamento refere-se aos padrões técnicos e operacionais que as empresas seguem para proteger e proteger os dados de cartão de crédito fornecidos pelos titulares de cartão e transmitidos por meio de transações de processamento de cartão. Os padrões PCI para conformidade são desenvolvidos e gerenciados pelo PCI Security Standards Council.

Entendendo a conformidade com PCI

A Federal Trade Commission (FTC) é responsável pela supervisão do processamento do cartão de crédito, uma vez que se enquadra na necessidade de proteção e supervisão do consumidor. Embora não haja necessariamente um mandato regulatório para conformidade com o PCI, ele é considerado obrigatório por meio de precedentes judiciais.

Em geral, a conformidade com PCI é um componente central do protocolo de segurança de qualquer empresa de cartão de crédito. Geralmente é exigido por empresas de cartão de crédito e discutido em acordos de rede de cartão de crédito.

O PCI Standards Council é responsável pelo desenvolvimento dos padrões para conformidade com o PCI. Esses padrões se aplicam ao processamento de comerciantes e também foram expandidos para definir os requisitos para transações criptografadas na Internet. Outras entidades importantes que também estão associadas à definição de padrões na indústria de cartões de crédito incluem a The Card Association Network e a National Automated Clearing House (NACHA).

Requisitos para conformidade com PCI

Os padrões de conformidade com PCI exigem que os comerciantes e outras empresas lidem com as informações do cartão de crédito de maneira segura, o que ajuda a reduzir a probabilidade de que os titulares do cartão tenham informações confidenciais de contas financeiras roubadas. Se os comerciantes não lidarem com as informações do cartão de crédito de acordo com os padrões PCI, as informações do cartão podem ser invadidas e usadas para várias ações fraudulentas. Além disso, informações confidenciais sobre o titular do cartão podem ser usadas em fraudes de identidade.

Estar em conformidade com o PCI significa aderir consistentemente a um conjunto de diretrizes estabelecidas pelo PCI Standards Council. A conformidade com o PCI é regida pelo PCI Standards Council, uma organização formada em 2006 com o objetivo de gerenciar a segurança dos cartões de crédito.

Os requisitos desenvolvidos pelo Conselho são conhecidos como Padrões de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS). O PCI DSS possui 12 requisitos principais, 78 requisitos básicos e mais de 400 procedimentos de teste. As diretrizes também são consideradas práticas recomendadas de segurança. Seus 12 principais requisitos incluem o seguinte:

  1. Implemente firewalls para proteger os dados

  2. Proteção de senha adequada

  3. Proteja os dados do titular do cartão

  4. Criptografia dos dados transmitidos do titular do cartão

  5. Utilize um software antivírus

  6. Atualizar software e manter sistemas de segurança

  7. Restringir o acesso aos dados do titular do cartão

  8. IDs exclusivos atribuídos a quem tem acesso aos dados

  9. Restringir o acesso físico aos dados

  10. Criar e monitorar logs de acesso

  11. Teste os sistemas de segurança regularmente

  12. Crie uma política documentada e que possa ser seguida

A versão mais recente do PCI DSS foi lançada em maio de 2018 e é chamada de versão 3.2.1. No geral, os seis objetivos e 12 requisitos descrevem uma série de etapas que os processadores de cartão de crédito devem seguir continuamente. As empresas são solicitadas primeiro a avaliar suas redes e sistemas, que envolvem infraestrutura de tecnologia da informação, processos de negócios e procedimentos de manuseio de cartões de crédito.

Benefícios da conformidade com PCI

A manutenção constante e a avaliação de eventuais falhas de segurança também são muito importantes para evitar o roubo de informações confidenciais do titular do cartão, como números de CPF e carteira de motorista, sempre que possível.

As empresas são obrigadas a fornecer relatórios de conformidade regularmente como parte de seus contratos de processamento de cartão. Monitoramento, avaliações e auditorias dos Padrões de Segurança de Dados do Setor de Cartões de Pagamento são uma parte importante do departamento de segurança de uma empresa.

Todas as empresas que processam informações de cartão de crédito são obrigadas a manter a conformidade com o PCI conforme orientado por seus contratos de processamento de cartão. A conformidade com PCI é o padrão do setor e os negócios sem ela podem resultar em multas substanciais por violações de acordo e negligência. Sem conformidade com PCI, as empresas também são altamente vulneráveis a roubos, fraudes e violações de dados.

95%

A porcentagem de violações de segurança cibernética causadas por erro humano.

Os benefícios da conformidade incluem a redução do risco de violação de dados, protegendo os dados do titular do cartão, evitando assim chances de roubo de identidade. É uma boa prática que as empresas estejam em conformidade, pois reduz quaisquer multas relacionadas a violações de dados, ajuda a reputação da marca de uma empresa,. mantém os clientes satisfeitos e confiantes de que estão fazendo negócios com uma empresa responsável, levando à fidelidade à marca.

No primeiro semestre de 2020, havia 36 bilhões de registros expostos por meio de violações de dados. Oitenta e seis por cento das violações foram motivadas financeiramente e com a expectativa de que o mercado global de segurança da informação atinja US$ 170 bilhões em 2020, o risco financeiro é ainda maior. Proteger os dados do titular do cartão não é apenas bom para os negócios, mas também é a coisa certa a fazer, garantindo que as pessoas não sejam prejudicadas negativamente ou sofram qualquer perda financeira.

Conformidade com PCI e violações de dados

A conformidade com PCI ajuda a evitar atividades fraudulentas e mitiga violações de dados. A Verizon fornece uma avaliação anual da segurança de pagamento em seu “Relatório de segurança de pagamento da Verizon”. O Relatório de 2019 dedica uma seção inteira ao PCI DSS, chamada “O estado da conformidade com o PCI DSS, 2019: e 12 principais requisitos”. Alguns destaques do PCI DSS do “Verizon 2019 Payment Security Report” incluem o seguinte:

  • 36,7% das organizações mantinham ativamente os programas PCI DSS em 2018.

  • A região Ásia-Pacífico superou as Américas, Europa, Oriente Médio e África.

  • Do ponto de vista da indústria, a hospitalidade fica um pouco atrás de outros setores.

Perguntas frequentes sobre conformidade com PCI

O que significa compatível com PCI?

Compatível com PCI significa que qualquer empresa ou organização que aceite, transmita ou armazene os dados privados de titulares de cartão está em conformidade com as várias medidas de segurança descritas pelo PCI Security Standard Council para garantir que os dados sejam mantidos seguros e privados.

A conformidade com o PCI é exigida por lei?

Não há um mandato regulatório que exija a conformidade com o PCI, mas é considerado obrigatório por meio de um precedente judicial.

Como faço para ficar compatível com PCI?

Para se tornar compatível com PCI, você deve primeiro determinar qual questionário de autoavaliação você precisa seguir para se tornar compatível. Depois de concluir o questionário, você precisa preencher e manter evidências de uma verificação de vulnerabilidade aprovada com um fornecedor de verificação aprovado pelo PCI SSC. A digitalização aplica-se apenas a alguns comerciantes. Em seguida, você precisará preencher o Atestado de conformidade. O último passo será enviar todas as informações acima.

Quem deve ser compatível com PCI?

Qualquer empresa ou organização que aceite, transmita ou armazene os dados privados dos titulares de cartão.

A linha de fundo

A conformidade com o PCI refere-se aos padrões técnicos e operacionais estabelecidos pelo PCI Security Standards Council que as organizações precisam implementar e manter. O objetivo de ser compatível com PCI é proteger os dados do titular do cartão e se aplica a qualquer organização que aceite, transmita ou armazene esses dados. Estar em conformidade com o PCI é uma boa prática de negócios, pois coloca a segurança dos dados do consumidor em primeiro lugar e também beneficia uma organização por meio de uma reputação de marca positiva.

##Destaques

  • As empresas que seguem e atingem os Padrões de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) são consideradas compatíveis com PCI.

  • Ser compatível com PCI reduz as violações de dados, protege os dados dos titulares de cartão, evita multas e melhora a reputação da marca.

  • O PCI DSS possui 12 requisitos principais, 78 requisitos básicos e 400 procedimentos de teste para garantir que as organizações estejam em conformidade com o PCI.

  • O PCI Security Standards Council é responsável pelo desenvolvimento do PCI DSS.

  • A conformidade com o PCI não é exigida por lei, mas é considerada obrigatória por meio de precedentes judiciais.