Todas as empresas que aceitam pagamentos com cartão de crédito ou débito já ouviram falar do PCI DSS, mesmo que não entendam totalmente o que é e o que significa atender aos seus requisitos. Quer você seja uma grande empresa que processa milhares de transações todos os dias ou um pequeno site de comércio eletrônico, para aceitar pagamentos com cartão, você deve cumprir os requisitos do PCI DSS.
PCI DSS significa “Padrão de segurança de dados da indústria de cartões de pagamento”, ou seja, o padrão de segurança de dados da indústria de cartões de pagamento. O PCI DSS contém um conjunto de requisitos e procedimentos de segurança projetados para proteger as informações pessoais dos titulares do cartão, reduzindo assim o risco de roubo ou fraude de dados do cartão.
O padrão foi criado conjuntamente em 2004 pelas marcas de cartões Visa, MasterCard, American Express, Discover e JCB.
Essas bandeiras também são as fundadoras do Comitê de Padrões de Segurança da Indústria de Cartões de Pagamento, que eles próprios descrevem como “uma organização global aberta projetada para desenvolver, melhorar, disseminar e ajudar a compreender os padrões de segurança para contas de pagamento”.
O comitê é responsável por manter, desenvolver e promover PCI DSS e auxiliar na implementação do padrão por meio de avaliação e certificação de qualificação ou autoavaliação de conformidade. No entanto, é responsabilidade do banco emissor ou do banco adquirente cumprir as regras estabelecidas e punir eventuais violações de dados.
Portanto, é importante ressaltar que o PCI DSS é aplicável a qualquer empresa que processe ou transmita dados do titular do cartão. Para obter um certificado de conformidade PCI, todos os comerciantes devem provar que possuem sistemas e processos adequados para proteger com eficácia as informações do cartão, independentemente do volume de negócios.
Quais são os requisitos do PCI DSS?
O Padrão de Segurança de Dados da Indústria de Pagamento com Cartão está composto de doze requisitos agrupados em seis grandes objetivos:
Requisitos
Use um firewall forte o suficiente para funcionar sem causar muitos transtornos aos vendedores e titulares de cartão.
Não use a senha e as configurações padrão fornecidas pelo vendedor.
Proteja as informações armazenadas pelo titular do cartão (data de nascimento, documentos e números de telefone e endereços de e-mail).
A criptografia é usada ao transmitir os dados do titular por meio de redes públicas.
Use software de proteção antivírus, anti-spyware e malware, e eles serão atualizados com frequência. Desenvolva e mantenha sistemas e aplicativos seguros.
Restrinja o acesso aos dados do cartão de crédito com base no cargo de cada funcionário da empresa. Atribua dados de login exclusivos e confidenciais a cada usuário na rede e no sistema.
Restrinja o acesso físico e eletrônico aos dados do cartão.
Rastreie e monitore todos os dados de acesso à rede e de cartão de crédito.
Teste regularmente a segurança dos sistemas e processos. Defina uma política de segurança que todos sigam e mantenham.
Objetivos
Estabelecer e manter uma rede segura para realizar transações.
Deve proteger as informações do titular do cartão.
Proteja o sistema de ataques de hackers
Implementar fortes medidas de controle de acesso
Monitore e teste a rede com frequência
Manter uma política de segurança formal
