O PCI DSS parece ser um assunto intimidador e confuso. Para ajudá-lo a se familiarizar com o assunto com facilidade, criamos um guia que ajuda você a entender o que é e como o PCI DSS se aplica à sua empresa.Editar Editar data e hora
A menos que você tenha uma daquelas empresas que só aceitam dinheiro e bitcoin, precisará entender como estar em conformidade com os regulamentos relativos à aceitação de cartões de crédito como forma de pagamento. Este guia é para empresas que lidam com processamento de cartões de crédito e percebem como a segurança de dados é vital para uma experiência de compra segura nos tempos em que vivemos.
As pessoas geralmente perdem a cabeça quando as informações de seus cartões de crédito são roubadas. Além disso, as empresas que aceitam/processam cartões de crédito são obrigadas por lei a garantir a segurança de todos os arquivos que acessam.
O PCI DSS (Payment Card Industry Data Security Standard, padrão de segurança de dados do setor de cartões de pagamento) é o conjunto de padrões que ajuda os proprietários de pequenas e médias empresas a se manterem atualizados com os padrões de segurança.
Em setembro de 2006, as cinco principais empresas de cartão de crédito (MasterCard, Visa International, JCB, American Express e Discover) se uniram para formar o PCI SSC (Payment Card Industry Security Standards Council).
O conselho é um órgão independente encarregado de supervisionar o refinamento do PCI DSS e, ao mesmo tempo, manter altos níveis de segurança em cada segmento de um processo de transação.
As empresas que aceitam transações com cartão de crédito são responsáveis perante as instituições financeiras e a empresa de cartão de crédito que administra o dinheiro, e não o conselho.
No entanto, o conselho garante que haja responsabilidade nos sistemas e avalia as tendências e os pontos fracos da tecnologia para manter altos níveis de segurança.
Todas as empresas, instituições e entidades que aceitam, transmitem e armazenam informações do titular do cartão são obrigadas a seguir as regras e os regulamentos do PCI DSS. A PCI define as informações do titular do cartão como PAN (Primary Account Number). O PAN contém as seguintes informações:
O PCI DSS solicita que as empresas mantenham os seguintes dados protegidos:
Um sistema que é aplicável independentemente do tamanho ou do número de transações. A maneira como cada empresa lida com os dados do titular do cartão é categorizada em um dos quatro níveis criados pela Visa.
O nível é determinado pelo número de transações Visa realizadas pelo comerciante DBA (que é "Doing Business As") em um período de doze meses. Nos casos em que as entidades corporativas têm vários DBAs comerciais, o total de transações da empresa é avaliado.
Nas entidades em que as empresas não interagem com os dados em nome de seus comerciantes, os DBAs individuais são avaliados para determinar seus níveis.
Definição do PCI DSS de varejista como qualquer entidade que aceite pagamentos com cartões que tenham os logotipos das cinco principais empresas de cartão de crédito mencionadas no início deste artigo.
Um trader também pode ser um prestador de serviços. Os níveis são determinados da seguinte forma:
Nível 1: comerciantes que processam mais de seis milhões de transações Visa anualmente por correio, pessoalmente, comércio eletrônico ou telefone.)
Nível 2: comerciantes que processam de um a seis milhões de transações Visa anualmente em todos os canais de aceitação.
Nível 3: comerciantes que processam de 20.000 a 1 milhão de transações de comércio eletrônico da Visa anualmente.
Nível 4: comerciantes que processam 20.000 e menos vendas de comércio eletrônico Visa anualmente por meio de todos os canais de aceitação.
Para atender às regras e aos padrões estabelecidos, os comerciantes passam por uma série de etapas. Primeiro, todo comerciante deve preencher um SAQ (Self Assessment Questionnaire, Questionário de Autoavaliação) como forma de determinar como será sua conformidade.
Depois de preencher o questionário, os comerciantes são encarregados de preencher e reunir evidências de aprovação juntamente com uma varredura de vulnerabilidade de um ASV (fornecedor de varredura aprovado pelo PCI SSC). As empresas que usam um único método de aceitação precisam estar em total conformidade com os padrões do PCI DSS, assim como os comerciantes que usam processadores terceirizados.
Para empresas com vários locais, é necessário validar uma vez por ano todas as áreas, se elas usarem o mesmo ID fiscal. Por mais que todas as empresas que lidam com dados de cartões de débito ou crédito sejam solicitadas a cumprir os padrões da PCI, as empresas que não armazenam dados têm mais facilidade para lidar com o processo de conformidade.
Há empresas individuais que precisam realizar varreduras trimestrais de vulnerabilidade. Um ASV (Approved Scanning Vendor) aprovado tem a tarefa de realizar uma varredura de vários aplicativos da Web e redes de endereços IP fornecidos pelo provedor de serviços ou comerciante.
A varredura visa e expõe todas as vulnerabilidades nos serviços, sistemas operacionais e dispositivos da empresa que os hackers podem usar para obter acesso à rede privada do comerciante.
Quando um ASV realiza a varredura, não é necessário instalar nenhum software e as varreduras são realizadas a cada 90 dias, pois os comerciantes são solicitados a enviar relatórios de conformidade de acordo com o cronograma estabelecido pelo adquirente.
Alguns comerciantes consideram trabalhar com prestadores de serviços. Uma entidade separada das cinco principais empresas de cartão de crédito envolvidas com o armazenamento, o processamento e a transmissão das informações do titular do cartão.
Os provedores de serviços têm uma rota de conformidade "exclusiva", e é fundamental que a sigam cuidadosamente. As empresas que se qualificam para serem prestadoras de serviços precisam fazer um curso que as ajude a entender claramente suas atribuições.
Os aplicativos de pagamento são considerados aspectos que transmitem, armazenam ou processam informações do titular do cartão. Os aplicativos de pagamento são processos que vão desde sistemas de passagem em restaurantes até softwares usados em carrinhos de compras de comércio eletrônico.
O PA-DSS (Padrão de segurança de dados de aplicativos de pagamento) é administrado e mantido pelo PCI SSC. O PA-DSS existe como um meio de garantir que todos os fornecedores de aplicativos de pagamento em conformidade com os padrões do PCI DSS não preservem os dados do titular do cartão.
Um gateway de pagamento conecta os comerciantes a um processador ou a um banco adquirente que os conecta ao emissor do cartão. Eles se conectam ao processador ou à instituição financeira por meio de uma conexão baseada na Web ou discada.
Na maioria dos casos, os comerciantes gostam de ter a opção de manter as informações do titular do cartão, o que facilita a repetição de transações pelos clientes. A parceria com um provedor terceirizado é a maneira mais tranquila e sem complicações de armazenar informações com segurança.
As informações do titular do cartão são removidas da posse do comerciante, e uma empresa terceirizada especializada em proteção de dados trata os dados em nome do comerciante.
Os revendedores que optam por manter os dados do titular do cartão são submetidos a um processo rigoroso por um Avaliador de Segurança Qualificado, que vai até o local para realizar uma auditoria que confirma que o revendedor atende aos padrões do PCI DSS.
Os padrões da PCI recomendam que os primeiros seis ou os últimos quatro dígitos do PAN sejam impressos em uma cópia do recibo da transação. Isso ajuda a evitar que o número completo seja exibido.
Os padrões são estabelecidos para a segurança do consumidor. Quando os comerciantes não cumprem os padrões do PCI DSS, eles sofrem muitas consequências.
Na maioria das vezes, eles recebem multas pesadas que variam de US$ 5.000 a US$ 100.000 por mês.
A marca de pagamento cobra a taxa do banco adquirente, que repassa os custos para a empresa. Na maioria dos casos, a instituição financeira encerra o relacionamento com o comerciante ou aumenta muito as taxas de transação.
Essas são penalidades que podem arruinar pequenas e médias empresas, e é importante que os comerciantes sigam todas as regras sem burlá-las.
Por mais que a PCI não seja uma lei, os comerciantes que se recusam a cumpri-la estão sujeitos e são responsáveis por absorver os custos decorrentes de multas, custos de substituição de cartões, danos à marca, auditorias forenses dispendiosas e várias consequências quando há uma violação.
Os esforços iniciais e os custos obtidos após a conformidade com o PCI DSS evitam que os comerciantes tenham que gastar mais dinheiro e tempo lidando com consequências graves, caras, complicadas e devastadoras.
Parabéns por ter iniciado uma pequena e média empresa. Certifique-se de que todas as transações estejam em conformidade com as medidas de integridade e segurança. Navegue pelos meandros da conformidade e salve sua empresa dos hackers, que se tornam mais sofisticados a cada dia.
"*" indica campos obrigatórios
"*" indica campos obrigatórios
"*" indica campos obrigatórios
Você deve estar conectado para publicar um comentário.
