A conformidade com o PCI é a adesão estrita às diretrizes do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), exigido para todas as empresas que aceitam pagamentos com cartão de crédito. O Conselho de padrões de segurança da indústria de cartões de pagamento é o órgão que responsabiliza as empresas por essa conformidade. O conselho PCI oferece diferentes sessões de treinamento e cursos para empresas, bem como questionários simples que eles podem fazer para testar seu nível de conformidade.
O PCI também fornece acesso a avaliadores (geralmente organizações de segurança terceirizadas), que analisam as empresas quanto à conformidade com o PCI. O PCI Security Standards Council também garante que os avaliadores de segurança qualificados sejam regularmente certificados e aprovados, de forma que eles próprios sejam mantidos em um alto padrão de conformidade.
O PCI também fornece padrões para dispositivos PTS (PIN Transaction Security), que são o hardware no qual as transações de cartão ocorrem. No site PCI Security Standards, há uma lista de dispositivos PTS aprovados pelo PCI, que também possuem políticas de segurança. Esses dispositivos não devem ter expirado se uma empresa for usá-los.
Doze requisitos para conformidade com PCI
O Conselho de Padrões de Segurança estabeleceu doze padrões que cada empresa que aceita cartões deve seguir:
- Implementando firewalls na rede da empresa
- Praticar os melhores hábitos para boas senhas, não apenas o mínimo ou senhas padrão
- Criptografar informações de cartão de crédito e chaves de criptografia
- Criptografar dados em movimento (enquanto cruzam redes públicas)
- Utilizando soluções antivírus atualizadas
- Protegendo toda a rede, incluindo software / aplicativos
- Permitindo que os funcionários acessem as informações do cartão apenas se for absolutamente necessário
- Dar a cada funcionário seu próprio código de acesso ao computador / sistema, nome de usuário e / ou senha
- Restringir o acesso ao hardware ou outro equipamento no qual os dados do cartão são mantidos
- Monitorar o acesso ao sistema, incluindo a manutenção de registros de cada vez que um funcionário acessa as informações do cartão
- Testando protocolos de segurança com freqüência
- Fornecer uma política de segurança não apenas para os funcionários, mas também para terceiros e documentar o armazenamento, transmissão e acesso dos dados do cartão. Outra observação importante sobre esses documentos e registros: outros padrões legais, como o GDPR e o CCPA, provavelmente também exigirão que as organizações documentem todo o uso e transmissão de dados confidenciais, por isso é duplamente importante manter registros detalhados.
Possíveis consequências do não cumprimento do PCI
O não cumprimento desses requisitos rigorosos aumenta o risco de violação de dados. Também aumenta a chance de perder a reputação e a confiança do cliente. Criptografar dados e restringir o acesso a eles, por outro lado, oferece mais segurança para uma empresa. Embora seguir estritamente os padrões PCI não signifique que uma empresa esteja imune a ataques e violações, isso significa que suas multas e qualquer ação legal provavelmente serão reduzidas.
Crimes cibernéticos, incluindo roubo de dados de cartão de crédito, estão se tornando muito mais fáceis para os criminosos cometerem. Obedecer aos padrões PCI é a melhor prática para uma empresa que deseja operar legalmente e manter uma base de clientes satisfeita.