O Payment Card Industry Data Security Standard (PCI DSS) é um conjunto de padrões de segurança concebidos para proteger os dados dos titulares de cartões de pagamento. O PCI DSS é um requisito para todas as organizações que processam, armazenam ou transmitem dados de cartões de crédito.
O PCI DSS Quick Start Glossary fornece definições para termos-chave relacionados ao PCI DSS. O que é conformidade com o PCI DSS? A conformidade com o PCI DSS é a adesão ao PCI DSS (Payment Card Industry Data Security Standard) por uma organização que processa, armazena ou transmite informações de cartão de crédito. O PCI DSS é um conjunto de padrões de segurança desenvolvido pelas principais empresas de cartões de crédito – Visa, MasterCard, American Express, Discover e JCB – para proteger os titulares de cartões de crédito contra fraudes e violações de dados. A conformidade com o PCI DSS é exigida por todas as organizações que aceitam, processam, armazenam ou transmitem informações de cartão de crédito.
O PCI DSS inclui 12 requisitos que devem ser cumpridos para estar em conformidade. Esses requisitos se encaixam em seis categorias principais:
1. construir e manter uma rede segura
2. Proteger os dados do portador do cartão
3. Manter um Programa de Gerenciamento de Vulnerabilidades
4. Implementar Medidas Fortes de Controle de Acesso
5. Monitorar e testar regularmente as redes
6. Manter uma Política de Segurança da Informação
As organizações que estão em conformidade com o PCI DSS também devem passar por uma avaliação anual por um Avaliador de Segurança Qualificado (QSA), que é uma organização terceirizada que foi certificada pelo PCI Security Standards Council para avaliar a conformidade com o PCI DSS.
A conformidade com o PCI é exigida legalmente?
Não há uma resposta definitiva para essa pergunta, pois ela depende de vários fatores, incluindo o setor e a jurisdição específicos em que uma empresa opera. No entanto, em geral, a conformidade com a PCI não é exigida legalmente, mas o não cumprimento das normas PCI pode resultar em conseqüências legais, caso ocorra uma violação de dados. Quantos níveis o PCI DSS possui? O PCI DSS tem três níveis: Nível 1, Nível 2, e Nível 3. O Nível 1 é o mais alto nível de conformidade e o Nível 3 é o mais baixo.
O PCI DSS é obrigatório?
O Payment Card Industry Data Security Standard (PCI DSS) é um conjunto de padrões de segurança concebidos para proteger os dados dos titulares de cartões de pagamento. O PCI DSS é obrigatório para todas as organizações que processam, armazenam ou transmitem dados de cartões de crédito. O não cumprimento do PCI DSS pode resultar em pesadas multas e penalidades, assim como a perda da capacidade de processar pagamentos com cartão de crédito.
Como implementar a conformidade com o PCI DSS?
O Payment Card Industry Data Security Standard (PCI DSS) é um conjunto de requisitos de segurança concebidos para proteger os dados dos titulares de cartões de crédito. Para estar em conformidade com o PCI DSS, as organizações devem atender a todos os 12 requisitos do PCI DSS.
1. instalar e manter uma configuração de firewall para proteger os dados do portador do cartão
2. Não utilize os padrões fornecidos pelo fornecedor para senhas de sistema e outros parâmetros de segurança
3. Proteja os dados armazenados do portador de cartão
4. Criptografe a transmissão de dados do portador de cartão através de redes públicas abertas
5. Utilizar e actualizar regularmente o software anti-vírus
6. 6. Desenvolver e manter sistemas e aplicações seguras
7. Restringir o acesso aos dados dos titulares de cartões de crédito por necessidade de conhecimento do negócio
8. Atribuir um ID único a cada pessoa com acesso ao computador
9. Restringir o acesso físico aos dados dos titulares de cartões de crédito
10. Rastrear e monitorar todo o acesso aos recursos da rede e aos dados do portador do cartão
11. Testar regularmente os sistemas e processos de segurança
12. Manter uma política que trate da segurança da informação para funcionários e prestadores de serviços.