Noções básicas de conformidade com PCI: o que você precisa saber

Publicados: 2023-04-14

As informações de cartão de crédito são o tipo de dados mais valioso para os cibercriminosos, pois esses conjuntos de dados valem milhões de dólares no mercado negro.

Hoje, empresas de todos os portes processam informações de cartão de crédito e débito de clientes e recebem pagamentos com cartão de crédito. Todas as empresas que processam, armazenam e transmitem dados financeiros estão sob o radar de agentes mal-intencionados e enfrentam os maiores riscos de ataques cibernéticos.

Por esses motivos, as principais empresas de cartão de crédito criaram o padrão PCI para fornecer diretrizes de segurança para as empresas protegerem os dados financeiros dos clientes. Neste artigo, examinaremos os fundamentos da conformidade com o PCI.

Vamos começar explicando melhor a conformidade com o PCI DSS.

O que é conformidade com o PCI DSS?

O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é um conjunto técnico e operacional de especificações de segurança para proteger os dados dos titulares de cartões de crédito.

A conformidade com o PCI foi fundada por grandes empresas de cartão de crédito, como Visa, Mastercard, American Express, Discover Financial Services e JCB Express. O PCI procura habilitar uma estrutura internacional para proteger os dados financeiros dos clientes.

Todas as empresas que coletam, armazenam e transmitem estão sujeitas à conformidade com o PCI DSS e são obrigadas a seguir as diretrizes e requisitos de segurança.

O PCI DSS tem quatro níveis de conformidade (1,2,3,4). Os níveis de conformidade PCI das empresas são determinados com base no volume de transações ao longo de um ano. As empresas que se enquadram no nível 4 processam menos de 20.000 transações por ano.

O nível 3 se aplica a comerciantes que processam transações entre 20.000 e 1 milhão por ano. O nível 2 se aplica a empresas que processam transações entre 1-6 milhões por ano. As empresas que processam mais de 6 transações por ano enquadram-se no nível 1.

Os requisitos do PCI ficam mais rigorosos à medida que o nível vai de 4 para 1. Mas, independentemente do nível de conformidade, todas as empresas são obrigadas a atender a todos os requisitos do PCI até certo ponto.

A estrutura segura de manuseio de dados do titular do cartão é estabelecida em seis categorias pela conformidade com o PCI. As categorias de requisitos do PCI consistem em proteção de dados do titular do cartão, plano de gerenciamento de vulnerabilidade, monitoramento de rede, gerenciamento seguro de rede e sistemas, restrições de controle de acesso e política de segurança da informação.

O conteúdo dessas categorias compõe um total de doze etapas de requisitos. Os requisitos do PCI garantem a segurança do manuseio dos dados do titular do cartão. Aqui está uma lista de verificação para conformidade com PCI.

Requisitos PCI

1- Instalar e manter um firewall para proteção dos dados do portador do cartão

Como os firewalls são o primeiro mecanismo de defesa da rede, configurar e manter adequadamente um firewall é crucial para manter os dados do titular do cartão seguros. Os firewalls são ferramentas altamente eficazes para proteção de dados confidenciais contra ameaças cibernéticas porque restringem o tráfego de rede e bloqueiam o acesso não autorizado. É por isso que o estabelecimento do firewall é o primeiro requisito.

02. Tenha proteção de senha adequada

A maioria dos serviços de rede, sistemas de ponto de venda (POS) e produtos de terceiros são configurados com configurações padrão.

Os cibercriminosos podem obter acesso a redes e dados confidenciais facilmente se as organizações não reconfigurarem essas configurações de fábrica, pois as senhas e nomes de usuário padrão são amplamente conhecidos.

Além de alterar as configurações de senha, as organizações devem alterar regularmente as senhas de todos os dispositivos e softwares que exigem uma.

03. Proteja os dados armazenados do titular do cartão

Todos os dados armazenados do titular do cartão devem ser criptografados. Os comerciantes devem garantir a proteção desses dados confidenciais por meio de chaves criptográficas e algoritmos e realizar varreduras regulares.

04. Criptografe os dados transmitidos pelos titulares dos cartões

Manter a segurança dos dados do titular do cartão é o requisito mais importante na conformidade com o PCI. Portanto, os comerciantes também devem criptografar e proteger a transmissão de dados do titular do cartão em redes públicas.

05. Utilize software antivírus

Ter um software antivírus é uma necessidade para proteção de dados contra malware. Portanto, as organizações devem utilizar e atualizar frequentemente seu software antivírus em todos os dispositivos para detectar e eliminar qualquer malware.

06. Manutenção de software e sistema

Todos os softwares e sistemas devem ser atualizados regularmente para corrigir vulnerabilidades de segurança. Lembre-se de que alguns softwares, como bancos de dados, software antivírus e firewalls, exigem atualizações mais frequentes.

07. Restrinja o acesso aos dados

Somente o pessoal autorizado deve ter acesso aos dados dos portadores de cartão quando necessário. Terceiros e funcionários não devem ter acesso a informações confidenciais.

08. Identificação única para acesso do usuário

Um conjunto exclusivo de nomes de usuário e senhas deve ser fornecido a cada usuário autorizado que tenha acesso aos dados do titular do cartão. As credenciais de acesso do usuário garantem a responsabilidade e reduzem o tempo de resposta.

09. Restrinja o acesso físico

O acesso físico também deve ser restrito tanto quanto o acesso digital para proteger dados confidenciais. As organizações devem armazenar os dados dos titulares de cartão em um local fisicamente seguro e aplicar controles e autorizações rígidos.

10- Rastreie e monitore o acesso à rede

Todo o acesso e tráfego de rede devem ser rastreados e monitorados quando se trata de dados do titular do cartão e números de contas principais. Os registros de acesso envolvendo os dados do titular do cartão devem ser mantidos e revisados ​​continuamente.

11- Avaliação regular dos sistemas de segurança

Avaliações regulares do sistema de segurança e testes de penetração devem ser realizados para determinar e corrigir vulnerabilidades de segurança. Este procedimento garante determinar o estado atual dos sistemas de segurança e melhorá-lo de acordo.

12- Mantenha uma política de cibersegurança

Todos os requisitos do PCI devem ser abordados e documentados com uma política de segurança cibernética. Ao manter uma política de segurança cibernética, as organizações podem garantir a conformidade e a segurança de suas redes.

Consequências da não conformidade com o PCI DSS

O não cumprimento do PCI DSS pode acarretar multas e penalidades elevadas. De acordo com a gravidade e a duração das violações, as autoridades do PCI podem aplicar multas entre US$ 5.000 e US$ 100.000 por mês.

As multas podem aumentar mensalmente à medida que a duração da violação se torna mais longa. Além disso, após incidentes de violação de dados, as empresas podem ser obrigadas a cobrir todos os custos de reemissão e correção.

Além disso, o não cumprimento do PCI pode resultar em penalidades adicionais, como aumento nas taxas de transação e perda de comerciantes de pagamento com cartão de crédito por algum tempo ou permanentemente. Atender aos requisitos do PCI é vital para evitar penalidades e proteger os dados financeiros confidenciais dos clientes.

Últimas palavras

Os dados financeiros dos clientes devem ser protegidos contra ataques cibernéticos em todos os momentos.

A conformidade com o padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) pode ajudar as empresas a proteger conjuntos de dados financeiros que são processados, armazenados e transmitidos.

Em uma era em que os riscos cibernéticos, as multas de conformidade e as penalidades são tão altas, todas as empresas sujeitas ao PCI devem atender a seus requisitos e tornar-se compatível com o PCI.