Blog Se Liga!

Evitando vazamento de dados: O que é o PCI DSS e por que é importante?

O PCI DSS (Payment Card Industry Data Security Standard) é um padrão de segurança internacional necessário para todas as empresas que processam, armazenam ou transmitem dados de cartões.

Para quem vende online, ter um sistema de pagamentos seguro e eficiente é um ponto chave para um negócio de sucesso. Uma forma de analisar que a empresa segue bons padrões de segurança online é verificando se ela está em conformidade com o PCI DSS.

Neste post, você vai descobrir um pouco mais sobre esta certificação e como a Malga pode ajudar o seu negócio a ser mais eficiente e seguro, totalmente em conformidade com o PCI DSS.

O que é o PCI DSS?

O PCI DSS (Payment Card Industry Data Security Standard) é um padrão de segurança internacional necessário para todas as empresas que processam, armazenam ou transmitem dados de cartões.

Este padrão foi desenvolvido pelas maiores bandeiras de cartão de crédito para ajudar a proteger os dados de cartão e evitar fraudes e vazamento de dados sensíveis em meios de pagamentos. Alguns dados sensíveis são o número do cartão, nome do portador, código de verificação e a data de vencimento.

Quem precisa estar em conformidade com o PCI DSS?

A certificação nesse padrão é mandatória para todas as entidades que lidam com dados de pagamentos de clientes. Isto inclui qualquer negócio que armazena, processa ou transmite dados sensíveis de cartão de crédito. Os tipos de negócio incluem mas não se limitam a e-commerce, marketplaces, estabelecimentos comerciais e os próprios orquestradores de pagamento que precisam estar em conformidade com este padrão.

Quais são os níveis do PCI DSS?

Quando se trata de estabelecimentos comerciais, o PCI DSS tem quatro níveis diferentes onde a sua empresa pode cair, dependendo da quantidade de transações feitas via cartão, processadas anualmente:

Nível 1: mais de 6 milhões de transações por ano;
Nível 2: de 1 milhão a 6 milhões de transações por ano;
Nível 3: de 20.000 a 1 milhão de transações por ano;
Nível 4: menos de 20.000 transações por ano.

Para orquestradoras de pagamento e provedores de pagamento, existem dois níveis diferentes de certificação PCI Compliance, que também levam em conta o volume de transações:

Nível 1: Orquestradoras com mais de 300 mil transações por ano;
Nível 2: Orquestradoras com menos de 300 mil transações por ano.

É difícil estar em conformidade?

A dificuldade depende do nível do PCI DSS a ser alcançado pelo seu negócio. Para pequenos negócios, normalmente envolve preencher o SAQ (Self-Assessment Questionnaire), realizar um scan de vulnerabilidade, desenvolver políticas e treinamentos de segurança online e efetuar medições no seu ambiente para atingir a conformidade.

Para o PCI DSS nível 1 requer uma auditoria in-loco mais ampla e extensa, onde serão verificadas as mais de 200 diretivas para os seguintes objetivos e requisitos do PCI DSS:

Construir e Manter uma Rede e Sistemas Seguros

1. Instalar e Manter Controles de Segurança de Rede.

2. Aplicar as Configurações de Segurança para Todos os Componentes de Sistema.

Proteger os Dados da Conta

3. Proteger os Dados da Conta Armazenados.

4. Proteger os Dados do Titular do Cartão com Criptografia Forte Durante a Transmissão em Redes Públicas Abertas.

Manter um Programa de Gestão de Vulnerabilidade

5. Proteger Todos os Sistemas e Redes de Software Malicioso.

6. Desenvolver e Manter Sistemas e Software Seguros.

Implementar Medidas Fortes de Controle de Acesso

7. Restringir o Acesso aos Componentes de Sistema e aos Dados do Titular do Cartão por Necessidade de Conhecimento do Negócio.

8. Identificar Usuários e Autenticar o Acesso aos Componentes de Sistema

9. Restringir o Acesso Físico aos Dados do Titular do Cartão.

Monitorar e Testar as Redes Regularmente

10. Registrar e Monitorar Todo o Acesso aos Componentes de Sistema e Dados do Titular do Cartão.

11. Testar a Segurança de Sistemas e Redes Regularmente.

Manter uma Política de Segurança da Informação

12. Apoiar a Segurança da Informação com Políticas e Programas Organizacionais.

Quanto custa estar em conformidade com o PCI DSS?

O custo de alcançar e manter a certificação do PCI DSS nível 1 pode variar significativamente dependendo do negócio, do nível da certificação necessária e a forma como a organização está estruturada.

Alguns, estudos sugerem que o custo da certificação do PCI DSS Nível 1 varia entre $120K e $780K dependendo exatamente do nível desejado a ser alcançado. Para outros níveis, este custo pode ficar entre $500 e $10k por ano.

Como Malga pode ajudar com o PCI DSS?

Malga, além de ser uma empresa com certificação PCI DSS Nível 1, o mais alto e rigoroso nível, conta com uma solução de, tokenização e vault dos dados de cartão que pode ser usada para alcançar a certificação do PCI DSS de uma forma bem mais fácil e rápida.

Esta solução permite que os dados de cartão não cheguem ao seu servidor, diminuindo o escopo de conformidade. Apesar de facilitarmos a certificação do PCI DSS, nenhuma solução consegue eliminar a necessidade do processo de certificação. Se você está procurando uma solução para o seu negócio que permite desacoplar ou reduzir seu escopo do PCI DSS, Malga tem a solução certa para seu negócio.

Você também pode se interessar pelos artigos:


Perguntas frequentes (FAQ):

O que é o PCI DSS?

O Payment Card Industry Data Security Standard é um padrão de segurança internacional desenvolvido pelas maiores bandeiras de cartão de crédito. Ele é necessário para todas as empresas que processam, armazenam ou transmitem dados de cartões.

Por que é importante para empresas que vendem online?

É importante para empresas que vendem online porque o PCI DSS ajuda a proteger os dados de cartão e evitar fraudes e vazamento de informações sensíveis. Ele estabelece diretrizes e requisitos para garantir que as informações de pagamento sejam tratadas de forma segura.

Quais empresas precisam estar em conformidade?

A certificação no padrão PCI DSS é mandatória para todas as entidades que lidam com dados de pagamentos de clientes. Isso inclui qualquer negócio que armazena, processa ou transmite dados sensíveis de cartão de crédito. Os tipos de negócios que precisam estar em conformidade incluem e-commerce, marketplaces, estabelecimentos comerciais e os próprios orquestradores de pagamento.

→ Você também pode se interessar por ler:

Aproveite e leia também: