Meu negócio Tecnologia

4 razões para se pensar em PCI Compliance

Também conhecido como PCI DSS, o PCI Compliance é o conjunto de controles responsável por garantir a segurança em empresas que processam, armazenam e realizam transações online. Confira as principais razões para a sua empresa se preocupar com PCI Compliance!

PCI Compliance imagem descritiva
Tempo de leitura: 4 minutos

PCI Compliance não é uma novidade para empresas que processam, armazenam e realizam transações online, ou pelo menos não deveria ser. 

Também conhecido como PCI DSS (sigla em inglês para Payment Card Industry Data Security Standard, que significa Padrão de Segurança de Dados da Indústria de Pagamento com Cartão), o PCI Compliance é um conjunto de controles que tem como objetivo principal garantir a segurança tanto quem vende no e-commerce quanto para quem compra.

Com o mercado de pagamentos cada vez mais digital, empresas do segmento se encontram mais expostas em relação à segurança dos dados transacionados em ambientes virtuais. Atualmente, contar com a tão almejada segurança em meios de pagamento online vai muito além de um sistema antifraude ou ferramenta de validação de cadastros. Confira as principais razões para sua empresa implementar o PCI Compliance.

Leia também: Como garantir a segurança dos dados financeiros dos seus clientes

O que é PCI Compliance, afinal?

O PCI Compliance ou PCI DSS, é uma das principais certificações de segurança do mundo. Como dissemos anteriormente, a sigla traduzida do inglês quer dizer Padrão de Segurança de Dados para a Indústria de Cartões de Pagamento.

Isso significa que essa certificação é necessária para todas empresas que processam, armazenam e transmitem dados de cartões pela internet, e é exigida justamente para garantir a segurança desses dados. 

A certificação é regida pelo PCI Security Standards Council (Conselho Padrão de Segurança PCI) e mantida, desde 2006, por um fórum global aberto. Esse conselho foi fundado pelas bandeiras American Express, Discover Financial Services, JCB International, MasterCard e Visa. O processo de certificação engloba requisitos de segurança rígidos como:

  • Testes robustos de segurança para detectar fragilidades de sistema;
  • Processos internos de auditoria;
  • Amplo conhecimento da equipe para o Tier 1 (nível máximo da certificação);
  • Verificação de mais de 20 critérios de blindagem;
  • Scans e pen tests (penetration tests);
  • Auditoria externa homologada.

Existem 4 níveis de certificação PCI:

  • Nível 1: acima de de 6 milhões de transações por ano;
  • Nível 2: entre 1 e 6 milhões de transações por ano;
  • Nível 3: E-commerce – entre 20.000 e 1 milhão de transações por ano;
  • Nível 4: E-commerce – menos de 20.000 por transações por ano. 
PCI Compliance imagem descritiva

Requisitos para uma empresa obter a certificação PCI Compliance

Para que sua empresa receba a PCI Compliance e possa atuar com pagamentos online, é necessário cumprir algumas condições básicas de segurança. A certificação enumera 12 requisitos, que estão distribuídos dentro de 6 grandes objetivos:

1. Manter uma rede segura para o processamento das transações:

  • Utilizar um firewall que seja eficiente e não gere inconveniências para os vendedores e para os compradores;
  • Não utilizar senhas e configurações padrão fornecidas pelos vendedores.

2. Proteger as informações dos titulares de cartão:

  • Garantir a proteção obrigatória dos dados pessoais do titular do cartão, como o número do documento, data de nascimento, telefone e endereço de e-mail, etc.
  • Utilizar criptografia na transmissão de dados dos titulares do pagamento quando a transação for feita em redes públicas.

3. Manter o sistema protegido de hackers:

  • Utilizar antivírus, antispyware e antimalware e mantê-los sempre atualizados;
  • Manter todos os sistemas e aplicações seguros.

4. Controlar o acesso por meio de fortes medidas de proteção:

  • Implementar políticas de privacidade e acesso aos dados dos cartões com base na hierarquia dos empregados da organização;
  • Criar login e senha únicos para cada usuário da rede e do sistema;
  • Restringir qualquer acesso físico e eletrônico aos dados do cartão.

5. Monitorar e testar as redes frequentemente:

  • Rastrear e monitorar todos os acessos à rede e aos dados dos cartões;
  • Testar regularmente a segurança de sistemas e processos.

6.  Implementar uma política de segurança:

  • Definir uma política de segurança que seja seguida e mantida por todos os empregados da organização.

Principais razões para se preocupar com PCI Compliance

Confiabilidade

O principal elemento entre seu negócio e seu cliente é a confiança. Contar com a certificação PCI é ter a garantia de ter processos de segurança validados pela indústria de pagamentos e garantir maior tranquilidade nas vendas. Isso reflete positivamente na experiência de compra dos seus clientes.

Evitar fraudes

Se você recebe pagamentos por meio de cartões de crédito ou conta com um um gateway de pagamentos, a certificação do PCI Compliance não é obrigatória, mas muito recomendada. Se o seu negócio processa pagamentos diretamente com adquirentes (operadoras de cartão) ou utiliza uma solução sem a certificação, corre o risco de estar vulnerável a fraudes e roubos.

Aderência às regras

As regras do PCI Compliance mudam constantemente, o que exige dos gestores uma agilidade para implementação de novas regras para a aderência ao processo de segurança. 

Responsabilidade legal

Quando um dado é violado, como roubo de dados de cartões, a primeira preocupação é ter a certeza que o vazamento não ocorreu em algum ponto frágil do processo de pagamento. Muitas vezes essa responsabilidade se torna legal, o que pode desencadear uma ação jurídica, caso seja comprovado vazamento de dados. É importante garantir que sua empresa não seja responsável por isso.

“A Juno é uma empresa que atende aos requisitos de Segurança e às normas dos órgãos reguladores do mercado financeiro. Somos rígidos em nossos controles e auditorias internas, visando sempre garantir a tranquilidade financeira de nossos clientes em suas transações conosco”, afirma Adriano Pereira, nosso Coordenador de Segurança da Informação e Infraestrutura Cloud.

Gostou de conhecer a principais razões para pensar em PCI Compliance? Deixe um comentário pra gente! 😉