Conformidade com PCI
O que é conformidade com PCI?
A conformidade da indústria de cartões de pagamento (PCI) é exigida pelas empresas de PCI Security Standards Council.
Principais vantagens
- As empresas que seguem e alcançam os padrões de segurança de dados da indústria de cartões de pagamento (PCI DSS) são consideradas compatíveis com PCI.
- O PCI Security Standards Council é responsável pelo desenvolvimento do PCI DSS.
- O PCI DSS tem 12 requisitos principais, 78 requisitos básicos e 400 procedimentos de teste para garantir que as organizações estejam em conformidade com o PCI.
- Estar em conformidade com o PCI reduz as violações de dados, protege os dados dos titulares do cartão, evita multas e melhora a reputação da marca.
- A conformidade com o PCI não é exigida por lei, mas é considerada obrigatória por meio de precedentes judiciais.
Compreendendo a conformidade com PCI
A precedentes judiciais.
Em geral, a conformidade com o PCI é um componente central do protocolo de segurança de qualquer empresa de cartão de crédito. Geralmente é exigido por empresas de cartão de crédito e discutido em contratos de rede de cartão de crédito.
O PCI Standards Council é responsável pelo desenvolvimento dos padrões para conformidade com o PCI. Esses padrões se aplicam ao processamento comercial e também foram expandidos para definir os requisitos para transações entidades importantes que também estão associadas ao estabelecimento de padrões na indústria de cartão de crédito incluem The Card Association Network e a National Automated Clearing House (NACHA).
Requisitos para conformidade com o PCI
Os padrões de conformidade do PCI exigem que os comerciantes e outras empresas manuseiem as informações do cartão de crédito de maneira segura, o que ajuda a reduzir a probabilidade de o titular do cartão ter informações confidenciais de contas financeiras roubadas. Se os comerciantes não manipularem as informações do cartão de crédito de acordo com os padrões PCI, as informações do cartão podem ser hackeadas e usadas para uma infinidade de ações fraudulentas. Além disso, informações confidenciais sobre o titular do cartão podem ser usadas em fraude de identidade.
Estar em conformidade com o PCI significa aderir de forma consistente a um conjunto de diretrizes estabelecidas pelo PCI Standards Council. A conformidade com o PCI é governada pelo PCI Standards Council, uma organização formada em 2006 com o objetivo de gerenciar a segurança de cartões de crédito.
Os requisitos desenvolvidos pelo Conselho são conhecidos como padrões de segurança de dados da indústria de cartões de pagamento (PCI DSS). O PCI DSS tem 12 requisitos principais, 78 requisitos básicos e mais de 400 procedimentos de teste. As diretrizes também são consideradas práticas recomendadas de segurança. Seus 12 requisitos principais incluem o seguinte:
- Implementar firewalls para proteger os dados
- Proteção de senha apropriada
- Proteja os dados do titular do cartão
- Criptografia de dados transmitidos do titular do cartão
- Utilize software antivírus
- Atualizar o software e manter os sistemas de segurança
- Restringir o acesso aos dados do titular do cartão
- IDs exclusivos atribuídos àqueles com acesso aos dados
- Restringir o acesso físico aos dados
- Criar e monitorar registros de acesso
- Teste os sistemas de segurança regularmente
- Crie uma política que seja documentada e que possa ser seguida
A versão mais recente do PCI DSS foi lançada em maio de 2018 e é conhecida como versão 3.2.1. No geral, os seis objetivos e 12 requisitos descrevem uma série de etapas que os processadores de cartão de crédito devem seguir continuamente. Primeiramente, as empresas são solicitadas a avaliar suas redes e sistemas, que envolvem infraestrutura de tecnologia da informação, processos de negócios e procedimentos de manuseio de cartão de crédito.
Benefícios da conformidade com PCI
A manutenção e avaliação constantes de eventuais lacunas na segurança também são muito importantes para evitar o roubo de informações confidenciais do titular do cartão, como números da previdência social e da carteira de habilitação, sempre que possível.
As empresas são obrigadas a fornecer relatórios de conformidade regularmente como parte de seus acordos de processamento de cartão. O monitoramento, as avaliações e as auditorias dos padrões de segurança de dados da indústria de cartões de pagamento são uma parte importante do departamento de segurança de uma empresa.
Todas as empresas que processam informações de cartão de crédito são obrigadas a manter a conformidade com o PCI, conforme orientado por seus contratos de processamento de cartão. A conformidade com o PCI é o padrão da indústria e os negócios sem ela podem resultar em multas substanciais por violações de contrato e negligência. Sem a conformidade com o PCI, as empresas também são altamente vulneráveis a roubos, fraudes e violações de dados.
95%
A porcentagem deviolaçõesde segurança cibernética causadas por erro humano.
Os benefícios da conformidade incluem a redução do risco de violações de dados, protegendo os dados do titular do cartão, evitando assim chances de roubo de identidade. É uma boa prática que as empresas estejam em conformidade, pois isso reduz multas relacionadas a violações de dados, ajuda a reputação da marca da empresa, mantém os clientes felizes e confiantes de que estão fazendo negócios com uma empresa responsável, levando à fidelidade à marca.
No primeiro semestre de 2020, havia 36 bilhões de registros expostos por meio de violações de dados. Oitenta e seis por cento das violações foram motivadas financeiramente e com a expectativa de que o mercado global de segurança da informação atinja US $ 170 bilhões em 2020, o risco financeiro é ainda maior. Proteger os dados do titular do cartão não é apenas bom para os negócios, mas também a coisa certa a se fazer, garantindo que as pessoas não sejam prejudicadas negativamente ou sofram qualquer perda financeira.
Conformidade com PCI e violações de dados
A conformidade com o PCI ajuda a evitar atividades fraudulentas e mitiga violações de dados. A Verizon fornece uma avaliação anual da segurança de pagamento em seu “Relatório de segurança de pagamento da Verizon”. O Relatório de 2019 dedica uma seção inteira ao PCI DSS, chamada “O estado de conformidade com o PCI DSS, 2019: e os 12 requisitos principais”. Alguns destaques do PCI DSS do “Relatório de Segurança de Pagamentos da Verizon 2019” incluem o seguinte:
- 36,7% das organizações mantinham ativamente programas PCI DSS em 2018.
- A região da Ásia-Pacífico superou o desempenho das Américas, Europa, Oriente Médio e África.
- Do ponto de vista da indústria, a hospitalidade está um pouco atrás de outros setores.
Perguntas frequentes sobre conformidade com PCI
O que significa compatível com PCI?
Compatível com PCI significa que qualquer empresa ou organização que aceita, transmite ou armazena os dados privados dos titulares do cartão está em conformidade com as várias medidas de segurança delineadas pelo PCI Security Standard Council para garantir que os dados sejam mantidos seguros e privados.
A conformidade com o PCI é exigida por lei?
Não há um mandato regulamentar que exija conformidade com o PCI, mas é considerado obrigatório por meio de precedentes judiciais.
Como obtenho compatibilidade com PCI?
Para se tornar compatível com o PCI, você deve primeiro determinar qual questionário de autoavaliação você precisa seguir para se tornar compatível. Depois de terminar o questionário, você precisa preencher e manter evidências de uma varredura de vulnerabilidade aprovada com um fornecedor de varredura aprovado do PCI SSC. A digitalização se aplica a apenas alguns comerciantes. Em seguida, você precisará preencher o Atestado de conformidade. A última etapa será enviar todas as informações acima.
Quem deve ser compatível com PCI?
Qualquer empresa ou organização que aceita, transmite ou armazena os dados privados dos titulares do cartão.
The Bottom Line
A conformidade com o PCI se refere aos padrões técnicos e operacionais definidos pelo PCI Security Standards Council que as organizações precisam implementar e manter. O objetivo de ser compatível com PCI é proteger os dados do portador do cartão e se aplica a qualquer organização que aceite, transmita ou armazene esses dados. Estar em conformidade com o PCI é uma boa prática de negócios, pois coloca a segurança dos dados do consumidor em primeiro lugar e também beneficia uma organização por meio de uma reputação de marca positiva.