Conformidade com a versão 4.0 do PCI DSS: sua lista de verificação para cumprir os requisitos

O lançamento do PCI DSS 4.0 aconteceu em março deste ano. Trabalhamos bastante nos bastidores para fazer uma avaliação completa do novo padrão. Os clientes da Adyen serão adequadamente informados sobre as principais mudanças, mas estas são as informações mais precisas e atualizadas até este momento.

Desde Cérbero — o cão mitológico que vigiava os portões do submundo — até o cofre de aço de 90 toneladas repleto de ouro do Federal Reserve Bank de Nova York, pode-se dizer que manter bons padrões de segurança sempre foi uma boa tática. E quando o assunto é a segurança dos dados, podemos dizer o mesmo dos benefícios de permanecer atualizado sobre a conformidade com o PCI.

Mas, antes, façamos uma rápida retrospectiva.

Você nem imaginava, mas há uma nova versão do PCI DSS a caminho. A versão 4.0 deveria ter sido implementada em meados de 2021, mas o lançamento foi atrasado para 2022. Vejamos rapidamente o que isso significa para, então, abordarmos tudo o que você precisa saber sobre o próximo PCI DSS 4.0.

O PCI DSS é um conjunto de requisitos técnicos e operacionais criados para proteger dados de contas, combater fraudes e reduzir as possibilidades de violações de dados. Lançado em 2006, o PCI DSS foi desenvolvido peloConselho de Padrões de Segurança do PCI(PCI SSC), um organismo independente formado por MasterCard, Visa, American Express, JCB e Discover. O PCI DSS é composto atualmente por12 requisitos essenciais.

Toda organização que interaja com o Ambiente de Dados de Titulares de Cartões (CDE) — que colete, processe, armazene ou transmita dados de contas — deve cumprir o PCI DSS diretamente ou por meio de uma avaliação anual realizada de forma independente ou juntamente com seu QSA. Embora não integre nenhuma legislação, o padrão é aplicável no mundo todo. Deixar de cumprir o PCI DSS pode resultar em violações, multas ou na revogação de privilégios de processamento de cartões de crédito.

A versão 4.0 do PCI DSS deveria ter sido implementada originalmente no segundo trimestre de 2021, mas foi postergada para o primeiro trimestre de 2022. O motivo do atraso não é nada dramático: o conselho do PCI decidiu obter mais opiniões sobre o novo padrão, e faltava sua documentação; além disso, a atualização do cronograma possibilitou umprocesso de solicitação de comentários (RFC)mais ampliado.

Reclamaram que havia pontos demais no nome “PCI DSS 3.2.1” e que era preciso dar uma renovada. Estou brincando. Ainda que os 12 requisitos essenciais do PCI DSS permaneçam fundamentalmente os mesmos, as mudanças devem assegurar que dados de contas sejam protegidos de modo adequado e que as empresas saibam claramente suas responsabilidades para que isso ocorra.

A tecnologia evolui, e o mesmo acontece com as táticas e capacidades de ataque de agentes mal-intencionados que tentam comprometer sistemas. Portanto, as diferenças entre as versões 3.2.1 e 4.0 do PCI DSS devem ajustar o padrão às mudanças mais recentes no panorama de segurança, expandir requisitos para algumas áreas de tecnologia novas e proporcionar orientações mais claras para as empresas.

O padrão completo e seus documentos de apoio ainda serão lançados, mas segue o que sabemos até agora. O Conselho de Padrões de Segurança do PCI estabeleceu quatro objetivos para orientar a criação da versão 4.0. São eles:

A nova versão do PCI DSS vai incluir uma ampliação de requisitos no desenvolvimento de áreas de segurança e tecnologia, o que incluirá telefones celulares e tablets, pagamentos sem contato, adaptação de nuvem, novas práticas de desenvolvimento de software e maior dependência de terceiros.

Com a implementação, foi concedido um período de transição para que as organizações se atualizem da versão 3.2.1 para a 4.0. O atual PCI DSS 3.2.1 seguirá vigente por 18 meses quando forem lançados todos os materiais do PCI DSS 4.0, isto é, o padrão em si, seus documentos de apoio (inclusive SAQs, ROCs e AOCs), treinamento e atualizações de programas.

Avaliamos frequentemente todas as informações disponíveis e vamos manter informados — com antecedência — todos os afetados pelo PCI DSS. Nossa equipe também vai participar da reunião da comunidade global do PCI em outubro de 2021 para obter mais detalhes e esclarecimentos.

Como sempre, nós nos antecipamos a toda atualização nos padrões de conformidade no mundo inteiro e trabalhamos lado a lado com todas as partes envolvidas para manter vocês, nós e o mundo um espaço de pagamento mais seguro.

A melhor forma de se preparar para a versão 4.0 é seguir cumprindo o PCI DSS 3.2.1 ou continuar trabalhando para atingir a conformidade com o padrão. Se sua empresa aceita cartões de crédito, ela deve implementar os requisitos aplicáveis a suas atividades definidos pelo PCI DSS e validar anualmente sua conformidade com o padrão.

Você tem algumas opções para validar a conformidade com o PCI DSS 3.2.1:

Mais informações sobre esses documentos estão disponíveisaqui.

Essas recomendações podem mudar nos próximos meses, mas vale a pena cumprir o básico desde já.

Lista de verificação dos requisitos do PCI DSS para 2021

Embora não possamos apresentar uma lista de verificação definitiva para cumprir o PCI DSS 4.0 até os próximos meses, seguem algumas dicas de práticas recomendáveis para ter todos os requisitos de segurança alinhados:

Se mantiver sua conformidade e o controle de seu ambiente, sua empresa vai estar preparada para cumprir o PCI DSS 4.0. E vale sempre lembrar que vocês podem buscar orientação conosco a qualquer momento. Vamos estar à disposição para ajudar nesse processo.

A implementação da conformidade com o PCI DSS em sua empresa pode assustar um pouco, especialmente se ela ainda não contar com uma estrutura para proteger adequadamente dados de contas.

Para reduzir o escopo de sua conformidade com o PCI DSS, oferecemos integrações que abordam a maioria dos requisitos do PCI DSS para vocês:

•Nosso drop-in ou componentes webrenderizam os cartões disponíveis em sua forma de pagamento e coletam de modo seguro todos os dados de contas e informações sigilosas de cartões para que não tenham contato com seu servidor.

• Para umaintegração de pontos de venda, sua empresa pode usar nossa solução padrão de criptografia de ponta a ponta (E2EE).

Mesmo que sua empresa ainda precise proteger dados de contas antes que eles cheguem até nós, estamos sempre à disposição para orientar sobre a direção certa. Portanto, retorne em alguns meses para consultar a próxima atualização ou entre em contato se tiver qualquer dúvida até lá.