Os benefícios de segurança das regras PCI DSS

O PCI Security Standards Council é um organização da Indústria de Pagamentos criada para desenvolver e disseminar os padrões de segurança para a proteção de dados. Conheça mais sobre ele nesta entrevista exclusiva.

“Segurança é uma estratégia de negócio”, assim define Carlos Caetano, diretor regional do PCI Security Standard Council, a importância dos e-commerces em estarem de acordo com padrões de segurança da Indústria de Cartões, como o Data Security Standards (PCI DSS). Em entrevista exclusiva ao blog da Adyen, ele conta um pouco sobre os objetivos da organização e das vantagens em proteger os dados de pagamentos seus consumidores.

Neste mês de agosto, você comemora um ano em sua nova posição, levando os esforços do PCI SSC ao Brasil. O que mudou desde então?

Carlos Caetano: No mundo todo, há regiões onde a adesão aos padrões de segurança da Indústria de Cartões está mais ou menos madura. Quando o PCI SSC decidiu vir ao Brasil, foi justamente para desenvolver a conscientização de sua importância. Os resultados são excelentes. Tenho ouvido feedback positivo dos nossos Assessores de Segurança Qualificados (QSAs) e, além disso, acompanho um aumento no volume de empresas que nos procuram.

Qual é o principal objetivo da organização?

CC: Nossa missão é ajudar a proteger os dados de pagamento globalmente, conscientizando e suportado a adoção dos padrões de segurança PCI. Desenvolvemos, publicamos e mantemos estes padrões, educando nosso público sobre cada um deles e quais devem ser utilizados.

A todos os estabelecimentos que manipulam dados de cartão, no Brasil e globalmente, o padrão exigido é o PCI DSS – Data Security Standard. Ele descreve as práticas essenciais para as empresas manterem seus sistemas e ambientes seguros contra o roubo de dados de cartão dos consumidores; além de detectar, mitigar e prevenir ataques e falhas cibernéticas. O PCI DSS é especialmente importante para o mercado de comércio eletrônico.

O padrão PCI DSS tem 11 anos e é resultado do trabalho do Council com grandes bandeiras como American Express, Discovery, JCB, VISA e Mastercard; que unificaram suas regras de segurança para prover um padrão consistente na indústria para as empresas seguirem e melhorarem a proteção dos seus clientes.

Na sua opinião, qual a importância de estar em conformidade com os padrões de segurança PCI DSS?

CC: Um exemplo bastante atual é o aumento de ataques, como os de ransomware: por meio dos quais hackers “sequestram” sistemas usando criptografia e pedem um resgate para restituí-lo. Seguir os padrões de segurança PCI ajudam, inclusive a diminuir vulnerabilidades a este tipo de ameaça. Proteger os dados de pagamento dos clientes contra crimes cibernéticos e comprometimentos é fundamental para fazer negócios. Cada registro de vazamento de dados custa hoje, em média, R$225 para um negócio no Brasil. Mas, é preciso investir em segurança e algumas empresas ainda não veem isso como prioridade.

E Por quê?

CC: Os motivos são diversos: no Brasil, não há legislação que obrigue um estabelecimento a cumprir com um padrão de segurança. Além disso, se a empresa tem seus dados comprometidos, não é obrigada a reportar ou notificar seus clientes. Por fim, e mais importante, é necessário desenvolver a visão de que segurança é uma estratégia de negócio, além de parte crucial do escopo de TI. Se as informações de seus clientes vazarem, sua empresa poderá ser notificada pela bandeira; além de ter a integridade e confiabilidade da sua marca prejudicada.

Então, além de manter sua empresa segura, o PCI DSS protege a imagem da sua empresa?

CC: Sim, e muito mais. Empresas seguras não só estão protegidas contra o crime cibernético e suas consequências, mas manifestam seu compromisso em manter as informações valiosas de seus clientes seguras. Os estabelecimentos investem – com razão – em sistemas antifraude, pois se preocupam com o número de chargeback que causam prejuízos financeiros. Por outro lado, evitar o comprometimento de informações no ambiente da sua loja é – indiretamente – uma  maneira de prevenir o risco. Afinal, sem números de cartões roubados, não há fraude.

Qual o seu conselho para as empresas que já estão se conscientizando da importância de manter padrões de segurança?

CC: Meu conselho é buscar informação sobre como se manter em conformidade, estamos à disposição. Existem muitos mitos em torno das certificações: que é muito caro ou que a lista de exigências é tão longa que fica impossível segui-las. Existem muitas maneiras de diminuir os custos e tamanho do escopo de requerimentos,a contratar uma empresa de tecnologia de pagamentos certificada é uma saída prática. Muitas das demandas de segurança são serviços oferecidos por estas prestadoras de serviço, como tokenização, encriptação ponta a ponta e 3D Secure.

A Adyen está totalmente em conformidade com os padrões de segurança da PCI DSS 3.2, como um provedor de serviços Nível 1, que é o mais alto padrão de segurança do setor de pagamentos. Saiba mais sobre nossas certificações.

 

Identifique e enfrente os maiores riscos

Abordagem priorizada do PCI DSS: trata-se de um roteiro a seguir que tornarão seguros os dados do titular do cartão armazenado, processado ou transmitido pelo seu e-commerce. São seis marcos claros que apresentam uma ordem de prioridade de pontos de atenção para reduzir o risco de violação de dados de pagamento mais cedo. “Seguir o roteiro não aborda tudo no PCI DSS de uma só vez - em vez disso, é uma maneira pragmática de obter ‘ganhos rápidos’ na obtenção de dados de pagamento”, explica Caetano. Saiba mais sobre essa abordagem.

Fique sempre por dentro das novidades sobre pagamentos com a nossa newsletter.

Assine já