Centro de conhecimento
Guias e relatórios

Padrão PCI: tudo o que você precisa saber

Cássia Pinheiro, Head de Risco & Compliance da Adyen para a América Latina, explica o que é o PCI e conta como trabalhar em conformidade com o padrão de segurança não precisa ser uma dor de cabeça

Cassia Pinheiro  ·  Adyen
19 março, 2020
 ·  6 minutos
Ilustração de um cartão

Aviso legal:Este artigo deve ser utilizado apenas como um guia e não como uma diretriz final. Sempre consulte o seu adquirente ou um assessor de segurança qualificado do PCI em caso de dúvidas. Tenha em mente que este texto é mais relevante para empresas que processam menos de 6 milhões de transações.

Você sabia que apenas nos últimos dois anos foram gerados 90% dos dados que existem no planeta? A explicação está no avanço da tecnologia: é só pensar que se há 20 anos precisávamos racionar um filme fotográfico de 36 poses para registrar um aniversário, hoje tiramos 4 fotos iguais para garantir que ninguém sairá de olho fechado.

Mas com grandes poderes, vêm grandes responsabilidades. Números do Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI SSC) mostram que vazamento de dados geram em média um prejuízo de US$3,8 milhões. Por isso, é importante saber como proteger o seu negócio desses imprevistos.

É claro que a investir em segurança de dados é desafiador, afinal empresários dificilmente tem o conhecimento ou mesmo o tempo necessários para mergulhar no assunto com destalhes. Eles preferem usar o seu tempo para expadir o negócio. 

Mas quando falarmos em má gestão de informações de cartão de crédito, especificamente, é importante lembrar que as consequências podem ser sérias. É simples: se algo quebrar o elo de confiança entre você e seu cliente, todo o investimento feito em seu negócio vai por água abaixo.

Mas não se preocupe: manter os dados em segurança e trabalhar em conformidade com o PCI pode ser mais fácil do que você imagina.

Neste artigo, nós te contamos tudo o que aprendemos ao expandir nosso negócio encarando sempre a segurança das informações como prioridade. Vamos também te dar dicas de como construir um negócio sustentável que seja bem-sucedido não só hoje, mas a longo prazo. Vamos lá?


Resumão para quem só tem 2 minutos

O que é o PCI?

  • Nome: Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS).
  • Criado por: Conselho do Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI SSC).
  • Objetivo: Prevenir o roubo de informações de portadores do cartão de crédito e débito.

O que preciso fazer para operar em conformidade com o PCI?

Você precisará cumprir alguns requisitos exigidos pelo PCI DSS a seu setor de atuação específico, e também preencher alguns poucos formulários.

Abaixo, nós falamos do formulário mais comum, chamado 'Questionário de Auto Avaliação A' ou ‘SAQ A’ (sigla em inglês). O SAQ A tem como objetivo te ajudar a entender quais mudanças você precisa implementar.

Para te dar uma mãozinha, elencamos abaixo os três pilares de práticas de segurança que você precisa conhecer e colocar em prática.

  1. Não use nomes de usuário e senhas predefinidos, nem configurações de fábrica.
  2. Use senhas fortes e IDs de usuários únicos. As senhas devem ter ao menos sete caracteres (incluindo números, letras e caracteres especiais).
  3. Atualize seus softwares assim que novos updates de segurança forem disponibilizados.

Como nós podemos ajudar? 

Só você pode preencher o formulário SAQ A, mas nós sempre podemos ajudar quando surgirem dúvidas em relação a compliance ou ao preenchimento desses documentos. Sinta-se livre paraentrar em contato com a genteem caso se tiver perguntas e dê uma olhada no nossoFAQ sobre PCI (página em inglês).


Uma breve introdução ao PCI DSS

Para proteger as informações do portador do cartão, reduzir fraude e minimizar as chances de vazamento de dados resultantes de ataques maliciosos, o PCI SSC implementou alguns requerimentos técnicos e operacionais.

Essas exigências se aplicam a toda empresa que coleta, processa, armazena ou transmite dados de cartão. A elas se dá o nome de PCI DSS, sigla para Padrão de Segurança de Dados da Indústria de Cartões de Pagamento.

Todo negócio que aceita pagamentos via cartão de crédito precisa operar em conformidade com o PCI DSS. E mesmo se o padrão não for exigido pela lei local, ele será requerido ao redor do mundo.

É importante lembrar que as empresas precisam garantir anualmente que estão trabalhando em conformidade com o padrão preenchendo os documentos de validação oficiais do PCI SSC.

E existem multas expressivas e outros valores cobrados de organizações que não estejam cumprindo as exigências.

Por outro lado, as bandeiras de cartão de crédito podem diminuir multas para empresas que tiverem tomado todas as medidas requeridas pelo padrão de segurança.

Imagem mostrando 7 passos para estar em conformidade com o PCI DSS

7 passos para estar em conformidade com o PCI DSS

1. Mapeie o fluxo de dados do portador do cartão

Crie um diagrama para mapear o fluxo dos dados do portador do cartão. Isso inclui aplicativos, sistemas e pessoas que trabalham com dados de cartão de crédito, incluindo também provedores de serviço. O time de TI pode te ajudar com essa tarefa.

2. Analise o seu escopo 

O escopo é a identificação das pessoas, processos e tecnologias que interagem ou podem impactar a segurança dos dados do portador do cartão. Você encontra mais informaçõesaqui (link em inglês).

3. Faça uma autoavaliação

Avalie o seu nível de conformidade com o PCI preenchendo o formulário SAQ A. 

4. Faça as mudanças necessárias 

Se descobrir que sua empresa tem uma vulnerabilidade específica, faça das melhorias de segurança uma prioridade.

5. Preencha o Questionário de Autoavaliação A

O formulário deve ser preenchido e assinado por um profissional qualificado em questões de segurança, como o diretor de segurança ou de tecnologia.

6. Envie os documentos para a Adyen

Quando tiver terminado de preencher os documentos, mande tudo para a gente.

7. Estabeleça um monitoramento regular

Garanta um monitoramento constante às regras de compliance. Lembre-se que o PCI não é um algo pontual, mas sim um processo contínuo.

Não esqueça dos pagamentos

Se uma pessoa mal intencionada conseguir acesso a seu site, ela terá a faca e o queijo para enganar compradores.

Ela pode, por exemplo, criar um conteúdo alternativo para os seus componentes, ou colocar um IFrame sobre o IFrame já existente. Em ambos os cenários, quando o cliente concluir o pagamento, uma cópia de seus dados do cartão será enviada ao hacker.

Mas os riscos associados às transações podem ser significativamente reduzidos com a implementação dos requerimentos detalhados no SAQ A.

Preenchendo os documentos

Pode parecer complexo em um primeiro momento, mas as etapas para completar a documentação não são complicadas.

Um dos últimos passos é completar um questionário de autoavaliação. O melhor é preenchê-lo assim que possível já que o seu provedor de pagamentos não poderá realizar essa tarefa por você.

Os documentos exigidos dependem da integração. Se você é cliente da Adyen, veja mais detalhes em nossadocumentação. Ali você encontra uma explicação detalhada dos formulários que precisa preencher.

Lembrando que esses formulários se aplicam a empresas que processam menos de 6 milhões de transação por ano.

Sabemos que você tem muito a fazer, e que na correria a segurança de dados pode ser deixada de lado. Mas trabalhar em conformidade com o PCI não precisa ser uma dor de cabeça.

Nós oferecemos diversas soluções de criptografia em nossa plataforma, que é segura e totalmente compliant ao PCI.

Assim, você nunca terá acesso a dados de cartão desprotegidos, evitando trabalho e riscos adicionais. 

Qual é o futuro do PCI?

A versão 4 do PCI será lançada ainda este ano. Mas não se preocupe: nós estamos acompanhando todas as novidades sobre padrões de segurança ao redor do mundo. A Adyen trabalha com todas as partes envolvidas para manter você, nós mesmos e todo o mercado mais seguro.

Leia também

Guia de compliance PCI DSS

Veja tudo o que você precisa saber sobre a conformidade com o PCI DSS na nossa página de documentação (conteúdo em inglês).

Acessar o guia

Sobre a autora:Cássia Pinheiro ajuda empresas a lidar com questões relacionadas ao PCI DSS, em especial aquelas envolvendo risco de integração, como mitigar ameaças e requerimentos para trabalhar em conformidade com o PCI.




Inscreva-se para receber nossa newsletter

Mande sua solicitação

Eu confirmo ter lido a Política de Privacidade da Adyen e concordo que meus dados sejam utilizados como descreve o documento.