PCI DSS 3.2 – O que você precisa saber

O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) é um grupo de exigências feitas para garantir que todas as companhias que processam, armazenam ou transmitem informações de cartões crédito mantenham um sistema seguro.

A cada três anos, o PCI DSS passa por uma revisão significativa feita em consultoria com os principais stakeholders da indústria de cartões. O propósito destas atualizações é oferecer esclarecimentos e orientações adicionais sobre as exigências atuais e introduzir as novas regras que prevenirão contra ameaças de segurança.

Em janeiro de 2015, o PCI DSS 3.1 foi lançado, e agora evoluiu para a versão 3.2, que já está disponível. Se você estiver atualmente renovando seus documentos de PCI, deverá mudar para a 3.2, uma vez que a versão anterior irá expirar em outubro de 2016 e a Adyen não a aceitará mais.

Leia também: Tudo que você precisa saber sobre PCI DSS

Se você não utiliza a plataforma da Adyen, poderá fazer o download do Guia PCI ou o Guia Rápido de referências no próprio site da organização. Se você já usa a tecnologia da Adyen, veja a seguir como se adaptar para a nova versão.

O PCI DSS é separado em níveis, com diferenças regras para cada um deles. Seu nível é definido pelo tipo de integração com a Adyen. Para as principais integrações da Adyen, as exigências são as seguintes:

· Adyen Hosted Payment Page - Com nossa solução de HPP, todo o processo de pagamento é terceirizado para a Adyen, por isso, não é exigido o preenchimento de um SAQ.

·      Adyen Client Side Encryption -  Já com a nossa solução CSE, os clientes deverão preencher a versão 3.2 do SAQ A, questionário de autoavaliação. Este documento é composto de uma lista de perguntas sobre suas práticas de segurança para as quais deve ser respondido sim/não ou desenvolver a resposta de acordo com a complexidade de uma situação particular de negócio.

Para empresas que usam a API direta da Adyen é preciso estar em conformação com os níveis 1 ou 2 do PCI DSS, dependendo do volume de pagamento processado. Isso significa que você precisa:
·      Preencher o SAQ D v3.2
·      Passar por uma avaliação trimestral com um Fornecedor Aprovado de Varreduras, que inclui uma visita local de um consultor de segurança qualificado.

Um dos objetivos do PCI DSS 3.2 é garantir que o navegador está enviando os dados de pagamentos encriptados para a plataforma da Adyen de maneira segura (sem que eles sejam interceptados por mais ninguém). Como a chave de encriptação disponibilizada pela Adyen para o cliente CSE nunca fica disponível e não pode ser usada para decodificar as informações do titular do cartão, o objetivo é cuidar da integridade do e-commerce.

Para saber mais sobre as integrações, exigências e consequências de não estar de acordo com as regras da PCI, preparamos um documento detalhado sobre a versão 3.2 do PCI DSS que está disponível para download, clique e baixe já o seu Guia.

Baixe agora