Guias e relatórios

Conformidade com a versão 4.0 do PCI DSS: sua lista de verificação para cumprir os requisitos

Qual é a versão mais recente do PCI DSS? Helen Huyton, Analista de Segurança de Dados de Merchants da Adyen, aborda as mudanças no PCI DSS com a atualização esperada para 31 de março de 2022, as diferenças entre as versões 3.2.1 e 4.0, e como adquirir conformidade com o PCI

Helen Huyton, Merchant Data Security Analyst  ·  Adyen
13 maio, 2022
 ·  6 minutos
Dois colegas à mesa com laptops, engajados em uma conversa amigável.

Aviso de isenção.Este artigo deve ser utilizado unicamente para fins de orientação e não deve ser considerado um aconselhamento definitivo. Consulte sempre seu adquirente ou um avaliador de segurança qualificado (QSA) do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) para obter esclarecimentos. Isso vale principalmente para empresas que processam menos de seis milhões de transações por ano.

O lançamento do PCI DSS 4.0 aconteceu em março deste ano. Trabalhamos bastante nos bastidores para fazer uma avaliação completa do novo padrão. Os clientes da Adyen serão adequadamente informados sobre as principais mudanças, mas estas são as informações mais precisas e atualizadas até este momento.

Desde Cérbero — o cão mitológico que vigiava os portões do submundo — até o cofre de aço de 90 toneladas repleto de ouro do Federal Reserve Bank de Nova York, pode-se dizer que manter bons padrões de segurança sempre foi uma boa tática. E quando o assunto é a segurança dos dados, podemos dizer o mesmo dos benefícios de permanecer atualizado sobre a conformidade com o PCI.

Mas, antes, façamos uma rápida retrospectiva.

O que é o padrão de segurança do PCI?

Você nem imaginava, mas há uma nova versão do PCI DSS a caminho. A versão 4.0 deveria ter sido implementada em meados de 2021, mas o lançamento foi atrasado para 2022. Vejamos rapidamente o que isso significa para, então, abordarmos tudo o que você precisa saber sobre o próximo PCI DSS 4.0.

O PCI DSS é um conjunto de requisitos técnicos e operacionais criados para proteger dados de contas, combater fraudes e reduzir as possibilidades de violações de dados. Lançado em 2006, o PCI DSS foi desenvolvido peloConselho de Padrões de Segurança do PCI(PCI SSC), um organismo independente formado por MasterCard, Visa, American Express, JCB e Discover. O PCI DSS é composto atualmente por12 requisitos essenciais.

Toda organização que interaja com o Ambiente de Dados de Titulares de Cartões (CDE) — que colete, processe, armazene ou transmita dados de contas — deve cumprir o PCI DSS diretamente ou por meio de uma avaliação anual realizada de forma independente ou juntamente com seu QSA. Embora não integre nenhuma legislação, o padrão é aplicável no mundo todo. Deixar de cumprir o PCI DSS pode resultar em violações, multas ou na revogação de privilégios de processamento de cartões de crédito.

Qual o motivo do atraso e quando a versão 4.0 deve ser lançada?

A versão 4.0 do PCI DSS deveria ter sido implementada originalmente no segundo trimestre de 2021, mas foi postergada para o primeiro trimestre de 2022. O motivo do atraso não é nada dramático: o conselho do PCI decidiu obter mais opiniões sobre o novo padrão, e faltava sua documentação; além disso, a atualização do cronograma possibilitou umprocesso de solicitação de comentários (RFC)mais ampliado.

O que muda na versão 4.0 do PCI DSS em relação à 3.2.1?

Reclamaram que havia pontos demais no nome “PCI DSS 3.2.1” e que era preciso dar uma renovada. Estou brincando. Ainda que os 12 requisitos essenciais do PCI DSS permaneçam fundamentalmente os mesmos, as mudanças devem assegurar que dados de contas sejam protegidos de modo adequado e que as empresas saibam claramente suas responsabilidades para que isso ocorra.

A tecnologia evolui, e o mesmo acontece com as táticas e capacidades de ataque de agentes mal-intencionados que tentam comprometer sistemas. Portanto, as diferenças entre as versões 3.2.1 e 4.0 do PCI DSS devem ajustar o padrão às mudanças mais recentes no panorama de segurança, expandir requisitos para algumas áreas de tecnologia novas e proporcionar orientações mais claras para as empresas.

O que é a conformidade com o PCI DSS 4.0?

O padrão completo e seus documentos de apoio ainda serão lançados, mas segue o que sabemos até agora. O Conselho de Padrões de Segurança do PCI estabeleceu quatro objetivos para orientar a criação da versão 4.0. São eles:

  • Assegurar que o padrão siga atendendo às necessidades de segurança do setor de pagamentos.
  • Adicionar flexibilidade e suporte de novas metodologias para atingir a segurança.
  • Incentivar empresas a verem a segurança como um processo contínuo.
  • Tornar métodos e procedimentos de validação mais robustos.

A nova versão do PCI DSS vai incluir uma ampliação de requisitos no desenvolvimento de áreas de segurança e tecnologia, o que incluirá telefones celulares e tablets, pagamentos sem contato, adaptação de nuvem, novas práticas de desenvolvimento de software e maior dependência de terceiros.

Um cronograma para o PCI DSS 4.0

Com a implementação, foi concedido um período de transição para que as organizações se atualizem da versão 3.2.1 para a 4.0. O atual PCI DSS 3.2.1 seguirá vigente por 18 meses quando forem lançados todos os materiais do PCI DSS 4.0, isto é, o padrão em si, seus documentos de apoio (inclusive SAQs, ROCs e AOCs), treinamento e atualizações de programas.

Avaliamos frequentemente todas as informações disponíveis e vamos manter informados — com antecedência — todos os afetados pelo PCI DSS. Nossa equipe também vai participar da reunião da comunidade global do PCI em outubro de 2021 para obter mais detalhes e esclarecimentos.

Como sempre, nós nos antecipamos a toda atualização nos padrões de conformidade no mundo inteiro e trabalhamos lado a lado com todas as partes envolvidas para manter vocês, nós e o mundo um espaço de pagamento mais seguro.

Como se preparar para essas mudanças?

A melhor forma de se preparar para a versão 4.0 é seguir cumprindo o PCI DSS 3.2.1 ou continuar trabalhando para atingir a conformidade com o padrão. Se sua empresa aceita cartões de crédito, ela deve implementar os requisitos aplicáveis a suas atividades definidos pelo PCI DSS e validar anualmente sua conformidade com o padrão.

Você tem algumas opções para validar a conformidade com o PCI DSS 3.2.1:

  1. Responder a um questionário de autoavaliação (SAQ). Vocês podem usar esta opção se processarem anualmente menos de seis milhões de transações por região de adquirente.
  2. Contratar um avaliador de segurança qualificado (QSA) para que preencha um relatório sobre conformidade (RoC) para vocês.

Mais informações sobre esses documentos estão disponíveisaqui.

Essas recomendações podem mudar nos próximos meses, mas vale a pena cumprir o básico desde já.

Lista de verificação dos requisitos do PCI DSS para 2021

Embora não possamos apresentar uma lista de verificação definitiva para cumprir o PCI DSS 4.0 até os próximos meses, seguem algumas dicas de práticas recomendáveis para ter todos os requisitos de segurança alinhados:

  • Não usar nomes de usuários, senhas ou configurações de fábrica predefinidos.
  • Usar senhas fortes e IDs de usuário únicas. Senhas devem ter pelo menos sete caracteres (numéricos, alfabéticos e especiais).
  • Implementar atualizações e correções de softwares assim que lançadas.

Se mantiver sua conformidade e o controle de seu ambiente, sua empresa vai estar preparada para cumprir o PCI DSS 4.0. E vale sempre lembrar que vocês podem buscar orientação conosco a qualquer momento. Vamos estar à disposição para ajudar nesse processo.

Como a Adyen ajuda sua empresa a cumprir o PCI DSS?

A implementação da conformidade com o PCI DSS em sua empresa pode assustar um pouco, especialmente se ela ainda não contar com uma estrutura para proteger adequadamente dados de contas.

Para reduzir o escopo de sua conformidade com o PCI DSS, oferecemos integrações que abordam a maioria dos requisitos do PCI DSS para vocês:

Nosso drop-in ou componentes webrenderizam os cartões disponíveis em sua forma de pagamento e coletam de modo seguro todos os dados de contas e informações sigilosas de cartões para que não tenham contato com seu servidor.

• Para umaintegração de pontos de venda, sua empresa pode usar nossa solução padrão de criptografia de ponta a ponta (E2EE).

Acompanhe este espaço

Mesmo que sua empresa ainda precise proteger dados de contas antes que eles cheguem até nós, estamos sempre à disposição para orientar sobre a direção certa. Portanto, retorne em alguns meses para consultar a próxima atualização ou entre em contato se tiver qualquer dúvida até lá.

Leia a seguir

Guia de conformidade com o PCI DSS

Seu material de desenvolvimento detalhado para cumprir o PCI DSS.

Acesse o guia

Sobre a autora.Helen Huyton orienta comerciantes sobre temas relativos ao PCI DSS com ampla experiência nos riscos envolvidos em cada integração, como mitigá-los e que documentação de validação é exigida para cumprir o PCI.



Inscreva-se para receber nossa newsletter

Mande sua solicitação

Eu confirmo ter lido a Política de Privacidade da Adyen e concordo que meus dados sejam utilizados como descreve o documento.