PCI DSS: tudo o que você precisa saber para manter a conformidade

O PCI DSS é um conjunto de requisitos criados em 2004 pelo Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento (PCI SSC), que inclui as principais bandeiras (Visa, Mastercard, American Express, Discover e JCB).

O PCI DSS possui 12 requisitos técnicos e operacionais criados para proteger os dados dos portadores de cartão e dados sensíveis durante as transações, reduzindo o risco de violações e fraudes. Também oferece outros benefícios, como:

• Criar e manter redes e sistemas seguros

• Proteger os dados da conta

• Manter um programa de gerenciamento de vulnerabilidades

• Implementar medidas eficazes de controle de acesso

• Monitorar e testar redes regularmente

• Manter uma política de segurança da informação

Embora existam outros padrões de segurança relacionados à proteção de dados, o PCI DSS é o principal e obrigatório para comerciantes que operam com transações de cartões.

Os requisitos do PCI DSS se aplicam a:

• Empresas que processam transações com cartões de crédito ou débito

• Empresas que coletam, armazenam ou transmitem dados dos portadores de cartão, incluindo dados sensíveis de autenticação

Dados do portador de cartão incluem o número completo da conta (PAN), nome do portador, data de validade e código de serviço. Dados sensíveis de autenticação são usados para autenticar o titular e autorizar a transação.

Ou seja, todos os envolvidos no processamento de pagamentos (comerciantes, processadores, adquirentes, emissores e prestadores de serviço) devem estar em conformidade com o PCI DSS.

Níveis de conformidade PCI DSS

Estar em conformidade com os requisitos do PCI DSS envolve seguir padrões de segurança abrangentes, projetados para proteger os dados dos portadores de cartão e garantir transações seguras.

A seguir, estão os princípios que fundamentam a conformidade com o PCI DSS, organizados em 12 exigências que todas as empresas devem seguir:

1. Instalar e manter configurações de firewall para proteger dados

2. Não usar padrões de senha fornecidos por fornecedores

3. Proteger dados armazenados

4. Criptografar transmissões de dados em redes públicas

5. Proteger sistemas contra malware e manter antivírus atualizados

6. Desenvolver e manter sistemas e aplicações seguras

7. Restringir acesso aos dados conforme a necessidade do negócio

8. Identificar e autenticar acessos aos componentes do sistema

9. Restringir o acesso físico aos dados

10. Monitorar todos os acessos a recursos e dados

11. Testar sistemas e processos de segurança regularmente

12. Manter uma política de segurança da informação para todos os funcionários

Para estar em conformidade com o PCI DSS, as empresas precisam seguir os requisitos e validar essa conformidade todos os anos, preenchendo o documento correspondente.

As empresas podem optar por:

• Assumir toda a responsabilidade e avaliar por conta própria a conformidade

• Ou trabalhar com um provedor de pagamentos que reduza o escopo de aplicação do PCI DSS

Estar em conformidade com o PCI DSS não é apenas atender às exigências do setor, mas também proteger seu negócio e conquistar a confiança dos clientes. Veja como isso beneficia sua empresa:

• Segurança O PCI DSS ajuda a proteger os dados dos portadores de cartão, reduz as fraudes e minimiza as chances de violações causadas por ataques maliciosos.

• Custos Empresas que não estão em conformidade podem enfrentar multas e taxas significativas impostas pelas bandeiras de cartão.

• Reputação O PCI DSS é um padrão amplamente aceito no setor, o que fortalece a reputação da empresa e mantém a confiança dos clientes. Eles se sentem mais seguros ao saber que a empresa assume a responsabilidade pela segurança, o que aumenta a fidelidade à marca.

As consequências podem ser severas caso uma empresa não siga os requisitos de conformidade do PCI DSS. Sem o devido alinhamento, o risco de violação de dados de pagamento aumenta significativamente, resultando em prejuízos consideráveis — desde danos à reputação até multas elevadas.

A perda de credibilidade por não estar em conformidade pode resultar na perda de clientes. Por isso, é essencial que sua empresa cumpra os padrões de conformidade do PCI previamente definidos. O não cumprimento pode gerar multas que variam de US$ 5.000 a US$ 500.000, dependendo da gravidade da infração.

A Adyen simplifica a conformidade oferecendo integrações seguras que reduzem sua exposição ao PCI DSS:

• Drop-in/componentes/plugins: Essas integrações prontas realizam o processamento dos dados de pagamento nos servidores da Adyen, eliminando a necessidade de sua empresa armazenar ou manipular informações sensíveis dos portadores de cartão.

• Pay by Link: Envie links de pagamento seguros por e-mail ou plataformas de mensagens, permitindo que os clientes concluam a transação em um ambiente seguro, hospedado pela Adyen — mantendo os dados sensíveis fora dos seus sistemas.

• Checkout hospedado: Página de pagamento segura e customizável, hospedada pela Adyen, que processa e armazena todos os dados dos portadores de cartão em sua própria infraestrutura, minimizando suas obrigações com o PCI DSS.

• Pagamentos presenciais (IPP): Terminais de pagamento com criptografia de ponta a ponta garantem que todos os dados dos cartões sejam processados de forma segura pela Adyen, reduzindo suas responsabilidades de conformidade nas transações físicas.

Com essas integrações, sua empresa consegue processar pagamentos com segurança, sem a complexidade de lidar ou armazenar dados sensíveis dos portadores de cartão — reduzindo significativamente o escopo de conformidade com o PCI DSS.

Documentação e suporte

Além das integrações seguras, a Adyen oferece materiais para ajudar empresas a entender e manter a conformidade. Nosso Guia de Conformidade com o PCI DSS traz os principais requisitos e boas práticas para manter sua empresa atualizada com os padrões do setor e segurança.