PCI-DSS: o que é, para que serve e quais os requisitos?

Desde que revolucionou a forma como são realizados pagamentos pelo mundo, o cartão de crédito fez com que o mercado passasse, aos poucos, por processos importantes de transformação e amadurecimento, principalmente do ponto de vista de segurança e prevenção antifraude. Tal cenário fez com que as empresas percebessem a importância de criar mecanismos e protocolos capazes de proteger o mercado contra ameaças de hackers, fraudadores, etc. E este é o caso do PCI-DSS.

O que é PCI-DSS

O PCI-DSS (do inglês Payment Card Industry – Data Security Standard) é um padrão internacional de segurança a ser cumprido por empresas que trabalham, de alguma forma, com cartões de crédito. Ele foi criado por operadoras de grande porte – como Amex, Discover Financial Services e outras – para ser uma espécie de conselho de avaliação de condições de segurança no uso dos cartões de crédito ao redor do mundo.

Com o passar dos anos, o PCI-DSS ganhou notoriedade e credibilidade, sendo reconhecido por muitas companhias como um excelente mecanismo de proteção, o que o tornou uma certificação buscada por muitas empresas, principalmente as que atuam com comércio eletrônico, pelo alto volume de dados de cartões de crédito que trafegam em seus ambientes todos os dias.

Embora não seja, pelo menos por enquanto, um protocolo exigido por lei, o PCI-DSS é exigido por algumas bandeiras de cartão de crédito e altamente recomendável, sendo capaz de trazer vantagens variadas ao modelo de negócio.

Vantagens do PCI-DSS

Além de trazer mais segurança às transações – uma questão sempre latente em transações digitais que envolvem dados de cartões de crédito –, algumas outras vantagens que o PCI-DSS traz são realmente atraentes para o mercado. Veja abaixo alguns exemplos:

Dificulta a fraude

O PCI-DSS faz com que fraudadores tenham muito mais dificuldade para invadir sistemas e roubar dados. Ao se levar em consideração que o roubo de dados de cartão de crédito é o tipo mais comum de fraude e que são inúmeras as maneiras que os criminosos encontram para fazer isso, a certificação é a garantia de cumprimento de alguns passos importantes de proteção.

Traz credibilidade

Se os e-commerces são os que mais precisam estar aderentes ao PCI-DSS, isso acontece porque são os que mais sofrem com problemas de imagem. Afinal de contas, qual cliente não fica receoso de comprar um produto ou contratar um serviço em um site que não transmita confiança?

Quando cumpre protocolos e recebe certificações, uma empresa não protege apenas a si própria, mas também preserva seus clientes, e eles gostam de saber disso. Uma empresa que trabalha corretamente e que garante a melhor experiência aos seus clientes é a que mais tem credibilidade, e este adjetivo é tão importante quanto as ações de marketing nos resultados de vendas.

Compliance

Embora o PCI-DSS não seja uma obrigatoriedade prevista em lei, ele é uma certificação importante para quem deseja, além de segurança, deixar claro que essa é uma preocupação dentro da organização. Em muitas grandes empresas, as equipes de compliance já têm a certificação PCI-DSS como uma exigência para garantir conformidade com regras adotadas pelo mercado.

Requisitos para obter o PCI-DSS

Embora não seja um processo absolutamente simples, obter o PCI-DSS requer alguns passos que podem ser colocados aqui de maneira bem objetiva, principalmente para ajudar no entendimento de quem ainda não está familiarizado com o tema:

Construir e manter uma rede segura

A primeira etapa é utilizar um firewall forte o suficiente para ser efetivo do ponto de vista de segurança, mas que não cause atritos aos usuários. Um ponto fundamental nesta etapa é não utilizar senhas e configurações padrão dos fornecedores.

Proteger as informações dos portadores de cartão

Dados como nome, data de nascimento, telefone, e-mail e números de documentos são muito sensíveis e visados por cibercriminosos. Por isso, precisam ser muito preservados. Usar criptografia na transmissão de dados em redes públicas é uma prática quase que obrigatória.

Manter um programa de gerenciamento de vulnerabilidades

Gerenciar vulnerabilidades é, a grosso modo, conhecer as fraquezas e estar atento a elas. A lógica é a seguinte: as empresas tendem a não proteger o que não consideram vulnerável. Portanto, conhecer e gerenciar vulnerabilidades é um ato de segurança. Utilizar softwares de proteção antivírus, antispywares e malwares sempre atualizados é muito recomendado.

Implementar medidas fortes de controle de acesso

O acesso a dados sensíveis precisa ser controlado, pois, quanto menos pessoas tiverem este acesso e a consequente possibilidade de manipular as informações, mais segurança o processo terá. Designar dados de login únicos e confidenciais para cada usuário de rede e sistema é um caminho que costuma ser bastante efetivo.

Monitorar e testar as redes regularmente

Uma rede segura não é, necessariamente, uma rede que estará sempre segura. Para que isso aconteça, é preciso monitorá-la e testá-la constantemente. Rastrear e monitorar todos os acessos à rede e dados de cartões de crédito também são ações recomendáveis.

Manter uma política de segurança da informação

Estruturar e aplicar uma política de segurança da informação clara e efetiva é fundamental para a proteção de toda e qualquer organização.

Dicas para obter a certificação

Além de cumprir os requisitos citados acima, obter a certificação PCI-DSS pode ficar mais fácil para quem segue algumas dicas práticas. Desenvolver e manter um programa de compliance sustentável, com inclusão de uma cultura de proteção dos dados dentro da organização, é uma boa dica na busca pela segurança contínua.

A partir disso, implementar um programa de conformidade com o PCI-DSS que inclua pessoas, processos e tecnologia, além de políticas e procedimentos, ajudar a promover a busca pela certificação.

Definir as métricas de desempenho, atribuir autoridade para coordenar atividades de segurança, ativar mecanismos de detecção e resposta a falhas e supervisionar o trabalho de fornecedores que atuam com acesso a dados sensíveis também são dicas que certamente irão ajudar.

É claro que o momento e o modelo de negócio de cada empresa são muito importantes na avaliação se a organização quer e precisa obter a certificação PCI-DSS. O mais importante, no entanto, é que a segurança de cada processo nunca seja tratada como algo secundário.

Conteúdo relacionado:

Conheça o Data trust, a solução da ClearSale para a validação inteligente de cadastros.