Aprendizado e descoberta 4min de Leitura - 05 de maio de 2022

PCI: a certificação de segurança digital dos cartões de crédito

PCI segurança cartões de crédito

This post is also available in: Português

Ainda que hoje os cartões de crédito sejam tão presentes no dia a dia, não é de hoje que são atrativos também para os cibercriminosos. Afinal, são fontes riquíssimas de informações e recursos financeiros, por isso vivem sob ataques frequentes.

Por isso é que existe há mais de 15 anos o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS). É um conjunto de padrões de segurança criado por grandes nomes do mercado, como Visa, MasterCard, Discover Financial Services, JCB International e American Express. Gerenciado pelo Payment Card Industry Security Standards Council (PCI SSC), a certificação tem o objetivo de proteger as transações com cartão de crédito e débito contra roubo de dados e fraude.

Nesse contexto, o PCI é essencial para qualquer empresa que processa transações com cartão de crédito ou débito. A certificação também é considerada uma das melhores maneiras de proteger dados e informações confidenciais.

Como funciona o PCI?

A certificação PCI garante a segurança dos dados de cartões por meio de um conjunto de requisitos estabelecidos pelo PCI SSC. Isso inclui várias práticas recomendadas já muito conhecidas, tais como implementação de produtos para segurança de perímetro de rede, tais como firewalls, criptografia em transmissões de dados, produtos para segurança de endpoints, além da implementação de controles e processos para garantir a proteção dos dados.

Assim, ter um nível de segurança compatível com o que exige o PCI acaba mostrando aos clientes que a empresa está segura para realizar transações. Afinal, em um eventual vazamento de dados em locais sem a certificação, o custo do incidente em si e a mancha na reputação da empresa tornam-se imensos – o que leva os gestores a levar a sério a segurança dos dados.

Uma violação de dados que revele informações confidenciais dos clientes muito provavelmente terá repercussões graves. É algo que pode resultar em multas por operadoras de cartões, ações judiciais, diminuição nas vendas e comprometimento da imagem perante o mercado.

Depois de sofrer um ataque, uma empresa pode ter que deixar de aceitar transações com cartão de crédito, ou ser forçada a pagar taxas subsequentes mais altas do que o custo inicial de conformidade de segurança. O investimento em procedimentos de segurança PCI contribui muito para garantir que outros aspectos do negócio estejam protegidos contra cibercriminosos.

Níveis de milhões

A conformidade com o PCI é dividida em quatro níveis, com base no número anual de transações com cartão de crédito ou débito. O nível de classificação determina o que uma empresa precisa fazer para permanecer em conformidade.

  • Nível 1:

Aplica-se a quem processa anualmente mais de 6 milhões de transações com cartão de crédito ou débito. Conduzidos por um auditor PCI autorizado, devem passar por uma auditoria interna uma vez por ano. Além disso, uma vez por trimestre precisam se submeter a uma varredura PCI por um Fornecedor de Varredura Aprovado (ASV).

  • Nível 2:

feito para quem processa entre 1 e 6 milhões de transações com cartão de crédito ou débito por ano. São obrigados a fazer uma avaliação uma vez por ano usando um Questionário de Autoavaliação (SAQ). Além disso, uma varredura PCI trimestral pode ser necessária.

  • Nível 3:

destinado a empresas que processam entre 20 mil e 1 milhão de transações. Elas devem completar uma avaliação anual usando o SAQ relevante. Uma varredura PCI trimestral também pode ser necessária.

  • Nível 4:

é para os negócios que processam menos de 20 mil transações a cada doze meses. Uma avaliação anual usando o SAQ relevante deve ser concluída e uma varredura PCI trimestral pode ser necessária.

Requisitos do PCI

Os organizadores do PCI SSC determinaram 12 requisitos para lidar com os dados dos titulares dos cartões e manter uma rede segura. Distribuídos entre seis objetivos mais amplos, todos são necessários para que uma empresa se torne compatível.

* Objetivo 1: Rede segura

  • Requisito 1: Uma solução de firewall deve ser implementada e mantida
  • Requisito 2: As senhas do sistema devem ser originais (não fornecidas pelo fornecedor)

* Objetivo 2: Dados seguros

  • Requisito 3: Os dados armazenados do titular do cartão devem ser protegidos
  • Requisito 4: As transmissões de dados do titular do cartão em redes públicas devem ser criptografadas

* Objetivo 3: Gerenciamento de vulnerabilidades

  • Requisito 5: Soluções de segurança endpoint devem ser implementadas e atualizadas regularmente
  • Requisito 6: Sistemas e aplicativos devem respeitar critérios e segurança e serem atualizados

* Objetivo 4: Controle de acesso

  • Requisito 7: O acesso aos dados do titular do cartão deve ser restrito
  • Requisito 8: Cada pessoa deve possuir ID exclusivo para acesso aos dispositivos
  • Requisito 9: O acesso físico aos dados dos titulares dos cartões deve ser restrito

* Objetivo 5: Monitoramento e testes de rede

  • Requisito 10: O acesso aos dados dos titulares dos cartões e recursos de rede devem ser rastreados e monitorados
  • Requisito 11: Os sistemas e processos de segurança devem ser testados regularmente

* Objetivo 6: Segurança da informação

  • Requisito 12: Deve ser mantida uma política de segurança da informação

Firewalls

Desde sua formação, o PCI DSS passou por várias atualizações para acompanhar as mudanças no cenário de ameaças online. Embora as regras básicas de conformidade tenham permanecido as mesmas, novos requisitos são adicionados periodicamente.

Uma das mais significativas dessas adições foi o Requisito 6.6, introduzido em 2008. Ele foi estabelecido para proteger os dados contra alguns dos vetores de ataque de aplicativos da Web mais comuns, incluindo injeções de SQL, RFIs e outras entradas maliciosas. Usando esses métodos, os criminosos podem obter acesso a uma série de dados, incluindo informações confidenciais dos clientes.

Atingir esse requisito é algo que pode ser feito por meio de revisões de código do aplicativo, ou pela implementação de um WAF (Web Aplication Firewall).

A primeira opção inclui uma revisão manual do código-fonte do aplicativo da Web, juntamente com uma avaliação de vulnerabilidade da segurança do aplicativo. Requer um recurso interno qualificado ou um terceiro para executar a revisão, enquanto a aprovação final deve vir de uma organização externa.

Além disso, o revisor designado deve manter-se atualizado sobre as últimas tendências em segurança de aplicativos da Web para garantir que todas as ameaças futuras sejam tratadas adequadamente.

Como alternativa, as empresas também podem investir em soluções de WAF para inspeciona todo o tráfego de entrada e filtra ataques, evitando comprometimento das aplicações utilizadas.

This post is also available in: Português