Início
|
|
|
O que é conformidade PCI?

O que é conformidade PCI?

A Nuvei reconhece a necessidade da mais alta segurança disponível para proteger nossos comerciantes e seus clientes. Em conformidade com as Normas de Segurança de Dados PCI, atendemos e superamos todos os requisitos estabelecidos como Provedor de Serviços de Nível 1.

A frase "é melhor prevenir do que remediar" se aplica tanto a pagamentos quanto a qualquer outro campo.

A conformidade com o setor de cartões de pagamento (PCI) é uma parte essencial de um programa eficaz de prevenção contra fraudes. Vamos dar uma olhada no que ela é e como funciona.

Mas antes disso, vamos fazer uma breve pesquisa sobre o motivoexato de sua necessidade...

A escala da fraude

O custo médio de uma violação de dados em todo o mundo atingiu o recorde histórico de 4,35 milhões de dólares em 2022.

O Centro Canadense Antifraude (CAFC) registrou 29.500 casos de fraude de identidade somente no Canadá em 2021, em comparação com 20.400 no ano anterior.

E no Reino Unido, 1,3 bilhão de libras esterlinas foram roubadas em fraudes autorizadas ou não autorizadas.

A prevenção desempenhou um papel importante no panorama geral. Por exemplo, bancos e instituições financeiras evitaram 1,4 bilhão de libras esterlinas em fraudes no Reino Unido em 2021.

Mas há muitos desafios que as empresas e o setor de pagamentos enfrentarão nos próximos anos.

Prevê-se que o custo anual mundial do crime cibernético aumente de 6 trilhões de dólares em 2023 para 10,5 trilhões em 2025.

Conformidade com PCI para sua empresa

Como todo empresário, você está ocupado administrando sua empresa e cuidando de um milhão de coisas diferentes todos os dias. Há pouco ou nenhum tempo em seu dia para assuntos que não dizem respeito às operações diárias de sua empresa.

A prevenção de fraudes, no entanto, deve ser uma dessas prioridades cotidianas.

A confiança de seus clientes é um dos ativos mais valiosos de sua empresa. O roubo de dados pessoais pode destruir a confiança e o bom relacionamento que você construiu com seus clientes ao longo dos anos.

Uma violação de dados pode prejudicar seriamente a reputação de sua marca. E há um alto custo associado à violação.

Muitos comerciantes pensam que as violações de dados só acontecem com grandes empresas. Mas, na realidade, a grande maioria das violações de dados de cartão de crédito afetou empresas menores.

É por isso que é tão importante seguir as regras e os regulamentos de conformidade do setor de cartões de pagamento e manter a conformidade o tempo todo.

Caso contrário, você poderá enfrentar uma série de riscos de multas, perda de tempo, perda de clientes, honorários advocatícios e reputação prejudicada...

O que é conformidade com a PCI?

A conformidade com a PCI refere-se à adesão ao Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), um conjunto de requisitos de segurança que visa a proteger os dados do titular do cartão durante as transações.

O Payment Card Industry (PCI), que inclui Visa, MasterCard, American Express e outras marcas líderes de cartões, exige conformidade com o PCI. E os padrões são mantidos pelo PCI Security Standards Council (PCI SSC).

Para obter e manter um certificado de conformidade com a PCI, os provedores de serviços, os bancos e os comerciantes de alto volume precisam seguir diretrizes de segurança rigorosas. E uma avaliação de segurança de terceiros verifica sua conformidade com essas diretrizes.

Quais são os requisitos de conformidade com a PCI?

Há diferentes níveis de requisitos de conformidade com a PCI (veja abaixo, "Há diferentes níveis de conformidade com a PCI?"). E há diferentes categorias de requisitos específicos, incluindo:

  • Principais requisitos (veja abaixo)
  • Requisitos básicos
  • Procedimentos de teste

Elas são atualizadas ocasionalmente, portanto, sempre vale a pena verificar o site oficial do PCI Security Standards Council para obter notícias e informações sobre atualizações.

Os principais requisitos do PCI DSS

Abaixo está uma visão geral de alto nível dos requisitos do PCI em a atualização dos padrões do Vol. 4.0, março de 2022 (veja abaixo, "O que é o PCI DSS v4.0?").

Criar e manter uma rede e sistemas seguros

  1. Instalação e manutenção de controles de segurança de rede
  2. Aplique configurações seguras a todos os componentes do sistema

Proteger os dados da conta

  1. Proteger os dados armazenados da conta
  2. Proteja os dados do titular do cartão com criptografia robusta durante a transmissão em redes abertas e públicas

Manter um programa de gerenciamento de vulnerabilidades

  1. Proteja todos os sistemas e redes contra software malicioso
  2. Desenvolver e manter sistemas e softwares seguros

Implementar medidas rigorosas de controle de acesso

  1. Restringir o acesso aos componentes do sistema e aos dados do titular do cartão de acordo com a necessidade de conhecimento da empresa
  2. Identificar usuários e autenticar o acesso aos componentes do sistema
  3. Restringir o acesso físico aos dados do titular do cartão

Monitore e teste regularmente as redes

  1. Registre e monitore todo o acesso aos componentes do sistema e aos dados do titular do cartão
  2. Teste regularmente a segurança de sistemas e redes

Manter uma política de segurança da informação

  1. Apoiar a segurança da informação com políticas e programas organizacionais

Existem "níveis" diferentes de conformidade PCI?

Sim, há quatro níveis diferentes de conformidade com a PCI para comerciantes. Cada um deles se baseia em um intervalo diferente de volume de transações ao longo de 12 meses.

Consulte a tabela abaixo para ver os diferentes níveis de comerciante, conforme definido pela Visa.

Os 4 níveis de conformidade com a PCI para comerciantes

[Tabela]

Quais são as penalidades por não conformidade?

A não conformidade com os padrões PCI pode custar muito caro...

Os bancos adquirentes enfrentam multas de US$ 5.000 a US$ 100.000 por mês por violações de conformidade com a PCI.

Esses valores podem ser críticos para organizações menores e forçá-las a fechar as portas.

Os comerciantes nem sempre são multados diretamente, mas as penalidades podem afetá-los posteriormente por meio do aumento das taxas de transação ou até mesmo do encerramento dos relacionamentos bancários.

Vantagens da conformidade com o PCI DSS

  1. Previne ou reduz fraudes

A conformidade com a PCI ajuda as empresas a implementar práticas recomendadas que evitarão ou reduzirão fraudes. Esses padrões são atualizados continuamente e incorporam informações de diversos especialistas do setor.

  1. Cria confiança com clientes e parceiros

Saber que sua empresa está em conformidade com a PCI garante aos outros que sua empresa pode manter sistemas seguros.

E alguns parceiros em potencial, especialmente empresas maiores, podem exigir isso.

  1. Cria elegibilidade para regulamentos adicionais

Estar em conformidade com a PCI coloca sua empresa em uma boa posição para estar em conformidade com várias outras estruturas e padrões de conformidade de segurança.

Isso inclui:

  • ISO/IEC 27001
  • GDPR (Regulamento Geral sobre a Proteção de Dados)
  • HIPAA (Health Insurance Portability and Accountability Act)
  • SOC (Controles de sistema e organização)

Isso se deve, em grande parte, ao fato de que alguns aspectos dos bons protocolos de segurança são transferidos.

Desvantagens da conformidade com o PCI DSS

  1. É técnico e complicado

A conformidade com a PCI abrange uma ampla gama de áreas relacionadas ao processamento de pagamentos, incluindo segurança de rede, armazenamento de dados e criptografia.

A implementação de seus requisitos em um alto padrão requer um conhecimento profundo e variado de um campo sofisticado e técnico.

Os padrões de conformidade do PCI DSS também são atualizados periodicamente para lidar com novas ameaças e vulnerabilidades de segurança. Manter-se em conformidade significa manter-se atualizado com essas alterações e sua implementação.

  1. É caro

O custo exato da obtenção da certificação PCI depende do tamanho e da escala de sua organização e do nível de conformidade que você possui.

Além de usar seus recursos internos, isso também requer parcerias com terceiros.

Há estimativas aproximadas de custos médios on-line de várias fontes. Elas tendem a convergir para cerca de US$ 20.000 para pequenas empresas e entre US$ 35.000 e US$ 200.000 para empresas maiores.

Outros custos incluem varredura trimestral de vulnerabilidade externa, varredura de vulnerabilidade interna e testes anuais de penetração externa e interna.

Quantas empresas estão em conformidade com o PCI?

A conformidade com a PCI é obrigatória para todas as organizações que transferem e armazenam dados do titular do cartão.

Em 2017, o diretor-gerente global da Verizon para consultoria de segurança, Rodolphe Simonetti, diretor-gerente global, comentou:

"Embora seja bom ver o aumento da conformidade com o PCI, o fato é que mais de 40% das organizações globais que avaliamos - grandes e pequenas - ainda não estão atendendo aos padrões de conformidade do PCI DSS. Das que passam pela validação, quase metade deixa de estar em conformidade em um ano - e muitas muito antes disso."

Mas, de acordo com um relatório de 2020 da Verizon, as empresas que atingiram os níveis globais completos de conformidade com o PCI DSS aumentaram para 43,4% (de 27,9% em 2019).

A importância de realizar varreduras regulares de vulnerabilidades

No entanto, muitas violações de segurança de dados podem ser evitadas. Elas ainda tendem a ser pouco sofisticadas e podem ser evitadas com defesas básicas sólidas.

Se a sua empresa estiver usando uma conexão IP, você deve realizar uma varredura de vulnerabilidade a cada três meses.

A varredura de conformidade inclui varreduras de vulnerabilidade interna e externa por meio de nosso fornecedor de varredura aprovado (ASV). Ambas as varreduras devem ser realizadas regularmente para garantir que os sistemas de segurança estejam atualizados.

Um scanner de vulnerabilidade é um programa projetados para verificar os pontos fracos de suas redes e encontrar áreas que precisam ser melhoradas. Ele também avalia sua configuração.

O scanner identifica os pontos em que a rede está aberta a comprometimentos, verificando:

  • Portos
  • Dispositivos que podem se conectar remotamente
  • Câmeras de segurança
  • Site

Uma varredura de vulnerabilidade externa procura brechas nos firewalls de sua rede, onde pessoas de fora mal-intencionadas podem entrar e atacar sua rede.

As multas possíveis por violações (consulte acima, "Quais são as penalidades por não conformidade?") podem se tornar críticas para uma empresa menor. Isso poderia até mesmo forçá-la a fechar as portas.

É por isso que é tão importante realizar uma verificação de conformidade regularmente.

É muito mais fácil tomar medidas para evitar a ocorrência de uma violação do que lidar com as consequências posteriores.

Outras perguntas relacionadas à conformidade com a PCI:

A conformidade com a PCI se aplica a quais transações com cartão?

A conformidade com a PCI se aplica a todos os cartões de débito, crédito e pré-pagos com um dos cinco logotipos de marca de associação de cartões (ou marca de cartão) que participam do PCI SSC:

  • American Express
  • Descobrir
  • JCB
  • MasterCard
  • Visa Internacional

O que são exatamente "dados do portador do cartão"?

Os dados do titular do cartão são todas e quaisquer informações armazenadas, processadas ou transmitidas que possam identificar pessoalmente ou ser associadas ao titular do cartão. Isso inclui nome, endereço, número da conta, entre outros.

Onde posso encontrar as normas de segurança de dados PCI (PCI DSS)?

A Nuvei recebeu um certificado de conformidade com o PCI em relação aos requisitos dos métodos de validação do Payment Card Industry (PCI) Data Security Standards (DSS).

Você pode encontrá-los no site do PCI SSC.

O que é o PCI DSS v4.0?

Desde que foi lançado pela primeira vez em 2006, o PCI DSS passou por várias atualizações. O PCI DSS v4.0 é a versão mais recente. Seu desenvolvimento começou em 2017 e foi lançado em 2022.

Ela substitui uma versão anterior (PCI DSS v3.2.1) que também é válida, mas somente até 31 de março de 2024.

Os objetivos declarados do PCI DSS v4.0são:

  • Garantir que o padrão continue a atender às necessidades de segurança do setor de pagamentos
  • Adicionar flexibilidade para dar suporte a diferentes tecnologias que estão sendo usadas para obter segurança
  • Promover a segurança como um processo contínuo
  • Aprimorar os métodos e procedimentos de validação

Um exemplo de um de seus métodos para atender ao primeiro ponto acima foi a introdução da autenticação multifatorial para todos os acessos ao ambiente de dados do titular do cartão (CDE). Isso é um acréscimo aos requisitos existentes de autenticação multifatorial remota.

E se eu só aceitar cartões de crédito por telefone, o PCI ainda se aplica a mim?

Conforme mencionado acima, qualquer empresa que armazene, processe ou transmita dados do titular do cartão deve estar em conformidade com a PCI.

Se meu negócio tem vários locais, preciso validar a conformidade PCI para cada local?

A menos que cada local processe sob um ID fiscal diferente, você só precisa validar uma vez por ano para todos os locais. Também pode ser necessário enviar trimestralmente varreduras de rede de passagem por um fornecedor de varredura aprovado pelo PCI SSC (ASV), se aplicável.

Questionário de autoavaliação (SAQ) de conformidade com a PCI da Nuvei

Nosso questionário de autoavaliação (SAQ) é projetados para ajudar as empresas a criar processos e procedimentos comerciais adequados para manter seguros os dados confidenciais de seus clientes.

Ele consiste em uma lista de perguntas que ajudam os comerciantes a entender os processos corretos da PCI em um nível intuitivo.

Por exemplo:

Os materiais impressos são triturados, incinerados ou despolpados de forma que os dados do titular do cartão não possam ser reconstruídos?

Em sua essência, essa pergunta informa como os materiais impressos devem ser descartados em conformidade com a PCI.

Cada pergunta fornece esclarecimento e orientação e ajuda a criar processos internos e práticas corretas para sua empresa.

Acesse o site do nosso provedor de soluções PCI para fazer o SAQ. O site o guiará pelas etapas e o ajudará a selecionar a categoria certa para a sua empresa.

Conclusão

A escala crescente de fraudes é um sinal sobre a importância da conformidade com a PCI na proteção dos dados do titular do cartão.

A conformidade com a PCI refere-se à adesão ao Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), que é mantido pelo PCI Security Standards Council.

Os requisitos de conformidade com a PCI incluem pontos como:

  • Criação e manutenção de redes e sistemas seguros
  • Proteção de dados de cartões de pagamento
  • Manutenção de um programa de gerenciamento de vulnerabilidades

e mais.

A conformidade com o PCI DSS tem várias vantagens, incluindo a prevenção ou a redução de fraudes, a criação de confiança com clientes e parceiros e a criação de qualificação para regulamentos adicionais.

Entretanto, há também algumas desvantagens. É técnico, complicado e caro, embora o custo exato para obter a certificação dependa do tamanho e da escala da organização.

A não conformidade pode resultar em multas significativas para as instituições financeiras, aumento das taxas de transação ou até mesmo o encerramento do relacionamento bancário de seus clientes.

Para manter a conformidade, as empresas devem realizar varreduras regulares de vulnerabilidade para identificar e solucionar os pontos fracos de suas redes.

O uso de um questionário de autoavaliação (SAQ) pode ajudar as empresas a entender e implementar processos adequados de PCI.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Posts recentes
NAVEGAR POR CATEGORIA
CRESCIMENTO POR TAGS

Pagamentos projetados para acelerar seus negócios

saiba mais
Soluções
Características
empresa
contato
Linkedin Facebook X Logotipo do Twitter - Brandlogos.net Instagram Youtube Estrela
centro de ajuda
Nuvei é a plataforma de pagamentos global desenvolvida para acelerar o seu negócio. Nossa tecnologia modular, flexível e escalável permite que empresas ofereçam todos os métodos de pagamentos, tecnologias e insights para terem sucesso local e globalmente, tudo em uma única plataforma.
Copyright © Nuvei - Todos os direitos reservados 2024.