Se a sua empresa é responsável por lidar com pagamentos com cartão de crédito, a conformidade com o PCI DSS é uma parte essencial da proteção dos dados dos cartões de pagamento dos clientes e da proteção da sua própria empresa contra as consequências devastadoras de uma violação de dados.

A infeliz realidade é que a fraude com cartões de crédito continua a aumentar e, de acordo com a Consumer Sentinel Network da Federal Trade Commission, as denúncias de fraude com cartões de crédito aumentaram 104% entre o primeiro trimestre de 2019 e o primeiro trimestre de 2020.

A proteção dos dados do titular do cartão nunca foi tão importante e o PCI DSS estabelece as bases para manter as medidas de segurança rigorosas necessárias para proteger estes dados sensíveis. O nosso guia para a conformidade com o PCI DSS ajuda a explicar como funciona o PCI DSS, a quem se aplica e quais os passos necessários para estar em conformidade.

O que é o PCI DSS?

O Payment Card Industry Data Security Standard (PCI DSS) é um conjunto de normas de segurança concebido para reduzir o risco de fraude com cartões de crédito e aumentar a segurança dos dados dos cartões de pagamento. Foi fundada em 2004 pelas quatro principais empresas de cartões de crédito: Visa, Mastercard, Discover e American Express. O PCI DSS evoluiu ao longo dos anos e é agora regulado pelo PCI Security Standards Council (PCI SSC). O PCI SSC define e gere as normas, enquanto a conformidade é imposta pelas empresas de cartões de crédito individuais.

Quem é afetado pelo PCI DSS?

O PCI DSS aplica-se a qualquer organização que armazene, processe ou transmita dados do titular do cartão. Para determinar os requisitos de conformidade que se aplicam a empresas individuais, o PCI SCC criou um sistema de quatro níveis que classifica as empresas com base na dimensão das transacções e no risco.

Nível 1 – Comerciantes que processam mais de 6 milhões de transacções por ano, ou aqueles que tiveram dados comprometidos no passado.

Nível 2 – Comerciantes que processam entre 1 e 6 milhões de transacções por ano.

Nível 3 – Comerciantes que processam entre 20.000 e 1 milhão de transacções por ano.

Nível 4 – Comerciantes que processam menos de 20.000 transacções por ano.

Apesar da criação de vários níveis, os requisitos continuam a ser os mesmos para todos os comerciantes e fornecedores de serviços, em todos os sectores.

Conformidade com o PCI DSS

Como é que os dados do titular do cartão podem ser comprometidos?

Para obter acesso aos dados sensíveis do titular do cartão, os cibercriminosos tentarão explorar quaisquer vulnerabilidades de segurança nos teus sistemas operativos e dispositivos. Isto pode ser feito através de:

  • Leitores de cartões

  • Sistema de ponto de venda

  • Base de dados do sistema de pagamento

  • Redes de armazenamento

  • Portais em linha

  • Rede sem fios

  • Registos em papel

Quais são os 12 requisitos de conformidade com o PCI DSS?

O PCI DSS contém 12 requisitos concebidos para proteger os dados do titular do cartão e evitar violações de dados. Estas normas não se aplicam apenas aos comerciantes, mas a qualquer outra empresa que armazene, processe ou transmita dados do titular do cartão.

1. Instala e mantém uma configuração de firewall para proteger os dados do titular do cartão

Uma firewall é um dispositivo de segurança de rede que monitoriza o tráfego de rede de entrada e saída e decide se deve bloquear tráfego específico com base num conjunto definido de regras de segurança. É a tua primeira linha de defesa contra ameaças à segurança e deve ser regularmente testada, gerida e actualizada.

2. Não utilizes as predefinições fornecidas pelo fornecedor para as palavras-passe do sistema e outros parâmetros de segurança

Os cibercriminosos utilizam frequentemente palavras-passe e definições predefinidas para comprometer os sistemas. É essencial que alteres imediatamente todas as credenciais predefinidas antes de introduzires novos sistemas na tua rede.

3. Protege os dados armazenados do titular do cartão

A proteção dos dados do titular do cartão, quer estejam em formato físico ou digital, é crucial para cumprir o PCI DSS. Os cibercriminosos visam frequentemente os dados armazenados do titular do cartão e utilizam-nos para efetuar transacções fraudulentas. Quando os dados do titular do cartão tiverem de ser armazenados, deves garantir que as medidas de segurança corretas estão em vigor para cumprir os diferentes requisitos legais, regulamentares e de conformidade.

4. Encripta a transmissão dos dados do titular do cartão através de redes abertas e públicas

Quando os dados do titular do cartão são transmitidos através de redes facilmente acessíveis, os cibercriminosos podem tentar intercetar os dados. Para garantir que os dados estão seguros e protegidos, devem ser encriptados com criptografia forte e protocolos de segurança, como Secure Shell (SHH), IPSec e Transport Layer Security (TLS).

5. Utiliza e actualiza regularmente o software antivírus

O software antivírus deve ser instalado em todos os sistemas críticos da empresa para evitar a introdução de malware na rede. Isto ajudará a proteger os dados do titular do cartão e proporcionará uma melhor proteção contra vírus recentemente criados.

6. Desenvolve e mantém sistemas e aplicações seguros

Os cibercriminosos exploram frequentemente quaisquer vulnerabilidades no teu sistema para obter acesso a dados sensíveis dos titulares de cartões. Os fornecedores de redes lançam regularmente patches para resolver vulnerabilidades de segurança, pelo que é vital que os apliques assim que forem lançados. Os patches são essenciais para manter os sistemas actualizados, estáveis e seguros contra malware e outras ameaças.

7. Restringe o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento da empresa

O acesso aos dados do titular do cartão só deve ser concedido com base na necessidade de conhecimento. O erro dos funcionários continua a ser a principal causa de todas as violações de dados, pelo que devem ser implementados controlos de acesso rigorosos para garantir que apenas os funcionários que necessitam de efetuar transacções têm acesso.

8. Identifica e autentica o acesso aos componentes do sistema

A cada membro do pessoal que tenha acesso a informações sensíveis deve ser atribuída uma identificação única. Desta forma, poderás saber quem está a aceder a sistemas específicos e quando.

9. Restringe o acesso físico aos dados do titular do cartão

O acesso físico aos sistemas informáticos que contêm os dados do titular do cartão deve ser restringido aos membros autorizados do pessoal. Deste modo, evita-se que qualquer pessoa não autorizada aceda fisicamente aos sistemas ou faça cópias impressas de dados sensíveis.

10. Acompanha e monitoriza todo o acesso aos recursos da rede e aos dados do titular do cartão

O acesso aos recursos da rede e aos dados do titular do cartão deve ser monitorizado de perto e toda a atividade deve ser registada. Este registo de auditoria pode ajudar a detetar comportamentos maliciosos e a identificar uma violação.

11. Testa regularmente os sistemas e processos de segurança

Estão constantemente a surgir novas vulnerabilidades, pelo que é importante testar regularmente os seus sistemas e processos para garantir que a segurança é mantida. O PCI DSS também recomenda testes de penetração regulares e a utilização de sistemas de deteção e prevenção de intrusões para garantir a segurança dos dados do titular do cartão.

12. Mantém uma política que trate da segurança da informação para todo o pessoal

Uma política de segurança sólida e compatível com o PCI DSS deve ser implementada em toda a empresa. Isto ajudará a definir um padrão para o que se espera do seu pessoal e destacará a necessidade de segurança de dados na sua organização.

Porque é que a conformidade com o PCI DSS é tão importante?

A conformidade com os requisitos do PCI DSS é fundamental se quiseres processar transacções com cartões, proteger os dados do titular do cartão e reduzir a possibilidade de uma violação dispendiosa. Embora o PCI DSS não seja um requisito legal, ao abrigo do RGPD, os dados dos cartões de crédito são considerados dados pessoais, o que significa que és legalmente obrigado a manter estes dados seguros e protegidos.

O que acontece se não estiveres em conformidade com o PCI DSS?

A não conformidade com o PCI DSS pode levar a incidentes de segurança graves, como a violação ou o roubo de dados do titular do cartão. Uma violação de dados pode causar danos irreparáveis à sua empresa e, para além das multas, a sua empresa pode enfrentar outras consequências por não conseguir proteger os dados sensíveis do titular do cartão. Estas incluem:

  • Aumento do risco de comprometimento de dados de cartões de pagamento

  • Coimas e sanções

  • Custos de indemnização

  • Perda de confiança dos consumidores

  • Danos à reputação da marca

  • Acções judiciais – custos, acordos e sentenças

  • Perdas de emprego

  • Cessação da capacidade de processar cartões de pagamento

  • Vai à falência

Conclusão

Os cibercriminosos estão a tirar partido do aumento das transacções digitais e a explorar as vulnerabilidades dos sistemas para obter acesso a dados sensíveis dos titulares de cartões. Para combater esta atividade fraudulenta, é vital que a tua organização esteja em conformidade com o PCI DSS e tome todas as medidas necessárias para garantir as transacções de pagamento e proteger os dados dos clientes.

Para ajudar a melhorar a sensibilização para a cibersegurança na sua organização e reduzir a possibilidade de uma violação de dados dispendiosa, criámos um recurso indispensável para implementar uma mudança de comportamento e criar uma cultura de sensibilização para a cibersegurança.

Neste guia Cyber Security Awareness For Dummies, aprenderás:

-Como implementar uma campanha de sensibilização para o risco cibernético.
-Como manter o ímpeto, o empenho e a atenção do pessoal para as ameaças à cibersegurança.
-10 melhores práticas de sensibilização para a cibersegurança.

Clica aqui para acederes ao teu guia Cyber Security Awareness For Dummies.