Se a sua empresa é responsável por lidar com pagamentos com cartão de crédito, então a conformidade com o PCI DSS é uma parte essencial da protecção dos dados dos cartões de pagamento dos clientes e da protecção da sua própria empresa contra as consequências devastadoras de uma violação de dados.
A infeliz realidade é que a fraude com cartões de crédito continua a aumentar, e de acordo com a Rede de Sentinelas do Consumidor da Comissão Federal do Comércio, os relatórios de fraude com cartões de crédito aumentaram 104% entre o primeiro trimestre de 2019 e o primeiro trimestre de 2020.
A protecção dos dados dos titulares dos cartões nunca foi tão importante e o PCI DSS estabelece as bases para manter as medidas de segurança rigorosas que são necessárias para proteger estes dados sensíveis. O nosso guia de conformidade com o PCI DSS ajuda a explicar como funciona o PCI DSS, a quem se aplica, e que medidas é necessário tomar para se tornar conforme.
O que é o PCI DSS?
O Payment Card Industry Data Security Standard (PCI DSS) é um conjunto de normas de segurança concebido para reduzir o risco de fraude com cartões de crédito e aumentar a segurança dos dados dos cartões de pagamento. Foi fundada em 2004 pelas quatro maiores empresas de cartões de crédito; Visa, Mastercard, Discover, e American Express. O PCI DSS evoluiu ao longo dos anos e é agora regulado pelo PCI Security Standards Council (PCI SSC). O PCI SSC define e gere as normas, enquanto que o cumprimento é imposto pelas empresas de cartões de crédito individuais.
Quem é que o PCI DSS afecta?
O PCI DSS aplica-se a qualquer organização que armazena, processa, ou transmite dados do titular do cartão. Para determinar os requisitos de conformidade aplicáveis a empresas individuais, a PCI SCC criou um sistema de quatro níveis que classifica as empresas com base na dimensão das transacções e no risco.
Nível 1 - Comerciantes que processam mais de 6 milhões de transacções anualmente, ou aqueles que tiveram dados comprometidos no passado.
Nível 2 - Comerciantes que processam anualmente entre 1 e 6 milhões de transacções.
Nível 3 - Comerciantes que processam anualmente entre 20.000 e 1 milhão de transacções.
Nível 4 - Comerciantes que processam menos de 20.000 transacções anualmente.
Apesar da criação de múltiplos níveis, os requisitos permanecem os mesmos para todos os comerciantes e prestadores de serviços, em todas as indústrias.
Como poderiam ser comprometidos os dados do titular do cartão?
Para obter acesso aos dados sensíveis do titular do cartão, os cibercriminosos tentarão explorar quaisquer vulnerabilidades de segurança nos seus sistemas operativos e dispositivos. Isto pode ser conseguido:
- Leitores de cartões
- Sistema do ponto de venda
- Base de dados do sistema de pagamento
- Redes de armazenamento
- Portais online
- Rede sem fios
- Registos em papel
Quais são os 12 requisitos do PCI DSS Compliance?
O PCI DSS contém 12 requisitos que são concebidos para proteger os dados do titular do cartão e prevenir violações de dados. Estas normas não se aplicam apenas aos comerciantes, mas a qualquer outro negócio que armazene, processe, ou transmita dados do portador do cartão.
1. Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão
Uma firewall é um dispositivo de segurança de rede que controla o tráfego de entrada e saída da rede e decide se deve bloquear o tráfego específico com base num conjunto definido de regras de segurança. É a sua primeira linha de defesa contra ameaças à segurança e deve ser regularmente testada, gerida, e actualizada.
2. Não utilizar os padrões fornecidos pelo fornecedor para as senhas dos sistemas e outros parâmetros de segurança.
Os cibercriminosos utilizarão frequentemente palavras-passe e configurações padrão para comprometer os sistemas. É vital que altere imediatamente quaisquer credenciais por defeito antes de introduzir novos sistemas na sua rede.
3. Proteger os dados armazenados do titular do cartão
A protecção dos dados do titular do cartão, quer seja em formato físico ou digital, é crucial para o cumprimento do PCI DSS. Os cibercriminosos irão frequentemente visar os dados armazenados dos titulares de cartões de crédito e depois utilizá-los para realizar transacções fraudulentas. Quando os dados do titular do cartão precisarem de ser armazenados, deverá assegurar-se de que as medidas de segurança correctas estão em vigor para cumprir os diferentes requisitos legais, regulamentares e de conformidade.
4. Encriptar a transmissão de dados do titular do cartão através de redes públicas abertas
Quando os dados do titular do cartão são transmitidos através de redes de fácil acesso, os cibercriminosos podem tentar interceptar os dados. Para assegurar que os dados são seguros e protegidos, devem ser encriptados com criptografia forte e protocolos de segurança como o Secure Shell (SHH), IPSec e Transport Layer Security (TLS).
5. Utilizar e actualizar regularmente o software anti-vírus
O software anti-vírus deve ser instalado em todos os sistemas empresariais críticos para impedir a introdução de malware na sua rede. Isto ajudará a proteger os dados dos titulares dos cartões e proporcionará uma maior protecção contra vírus recém-criados.
6. Desenvolver e manter sistemas e aplicações seguras
Os cibercriminosos explorarão frequentemente quaisquer vulnerabilidades do seu sistema para obterem acesso aos dados sensíveis do titular do cartão. Os vendedores da rede divulgarão regularmente correcções para resolver vulnerabilidades de segurança, pelo que é vital que as aplique logo que sejam divulgadas. Os patches são essenciais para manter os sistemas actualizados, estáveis, e a salvo de malware e outras ameaças.
7. Restringir o acesso aos dados do titular do cartão por empresa precisa de saber
O acesso aos dados do titular do cartão só deve ser concedido com base no princípio da necessidade de conhecer. O erro dos funcionários continua a ser a principal causa de todas as violações de dados, pelo que devem ser aplicados fortes controlos de acesso para assegurar que apenas o pessoal que necessita de efectuar transacções tenha acesso.
8. Identificar e autenticar o acesso aos componentes do sistema
A cada membro do pessoal que tenha acesso a informação sensível deve ser atribuída uma identificação única. Isto permitir-lhe-á localizar quem está a aceder a sistemas específicos e quando.
9. Restringir o acesso físico aos dados do titular do cartão
O acesso físico aos sistemas informáticos contendo dados do titular do cartão deve ser restrito aos membros autorizados do pessoal. Isto impedirá qualquer indivíduo não autorizado de aceder fisicamente a sistemas ou de fazer cópias impressas de dados sensíveis.
10. Acompanhar e controlar todo o acesso aos recursos da rede e aos dados dos titulares dos cartões
O acesso aos recursos da rede e aos dados dos titulares dos cartões deve ser acompanhado de perto, e todas as actividades devem ser registadas. Esta pista de auditoria pode ajudar a detectar comportamentos maliciosos e a identificar uma violação.
11. Testar regularmente os sistemas e processos de segurança
Estão sempre a surgir novas vulnerabilidades, pelo que é importante testar regularmente os seus sistemas e processos para garantir que a segurança é mantida. A PCI DSS também recomenda testes regulares de penetração e a utilização de sistemas de detecção e prevenção de intrusão para garantir a segurança dos dados dos titulares dos cartões.
12. Manter uma política que aborde a segurança da informação para todo o pessoal
Uma política de segurança forte e em conformidade com o PCI DSS deve ser implementada em toda a empresa. Isto ajudará a estabelecer um padrão para o que se espera do seu pessoal e a destacar a necessidade de segurança de dados dentro da sua organização.
Porque é tão importante o cumprimento do PCI DSS?
O cumprimento dos requisitos do PCI DSS é crítico se quiser ser capaz de processar transacções com cartão, proteger os dados do titular do cartão, e reduzir a hipótese de uma violação dispendiosa. Embora o PCI DSS não seja um requisito legal, ao abrigo da GDPR, os dados do cartão de crédito são considerados dados pessoais, o que significa que está legalmente obrigado a manter estes dados seguros e protegidos.
O que acontece se não estiver em conformidade com o PCI DSS?
O não cumprimento do PCI DSS pode levar a graves incidentes de segurança, tais como a violação ou roubo de dados do titular do cartão. Uma violação de dados pode causar danos irreparáveis ao seu negócio, e, para além das multas paralisantes, o seu negócio pode enfrentar outras consequências por não ser capaz de proteger os dados sensíveis do titular do cartão. Estas incluem:
- Aumento do risco de compromisso dos dados dos cartões de pagamento
- Multas e sanções
- Custos de compensação
- Perda de confiança dos consumidores
- Danos à reputação da marca
- Acções judiciais - custos, acordos e sentenças
- Perdas de emprego
- Cessação da capacidade de processar cartões de pagamento
- Sair do negócio
Conclusão
Os criminosos informáticos estão a tirar partido do aumento das transacções digitais e a explorar as vulnerabilidades dos sistemas para obter acesso aos dados sensíveis dos titulares dos cartões. Para combater esta actividade fraudulenta, é vital que a sua organização esteja em conformidade com o PCI DSS e tome todas as medidas necessárias para assegurar as transacções de pagamento e proteger os dados dos clientes.
Para ajudar a melhorar a sensibilização para a cibersegurança na sua organização e reduzir a possibilidade de uma violação de dados dispendiosa, criámos um recurso indispensável para implementar uma mudança de comportamento e criar uma cultura de sensibilização para a cibersegurança.
Neste guia Cyber Security Awareness For Dummies, ficará a saber:
-Como implementar uma campanha de sensibilização para o risco cibernético.
-Como manter a dinâmica, o empenho e a atenção do pessoal para as ameaças à cibersegurança.
-10 melhores práticas de sensibilização para a cibersegurança.
Clique aqui para aceder ao seu guia Cyber Security Awareness For Dummies.
