Cerca de 70% das pessoas acredita que os seus dados pessoais estão menos seguros hoje do que há cinco anos. A par disso, uma pessoa é vítima de um crime informático, em média, a cada 39 segundos. O PCI-DSS foi criado precisamente para combater problemas como estes. Trata-se de um conjunto de padrões de segurança que protegem as informações sensíveis dos clientes e a reputação das marcas e que, por isso, devem ser seguidas por todas as lojas online. Saiba o que esta sigla significa e como cumprir estes padrões.
O que significa PCI-DSS?
A sigla PCI-DSS designa “Payment Card Industry Data Security Standard”, ou seja, Padrão de Segurança de Dados da Indústria de Cartões de Pagamento. É um conjunto de requisitos de segurança estabelecido pelas principais empresas de cartões de crédito, como Visa, MasterCard ou American Express, para proteger as informações confidenciais dos titulares de cartões e reduzir o risco de fraude e roubo de dados.
O PCI-DSS foi desenvolvido para fornecer diretrizes claras sobre como as empresas que lidam com transações devem proteger os dados pessoais dos utilizadores, como números de cartão, nomes dos titulares, datas de validade e códigos de segurança. O objetivo é garantir que as informações dos cartões sejam armazenadas, processadas e transmitidas de forma segura.
Quais as vantagens de PCI-DSS?
O PCI-DSS oferece várias vantagens significativas para as empresas que o adotam e implementam nas suas transações com cartão. As principais incluem:
Segurança
O PCI-DSS estabelece um conjunto abrangente de requisitos de segurança que ajudam a proteger as informações confidenciais dos titulares de cartões de pagamento. Ao seguir esses requisitos, as empresas podem implementar medidas robustas de segurança para prevenir a fraude e o roubo de dados.
Reputação
Ao cumprir os padrões de segurança do PCI-DSS, as empresas demonstram o seu compromisso em proteger as informações dos clientes. Isso fortalece a confiança dos consumidores, protege a reputação da empresa e reduz o risco de lesar a imagem da marca com violações de segurança.
Conformidade legal
O PCI-DSS é amplamente reconhecido e aceite como um padrão de segurança para todos os comerciantes que aceitam cartões nas suas transações. Ao estar em conformidade com o PCI-DSS, as empresas estão a cumprir requisitos legais relacionados com a segurança dos dados do titular do cartão, evitando possíveis coimas.
Quais as limitações de PCI-DSS?
Embora o PCI-DSS seja um padrão amplamente reconhecido e adotado para a segurança de pagamentos com cartões, também apresenta algumas limitações.
Foco específico em dados de cartão de pagamento
O PCI-DSS foi concebido para proteger especificamente os dados de cartões de pagamento, como números de cartão, datas de validade e códigos de segurança. No entanto, não abrange todos os aspetos da segurança de uma empresa, como outros dados confidenciais que possa armazenar.
Requisitos complexos e em constante evolução
O PCI-DSS é composto por um conjunto de requisitos de segurança detalhados e complexos, cuja implementação pode exigir um investimento significativo em termos de tempo, recursos e conhecimento técnico. Além disso, o PCI-DSS está sujeito a atualizações e alterações periódicas, o que pode tornar o processo mais desafiante para as empresas.
Qual a origem de PCI-DSS?
A origem do PCI-DSS remonta ao final dos anos 90 e início dos anos 2000, quando várias empresas começaram a preocupar-se com a segurança dos dados dos titulares dos cartões de pagamento. Naquela época, surgiram várias violações de dados significativas que afetaram diversas empresas e comprometeram informações confidenciais dos clientes.
Para resolver este problema e estabelecer padrões de segurança consistentes, as principais empresas de cartão de crédito (Visa, MasterCard, American Express, Discover e JCB) formaram, em 2006, o Consórcio PCI, com o objetivo de desenvolver um conjunto unificado de requisitos de segurança que todas as empresas envolvidas no processamento de pagamentos com cartão deveriam seguir.
Em dezembro de 2004, o PCI-DSS 1.0 foi lançado como um conjunto de diretrizes. Desde então, o PCI-DSS passou por várias atualizações para abordar novas ameaças e tecnologias emergentes. O Consórcio PCI continua a atualizar e aprimorar os padrões de segurança, com revisões regulares do PCI-DSS para se manter atualizado com as mudanças e com as necessidades do setor. Além disso, também cabe a este órgão reconhecer os QSA (Qualified Security Assessors) e ASVs (Approved Scanning Vendors) como entidades qualificadas e aptas à validação da conformidade, em alinhamento com o PCI.
Quem deve cumprir o padrão PCI-DSS?
O cumprimento do padrão PCI-DSS é obrigatório para todas as entidades que armazenam, processam ou transmitem dados dos titulares de cartões de pagamento.
Estão incluídos comerciantes, processadores de pagamentos, instituições financeiras, prestadores de serviços de pagamento e qualquer outra entidade que lide com informações confidenciais de cartões.
Com o padrão PCI-DSS, estas empresas podem assegurar que o processamento deste tipo de transações é seguro para todas as partes envolvidas, salvaguardando os consumidores e os próprios negócios contra problemas de roubo e violação de dados.
Quais as consequências de não cumprir com o padrão PCI-DSS?
Existem várias consequências para as empresas que não seguem as diretrizes de segurança estabelecidas. As principais incluem:
Penalidades financeiras
As marcas de cartões de pagamento que compõem o Consórcio PCI podem multar um banco recetor até cerca de €425 mensais por violações de conformidade com o PCI, sendo provável que o banco repasse a coima ao comerciante.
Revogação do direito de processar transações
Esta consequência é ainda mais grave que a coima, na medida em que o Consórcio poderá emitir uma revogação do direito de processar transações com cartões de pagamento, o que pode comprometer a sobrevivência de muitas empresas.
Perda de confiança do cliente
A não conformidade com o PCI-DSS pode levar à perda de confiança dos clientes. Os consumidores estão cada vez mais preocupados com a segurança dos seus dados pessoais, especialmente com as informações dos seus cartões de pagamento. Se um comerciante não cumprir as diretrizes de segurança reconhecidas, os clientes podem optar por não comprar, originando perdas de receita e de reputação.
Como obter acreditação PCI-DSS?
As empresas que aceitem ou processem pagamentos com cartões devem estar em conformidade com os requisitos seguintes.
- Construir e manter uma rede segura. Implemente e mantenha uma firewall configurada para proteger os dados do titular do cartão. Evite utilizar passwords e outros parâmetros de segurança fornecidos por default.
- Proteger os dados do titular do cartão. Utilize criptografia para proteger o armazenamento e a transmissão dos dados do titular do cartão em redes públicas não seguras.
- Manter um programa de gestão de vulnerabilidades. Instale programas antivírus e mantenha-os atualizados. Certifique-se de desenvolver e manter sistemas e aplicações seguras.
- Implementar medidas robustas de controlo de acesso. Limite o acesso aos dados do titular do cartão conforte estritamente necessário. Atribua um identificador exclusivo a cada utilizador e controle o acesso físico aos dados.
- Monitorizar e testar regularmente as redes. Identifique e monitorize todas as atividades de acesso aos recursos de rede e aos dados do titular do cartão. Realize testes periódicos nos sistemas e processos de segurança para garantir a eficácia e integridade.
- Manter uma política de segurança da informação. Estabeleça uma política abrangente de segurança da informação que aborde as diretrizes e melhores práticas para funcionários e supervisores.
Depois de implementar estas medidas, deverá realizar uma autoavaliação, preenchendo o questionário de autoavaliação (SAQ) apropriado, fornecido pelo Consórcio PCI. De seguida, deve pedir a certificação por um “Qualified Security Assessor” (QSA), que são entidades independentes credenciadas pelo Consórcio PCI para o ajudar a verificar a conformidade com as normas.
É importante lembrar que a conformidade com o PCI-DSS é um processo contínuo, pelo que deve manter e atualizar as medidas de segurança implementadas.
Easypay, pagamentos digitais certificados pelo PCI Compliance
Para quem vende online, é essencial contar com uma solução de pagamentos que apresente a Certificação PCI Compliance. A gateway de pagamento da easypay oferece simplicidade, eficiência e segurança ao seu e-commerce. A nossa tecnologia é certificada com o padrão PCI Compliance, protegendo a sua empresa e os seus clientes.
Entre em contacto connosco para processar com segurança e agilidade os pagamentos do seu e-commerce.