A sigla PCI DSS¹ representa Payment Card Industry Data Security Standard, e é um padrão de segurança para organizações do ramo de pagamento. Mas o que isso significa, quais são seus principais requisitos e as consequências de não o utilizar?
O que é PCI DSS?
O PCI DSS foi criado em 2004 por algumas das principais empresas do setor: Visa, Mastercard, American Express, Discover e JCB International.
Ele surgiu porque, até então, cada organização utilizava suas próprias normas de segurança, prejudicando a proteção efetiva das informações pessoais e financeiras dos clientes.
Assim, ele foi criado para garantir a proteção dos dados dos cartões de crédito e seus titulares, ter diretrizes padronizadas e prevenir falhas de segurança, como vazamento de dados, fraudes e outros problemas similares.
Hoje, o PCI DSS conta com 12 requisitos fundamentais, que se vão se desdobrando em itens mais específicos.
Os 12 requisitos do PCI DSS
Os requisitos do PCI DSS estão relacionados a diversos aspectos de segurança, sempre visando garantir que o armazenamento, processamento e transmissão dos dados estejam devidamente protegidos.
Imagem: Os 12 requisitos do PCI DSS.
Conheça quais são eles abaixo:
- Usar firewalls para proteger os dados
O objetivo desse requisito é garantir que as organizações mantenham algum firewall e regras para o seu funcionamento, assim como para outras ferramentas, se necessário.
Isso é exigido garantir a segurança da rede, agindo como a primeira barreira para protegê-la.
Esse requisito deve ser revisado duas vezes ao ano.
- Não usar as configurações de segurança e acessos do fornecedor
Os sistemas utilizados pelas empresas geralmente vêm com credenciais (usuários e senhas) e configurações pré-definidas pelo fornecedor. Entretanto, elas geralmente são simples e fáceis de decodificar.
Por isso, elas devem ser alteradas e reforçadas.
- Proteger os dados do cartão e seu titular
As empresas precisam ter conhecimento prévio de quais dados serão armazenados, onde e por quanto tempo, e esse armazenamento deve estar criptografado com algoritmos aprovados pelo setor.
- Criptografar dados dos cartões em redes abertas e públicas
E não apenas no armazenamento, mas a transmissão de dados em redes públicas e abertas também deve contar com a criptografia. Além disso, também é necessário o conhecimento prévio de quem receberá ou enviará tais informações.
- Utilizar antivírus em seus sistemas
Os antivírus também são uma exigência, pois protegem um sistema de malwares que podem estar instalados nos dispositivos de quem o acessa.
- Criar e manter sistemas e aplicações seguras
É fundamental existirem práticas, políticas e processos executados por terceiros para verificar os níveis de segurança tanto do sistema quanto de aplicações, bancos de dados e outros.
- Restringir acesso aos dados dos cartões
Outro ponto importante são as medidas de controle de acessos, definindo quem poderá ou não acessas determinadas áreas do sistema. Dessa forma, evita-se que certas informações e dados sejam expostos a quem não precisa ou deve visualizá-las.
Também é necessário ter um controle sobre quem são os usuários e o privilégio de acesso de cada um.
- Atribuir identificações únicas para os usuários com acesso
Cada usuário autorizado a acessar os dados deve ter suas próprias credenciais, para que sua atividade possa ser rastreada, se necessário.
- Limitar o acesso físico
Além do acesso virtual, também é necessário limitar os acessos físicos aos dados dos titulares. Ou seja, determinar políticas de segurança nos locais, como o uso de chaves eletrônicas para entrada e saída de salas, divididas entre funcionários e visitantes.
Outro ponto a ficar atento é o período de retenção dessas informações.
- Monitorar e rastrear todas as atividades e dados
Todos os acessos ao sistema e rede devem ser monitorados e submetidos a auditorias diárias, identificando qualquer tipo de ação suspeita.
- Realizar testes de segurança regularmente
Testes de segurança devem ser conduzidos frequentemente por partes externas e internas, sendo eles:
- Scans para análises do ambiente wireless, a cada trimestre;
- Scan de IPs e domínios trimestralmente, por fornecedores aprovados pelo PCI;
- Scans internos de vulnerabilidade trimestralmente;
- Pentest para aplicações e redes anualmente ou após atualizações significativas.
- Manter uma política de segurança para toda a equipe
Por fim, esse tópico exige o treinamento, implementação, manutenção e supervisão de políticas de segurança entre a equipe, a serem revisadas no mínimo uma vez ao ano. Elas devem incluir:
- Análise de risco
- Treinamentos
- Análise de antecedentes
- Gerenciamento de riscos.
Quais são as consequências de não se adequar?
As empresas que não estão em conformidade com o PCI DSS podem sofrer com várias consequências, como:
- Risco de violações de segurança, vazamento de dados e fraudes financeiras
- Multas e penalidades estabelecidas pelas organizações reguladoras
- Restrições no processamento de pagamentos, suspendendo as operações de cartão de débito ou crédito
Por isso, é de extrema importância estar atento aos requisitos e à periodicidade de cada um deles.
Para cumprir com as exigências de testes de segurança periódicos, conte com o teste de intrusão da Vantico! Clique aqui para falar com nossos consultores.