Conheça os 12 requisitos de segurança do PCI-DSS

Picture of vantico

vantico

Thumbnail - PCI DSS

A sigla PCI DSS¹ representa Payment Card Industry Data Security Standard, e é um padrão de segurança para organizações do ramo de pagamento. Mas o que isso significa, quais são seus principais requisitos e as consequências de não o utilizar?

O que é PCI DSS?

O PCI DSS foi criado em 2004 por algumas das principais empresas do setor: Visa, Mastercard, American Express, Discover e JCB International.

Ele surgiu porque, até então, cada organização utilizava suas próprias normas de segurança, prejudicando a proteção efetiva das informações pessoais e financeiras dos clientes.

Assim, ele foi criado para garantir a proteção dos dados dos cartões de crédito e seus titulares, ter diretrizes padronizadas e prevenir falhas de segurança, como vazamento de dados, fraudes e outros problemas similares.

Hoje, o PCI DSS conta com 12 requisitos fundamentais, que se vão se desdobrando em itens mais específicos.

Os 12 requisitos do PCI DSS

Os requisitos do PCI DSS estão relacionados a diversos aspectos de segurança, sempre visando garantir que o armazenamento, processamento e transmissão dos dados estejam devidamente protegidos.

12 requisitos do PCI DSS

Imagem: Os 12 requisitos do PCI DSS.

Conheça quais são eles abaixo:

  1. Usar firewalls para proteger os dados

O objetivo desse requisito é garantir que as organizações mantenham algum firewall e regras para o seu funcionamento, assim como para outras ferramentas, se necessário.

Isso é exigido garantir a segurança da rede, agindo como a primeira barreira para protegê-la.

Esse requisito deve ser revisado duas vezes ao ano.

  1. Não usar as configurações de segurança e acessos do fornecedor

Os sistemas utilizados pelas empresas geralmente vêm com credenciais (usuários e senhas) e configurações pré-definidas pelo fornecedor. Entretanto, elas geralmente são simples e fáceis de decodificar.

Por isso, elas devem ser alteradas e reforçadas.

  1. Proteger os dados do cartão e seu titular

As empresas precisam ter conhecimento prévio de quais dados serão armazenados, onde e por quanto tempo, e esse armazenamento deve estar criptografado com algoritmos aprovados pelo setor.

  1. Criptografar dados dos cartões em redes abertas e públicas

E não apenas no armazenamento, mas a transmissão de dados em redes públicas e abertas também deve contar com a criptografia. Além disso, também é necessário o conhecimento prévio de quem receberá ou enviará tais informações.

  1. Utilizar antivírus em seus sistemas

Os antivírus também são uma exigência, pois protegem um sistema de malwares que podem estar instalados nos dispositivos de quem o acessa.

  1. Criar e manter sistemas e aplicações seguras

É fundamental existirem práticas, políticas e processos executados por terceiros para verificar os níveis de segurança tanto do sistema quanto de aplicações, bancos de dados e outros.

  1. Restringir acesso aos dados dos cartões

Outro ponto importante são as medidas de controle de acessos, definindo quem poderá ou não acessas determinadas áreas do sistema. Dessa forma, evita-se que certas informações e dados sejam expostos a quem não precisa ou deve visualizá-las.

Também é necessário ter um controle sobre quem são os usuários e o privilégio de acesso de cada um.

  1. Atribuir identificações únicas para os usuários com acesso

Cada usuário autorizado a acessar os dados deve ter suas próprias credenciais, para que sua atividade possa ser rastreada, se necessário.

  1. Limitar o acesso físico

Além do acesso virtual, também é necessário limitar os acessos físicos aos dados dos titulares. Ou seja, determinar políticas de segurança nos locais, como o uso de chaves eletrônicas para entrada e saída de salas, divididas entre funcionários e visitantes.

Outro ponto a ficar atento é o período de retenção dessas informações.

  1. Monitorar e rastrear todas as atividades e dados

Todos os acessos ao sistema e rede devem ser monitorados e submetidos a auditorias diárias, identificando qualquer tipo de ação suspeita.

  1. Realizar testes de segurança regularmente

Testes de segurança devem ser conduzidos frequentemente por partes externas e internas, sendo eles:

  • Scans para análises do ambiente wireless, a cada trimestre;
  • Scan de IPs e domínios trimestralmente, por fornecedores aprovados pelo PCI;
  • Scans internos de vulnerabilidade trimestralmente;
  • Pentest para aplicações e redes anualmente ou após atualizações significativas.
  1. Manter uma política de segurança para toda a equipe

Por fim, esse tópico exige o treinamento, implementação, manutenção e supervisão de políticas de segurança entre a equipe, a serem revisadas no mínimo uma vez ao ano. Elas devem incluir:

  • Análise de risco
  • Treinamentos
  • Análise de antecedentes
  • Gerenciamento de riscos.

Quais são as consequências de não se adequar?

As empresas que não estão em conformidade com o PCI DSS podem sofrer com várias consequências, como:

  • Risco de violações de segurança, vazamento de dados e fraudes financeiras
  • Multas e penalidades estabelecidas pelas organizações reguladoras
  • Restrições no processamento de pagamentos, suspendendo as operações de cartão de débito ou crédito

Por isso, é de extrema importância estar atento aos requisitos e à periodicidade de cada um deles.

Para cumprir com as exigências de testes de segurança periódicos, conte com o teste de intrusão da Vantico! Clique aqui para falar com nossos consultores.

 

¹PCI Security Standards

veja também

Outros conteúdos sobre Segurança Cibernética