Implementação do Framework PCI-DSS

(Tempo de Leitura: 6 min.)

O correto tratamento dos dados de terceiros tornou-se, mais do que uma preocupação, uma obrigação que traz uma necessidade crescente de adequação com padrões de segurança impostos pelo mercado. Em alguns setores, como o financeiro, o tema é ainda mais relevante, pois os dados e informações sensíveis têm um peso ainda maior. Para garantir os níveis de proteção adequados nesse cenário, foi criada a certificação PCI DSS.

O Payment Card Industry Data Security Standard (PCI-DSS) é um padrão de Segurança da Informação internacional para organizações que lidam com meios de pagamento que envolvam cartões físicos. O padrão é exigido pelo Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento (PCI SSC – Payment Card Industry Security Standards Council), com o objetivo de gerenciar a evolução contínua do padrão de segurança de dados da indústria de cartões de pagamento, estabelecendo um cenário seguro para o uso de cartões e, consequentemente, dos dados de seus titulares.

O padrão consiste em doze requisitos significativos, incluindo vários sub-requisitos, que contêm várias diretivas em relação às quais as operadoras devem avaliar suas políticas, procedimentos e diretrizes de segurança voltados à operação. Para o setor financeiro, é essencial pois inclui e alinha as partes envolvidas no trânsito de dados bancários, englobando todas as empresas que realizam a intermediação entre consumidores e vendedores, seja de forma presencial ou online.

Hoje, o padrão PCI-DSS tem uma importância indiscutível no cenário mundial, sendo exigido para que as operadoras de meios de pagamento possam operar regularmente. Para entender melhor sobre esse padrão de segurança, seus requisitos e sua importância, continue a leitura do artigo!

Cenário

Com o crescimento das vendas online, a necessidade de implementar sistemas de pagamento em aplicações web é mais evidente que nunca. Isto é, normalmente, feito por meio da implementação de aplicações e ferramentas de terceiros por meio de integrações. Desta forma, a organização responsável pela aplicação se exime da responsabilidade sobre o manuseio dos dados de terceiros, delegando a responsabilidade para quem oferece a solução de pagamentos.

Este tipo de operação, que envolve a coleta e o tratamento de dados sensíveis, também traz requisitos e normas de segurança tais como o PCI-DSS. Além de garantir a segurança em operações com cartões físicos, o padrão também engloba operações em plataformas digitais. Qualquer operação que envolva meios de pagamento deve estar em conformidade com as normas previstas para poder operar regularmente com cartões de crédito e débito.

Muitas empresas ainda não se alinharam às normas vigentes e exigidas, incluindo o PCI-DSS, indicando que, provavelmente, não estão seguindo outras normas, tais como a LGPD. O estudo “2022 Payment Security Report” demonstrou que apenas 43,4% das empresas foram capazes de manter os níveis de conformidade adequados em relação às normas da Certificação PCI-DSS em 2020.

Qual a importância

Em operações que envolvam meios de pagamentos com cartões, a busca por um processador de pagamentos adequado começa pela identificação da certificação PCI DSS. O conjunto de controles cria uma camada básica de proteção, para que as vendas possam ser feitas com segurança e para que o comprador consuma com tranquilidade.

Qualquer empresa que opera no setor financeiro gerenciando meios de pagamento, em qualquer etapa do processo, deve manter os padrões e contar com parceiros certificados frente ao PCI-DSS. No entanto, não é porque a certificação é popular que ela sempre é seguida. E isso pode gerar uma série de problemas e desconfianças.

Dados protegidos

Dentro das especificações do PCI-DSS está a proteção de as informações do cartão do usuário. Dados como o número do cartão, senha, código de segurança e data de validade são especificados como objetos do tratamento adequado previsto. O padrão também protege informações do titular do cartão, tais como nome, endereço e números de documentos.

Requisitos para certificação

Para receber um certificado de adequação com o padrão PCI-DSS, a empresa deve seguir alguns requisitos predefinidos para estabelecer os controles de segurança, sendo 12 deles divididos em 6 principais objetivos.

Construir e manter uma rede e sistemas seguros

  1. Instalar e Manter Controles de Segurança de Rede
  2. Aplicar as Configurações de Segurança para Todos os Componentes do Sistema

Proteger os Dados da Conta

  1. Proteger os Dados da Conta Armazenados
  2. Proteger os Dados do Titular do Cartão com Criptografia Forte Durante a Transmissão em Redes Públicas Abertas

Manter um Programa de Gestão de Vulnerabilidades

  1. Proteger Todos os Sistemas e Redes de Software Malicioso
  2. Desenvolver e Manter Sistemas e Software Seguros

Implementar Medidas Fortes de Controle de Acesso

  1. Restringir o Acesso aos Componentes de Sistema e aos Dados do Titular do Cartão por Necessidade de Conhecimento do Negócio.
  2. Identificar Usuários e Autenticar o Acesso aos Componentes de Sistema
  3. Restringir o Acesso Físico aos Dados do Titular do Cartão

Monitorar e Testar as Redes Regularmente

  1. Registrar e Monitorar Todo o Acesso aos Componentes de Sistema e Dados do Titular do Cartão.
  2. Testar a Segurança de Sistemas e Redes Regularmente.

Manter uma Política de Segurança da Informação

  1. Apoiar a Segurança da Informação com Políticas e Programas Organizacionais.

Tais requisitos são aplicáveis de forma ampla no setor financeiro, fazendo com que todas as empresas que participam do processamento dos dados de cartões devam seguir essas normas. Os controles devem ser aplicados a todos os tipos de ativos que fazem parte da operação, incluindo, mas não se limitando a:

  • Servidores;
  • Aplicativos;
  • Componentes de rede e;
  • Bancos de dados.

Níveis de compliance

A certificação PCI-DSS prevê quatro níveis de compliance. A classificação é dada de acordo com o número anual de transações em compliance com o padrão e não diz respeito a maior ou menor conformidade, mas sim aos requisitos impostos à empresa para se manter alinhada ao padrão.

Nível 1

Nível mais alto de compliance, é atribuído a empresas com mais de 6 milhões de transações com cartão realizadas anualmente, em plena conformidade com o padrão. Empresas neste nível devem passar por uma auditoria anual terceirizada, a fim de verificar a conformidade das transações e suas redes devem ser verificadas, anualmente, por um agente aprovado. Após estes processos, recebem um Atestado de Compliance e um Relatório de Compliance de suas operações.

Nível 2

Empresas nesta classificação são aquelas que movimentam entre 1 e 6 milhões de transações com cartão por ano. Não necessitam de auditorias externas anuais, mas requerem o preenchimento de um Questionário de Autoavaliação todos os anos.

Nível 3

Neste nível estão as empresas com o número anual de transações com cartão entre 20 mil e 1 milhão. Assim como no nível 2, estas empresas dispensam auditorias externas, devendo preencher o Questionário de Autoavaliação anual.

Nível 4

As empresas com menos de 20 mil transações anuais com cartão se enquadram no nível 4. Estas empresas também cumprem suas obrigações preenchendo o Questionário de Autoavaliação anual, dispensando auditorias externas.

Acelerando a gestão de conformidade

Como você deve imaginar, não é fácil controlar todos esses processos e informações. Afinal, estamos falando de processos pontuais e dinâmicos que não favorecem a rastreabilidade, definição de workflows e mesmo follow-ups da equipe sobre o projeto. Muitas equipes tentam realizar um gerenciamento manual ou utilizando planilhas como controle, o que permite um grande número de falhas e falta de rastreabilidade. Por isso, a melhor solução para gerenciar seu projeto de compliance é utilizar uma plataforma de gestão integrada de Segurança da Informação e conformidade como o GAT Core.

Gerenciamento de Projetos de Conformidade

A segregação do projeto de conformidade com o PCI-DSS em pacotes menores, para o melhor gerenciamento das atividades, é recomendada como uma boa prática de gerenciamento do projeto. Isso permite desenvolver o projeto de acordo com a necessidade de priorização e criticidade dos controles para a empresa. A implementação de controles críticos pode ser atribuída a um determinado setor e, com o uso de plataformas para o gerenciamento, é possível utilizar um alto grau de automação, descrever o escopo da entrega, indicar responsáveis e definir prazos.

Como o projeto de conformidade foi dividido em etapas menores e cada etapa possui um responsável junto com a data de entrega, é possível visualizar, de forma integrada, o andamento do projeto e envolver todos os participantes do projeto de forma colaborativa. Essa visão é ideal para reuniões de acompanhamento do projeto e para identificar prontamente os impedimentos.

O uso de checklists é recomendado quando for necessário a implementação dos controles internos desenvolvidos para a conformidade com frameworks e controles. Ferramentas como a plataforma GAT Core podem auxiliar nesses processos. Além de checklists embarcados, envio automatizado de questionários, dashboards personalizadas e consolidação, em tempo real, dos indicadores de conformidade com base nas pesquisas aplicadas, o GAT Core possui recursos poderosos utilizados para acompanhar a evolução dos controles definidos, de forma automatizada e integrada. 

É possível importar planilhas na forma de um checklist associado a um projeto, garantindo consistência, integração e orquestração eficiente de dados, com métricas de evolução, economia de tempo e precisão. O GAT Core  também envia um questionário para coleta de dados de outras áreas da empresa de forma prática, ágil e com rastreabilidade, auxiliando o preenchimento dos controles e reduzindo sensivelmente o tempo de adequação aos controles.

Além do PCI-DSS, o GAT Core já inclui checklists de compliance como CIS Controls, NIST, OWASP ASVS, ISO 27001, ISO 27701, LGPD, GDPR, PCI-DSS e Bacen 4.893 e 3.909, entre outros, facilitando e gerando economia significativa de custos em processos de auditoria. Para entender como funciona, agende uma demonstração para saber como importar nossa planilha como um checklist pode dar uma visão integrada da gestão de conformidade.

Agilize o processo de adequação e centralize todas as tarefas do seu Programa de Segurança no mesmo sistema — um avanço e tanto em relação às planilhas. Quer controlar seus padrões de segurança com automação, integrações e centralização da visão de riscos em Segurança da Informação? Agende uma demonstração gratuita e conheça nossas soluções para a implementação do checklist PCI-DSS com alto nível de automação.
Agende uma demonstração gratuitamente

Você também pode curtir isso:

16 fev

Log4Shell – Dois Meses Mais Tarde

13 mar

Coronavírus e Cibersegurança
Coronavírus e Cibersegurança: sua empresa está

10 mar

Cyber Segurança: o que é e como se proteger
Cibersegurança e como proteger sua empresa

Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200
+55 (11) 4395-1322
contato@gatinfosec.com

Siga-Nos

Linkedin-in Facebook-f Twitter Instagram Youtube

Conteúdo

Links

Fale Conosco