O que são padrões da indústria de cartões de pagamento?
Os padrões da indústria de cartões de pagamento são os padrões que orientam como as empresas de cartão de crédito e os comerciantes com os quais negociam lidam com dados de cartão de crédito e processam pagamentos. Basicamente, quaisquer padrões ou práticas recomendadas amplamente seguidas no setor de cartões de crédito podem ser chamados de padrões do setor de cartões de pagamento. No entanto, a frase é mais frequentemente usada em conexão com o padrão universal de segurança de dados da indústria de cartões de pagamento, também conhecido como PCI DSS. O PCI DSS é um documento pioneiro de cinco grandes empresas de cartão de crédito que fornece orientações sobre como armazenar números e recibos de cartão de crédito, como proteger redes de computadores comerciais e como lidar com o processamento de pagamentos terceirizados, entre outras coisas. A conformidade com os padrões do setor de cartões de pagamento estabelecidos no PCI DSS é tecnicamente voluntária, mas o não cumprimento muitas vezes tem consequências negativas para as empresas e os proprietários das lojas.
Os cartões de crédito são frequentemente usados para pagar tudo, desde compras grandes e únicas até as necessidades diárias, como compras e gás. Quando um cliente passa um cartão de crédito, um sistema de computador pertencente ao comerciante lê as informações do cartão de crédito e as transmite por uma conexão com a Internet para o mainframe do computador da empresa do cartão de crédito para autenticação. Embora essa transação normalmente leve apenas alguns segundos, envolve muitas informações altamente confidenciais. Se essas informações não estiverem adequadamente protegidas, elas poderão abrir os proprietários e os comerciantes do cartão para fraude. Os principais padrões do setor de cartões de pagamento são projetados para impedir ou pelo menos reduzir a probabilidade de fraude.
Embora alguns países estabeleçam padrões uniformes de segurança de dados para transações financeiras, nem todos o fazem. Mesmo as leis existentes geralmente regulam amplamente o setor financeiro, um padrão mínimo que não é adaptado às necessidades do setor de cartões de crédito. Os regulamentos amplos da indústria de cartões de pagamento simplesmente não existem. Se adotado amplamente, os padrões da indústria de cartões de pagamento podem preencher essa lacuna.
Um dos principais benefícios dos padrões da indústria de cartões de pagamento é que eles são criados para e pelas empresas que mais usam e lidam com cartões de crédito. Pela sua própria definição, os padrões são voluntários e nenhuma lei obriga as empresas a adotá-los. Quando empresas suficientes começam a implementar padrões de cartão de pagamento acordados, no entanto, os padrões geralmente se tornam universalmente esperados. Padrões como o PCI DSS visam unificar medidas de segurança de cartão de crédito em todo o mundo.
O PCI DSS foi originalmente elaborado por um grupo conhecido como PCI Security Standards Council. Esse conselho é composto por representantes de cinco das maiores empresas de cartão de crédito do mundo: American Express®, Discover®, JCB®, MasterCard® e Visa®. Juntamente com a elaboração e atualização dos padrões, o conselho se esforça para melhorar os padrões gerais do setor de cartões de crédito e os regulamentos do setor. O conselho educa os setores de privacidade e segurança sobre segurança de dados de cartão de crédito para promover esse objetivo. Também oferece programas de treinamento e patrocina conferências destinadas a ajudar as empresas a se tornarem compatíveis.
Cada empresa de cartão de crédito com participação no PCI Security Standards Council exige que os fornecedores que aceitem seus cartões cumpram os padrões do setor de cartões de pagamento do conselho. Isso significa que os fornecedores devem adotar e monitorar como seus sistemas implementam as especificações do setor de cartões de pagamento estabelecidas nos padrões se quiserem continuar aceitando cartões de crédito como pagamento. As empresas de cartão de crédito geralmente auditam a conformidade de grandes empresas anualmente. Geralmente, as pequenas empresas podem auto-relatar sua conformidade. Se for constatado que um comerciante não está em conformidade, as multas podem variar entre multas e revogação completa do serviço de cartão de pagamento, dependendo da gravidade da violação.