Qual é o padrão de segurança de dados do setor de cartões de pagamento?
O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é um conjunto de diretrizes e melhores práticas fornecidas a todas as empresas e outras entidades que processam, transmitem ou armazenam dados do cartão de crédito. Essas diretrizes foram desenvolvidas pelo PCI Security Standards Council (PCI SSC) e destinam -se a impedir vazamentos de dados e roubo de identidade e fraude no cartão de crédito. Existem três fases em andamento envolvidas no cumprimento do PCI DSS: Avaliação dos processos de negócios e identificação de riscos potenciais, remediação desses riscos e relatórios de esforços de conformidade aos bancos relevantes e outros emissores de cartão de crédito.
Paramount na conformidade padrão de segurança de dados da indústria de cartões de pagamento é a criação e manutenção de uma rede de computadores seguros. Um firewall robusto deve ser construído entre os dados do titular do cartão e o acesso externo à rede. As senhas do sistema devem ser implementadas junto com outras medidas de segurança em todos os pontos potenciais da vulnerabilidade da rede. Todo o titular do cartãoOs dados devem ser armazenados com segurança e, quando transmitidos em redes públicas, devem ser criptografadas. As medidas contínuas incluem o uso de software antivírus e o acesso físico ou de computador restrito a dados por pessoal, com base na empresa de conhecimento.
Existem inúmeras ferramentas e serviços disponíveis para ajudar as organizações a lidar com o PCI DSS. Embora o PCI SSC estabeleça os padrões de conformidade com PCI, todas as principais marcas de cartão de crédito criaram seus próprios padrões em relação à aplicação e conformidade desses padrões, bem como procedimentos de validação de cartão de crédito. Cada uma dessas empresas oferece orientações on -line e outras organizações que aceitam seus cartões. O PCI SSC também opera um programa que aprova os avaliadores de segurança qualificados que validam a conformidade com o padrão de segurança de dados do setor de cartões de pagamento. Para organizações que auto-avaliam sua conformidade, oO PCI SSC fornece ferramentas de validação chamadas questionários de autoavaliação em várias formas, cada uma adaptada a ambientes de negócios específicos.
Uma premissa -chave para cumprir o padrão de segurança de dados do setor de cartões de pagamento é apenas armazenar dados de cartão de crédito essenciais para as necessidades da organização. Os dados armazenados devem ser submetidos a limites de tempo e os dados de autenticação da transação nunca devem ser armazenados. Todos os números de conta e outros dados confidenciais transmitidos em redes públicas devem ser parcialmente mascaradas.
Outras medidas em andamento do PCI DSS incluem a criação e manutenção de um programa de gerenciamento de vulnerabilidades que cria aplicativos e programas seguros. Monitoramento de rotina e teste de rede para identificar fraquezas também são necessários. Cada organização também deve manter e distribuir uma política de segurança por escrito a todo o pessoal.