O que é o padrão de segurança de dados do setor de cartões de pagamento?
O Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é um conjunto de diretrizes e práticas recomendadas fornecidas a todas as empresas e outras entidades que processam, transmitem ou armazenam dados de cartão de crédito. Essas diretrizes foram desenvolvidas pelo PCI Security Standards Council (PCI SSC) e têm como objetivo evitar vazamentos de dados e consequente roubo de identidade e fraude no cartão de crédito. Há três fases em andamento envolvidas no cumprimento do PCI DSS: avaliação de processos de negócios e identificação de riscos em potencial, correção desses riscos e relato de esforços de conformidade para bancos e outros emissores de cartão de crédito relevantes.
A conformidade fundamental do padrão de segurança de dados do setor de cartões de pagamento é a criação e manutenção de uma rede de computadores segura. Um firewall robusto deve ser construído entre os dados do titular do cartão e o acesso externo à rede. As senhas do sistema devem ser implementadas juntamente com outras medidas de segurança em todos os pontos potenciais de vulnerabilidade da rede. Todos os dados do titular do cartão devem ser armazenados com segurança e, quando transmitidos por redes públicas, devem ser criptografados. As medidas em andamento incluem o uso de software antivírus e o acesso físico ou por computador restrito aos dados pelo pessoal, com base na necessidade de conhecimento dos negócios.
Existem inúmeras ferramentas e serviços disponíveis para ajudar as organizações a lidar com o PCI DSS. Enquanto o PCI SSC estabelece os padrões de conformidade com o PCI, todas as principais marcas de cartão de crédito criaram seus próprios padrões com relação à imposição e conformidade desses padrões, bem como aos procedimentos de validação de cartão de crédito. Cada uma dessas empresas oferece orientações on-line e outras para organizações que aceitam seus cartões. O PCI SSC também opera um programa que aprova Assessores de Segurança Qualificados que validam a conformidade com o Padrão de Segurança de Dados do Setor de Cartões de Pagamento. Para organizações que avaliam sua conformidade, o PCI SSC fornece ferramentas de validação chamadas Questionários de Autoavaliação de várias formas, cada uma adaptada a ambientes comerciais específicos.
Uma premissa fundamental no cumprimento do Padrão de segurança de dados do setor de cartões de pagamento é armazenar apenas dados de cartão de crédito essenciais às necessidades da organização. Os dados armazenados devem estar sujeitos a prazos e os dados de autenticação de transações nunca devem ser armazenados. Todos os números de conta e outros dados confidenciais transmitidos em redes públicas devem ser parcialmente mascarados.
Outras medidas em andamento do PCI DSS incluem a criação e manutenção de um programa de gerenciamento de vulnerabilidades que cria aplicativos e programas seguros. Monitoramento de rotina e testes de rede para identificar pontos fracos também são necessários. Cada organização também deve manter e distribuir uma política de segurança por escrito para todo o pessoal.