O que é conformidade com PCI DSS? | Definição de PCI DSS

Para proteger os dados do titular do cartão, as empresas compatíveis com PCI seguem um conjunto de padrões de segurança de dados de cartão de crédito, conhecido como PCI DSS. Explore por que a conformidade com PCI é importante para todas as organizações que lidam ou processam pagamentos com cartão.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS)
  • Descrever as origens e a evolução do PCI DSS
  • Compreender a importância da conformidade com o PCI DSS

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é conformidade com PCI DSS?

A conformidade com PCI (Setor de Cartões de Pagamento) significa obedecer a um conjunto de políticas de segurança para os dados do portador do cartão. Todas as organizações que processam transações com cartões de crédito, débito e/ou pré-pagos estão sujeitas aos requisitos de conformidade com PCI.

Os dados do cartão de crédito precisam permanecer secretos para serem seguros, e a conformidade com o PCI estabelece que uma empresa pode ser confiável para manter esses dados em segredo. Assim como um proprietário não emprestaria as chaves de sua casa a alguém em quem não pudesse confiar seus pertences, as bandeiras de cartão de crédito não confiariam a um comerciante os dados do cartão de pagamento se esse comerciante não os mantivesse seguros.

Se uma empresa armazena, processa ou transmite dados do titular do cartão de crédito, seja pela internet, por telefone, em um aplicativo, em papel ou pessoalmente, ela deve seguir um conjunto de regras para proteger as informações sobre esses pagamentos.

Embora a conformidade com PCI não seja exigida pela lei federal dos EUA, as empresas de cartão de crédito podem impor taxas de não conformidade às empresas que não protegerem adequadamente os dados do titular do cartão. Mais criticamente, não proteger os dados do titular do cartão torna mais fácil para os criminosos roubar esses dados. Esse roubo é um risco significativo, nos próximos 10 anos, o setor global de cartões de pagamento deverá perder US$ 397 bilhões acumulados em todo o mundo com fraudes, de acordo com projeções do Nilson Report.

O que é PCI DSS?

PCI DSS significa "Padrão de Segurança de Dados do Setor de Cartões de Pagamento" (PCI DSS). A estrutura do PCI DSS orienta as empresas com processos robustos para proteger os dados de transação do titular do cartão e as informações de autenticação do cartão.Destina-se a proteger os dados do titular do cartão e os dados de autenticação com requisitos que ajudam a prevenir, detectar e reagir a incidentes de segurança.

A conformidade com PCI se aplica globalmente a todos os comerciantes que aceitam cartões de crédito, débito ou pré-pagos. Isso significa que empresas de todos os tamanhos, desde um café de esquina até uma marca multinacional de roupas de grife, estão sujeitas à conformidade com PCI, mesmo que usem terceiros para processar as transações.

Os dados da transação do titular do cartão endereçados pelo PCI DSS incluem:

  • Número da conta principal: o número da conta no cartão, normalmente com 16 dígitos
  • Nome completo: o nome do titular do cartão
  • Data de validade: o mês e o ano em que o cartão vence
  • Código de serviço: o valor recuperado automaticamente da tarja magnética ou chip do cartão para transações pessoais

Os dados de autenticação confidenciais cobertos pelo PCI DSS incluem:

  • Dados completos da tarja: os dados da tarja magnética do cartão ou equivalente em um chip de cartão de crédito
  • Código de verificação do cartão: O código de segurança de três ou quatro dígitos em um cartão, que é quase sempre solicitado para compras on-line
  • Data de validade: o mês e o ano em que o cartão vence
  • Número de Identificação Pessoal (PIN): O número exclusivo, geralmente de quatro dígitos, que permite saques em caixas eletrônicos e outras transações

A estrutura do PCI DSS

A estrutura do PCI DSS compreende 12 requisitos fundamentais (com mais de 300 subrequisitos):

  1. Instalar e manter controles de segurança de rede.
  2. Não utilizar senhas padrão fornecidas pelo fornecedor em dispositivos conectados à rede.
  3. Proteger os dados armazenados através de criptografia ou outros métodos de proteção de dados.
  4. Criptografar de forma sólida os dados do titular do cartão em redes públicas abertas.
  5. Proteger todos os sistemas e redes contra malware.
  6. Manter sistemas e softwares seguros.
  7. Restringir o acesso aos dados do titular do cartão e ao sistema com base na “necessidade de saber”.
  8. Identificar usuários e autenticar o acesso aos componentes do sistema.
  9. Controlar e restringir o acesso físico aos dados do portador do cartão.
  10. Registrar e monitorar o acesso aos dados do titular do cartão.
  11. Testar os sistemas de segurança e de rede regularmente.
  12. Manter uma política de segurança da informação organizacional.
Observação: Estas são apenas versões resumidas das normas, não as normas propriamente ditas. Consulte o site oficial do PCI Security Standards Council para obter mais detalhes.

De onde vieram as normas de PCI?

O PCI DSS e padrões de segurança relacionados são administrados pelo PCI Security Standards Council (PCI SSC), uma organização do setor fundada pela American Express, Discover Financial Services, JCB International, MasterCard Worldwide, e Visa Inc. As organizações participantes também incluem comerciantes, bancos emissores de cartões de pagamento, processadores, desenvolvedores e outros fornecedores.

A primeira versão, PCI DSS 1.0, foi introduzida em 2004. Em 2006, o PCI SSC lançou a versão 1.1, que pedia aos comerciantes que revisassem todos os aplicativos on-line e estabelecessem firewalls para maior segurança.

O PCI DSS continuou a evoluir ao longo dos anos em resposta a violações de dados e vulnerabilidades que aparecem em todo o ecossistema de processamento de cartões. A versão atual 4.0 tornou-se a única versão ativa em 31 de março de 2024, quando a versão 3.2.1 foi arquivada.

O PCI DSS v4.0 foi publicado em 2022 para "enfrentar as ameaças e tecnologias emergentes e permitir métodos inovadores de combate a novas ameaças". As organizações têm até 31 de março de 2025 para cumprir todos os requisitos do PCI DSS v4.0.

Embora os principais requisitos do PCI DSS não tenham mudado fundamentalmente, a nova v4.0 oferece maior foco sobre como os controles de segurança devem ser implementados. Alguns exemplos de mudanças são:

  • Terminologia de firewall atualizada para segurança de rede controles para apoiar uma gama mais ampla de tecnologias
  • Expansão dos requisitos para implementar autenticação multifator (MFA) para todo acesso ao ambiente de dados do portador do cartão
  • Maior flexibilidade para que as organizações demonstrem como estão usando diferentes métodos para alcançar os objetivos de segurança

Aqui está um resumo das principais mudanças da v.3.2.1 para a v4.0.

Como a conformidade com PCI é aplicada?

A conformidade com PCI é imposta pelas marcas de cartão de crédito responsáveis pelo processamento de pagamentos. Quando um comerciante (por exemplo, alguém que aceita cartões de pagamento como forma de pagamento de bens e serviços) faz um certo número de transações com cartões de pagamento por ano, ele é obrigado a preencher um Relatório completo de Conformidade com o PCI DSS. Se ele não o fizer, está sujeito a multas.

As penalidades do PCI DSS baseiam-se em uma série de fatores, tais como a gravidade da violação, quanto tempo levou para consertar ou remediar o problema e se houve uma violação. Se uma empresa continuar não cumprindo o PCI, há também uma chance de não poder utilizar cartões de crédito para qualquer pagamento dentro de seu sistema.

O PCI DSS divide as empresas (ou "comerciantes," como as normas os chamam) em quatro níveis com base no número de transações com cartões que eles processam durante um período de 12 meses.

Os quatro níveis* são:

  • Nível 1: mais de seis milhões de transações por ano, em todos os canais
  • Nível 2: entre um milhão e seis milhões de transações por ano, em todos os canais
  • Nível 3: entre vinte mil e um milhão de transações de comércio eletrônico por ano
  • Nível 4: menos de vinte mil transações de comércio eletrônico por ano

A maneira como um comerciante pode ser certificado como compatível com PCI muda com base em seu nível. De um modo geral, quanto mais transações o comerciante realiza, mais rigorosos são os requisitos de auditoria de conformidade.

Por exemplo, os comerciantes de nível 2 a 4 preenchem e enviam um questionário anual de autoavaliação (SAQ). Existem tipos diferentes de SAQ, dependendo da forma como o comerciante processa as informações do cartão de pagamento. As organizações devem consultar as Instruções e Diretrizes do SAQ para ajudar a determinar qual (se houver) SAQ se aplica à sua organização. Um resumo das diferenças nos requisitos de SAQ na v4.0 pode ser encontrado aqui.

Os comerciantes de nível 1 (como Cloudflare), que lidam com mais de seis milhões de transações por ano, são auditados anualmente. Os comerciantes de Nível 1 devem receber um Relatório de Conformidade de um Assessor de Segurança Qualificado (QSA) do PCI SSC ou do Assessor de Segurança Interna (ISA) do PCI SSC. Este processo para comerciantes de Nível 1 ocorre uma vez por ano ou uma vez por trimestre, dependendo da empresa de cartão. Os comerciantes de Nível 1 também podem ter avaliações de segurança de dados no local.

Finalmente, todos os comerciantes precisam preencher e enviar um formulário de Atestado de Conformidade (AOC), que é basicamente uma declaração para a empresa de cartão de crédito de que o comerciante está em conformidade com o PCI.

*Estas definições são mais precisas, mas cada marca de cartão de crédito define e avalia a conformidade de maneira ligeiramente diferente. É importante verificar com cada empresa de cartão de crédito os critérios específicos de seu programa.

A Cloudflare pode ajudar os clientes a atender aos requisitos de PCI?

A Cloudflare mantém a conformidade PCI DSS Nível 1 e tem está em conformidade com PCI desde 2014. Muitos de nossos clientes também exigem que forneçamos uma cópia de nosso AOC, que basicamente informa à empresa de cartão de crédito que estamos em conformidade com PCI. Se não tivéssemos essa certificação, não poderíamos trabalhar com determinados clientes, nem nosso banco adquirente nos permitiria usar cartões de pagamento como forma de pagamento de nossos serviços.

Também ajudamos nossos clientes a manter a segurança por meio de seus próprios sites e aplicativos. Aqui estão alguns exemplos de como a Cloudflare pode ajudar as empresas a atender a determinados requisitos do PCI DSS:

  • Os clientes que usam o firewall de aplicativos web da Cloudflare, habilitam o conjunto de regras do OWASP e ajustam as regras para seu ambiente, atendem à necessidade de proteger aplicativos voltados para a web e atender aos requisitos do PCI 6.4.1 .
  • A Cloudflare permite que os comerciantes usem as versões mais recentes da criptografia TLS, outra parte importante da conformidade com PCI.
  • Muitas organizações contam com VPNs e outras ferramentas de segmentação para reduzir o escopo de seu ambiente de dados de portadores de cartões. O Cloudflare Access fornece outro meio de segmentação, usando a rede global da Cloudflare como um serviço de VPN para acessar recursos internos. Além disso, tais sessões podem ser configuradas para atingir o tempo limite depois de 15 minutos de inatividade a fim de ajudar os clientes a cumprir o requisito 8.2.8.
  • Os novos requisitos de segurança do lado do cliente, 6.4.3 e 11.6.1 no PCI DSS v4.0, especificam a necessidade de conhecer e autorizar a execução do JavaScript em todas as páginas de pagamento, bem como a necessidade de ser alertado quando algum desses JavaScript for alterado . O Cloudflare Page Shield monitora continuamente todo o site além das páginas de pagamento e envia um alerta quando qualquer script é alterado e se for considerado malicioso.

Saiba mais sobre os serviços de segurança de sites e aplicativos da Cloudflare e sobre as funções integradas de segurança, privacidade e conformidade de uma nuvem de conectividade.