Para proteger os dados do titular do cartão, as empresas compatíveis com PCI seguem um conjunto de padrões de segurança de dados de cartão de crédito, conhecido como PCI DSS. Explore por que a conformidade com PCI é importante para todas as organizações que lidam ou processam pagamentos com cartão.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
A conformidade com PCI (Setor de Cartões de Pagamento) significa obedecer a um conjunto de políticas de segurança para os dados do portador do cartão. Todas as organizações que processam transações com cartões de crédito, débito e/ou pré-pagos estão sujeitas aos requisitos de conformidade com PCI.
Os dados do cartão de crédito precisam permanecer secretos para serem seguros, e a conformidade com o PCI estabelece que uma empresa pode ser confiável para manter esses dados em segredo. Assim como um proprietário não emprestaria as chaves de sua casa a alguém em quem não pudesse confiar seus pertences, as bandeiras de cartão de crédito não confiariam a um comerciante os dados do cartão de pagamento se esse comerciante não os mantivesse seguros.
Se uma empresa armazena, processa ou transmite dados do titular do cartão de crédito, seja pela internet, por telefone, em um aplicativo, em papel ou pessoalmente, ela deve seguir um conjunto de regras para proteger as informações sobre esses pagamentos.
Embora a conformidade com PCI não seja exigida pela lei federal dos EUA, as empresas de cartão de crédito podem impor taxas de não conformidade às empresas que não protegerem adequadamente os dados do titular do cartão. Mais criticamente, não proteger os dados do titular do cartão torna mais fácil para os criminosos roubar esses dados. Esse roubo é um risco significativo, nos próximos 10 anos, o setor global de cartões de pagamento deverá perder US$ 397 bilhões acumulados em todo o mundo com fraudes, de acordo com projeções do Nilson Report.
PCI DSS significa "Padrão de Segurança de Dados do Setor de Cartões de Pagamento" (PCI DSS). A estrutura do PCI DSS orienta as empresas com processos robustos para proteger os dados de transação do titular do cartão e as informações de autenticação do cartão.Destina-se a proteger os dados do titular do cartão e os dados de autenticação com requisitos que ajudam a prevenir, detectar e reagir a incidentes de segurança.
A conformidade com PCI se aplica globalmente a todos os comerciantes que aceitam cartões de crédito, débito ou pré-pagos. Isso significa que empresas de todos os tamanhos, desde um café de esquina até uma marca multinacional de roupas de grife, estão sujeitas à conformidade com PCI, mesmo que usem terceiros para processar as transações.
Os dados da transação do titular do cartão endereçados pelo PCI DSS incluem:
Os dados de autenticação confidenciais cobertos pelo PCI DSS incluem:
A estrutura do PCI DSS compreende 12 requisitos fundamentais (com mais de 300 subrequisitos):
O PCI DSS e padrões de segurança relacionados são administrados pelo PCI Security Standards Council (PCI SSC), uma organização do setor fundada pela American Express, Discover Financial Services, JCB International, MasterCard Worldwide, e Visa Inc. As organizações participantes também incluem comerciantes, bancos emissores de cartões de pagamento, processadores, desenvolvedores e outros fornecedores.
A primeira versão, PCI DSS 1.0, foi introduzida em 2004. Em 2006, o PCI SSC lançou a versão 1.1, que pedia aos comerciantes que revisassem todos os aplicativos on-line e estabelecessem firewalls para maior segurança.
O PCI DSS continuou a evoluir ao longo dos anos em resposta a violações de dados e vulnerabilidades que aparecem em todo o ecossistema de processamento de cartões. A versão atual 4.0 tornou-se a única versão ativa em 31 de março de 2024, quando a versão 3.2.1 foi arquivada.
O PCI DSS v4.0 foi publicado em 2022 para "enfrentar as ameaças e tecnologias emergentes e permitir métodos inovadores de combate a novas ameaças". As organizações têm até 31 de março de 2025 para cumprir todos os requisitos do PCI DSS v4.0.
Embora os principais requisitos do PCI DSS não tenham mudado fundamentalmente, a nova v4.0 oferece maior foco sobre como os controles de segurança devem ser implementados. Alguns exemplos de mudanças são:
Aqui está um resumo das principais mudanças da v.3.2.1 para a v4.0.
A conformidade com PCI é imposta pelas marcas de cartão de crédito responsáveis pelo processamento de pagamentos. Quando um comerciante (por exemplo, alguém que aceita cartões de pagamento como forma de pagamento de bens e serviços) faz um certo número de transações com cartões de pagamento por ano, ele é obrigado a preencher um Relatório completo de Conformidade com o PCI DSS. Se ele não o fizer, está sujeito a multas.
As penalidades do PCI DSS baseiam-se em uma série de fatores, tais como a gravidade da violação, quanto tempo levou para consertar ou remediar o problema e se houve uma violação. Se uma empresa continuar não cumprindo o PCI, há também uma chance de não poder utilizar cartões de crédito para qualquer pagamento dentro de seu sistema.
O PCI DSS divide as empresas (ou "comerciantes," como as normas os chamam) em quatro níveis com base no número de transações com cartões que eles processam durante um período de 12 meses.
Os quatro níveis* são:
A maneira como um comerciante pode ser certificado como compatível com PCI muda com base em seu nível. De um modo geral, quanto mais transações o comerciante realiza, mais rigorosos são os requisitos de auditoria de conformidade.
Por exemplo, os comerciantes de nível 2 a 4 preenchem e enviam um questionário anual de autoavaliação (SAQ). Existem tipos diferentes de SAQ, dependendo da forma como o comerciante processa as informações do cartão de pagamento. As organizações devem consultar as Instruções e Diretrizes do SAQ para ajudar a determinar qual (se houver) SAQ se aplica à sua organização. Um resumo das diferenças nos requisitos de SAQ na v4.0 pode ser encontrado aqui.
Os comerciantes de nível 1 (como Cloudflare), que lidam com mais de seis milhões de transações por ano, são auditados anualmente. Os comerciantes de Nível 1 devem receber um Relatório de Conformidade de um Assessor de Segurança Qualificado (QSA) do PCI SSC ou do Assessor de Segurança Interna (ISA) do PCI SSC. Este processo para comerciantes de Nível 1 ocorre uma vez por ano ou uma vez por trimestre, dependendo da empresa de cartão. Os comerciantes de Nível 1 também podem ter avaliações de segurança de dados no local.
Finalmente, todos os comerciantes precisam preencher e enviar um formulário de Atestado de Conformidade (AOC), que é basicamente uma declaração para a empresa de cartão de crédito de que o comerciante está em conformidade com o PCI.
*Estas definições são mais precisas, mas cada marca de cartão de crédito define e avalia a conformidade de maneira ligeiramente diferente. É importante verificar com cada empresa de cartão de crédito os critérios específicos de seu programa.
A Cloudflare mantém a conformidade PCI DSS Nível 1 e tem está em conformidade com PCI desde 2014. Muitos de nossos clientes também exigem que forneçamos uma cópia de nosso AOC, que basicamente informa à empresa de cartão de crédito que estamos em conformidade com PCI. Se não tivéssemos essa certificação, não poderíamos trabalhar com determinados clientes, nem nosso banco adquirente nos permitiria usar cartões de pagamento como forma de pagamento de nossos serviços.
Também ajudamos nossos clientes a manter a segurança por meio de seus próprios sites e aplicativos. Aqui estão alguns exemplos de como a Cloudflare pode ajudar as empresas a atender a determinados requisitos do PCI DSS:
Saiba mais sobre os serviços de segurança de sites e aplicativos da Cloudflare e sobre as funções integradas de segurança, privacidade e conformidade de uma nuvem de conectividade.