PCI-DSS são os Padrões de segurança de dados da indústria de cartões de pagamento. Como o próprio nome sugere, trata-se de um padrão voltado para a indústria de cartões de pagamento.
Transações financeiras estão sujeitas a riscos, seja em dinheiro ou cartão. Para transações em dinheiro, a segurança física é fundamental, já para transações com cartão, a segurança dos dados ganha destaque, enquanto a segurança física fica em segundo plano. O cartão de pagamento pode ser de crédito ou débito. Se os dados financeiros e pessoais do cartão de pagamento estiverem protegidos, isso ajudará a prevenir transações fraudulentas.
Se os dados do cartão de pagamento não estiverem seguros:
Portanto, a indústria de cartões de pagamento tomou a iniciativa de autorregular as transações de dados dos cartões com padrões de segurança da informação.
Os principais participantes da indústria de dados de cartões — Visa, MasterCard, American Express, Discover e JCB — formaram uma aliança em 2006 para criar um conselho de padrões de segurança para a indústria de cartões de pagamento. O conselho formulou os padrões de segurança para todos os dados envolvidos nas transações com cartões de pagamento. A conformidade com o PCI-DSS (firewall em conformidade com o PCI DSS) se aplica a todas as entidades envolvidas na transação com cartão de pagamento. A regulamentação abrange comerciantes de pequeno, médio e grande porte, além de bancos e instituições financeiras envolvidos em transações com cartões, todos regidos pelo PCI-DSS. Para desenvolvedores de aplicações de software, aplica-se o PCI PA-DSS. Para fornecedores de terminais de ponto de venda (POS) e fabricantes de hardware, aplica-se o PCI-PTS. Dentre esses, o PCI-DSS é o mais importante, pois regula um grande número de entidades. Essas entidades estão envolvidas em milhões de transações com cartões.
Os ladrões de dados procuram pelas informações do titular do cartão e pelos dados de autenticação.
Dados do titular do cartão
Dados sensíveis de autenticação
Todos os envolvidos na transação com cartão de pagamento devem garantir que os dados estejam protegidos. Para proteger os dados, o conselho de segurança PCI-DSS elaborou um conjunto de requisitos a serem cumpridos.
O PCI-DSS possui 12 requisitos e procedimentos de teste que abrangem os componentes técnicos e operacionais.
| O que alcançar | Como alcançar |
| Criar e manter uma rede segura |
|
| Proteger os dados do titular do cartão |
|
| Manter um programa de gerenciamento de vulnerabilidades |
|
Implementar medidas de controle de acesso fortes |
|
| Monitorar e testar regularmente as redes |
|
| Manter uma política de segurança da informação |
|
É um processo de três etapas (Como obter a conformidade com o PCI DSS?) para proteger os dados do titular do cartão em qualquer organização.
Eles são:
Nesta etapa, identifique os dados do titular do cartão, faça um inventário dos ativos de TI e dos processos de negócios relacionados a cartões de pagamento, e analise as vulnerabilidades.
Para avaliar, existem avaliadores de segurança qualificados. Escolha um avaliador disponível nas proximidades. Para pequenos comerciantes e prestadores de serviços, o Questionário de Autoavaliação (SAQ) é suficiente.
Corrija a vulnerabilidade e não armazene dados do titular do cartão, a menos que seja absolutamente necessário.
Garanta que a conformidade seja monitorada continuamente. O monitoramento periódico pode ter lacunas que facilitam o roubo de dados.
Compilar e enviar os relatórios de conformidade com o PCI DSS para a marca de cartão ou banco responsável pela fiscalização.
O conselho de segurança PCI-DSS não faz a fiscalização da conformidade com o firewall PCI-DSS. São apenas as marcas de cartões ou o banco que fazem a fiscalização.
Ele monitora continuamente a rede para a conformidade com o firewall PCI-DSS (configuração de firewall em conformidade com PCI). O relatório de conformidade do firewall PCI pode ser gerado a qualquer momento para atender aos requisitos de auditoria. Você também pode agendar relatórios de firewall PCI e registrá-los para futuras referências, garantindo assim um firewall em conformidade com o PCI DSS (firewall conforme com PCI). Consulte os requisitos de conformidade com o PCI-DSS cobertos pelo Firewall Analyzer.