Pagamentos

PCI DSS: entenda esta certificação de segurança internacional

PCI DSS: entenda esta certificação de segurança internacional
Rafael Negherbon

Rafael Negherbon CTO e cofounder

Para qualquer negócio digital, a segurança dos dados deveria ocupar o primeiro lugar do pódio na lista de prioridades. Quando colocamos na discussão os dados de transações de pagamentos, a prioridade deveria aumentar ainda mais por um motivo.

Segundo pesquisa realizada em 14 países pela F-Secure e divulgada aqui, 84% dos brasileiros entrevistados alegaram ter medo de efetuar compras online, com dados pessoais e de cartão de crédito. A maior preocupação? Ter os dados roubados por cibercriminosos.

É para levar mais segurança às transações que existe uma certificação de segurança internacional conhecida por PCI DSS. Entenda mais a seguir.

O que é o PCI DSS?

PCI DSS vem de “Payment Card Industry Data Security Standard”, que em português significa “Padrão de Segurança de Dados para a Indústria de Pagamentos com Cartão”. Portanto, refere-se a um padrão de segurança para proteger os dados do titular do cartão em transações de pagamento digital.

Chamada também de PCI Compliance, é a certificação de segurança internacional mais reconhecida do mercado de pagamentos. Como curiosidade, ela resulta de uma colaboração entre as maiores bandeiras da indústria de cartão de crédito – Mastercard, VISA, American Express, JCB e Discover.

A certificação é independente, isto é, embora tenha sido estabelecida pelas grandes marcas que citamos, não são elas que a administram, mas sim o PCI SSC (“Payment Card Industry Security Standards Council”, ou “Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento”).

Assim, você já consegue ter uma ideia do objetivo do PCI DSS: aprimorar a segurança dos dados do titular do cartão de crédito ou débito (como número, validade e código de segurança), para evitar fraudes e apropriação indevida de dados.

Leia também:

Empresas que precisam ter a certificação PCI DSS

Toda organização que processa e armazena dados de titulares de cartão é obrigada a ter a certificação PCI DSS, pois ela atesta que a empresa é capaz de proteger esses dados de acordo com os padrões mais rigorosos do mercado.

Algo importante a entender é que mesmo as organizações que tenham subcontratado todas as atividades do PCI DSS para terceiros são, ainda assim, responsáveis por garantir que todas as partes contratadas cumpram o padrão.

Além disso, provedores de serviços, incluindo desenvolvedores de software, que processarem, transmitirem ou armazenarem dados do titular do cartão, ou cujas atividades afetarem a segurança dos dados do titular do cartão à medida que são processados, transmitidos ou armazenados, também devem possuir a certificação PCI DSS.

Para resumir, alguns exemplos de empresas que precisam obter um selo PCI são:

  • Servidores;
  • Gerenciadores de banco de dados;
  • Gateways de pagamento;
  • Processadores de pagamento;
  • Plataformas de e-commerce.

Saiba quais são as vantagens de obter um selo PCI

Não é de hoje que os cibercriminosos procuram maneiras fáceis de atingir especialmente o setor de comércio eletrônico e marketplace visando obter dados privados. Como sabemos,  incidentes de segurança podem custar milhões de reais e rapidamente manchar a imagem de uma marca.

Obter a certificação PCI DSS mostra a preocupação do seu negócio em proporcionar uma experiência de pagamento mais segura. Consequentemente, o nível de satisfação do cliente aumenta, bem como o de fidelização. No fim do dia, as vendas crescem.

Adicionalmente, destacamos que a conformidade com PCI leva a uma melhora na eficiência da infraestrutura de TI. Ela também pode significar um ponto de partida, pois suas orientações podem ser aplicadas a quaisquer organizações que utilizam qualquer método de processamento ou armazenamento de dados.

Colocando em outros termos, a certificação PCI DSS mostra que o negócio é seguro e que os clientes podem confiar a ele os dados confidenciais de pagamentos.

Leia também:

Compreenda os níveis do PCI Compliance

Os níveis do PCI DSS são divididos em dois grupos: para estabelecimentos comerciais e para provedores de serviços de pagamentos (PSP).

Níveis do PCI Compliance para estabelecimentos comerciais

São relacionados ao número de transações processadas anualmente:

  • Nível 1: mais de 6 milhões de transações (físicas e online) por ano;
  • Nível 2: entre 1 e 6 milhões de transações (físicas e online) por ano;
  • Nível 3: entre 20 mil e 1 milhão de transações online por ano;
  • Nível 4: menos de 20 mil transações on-line ou até 1 milhão de transações no total em um ano.

Níveis do PCI Compliance para PSP

Os níveis também seguem o mesmo critério de volume de transações processadas anualmente:

  • Nível 1: mais de 300 mil transações por ano;
  • Nível 2: menos de 300 mil transações por ano.

PCI DSS: requisitos necessários

A fim de obter a certificação PCI DSS, a empresa precisa atender a requisitos que incluem uma série de práticas recomendadas, como:

  • Instalar firewalls;
  • Transferir dados criptografados;
  • Utilizar software antivírus;
  • Restringir o acesso aos dados do titular do cartão;
  • Controlar o acesso aos recursos da rede.

Para entender bem, existem doze requisitos divididos em seis objetivos. Desse modo, todo negócio que tem o selo PCI comprova que atende a todos eles, que são:

Conclusão

O PCI DSS é um padrão de segurança da informação cujo objetivo é de reduzir fraudes com cartões de pagamento. Em outros termos, foi projetado para aumentar os controles de segurança em torno dos dados do titular do cartão.

Para negócios online, é importante investir em ferramentas seguras. Pensando na gestão de pagamentos, por exemplo, a plataforma da Transfeera reúne a tecnologia necessária para gerenciar pagamentos Pix, prevenir fraudes e falhas, integrar prestadores de serviços e muito mais.

A Transfeera possui a certificação PCI DSS desde 2022, o que significa que as informações e dinheiros de nossos clientes estão sempre seguras. Além disso, garantimos operações mais seguras, porque:

  • Nossa solução possui capcha, habilita a autenticação de dois fatores no login e cada usuário da plataforma recebe um nível de acesso.
  • Nossa infraestrutura é criada em IaC (Infrastructure As Code).
  • Temos firewall de aplicação na frente de todos endpoints públicos.
  • Toda nossa operação está sujeita à política de privacidade e todos os protocolos de Cyber Security, além de estarmos totalmente em conformidade com a LGPD.
  • Adotamos internamente o processo Know Your Customer (KYC), garantindo ainda mais segurança para o mercado e nossos usuários.
  • Realizamos testes de recuperação de desastre, pentest e testes de segurança automatizados.
  • Possuímos SIEM centralizador de todos os eventos de segurança.

Clique aqui e conheça a plataforma de pagamentos da Transfeera!

Banner solicite uma demonstração

Quer receber esses conteúdos e as novidades em primeira mão diretamente em seu e-mail?

Cadastre-se e receba as atualizações do blog e sobre a Transfeera diretamente em seu e-mail.

Ao informar meus dados, concordo com a política de privacidade

Veja também

Boleto não registrado: entenda o que é e por que não pode mais ser utilizado

Pagamentos

Boleto não registrado: entenda o que é e por que não pode mais ser utilizado

Entenda tudo sobre instituição de pagamento participante do SPB

Pagamentos

Entenda tudo sobre instituição de pagamento participante do SPB

Boleto parcelado: saiba como ele funciona e descubra se vale a pena para o seu negócio

Pagamentos

Boleto parcelado: saiba como ele funciona e descubra se vale a pena para o seu…

Usamos cookies e tecnologias similares para melhorar a sua experiência, personalizar publicidade e conteúdos de seu interesse. Ao utilizar nossos serviços, você concorda com tal monitoramento. Informamos ainda que atualizamos nossos termos legais, confira!