Eu já participei de alguns processos para tornar empresas PCI Compliance em minha carreira e, nesta empreitada, tive a oportunidade de atuar em empresas com mais de 16 mil pessoas e empresas com apenas 15, o que mostra que estes processos de segurança podem ser aplicados em companhias de qualquer tamanho.
Aqui na Vindi, tive a oportunidade de revalidar o trabalho que iniciei em 2016 em uma empresa com poucas pessoas, muitos desafios e grandes ambições. No mês passado recebemos mais uma vez o atestado de conformidade com PCI-DSS e o desafio desta “certificação” foi tão grande quanto ao da primeira, devido ao dinamismo da empresa, que hoje cresce de maneira exponencial para atingir suas metas.
Nestes 3 anos de Vindi, recebi muitas perguntas de clientes, concorrentes e pessoas do mercado querendo saber sobre o atestado de conformidade com o PCI-DSS, e as perguntas foram as mais diversas, tais quais: “quanto custa?”, “quanto tempo leva?” “vale a pena investir?” ou questões mais específicas sobre nossos processos, nossa infraestrutura e tecnologias que usamos. Por isso, resolvi escrever este post para tirar algumas dúvidas.
Obviamente, as respostas para algumas destas perguntas dependem de uma série de variáveis, mas respondemos a todas elas individualmente e até alguns de nossos processos serviram de base para nossos concorrentes e, acredite, estamos felizes por colaborar para aumentar a maturidade da segurança da informação nos meios de pagamento.
Vale a pena investir no PCI Compliance?
Usando o discurso da documentação do próprio PCI, se você é uma empresa que processa, transmite ou armazena dados de cartões de crédito, seja em transações presenciais ou não, você deve ter o compliance ou contratar um parceiro que esteja em conformidade para assegurar suas vendas online.
Se sua empresa está enquadrada nas descrições acima e você não acredita que vale a pena investir ou ter como parceiro um gateway com compliance PCI, entenda os benefícios que isso traz ao seu negócios. Com o PCI, você:
- Estará preparado para concorrer com grandes empresas do mercado – acredite, os maiores players exigem este tipo de segurança;
- Cumprirá com as melhores e mais atuais práticas de segurança aplicadas em seu negócio;
- Saberá o que fazer no caso de um vazamento de dados de pagamento.
Quanto tempo leva?
Primeiro, é necessário mensurar o quanto a empresa já investiu em segurança, pois cada processo ou tecnologia já existente na empresa pode poupar alguns dias ou meses de implementação e também depende da cultura de cada organização.
Em todas as empresas que já atuei implementando estas regras de compliance, a consciência e cultura da companhia sobre segurança sempre ditaram as regras de quais processos serão mais simples ou mais complexos de ser implementados.
Por exemplo, o processo de desenvolvimento seguro que pode apresentar uma grande resistência em uma empresa levando um bom tempo para ser implementado, pode ser muito bem aceito em outra que já tenha esta prática, diminuindo o tempo de implementação.
Mas para não ficar sem resposta esta pergunta, como o PCI gira em ciclos de 12 meses um prazo mínimo interessante para se trabalhar para atingir a conformidade seria este.
A seguir explico por quê:
- Para o compliance, é necessário ter 12 meses de “logs” – registros dos sistemas armazenados de maneira offline.
- A revisão das políticas relacionadas à segurança da informação deve ser feita, no mínimo, a cada 12 meses;
Esses e outros processos que necessitam de ciclos de 12 meses.
Quanto custa investir no PCI?
De maneira genérica, existem alguns estudos que apresentam a variação mínima e máxima do investimento para obtenção do compliance com PCI-DSS, um destes estudos é da ISACA, que já apresentei para vocês lá em cima.
Neste estudo está estimado um investimento de 120 mil a 700 mil dólares para conseguir a conformidade.
Um fato muito importante que deve ser ressaltado é que esse investimento não é feito uma única vez, anualmente tem que ser alocado valor semelhante ou maior para manter a conformidade para o ano seguinte, pois o compliance tem que ser revalidado todos os anos, caso não haja uma nova versão do PCI-DSS que, no momento em que escrevo este texto, está 3.2.
Bom, agora que você já sabe minimamente o que precisa para ter o ter o atestado de conformidade e garantir que todas as regras de segurança exigidas pelas bandeiras de cartão, vale tomar a decisão de investir uma grande quantia dos recursos da sua empresa para obter o PCI Compliance ou focar no que é importante para seu negócio e contar com a Vindi para assegurar os dados de cartão de seus clientes.
Até a próxima!