Essa cartilha tem por objetivo instruir nossos clientes sobre as boas práticas para a utilização dos dados de cartões, visando manter as informações seguras, conforme as normas regulamentadas pelo PCI Security Standards Council – versão 3.2.1.

Introdução

O Brasil é o país com o maior número de vítimas de crimes cibernéticos e o segundo país com maior impacto financeiro decorrente dos ataques.

Por ser uma empresa, você certamente está na mira dos fraudadores! Geralmente,  eles focam seus ataques para o lado do cliente que, na maioria dos casos, possui o menor nível de proteção.

Pensando nisso, a Vindi resolveu ajudar sua empresa e orientá-lo sobre como transmitir os dados dos cartões de forma mais segura.

Objetivo

Os fraudadores têm como alvo não só as grandes empresas, mas as de pequeno e médio porte também. Por isso, a Vindi se preocupa em ajudar nossos clientes a não se tornarem vítimas.

Atualmente, na Vindi, temos uma equipe interna de Segurança da Informação totalmente especializada e focada no controle de informações sigilosas que envolvem o seu negócio em relação aos meios de pagamento.

Com isso, estamos trazendo um guia de boas práticas simples e fácil de compreensão, com alguns tópicos sobre segurança. Vejamos alguns deles:

  • Invista em ferramentas de boa qualidade para “Antivírus”, que vão prevenir o seu ambiente contra possíveis ameaças e impedir que códigos maliciosos interfiram no funcionamento do seu computador;
  • Para complementar a segurança no seu ambiente, invista em um bom “Firewall” para proteger o computador a nível de conexão de redes, onde irá atuar fortemente na troca de informações;
  • Faça o backup regularmente para garantir que nenhuma informação seja perdida;
  • Considere também armazenar seus dados em um ambiente virtual, que não dependa de servidores físicos e previna a empresa contra possíveis roubos, danos e panes;
  • Atualize regularmente programas e softwares antivírus;

1. Ambiente Seguro

Primeiro, devemos pensar no ambiente onde essas informações permeiam e analisar que, para cada tipo de negócio, existem rotinas diferentes para o ambiente de TI. Além disso, em todos os aspectos, demandam profissionais especializados para indicar soluções sob medida para cada cenário. Pensando nisso, avaliamos o que precisa ser garantido:

  • Invista em ferramentas de boa qualidade para “Antivírus”, que vão prevenir o seu ambiente contra possíveis ameaças e impedir que códigos maliciosos interfiram no funcionamento do seu computador;
  • Para complementar a segurança no seu ambiente, invista em um bom “Firewall” para proteger o computador a nível de conexão de redes, onde irá atuar fortemente na troca de informações;
  • Faça o backup regularmente para garantir que nenhuma informação seja perdida;
  • Considere também armazenar seus dados em um ambiente virtual, que não dependa de servidores físicos e previna a empresa contra possíveis roubos, danos e panes;
  • Atualize regularmente programas e softwares antivírus;
  • Caso você veja que isso irá demandar muito esforço da sua equipe, e não tenha alguém especializado na empresa, pense na possibilidade de terceirizar a estrutura de tecnologia. Dessa forma, você terá especialistas trabalhando para resolver sua demanda, garantindo seu funcionamento e produtividade.

ALERTA: Ambientes corporativos sem proteção, abrem grandes portas para roubos, danos e furtos nas informações, acarretando em grandes impactos financeiros e podendo levar até a descontinuidade do negócio.   

2. Dados de cartão

A melhor maneira de se proteger contra violações de dados é não armazenar os dados de cartões.

Na plataforma Vindi, todo esse processamento de armazenagem dos dados é feito através de requisitos rigorosos, garantindo a segurança nos dados.

Detalhamos abaixo as informações utilizadas no cartão para operação de compra no comércio eletrônico:

Cartão de crédito exemplo
Data de validade do cartão Número do Cartão, ou PAN (Primary Account Number)

 

  • Ao solicitar o cartão do cliente, evite se deslocar. Sempre manuseie o cartão na vista do cliente.
  • Restrinja o acesso de pessoas ao ambiente onde os dados do cartão forem inseridos no sistema. Neste caso, quanto menor o número de pessoas com acesso, melhor. E lembre-se: libere o acesso somente para pessoas que sejam de confiança.
  • Nunca, em hipótese nenhuma, armazene os dados do cartão de crédito fora do sistema da Vindi;
  • Nunca, em hipótese alguma, armazene o código de segurança do cartão do cliente;
  • Não compartilhe dados do cartão do cliente em mensagens, vídeos, tickets ou qualquer outro meio de comunicação.
  • Não receba dados de cartão através de telefone, e-mail, Whatsapp ou qualquer outro meio de comunicação. Utilize sempre a página de pagamento que a Vindi disponibiliza para registrar esses dados;
  • Lembre-se: essas informações são extremamente confidenciais e pessoas não autorizadas tendo acesso a elas podem gerar impactos negativos altíssimos para a empresa.

ALERTA: 1 a cada 3 brasileiros já tiveram o cartão de crédito clonado, isso mostra a agressividade dos fraudadores em roubar dados.

3. Senhas

A senha é essencial para manter a segurança nos seus dados. Por isso, ela é pessoal e não deve ser compartilhada de forma alguma.

Para te ajudar, damos algumas dicas sobre o assunto:

 

  • Não use padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança;
  • Senha é pessoal e intransferível! Portanto, nunca compartilhe com ninguém ou deixe essa informação exposta (como anotar em papel ou deixar em locais visíveis).
  • A prática de compartilhamento de senhas entre os funcionários deve ser proibida.
  • Utilize sempre senhas seguras com um nível de criticidade que dificulte a adivinhação ou quebra de senhas;
  • Descarte senhas padrões ou que sejam fáceis de adivinhar, como ‘12345’, data de nascimento, nomes, etc.;
  • Utilize senhas fáceis de decorar e difíceis de adivinhar. Como um exemplo, você pode utilizar as iniciais de uma frase ou alterar letras por números e caracteres especiais;
  • Insista para que cada funcionário tenha sua própria ID de login e senha, as quais nunca devem compartilhar! Isso para qualquer tipo de sistema;
  • Utilize um processo para alteração de senhas em um prazo mínimo de 90 dias.

ALERTA: Cerca de 80% das violações de dados envolvem senhas descobertas ou roubadas.

4. Controle de Acessos

 

Estabeleça mecanismos rígidos nos controle de acessos, evitando que pessoas mal intencionadas tenham acesso a informações não autorizadas.

  • O controle de acesso é extremamente importante. Portanto, valide qual usuário deve ter acesso a qual informação e, a partir disso, libere permissões somente se necessário;
  • Limite o número de acessos concedidos para que a pessoa não acumule atribuições privilegiadas;
  • É importante configurar o sistema para conceder os acessos às equipes de acordo com a sua função.

ALERTA: Quanto maior for o acesso concedido para um funcionário de maneira inadequada, maior será o potencial para a ocorrência de fraudes e erros operacionais com base neste acesso.

Quando o cliente efetua a compra em seu estabelecimento, ele acredita que você investiu tempo e dinheiro necessários para garantir que os dados do cartão dele não sejam roubados e usados por pessoas mal intencionadas.

Hoje, é obrigatório que todo prestador de serviço em meio de pagamento tenha o atestado de conformidade com a PCI DSS (Padrão de Segurança de Dados de Cartão). A Vindi possui o nível máximo de segurança, “Tier 1”, garantindo a conformidade no conjunto de requisitos de segurança para a proteção dos dados de cartões dos clientes e proporcionando ao seu cliente total segurança em suas compras.