No post de hoje, você poderá entender o que é PCI Compliance e por que sua empresa precisa se preocupar com essa certificação.

De forma geral, usar um provedor com níveis máximos de segurança é uma realidade para pouquíssimas empresas. Mas, em tempos de economia digital, empresas no mundo todo estão cada vez mais expostas do ponto de vista de dados e segurança na internet

Portanto, ter a almejada segurança na venda online não se limita mais a usar um sistema antifraude ou ferramenta de validação de cadastros, somente: é preciso que as empresas responsáveis por processar os pagamentos sejam altamente seguras e certificadas. 

Nesse sentido, a certificação PCI DSS é a maneira mundialmente mais aceita de se assegurar essa confiabilidade. 

Entenda a seguir e navegue pelos seguintes tópicos:

O que é PCI Compliance (PCI DSS)?

O PCI Compliance, ou “PCI DSS”, é uma das maiores certificações de segurança do mundo. A sigla quer dizer “Payment Card Industry – Data Security Standard”, ou seja, Padrão de Segurança de Dados para a Indústria de Cartões de Pagamento.

Isso significa que ela é uma certificação necessária para todas empresas que processam, armazenam e transmitem dados de cartões, tais como número, validade e código de segurança. Ela é exigida para garantir a segurança desses dados e informações pessoais dos titulares de cartão e, portanto, reduzir o risco de fraudes e apropriação indevida de dados.

Dessa forma, o PCI Compliance é extremamente importante para provedores de plataformas de pagamento online e seus usuários (pessoas jurídicas que transacionam pela internet com dados de cartão dos portadores).

Regido e mantido pelo PCI Security Standards Council (Conselho Padrão de Segurança PCI), desde 2006, esse conselho foi fundado pelas mais importantes bandeiras da indústria de cartões, como American Express, Discover Financial Services, JCB International, MasterCard e Visa. Este grupo é responsável por manter, desenvolver e promover o PCI DSS. Além disso, contribui com a implementação do padrão através de avaliações e qualificações ou, também, autoavaliações de conformidade. 

Qual é o papel do PCI Compliance?

O PCI DSS tem o papel de formar um conjunto de requisitos para certificar a segurança de transações por cartão pela internet. Essas regras são guiadas por seis grandes objetivos declarados pelo Conselho de PCI Security:

  1. Construir e manter uma rede segura através da qual conduzir as transações
  2. As informações dos titulares de cartão devem ser protegidas
  3. Manter o sistema protegido de hackers
  4. Implementar fortes medidas de controle de acesso
  5. Monitorar e testar as redes frequentemente
  6. Manter uma política de segurança formal.

Dessa forma, o PCI DSS é um protocolo que visa a garantir esses objetivos e, por consequência, gerar compras mais seguras por cartão de crédito ou débito.

Quais dados são protegidos pelo PCI?

O PCI DSS tem como objetivo garantir, durante todo o processamento das transações, a segurança de dados relacionados a cartões de crédito e débito, como:

  • Número do cartão
  • Senha
  • Código de segurança
  • Data da validade.

O certificado também protege dados pessoais do titular do cartão, como:

  • Nome completo
  • Endereço
  • RG
  • CPF.

Quais são os níveis do PCI Compliance?

Existem quatro níveis de certificação PCI: 1, 2, 3 e 4. A divisão entre os níveis de certificações (tiers) são configuradas conforme a quantidade de transações processadas por ano. Assim, esses níveis determinam a quantidade de esforços que serão necessários para se adequar ao PCI DSS.

Confira a tabela abaixo.

TiersQuantidade de transações por anoAuto Avaliação AnualScan TrimestralAuditoria Anual
1Acima de 6 milhõesNãoSimSim
2Entre 1 e 6 milhõesSimSimNão
3E-commerce – Entre 20.000 e 1 milhãoSimSimNão
4E-commerce – menos de 20.000 e Outros ec’s até 1 milhãoSimSimNão

*A Vindi possui o nível máximo (Tier 1).

Saiba mais sobre cada um dos níveis a seguir:

Nível 1

O mais alto nível do PCI Compliance abrange apenas empresas responsáveis por mais de 6 milhões de transações por ano, considerando cartões de crédito e débito.

Para obter e manter este certificado, a empresa precisa ter suas transações verificadas a cada ano por um auditor autorizado, além de ter suas redes escaneadas a cada trimestre por um Fornecedor de Varreduras Aprovado (ASV, na sigla em inglês).

Ao final dessas análises, um Atestado de Compliance e um Relatório de Compliance de suas operações são entregues à empresa.

Nível 2

O segundo nível de segurança inclui empresas que movimentam de 1 a 6 milhões de transações por cartão por ano. Ao contrário do primeiro, este certificado não exige a realização de auditorias anuais.

Para obter o certificado, a empresa só precisa preencher um Questionário de Autoavaliação a cada ano e ter suas redes escaneadas.

Nível 3

O terceiro nível se destina principalmente a negócios focados no e-commerce, com um número de transações entre 20 mil e 1 milhão. Portanto, também não é necessário passar por auditorias externas anuais, mas é preciso ter suas redes escaneadas e responder ao questionário anualmente.

Nível 4

O nível mais baixo também é dedicado a empresas voltadas a vendas online, que realizam no máximo 20 mil transações. As exigências para a obtenção do certificado são iguais às dos níveis 2 e 3.

Vale a pena investir na certificação?

Para qualquer negócio que realiza transações com dados de cartão, é obrigatório ter o compliance ou contratar uma plataforma de pagamentos certificada para assegurar a segurança das vendas online. Mas as razões para investir nessa certificação vão além da necessidade burocrática.

Com o PCI, sua empresa ganha competitividade no mercado, já que os principais players exigem pelo menos um dos níveis da certificação. Além disso, o protocolo reduz bastante o risco de vazamentos de dados.

Embora o risco não seja zero, o PCI garante o cumprimento das mais avançadas práticas de segurança caso algum problema desse tipo aconteça.

Quais empresas precisam de uma certificação PCI DSS?

A certificação PCI é um item que acrescenta capital de segurança às empresas junto às demais medidas possíveis de proteção de dados. Por isso, a certificação se destina a todas as entidades envolvidas no processamento de pagamentos, incluindo comerciantes. 

Independentemente de seu tamanho ou volume de transações, se você aceitar ou processar cartões de pagamento, o PCI DSS tem relação com o seu negócio. Todos os provedores de sistemas que participam do processamento de dados de cartões durante uma transação comercial são obrigados a seguir os requisitos de segurança do PCI-DSS.

Entre esses participantes estão, principalmente:

  • Servidores
  • Gerenciadores de banco de dados
  • Gateways de pagamento
  • Processadores de pagamento
  • Plataformas de e-commerce.

Por que minha empresa deve se preocupar com isso?

Você, como empresário ou responsável pela decisão de um parceiro tão estratégico, que é o meio de pagamento, precisa entender e se preocupar com isso. 

Veja abaixo os principais pontos que sua empresa precisa ter em vista:

Responsabilidade legal 

Quando um dado é violado, como roubo de dados de cartões, a primeira preocupação é ter a certeza que o vazamento não ocorreu em algum ponto frágil do processo de pagamento. Muitas vezes, essa responsabilidade se torna legal – desencadeando numa ação jurídica, caso seja comprovado vazamento de dados. 

Sua empresa não pode ser responsável por isso.

Confiança

O principal elemento entre seu estabelecimento e seu cliente é a confiança. Assim sendo, eleger um provedor com a certificação PCI é ter a garantia de ter processos de segurança validados pela indústria de pagamentos e ainda assim, ter maior tranquilidade nas vendas. 

Seu cliente vai agradecer!

Aderência às regras

As regras do PCI mudam regularmente, exigindo dos provedores, uma agilidade para implementação de novas regras para a aderência ao processo de segurança. Sua empresa e equipe devem se preocupar com o seu próprio negócio, já a segurança em pagamentos deve ser dividida com o provedor.

Obrigatoriedade das normas

Se você recebe pagamentos por meio de cartões de crédito ou tem um gateway no meio do processo, saiba que ele precisa ter obrigatoriamente essa certificação. 

Se você está processando pagamentos diretamente com adquirentes (operadoras de cartão) ou usando uma solução sem a certificação, o risco de um problema é muito alto. 

Preocupantemente, as violações de dados ocorrem com frequência. Sites e negócios online são um alvo muito frequente de hackers, que muitas vezes comprometem todo negócio roubando dados ou invadindo sistemas frágeis do ponto de vista de segurança.

Prevenção a golpes e fraudes

Contar com ferramentas de pagamento que tenham o PCI Compliance ajuda o empresário a ter menos preocupações com golpes, ataques que causam vazamentos de dados de cartões de crédito e inundam o mercado com mais chargebacks decorrentes de fraudes com essas informações. 

Quais os requisitos para obter o PCI?

Para obter a certificação PCI DSS, a empresa precisa atender a 12 requisitos principais de segurança. Eles são agrupados em seis grandes objetivos.

Para essa divisão ficar bem clara, vou reproduzir aqui os seis objetivos e, abaixo de cada um deles, os requisitos necessários para cumprir cada um deles.

Construção e manutenção de rede e sistemas seguros

  • Firewall: instalar e manter um sistema forte para garantir a segurança dos dados do titular dos cartões
  • Senhas: usar sempre senhas únicas e originais, evitando sistemas de padronização.

Segurança dos dados dos titulares dos cartões

  • Armazenamento de dados: garantir a proteção adotando as medidas adequadas de segurança digital
  • Transmissão de dados: usar criptografia ponta a ponta.

Programa de gerenciamento de vulnerabilidades

  • Antivírus: usar um software confiável e mantê-lo sempre atualizado
  • Segurança de sistemas: seguir as normas e medidas de cibersegurança no desenvolvimento e na manutenção.

Medidas de controle de acesso

  • Restrição de acesso: compartilhar com outras empresas apenas os dados essenciais do titular do cartão
  • ID único: garantir a identificação de cada pessoa que tiver acesso ao sistema, impedido seu uso por pessoas não autorizadas
  • Acesso físico aos dados: restringir impedir o acesso às informações do titular do cartão.

Monitoramento e testagem da rede

  • Rastreio e monitoramento: manter o controle de todos os acessos, mesmo autorizados, aos dados do titular do cartão
  • Testes de segurança: avaliar regularmente a integridade e eficiência de todos os processos e sistemas de segurança.

Segurança da informação

  • Política de segurança: elaboração de um código para regulamentar o tratamento das questões de segurança da informação.

Como obter uma certificação PCI?

Para obter uma certificação PCI, as empresas cabíveis devem procurar uma das entidades certificadoras instituídas pelo PCI Council, conhecidas como Qualified Security Assessors (QSA) e filiais legalmente autorizadas. Elas são responsáveis por executar a avaliação de conformidade ao PCI-DSS nas empresas. 

Em caso de necessidade, apresentarão as medidas corretivas para promover o alinhamento aos padrões da certificação. O processo de certificação engloba 12 rígidos requisitos de segurança, como por exemplo:

  • Testes robustos de segurança para detectar fragilidades de sistema
  • Verificação de mais de 20 critérios de blindagem
  • Processos internos de auditoria
  • Scans e pen tests (penetration tests)
  • Amplo conhecimento da equipe para o Tier 1 (nível máximo da certificação)
  • Auditoria externa homologada (caso a empresa também queira atingir o Tier 1).

Uma vez obtida, a certificação Nível 1 deve ser renovada a cada ano. Anualmente, as maiores empresas do setor de cartões do mundo renovam suas certificações e passam por auditorias externas para obter o Nível 1 da Certificação PCI Compliance.

Quanto custa obter a certificação?

Os custos para a obtenção do certificado PCI-DSS variam conforme o porte da empresa. O investimento não é feito de uma vez só, pois todos os processos necessários para obter a certificação envolvem vários custos diferentes.

Além disso, para garantir a manutenção do certificado, é preciso investir ao longo do ano em várias medidas de segurança. Portanto, é preciso considerar esses gastos como recorrentes a cada ano.

Uma pesquisa publicada pela Isaca aponta que o investimento total para obter o certificado varia de 120 mil a 700 mil dólares, a cada ciclo. Entre os custos envolvidos para obter a certificação, estão:

  • Instalação de sistemas de segurança
  • Criptografia de dados
  • Antivírus
  • Treinamento de funcionários
  • Elaboração de uma política interna
  • Escaneamento das redes
  • Testes de intrusão
  • Custos de auditoria 
  • Preenchimento do questionário (níveis 2 a 4).

Como são muitos itens, o custo é variável mesmo entre certificados do mesmo nível. Portanto, é preciso avaliar bem se vale mais a pena obter a certificação ou contratar os serviços de uma empresa certificada, como a Vindi.

Em qual empresa de pagamentos devo confiar?

Estima-se que apenas 10 empresas no Brasil estejam preparadas para receber a auditoria e Certificação PCI Compliance Level 1 (acima de 300 mil transações). 

Ter um provedor com essa formalidade é a segurança da sua empresa.Por isso, conte com empresas que tenham esse certificado. 

A Vindi cumpre rigorosamente os padrões dessa certificação e passa por auditorias periódicas a fim de manter a conformidade com a indústria de cartões. Temos PCI DSS Level 1, versão 3.2, certificado pela Trustwave. 

Este é o padrão de segurança mais alto da indústria de pagamentos e a versão 3.2 é a mais recente. Além disso, o software de cobrança online da Vindi integra os principais adquirentes e meios de pagamento do mercado. E isso abrange seguir os mais rigorosos padrões de segurança da internet.

Cuidamos dos processos internos com grande rigidez quando o assunto é pagamentos e dados de cobrança. Por isso, vender através da Vindi é ter a certeza da segurança nas transações e a tranquilidade nos métodos de pagamento disponíveis no Brasil.

Para informações técnicas, acesse nosso link com o detalhe da certificação. Saiba mais sobre a Vindi, é só falar com nosso time de especialistas.

Quer saber mais sobre tendências do mercado de pagamentos?

Assista às palestras do Innovation Pay 2022, o maior evento de pagamentos, fintechs e serviços financeiros da América Latina. Clique no banner abaixo, faça o cadastro gratuitamente e tenha acesso ao conteúdo deste encontro marcante, que reuniu mais de 1.000 especialistas do setor em São Paulo. 

Este site usa cookies para melhorar sua experiência. Vamos supor que você esteja de acordo com isso, mas você pode optar por não participar, se desejar.
Aceitar consulte Mais informação Aceitar Leia mais

Política de privacidade e cookies