Ter a segurança de usar um provedor com níveis máximos de segurança, é uma realidade para pouquíssimas empresas. Por isso esse post foi motivado: para você saber o que é PCI Compliance e por que sua empresa precisa se preocupar com isso. Vamos lá.

Em tempos de economia digital, empresas no mundo todo estão cada vez mais expostas do ponto de vista de dados e segurança na internet. Ter a almejada segurança na venda on-line, não se limita mais a usar um antifraude ou ferramenta de validação de cadastros somente.

O que é o PCI Compliance?

O PCI Compliance ou “PCI DSS”, é uma das maiores certificações de segurança do mundo. Mas o que é na prática, o PCI Compliance?

Explicando melhor, o “PCI DSS” é o Padrão de Segurança de Dados para a Indústria de Cartões de Pagamento. Isso significa que essa certificação é necessária para todas empresas que processam, armazenam e transmitem dados de cartões pela internet e é exigida para garantir a segurança desses dados. É uma certificação extremamente importante para quem quer vender através de pagamento on-line.

pci-compliance-oque-e

Regido e mantido pelo PCI Security Standards Council (Conselho Padrão de Segurança PCI), a certificação e regulamentação é mantida desde 2006 por um fórum global aberto. Esse conselho foi fundado por: American Express, Discover Financial Services, JCB International, MasterCard e Visa. O processo de certificação engloba requisitos rígidos de segurança como por exemplo:

  • Testes Robustos de Segurança para detectar fragilidades de sistema;
  • Verificação de mais de 20 critérios de blindagem;
  • Processos internos de auditoria;
  • Scans e pen tests (penetration tests);
  • Amplo conhecimento da equipe para o Tier 1 (nível máximo da certificação);
  • Auditoria externa homologada (caso a empresa também almeje atingir o Tier 1).

Existem 4 níveis de certificação PCI: 1, 2, 3 e 4. A divisão entre os níveis de certificações (tiers) são configuradas conforme a tabela abaixo.

Tiers Quantidade de transações por ano Auto Avaliação Anual Scan Trimestral Auditoria Anual
1 Acima de 6 milhões Não Sim Sim
2 Entre 1 e 6 milhões Sim Sim Não
3 Ecommerce – Entre 20.000 e 1 milhão Sim Sim Não
4 Ecommerce – menos de 20.000 e Outros ec’s até 1 milhão Sim Sim Não

*A Vindi possui o nível máximo (Tier 1).

Por que minha empresa deve se preocupar com isso?

Você, como empresário ou responsável pela decisão de um parceiro tão estratégico, que é o meio de pagamento, precisa entender e se preocupar com isso. Elaborei abaixo, os principais pontos que sua empresa precisa ter em vista.

– Responsabilidade legal – quando um dado é violado, como roubo de dados de cartões, a primeira preocupação é ter a certeza que o vazamento não ocorreu em algum ponto frágil do processo de pagamento. Muitas vezes essa responsabilidade se torna legal – desencadeando numa ação jurídica, caso seja comprovado vazamento de dados. Sua empresa não pode ser responsável por isso.

– Confiança – o principal elemento entre seu estabelecimento e seu cliente é a confiança. Eleger um provedor com a certificação PCI é ter a garantia de ter processos de segurança validados pela indústria de pagamentos e ainda assim, ter maior tranquilidade nas vendas. Seu cliente vai agradecer.

– Aderência às regras – As regras do PCI mudam regularmente, exigindo dos provedores, uma agilidade para implementação de novas regras para a aderência ao processo de segurança. Sua empresa e equipe deve se preocupar com o seu próprio negócio, não com segurança em pagamentos;

– Obrigatoriedade das normas – se você recebe pagamentos através de cartões de crédito ou tem um gateway no meio do processo, saiba que ele precisa ter obrigatoriamente essa certificação. Se você está processando pagamentos diretamente com adquirentes (operadoras de cartão) ou usando uma solução sem a certificação, o risco de um problema é muito alto.

Infelizmente, violações de dados ocorrem regularmente e sites/negócios on-line são um alvo muito frequente de hackers, que muitas vezes comprometem todo negócio roubando dados ou invadindo sistemas frágeis do ponto de vista de segurança.

ps: conheço pelo menos 5 grandes cases on-line que fecharam por que tinham essa prática de não se preocupar com segurança.

Para informações técnicas, acesse nosso link com o detalhe da certificação.

vindi

Você vai gostar também

PCI Compliance O PCI Compliance ou "PCI DSS", é uma das maiores certificações de segurança do mundo. Mas o que é o PCI Compliance? É o Padrão de Segurança de Dados p...
Certificação PCI Compliance É com orgulho que informo nossa renovação da certificação máxima para empresas que lidam com pagamento: o PCI Compliance. Certificação PCI Compliance...