No post de hoje, você poderá entender o que é PCI Compliance e por que sua empresa precisa se preocupar com essa certificação.

De forma geral, usar um provedor com níveis máximos de segurança é uma realidade para pouquíssimas empresas.

Mas, em tempos de economia digital, empresas no mundo todo estão cada vez mais expostas do ponto de vista de dados e segurança na internet

Portanto, ter a almejada segurança na venda online não se limita mais a usar um sistema antifraude ou ferramenta de validação de cadastros somente. É preciso que as empresas responsáveis por processar os pagamentos sejam altamente seguras e certificadas. 

A Vindi tem a certificação PCI DSS! Comece 2021 com uma plataforma de pagamentos online segura:

banner campanha Start 2021 Vindi

Nesse sentido, a certificação PCI DSS é a maneira mundialmente mais aceita de se assegurar essa confiabilidade. Entenda a seguir!

O que é PCI Compliance (PCI DSS)?

O PCI Compliance, ou “PCI DSS”, é uma das maiores certificações de segurança do mundo. A sigla quer dizer “Payment Card Industry – Data Security Standard”, ou seja, Padrão de Segurança de Dados para a Indústria de Cartões de Pagamento.

Isso significa que ela é uma certificação necessária para todas empresas que processam, armazenam e transmitem dados de cartões, tais como número, validade e código de segurança.

Ela é exigida para garantir a segurança desses dados e informações pessoais dos titulares de cartão e, portanto, reduzir o risco de fraudes e apropriação indevida de dados.

Dessa forma, o PCI Compliance é extremamente importante para provedores de plataformas de pagamento online e seus usuários (pessoas jurídicas que transacionam pela internet com dados de cartão dos portadores).

Regido e mantido pelo PCI Security Standards Council (Conselho Padrão de Segurança PCI), desde 2006, além de um fórum global aberto, esse conselho foi fundado pelas mais importantes bandeiras da indústria de cartões, como: American Express, Discover Financial Services, JCB International, MasterCard e Visa. 

O Conselho é responsável por manter, desenvolver e promover o PCI DSS. Além disso, contribui com a implementação do padrão através de avaliações e qualificações ou, também, autoavaliações de conformidade. 

Quais são os níveis do PCI Compliance?

Existem 4 níveis de certificação PCI: 1, 2, 3 e 4. A divisão entre os níveis de certificações (tiers) são configuradas conforme a quantidade de transações processadas por ano.

Assim sendo, esses níveis determinam a quantidade de esforços que serão necessários para se adequar ao PCI DSS. Confira a tabela abaixo.

Tiers Quantidade de transações por ano Auto Avaliação Anual Scan Trimestral Auditoria Anual
1 Acima de 6 milhões Não Sim Sim
2 Entre 1 e 6 milhões Sim Sim Não
3 Ecommerce – Entre 20.000 e 1 milhão Sim Sim Não
4 Ecommerce – menos de 20.000 e Outros ec’s até 1 milhão Sim Sim Não

*A Vindi possui o nível máximo (Tier 1).

Qual é o papel do PCI Compliance?

O PCI DSS tem o papel de formar um conjunto de requisitos para certificar a segurança de transações por cartão pela internet. Essas regras são guiadas por seis grandes objetivos declarados pelo Conselho de PCI Security:

  1. Construir e manter uma rede segura através da qual conduzir as transações;
  2. As informações dos titulares de cartão devem ser protegidas;
  3. Manter o sistema protegido de hackers;
  4. Implementar fortes medidas de controle de acesso;
  5. Monitorar e testar as redes frequentemente;
  6. Manter uma política de segurança formal.

Dessa forma, o PCI DSS é um protocolo que visa garantir esses objetivos e, por consequência, gerar compras mais seguras por cartão de crédito ou débito.

Quais empresas precisam de uma certificação PCI DSS?

A certificação PCI é um item que acrescenta capital de segurança às empresas, junto às demais medidas possíveis de proteção de dados. Por isso, o PCI DSS se destina a todas as entidades envolvidas no processamento de pagamentos, incluindo comerciantes. 

Independentemente de seu tamanho ou volume de transações, se você aceitar ou processar cartões de pagamento, o PCI DSS tem relação com o seu negócio.

Todos os provedores de sistemas que participam do processamento de dados de cartões durante uma transação comercial são obrigados a seguir os requisitos de segurança do PCI-DSS.

Entre esses participantes estão, principalmente:

  • Servidores;
  • Gerenciadores de banco de dados;
  • Gateways de pagamento;
  • Processadores de pagamento;
  • Plataformas de e-commerce.

Como obter uma certificação PCI?

Para obter uma certificação PCI, as empresas cabíveis devem procurar uma das entidades certificadoras instituídas pelo PCI Council, conhecidas como Qualified Security Assessors (QSA) e filiais legalmente autorizadas.

Elas são responsáveis por executar a avaliação de conformidade ao PCI-DSS nas empresas. Em caso de necessidade, apresentarão as medidas corretivas para promover o alinhamento aos padrões da certificação.

O processo de certificação engloba 12 rígidos requisitos de segurança, como por exemplo:

  • Testes Robustos de Segurança para detectar fragilidades de sistema;
  • Verificação de mais de 20 critérios de blindagem;
  • Processos internos de auditoria;
  • Scans e pen tests (penetration tests);
  • Amplo conhecimento da equipe para o Tier 1 (nível máximo da certificação);
  • Auditoria externa homologada (caso a empresa também queira atingir o Tier 1).

Uma vez obtida, a certificação Nível 1 deve ser renovada a cada ano. Anualmente, as maiores empresas do setor de cartões do mundo renovam suas certificações e passam por auditorias externas para obter o Nível 1 da Certificação PCI Compliance.

Existem alguns estudos que apresentam a variação mínima e máxima do investimento para obtenção do Compliance com PCI-DSS, um destes estudos é da ISACA. Neste estudo está estimado um investimento de 120 mil a 700 mil dólares para conseguir a conformidade, a cada ciclo.

Por que minha empresa deve se preocupar com isso?

Você, como empresário ou responsável pela decisão de um parceiro tão estratégico, que é o meio de pagamento, precisa entender e se preocupar com isso. Por isso, elaborei abaixo os principais pontos que sua empresa precisa ter em vista:

Responsabilidade legal 

Quando um dado é violado, como roubo de dados de cartões, a primeira preocupação é ter a certeza que o vazamento não ocorreu em algum ponto frágil do processo de pagamento. 

Muitas vezes, essa responsabilidade se torna legal – desencadeando numa ação jurídica, caso seja comprovado vazamento de dados. Sua empresa não pode ser responsável por isso.

Confiança 

O principal elemento entre seu estabelecimento e seu cliente é a confiança. Assim sendo, eleger um provedor com a certificação PCI é ter a garantia de ter processos de segurança validados pela indústria de pagamentos e ainda assim, ter maior tranquilidade nas vendas. Seu cliente vai agradecer!

Aderência às regras 

As regras do PCI mudam regularmente, exigindo dos provedores, uma agilidade para implementação de novas regras para a aderência ao processo de segurança. Sua empresa e equipe devem se preocupar com o seu próprio negócio, já a segurança em pagamentos deve ser dividida com o provedor.

Obrigatoriedade das normas 

Se você recebe pagamentos através de cartões de crédito ou tem um gateway no meio do processo, saiba que ele precisa ter obrigatoriamente essa certificação. Se você está processando pagamentos diretamente com adquirentes (operadoras de cartão) ou usando uma solução sem a certificação, o risco de um problema é muito alto.

Preocupantemente, violações de dados ocorrem com frequência. Sites e negócios online são um alvo muito frequente de hackers, que muitas vezes comprometem todo negócio roubando dados ou invadindo sistemas frágeis do ponto de vista de segurança.

PS: conheço pelo menos 5 grandes cases on-line que fecharam por que tinham essa prática de não se preocupar com segurança.

Prevenção a fraudes

Contar com ferramentas de pagamento que tenham o PCI Compliance ajuda o empresário a ter menos preocupações com chargebacks decorrentes de fraudes com dados de cartão.

Quando os dados do cartão de crédito de um cliente são roubados e usados indevidamente para a realização de compras no seu estabelecimento, se você não tiver um sistema antifraude, a transação será feita.

Então, sua loja vai enviar o produto ao golpista e, posteriormente, terá que devolver o pagamento quando o proprietário do cartão não identificar a despesa e solicitar o cancelamento da compra junto à administradora do cartão. 

Infelizmente, são os estabelecimentos que assumem o prejuízo da fraude, ressarcindo o cliente. Por isso, o melhor a fazer é proteger seu negócio dessa possibilidade.

Qual empresa de pagamentos devo confiar?

Estima-se que apenas 10 empresas no Brasil estejam preparadas para receber a auditoria e Certificação PCI Compliance Level 1 (acima de 300.000 transações). Ter um provedor com essa formalidade é a segurança da sua empresa.

Por isso, conte com empresas que tenham esse certificado. A Vindi cumpre rigorosamente os padrões dessa certificação e passa por auditorias periódicas a fim de manter a conformidade com a indústria de cartões. Temos PCI DSS Level 1, versão 3.2, certificado pela Trustwave. Este é o padrão de segurança mais alto da indústria de pagamentos e a versão 3.2 é a mais recente.

Além disso, o software de cobrança online da Vindi integra os principais adquirentes e meios de pagamento do mercado. E isso abrange seguir os principais padrões de segurança da internet.

Cuidamos dos processos internos com grande rigidez quando o assunto é pagamentos e dados de cobrança. 

Por isso, vender através da Vindi é ter a certeza da segurança nas transações e a tranquilidade nos métodos de pagamento disponíveis no Brasil.

Para informações técnicas, acesse nosso link com o detalhe da certificação.

Saiba mais sobre a Vindi, é só falar com nossos consultores: