O que é conformidade com PCI
A conformidade com o setor de cartões de pagamento (PCI) refere-se aos padrões técnicos e operacionais que as empresas devem seguir para garantir a proteção dos dados do cartão de crédito fornecidos pelos portadores de cartão. A conformidade com PCI é imposta pelo PCI Standards Council e todas as empresas que armazenam, processam ou transmitem dados de cartão de crédito eletronicamente são obrigadas a seguir as diretrizes de conformidade.
Noções básicas sobre conformidade com PCI
Os padrões de conformidade com o setor de cartões de pagamento (PCI) exigem que os comerciantes e outras empresas manuseiem as informações do cartão de crédito de maneira segura, o que ajuda a reduzir a probabilidade de os titulares de cartões roubarem dados financeiros confidenciais. Se os comerciantes não tratarem corretamente as informações do cartão de crédito, elas poderão ser invadidas e usadas para fazer compras fraudulentas. Além disso, informações confidenciais sobre o titular do cartão podem ser usadas em fraudes de identidade.
Ser compatível com PCI significa aderir consistentemente a um conjunto de diretrizes estabelecidas por empresas que emitem cartões de crédito. As diretrizes descrevem uma série de etapas que os processadores de cartão de crédito devem seguir continuamente. Primeiro, as empresas são solicitadas a avaliar sua infraestrutura de tecnologia da informação, processos de negócios e procedimentos de manipulação de cartão de crédito para ajudar a identificar ameaças em potencial que possam comprometer os dados do cartão de crédito. Solicita-se às empresas que coloquem em conta quaisquer lacunas na segurança e evitem armazenar informações confidenciais do titular do cartão, como números de previdência social e carteira de motorista, sempre que possível. As empresas devem fornecer relatórios de conformidade às marcas de cartão com as quais trabalham, como American Express e VISA.
Todas as empresas que processam as informações do cartão de crédito são obrigadas a manter a conformidade com o PCI, independentemente do tamanho ou do número de transações com cartão de crédito processadas. Todas as empresas são divididas em níveis de comerciante com base no número de transações processadas durante um período especificado. A conformidade com o PCI é regida pelo Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento, uma organização formada em 2006 com o objetivo de gerenciar a segurança de cartões de crédito. Os requisitos, conhecidos como PCI DSS (Padrões de segurança de dados da indústria de cartões de pagamento), são gerenciados pelas principais empresas de cartões de crédito, incluindo VISA, American Express, Discover e MasterCard, entre outras.
Conformidade com PCI e violações de dados
Muitas das maiores violações de dados do histórico podem ter sido evitadas se os comerciantes ou instituições financeiras afetadas forem compatíveis com PCI. Aqui estão algumas sugestões importantes do Verizon 2017 Payment Security Report, um estudo aprofundado da conformidade com o PCI DSS:
- As organizações de varejo demonstraram a menor sustentabilidade de conformidade com PCI em todos os setores-chave. O setor de serviços de TI alcançou a maior conformidade total de todos os principais grupos do setor estudados. e manter uma configuração de firewall. O estudo mostra uma correlação "demonstrável" entre empresas que estão atualizadas nos padrões PCI e empresas que se defenderam com sucesso contra ameaças cibernéticas. O número de empresas que são 100% compatíveis com PCI é crescendo consideravelmente ano após ano.
