logo certificacao pci

PCI-DSS: Cinco coisas sobre a conformidade

Como já mencionado aqui no blog, toda empresa que processa ou transmite pagamentos com cartão, precisa estar em conformidade com a certificação PCI-DSS (Payment Card Industry Data Security Standard).

Devido a complexidade dos requisitos do Padrão, é normal haver dúvidas sobre como proceder.

Se você hoje tem uma empresa e busca conformidade, confira orientações que podem
tornar mais descomplicado este processo.

1. É mais fácil do que você pensa descobrir se um QSA é qualificado

Grande para das empesas estão a par de que, ao escolher um QSA (Avaliador de Segurança Qualificado) para auditar suas práticas de conformidade com o PCI-DSS, é você terá alguém com as credenciais apropriadas.

Caso não esteja claro que o avaliador seja qualificado, o recomendado é visitar o site do PCI-SSC (Security Standards Council) e seguir a guia Assessors & Solutions para encontrar avaliadores aprovados, scanners e investigadores forenses certificados.

Não deixe de pesquisar organizações ou profissionais para aferir se eles realmente estão registrados no PCI-SSC.

2. Os processadores de pagamento de terceiros devem ser compatíveis com PCI-DSS

Ao terceirizar parte do processo compartilhando dados do titular do cartão para fazer os pagamentos, este também deve estar em conformidade com o PCI-DSS como provedor de serviços. Portanto, ambas as partes precisam estar em conformidade.

No entanto, como comerciante, é possível transferir alguns de seus controles PCI-DSS para terceiros para que seu SAQ (questionário de auto avaliação) seja menor e o terceiro lide apenas com o restante dos controles.

3. Você deve ter evidências de que as práticas de terceiros estão em conformidade com o PCI-DSS

Não basta simplesmente pedir que um terceiro alcance a conformidade com o PCI-DSS, apesar de que isso devesse ser uma exigência legal.

A empresa que realiza o processo de pagamentos precisa estar em conformidade com o PCI-DSS do provedor de serviços, e isso deve ser um requisito dentro de seu relacionamento contratual com essa empresa processadora de pagamentos.

No entanto, é possível que as organizações optem por buscar um relatório de Atestado de Conformidade. Este é um formulário comumente utilizado por comerciantes e prestadores de serviços que contém os resultados da avaliação do PCI-DSS.

4. Os emissores de cartões podem armazenar dados de pagamento apenas em circunstâncias específicas

Um dos maiores equívocos sobre o PCI-DSS é que obter a certificação permite que você armazene os dados do titular do cartão da forma que achar mais conveniente.

No entanto, mesmo que uma empresa tenha as ferramentas necessárias para evitar que ocorra vazamento destes dados importantes, ela só pode armazenar dados se houver uma necessidade comercial.

Para isso, as organizações precisam garantir que o PAN completo (número de conta principal) seja acessível apenas para aqueles que precisam dele para concluir suas funções de trabalho. 

Em qualquer outra situação, o número deve ser parcialmente mascarado, sendo que a forma mais comum de fazer isso é exibir os quatro últimos dígitos

5. Você deve remover os dados do cartão de pagamento que não estão armazenados adequadamente

As violações de dados envolvendo dados do titular do cartão geralmente ocorrem quando um funcionário insere as informações no campo errado em um banco de dados.

Em função deste cenário, a recomendação é de que, qualquer informação inserida incorretamente seja removida e, para evitar que isso ocorra é recomendável que as organizações realizem treinamento de conscientização da equipe periodicamente.

Conheça nosso serviço de segurança do PCI-DSS

Para obter a certificação PCI, é necessário que o processo seja acompanhado por uma empresa que tenha autorização e seja uma auditora oficial.

Junto a isso, há algumas exigências para a obtenção deste certificado.

Contando com uma equipe especializada, analisamos o ambiente externo e digital em que as transações comerciais são realizadas de modo a assegurar que as mesmas estejam em conformidade com as regras de segurança.

Caso você tenha o interesse de contar com a Certificação PCI-DSS contate-nos por meio do WhatsApp.