Conformidade do PCI
O que é PCI DSS?
O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) é um conjunto de mandatos para organizações que manuseiam informações de pagamento. Este mandato é supervisionado pelo Conselho de Padrões de Segurança do Setor de Cartões de Pagamento (PCI SSC). Seu objetivo é controlar as fraudes que ocorrem no setor de processamento de pagamentos e combater o uso malicioso dos dados do titular do cartão, como número da conta de pagamento, nome do titular do cartão, data de validade e código de serviço. Ao cumprirem o PCI, as empresas podem prevenir, detectar e remediar ameaças aos dados do titular do cartão.
O que são dados de PCI?
O número da conta principal (PAN), nome do titular do cartão e valor de verificação do cartão (CVV) são exemplos de informações do cartão de pagamento (PCI). Para proteger esses dados, as regras e regulamentos especificados pelo PCI DSS devem ser seguidos.
Quem precisa cumprir o PCI DSS?
Todas as entidades que acessam, processam, armazenam e transferem dados do titular do cartão devem cumprir o PCI DSS. Alguns agentes envolvidos nas transações com cartões de pagamento incluem titulares de cartões, lojistas, bancos emissores e redes de cartões.
Benefícios de cumprir o PCI
Alguns dos benefícios proeminentes de cumprir o PCI DSS são:
- Promover a confiança nos clientes e empresas
Ao cumprirem o PCI DSS, as organizações informam a todas as partes interessadas que estão tomando medidas apropriadas para proteger as informações dos cartões de pagamento dos seus clientes. Consequentemente, isso abre oportunidades para clientes que priorizam o processamento seguro de pagamentos e ajuda as organizações a reter clientes no longo prazo.
- Melhorar a segurança operacional
O uso de infraestruturas de segurança e a utilização de protocolos de segurança adequados no ambiente de PCI minimizam a ameaça de ataques cibernéticos. A implementação de controles de acesso apropriados reduz a probabilidade de adulteração de dados, protegendo assim os clientes e o negócio como um todo.
- Mitigar repercussões monetárias e legais
As empresas que não estiverem em conformidade com os padrões PCI DSS estão fadadas a enfrentar reações adversas, como danos à reputação da marca, ações judiciais, compensação monetária às vítimas em caso de violação de dados, perda de clientes existentes etc. Ao cumprir os padrões de conformidade, as empresas podem se proteger contra estas consequências.
- Melhorar a conscientização sobre segurança
Realizar programas periódicos de treinamento em segurança para educar todas as partes interessadas envolvidas no setor de processamento de pagamentos sobre as precauções e consequências do não cumprimento da PCI DSS. Esta prática vai responsabilizá-los caso algum incidente de segurança ocorra e minimize o potencial de erro humano.
Como a conformidade com o PCI DSS funciona?
O cumprimento do PCI DSS é um processo contínuo que exige que as organizações sob sua alçada realizem auditorias contínuas com a estrutura abaixo.
-
Avaliar
As organizações que armazenam, processam e descartam dados de cartões devem localizar os dados e verificar vulnerabilidades que possam ser exploradas. -
Reparar
Corrigir quaisquer vulnerabilidades de segurança presentes nos sistemas de software e hardware contendo informações de cartões de pagamento. -
Reportar
Registrar as metodologias utilizadas para detectar e corrigir as vulnerabilidades e compartilhar o documento com as partes interessadas com as quais você está colaborando.
Níveis de conformidade com o PCI DSS
Com base no número de transações realizadas anualmente, os níveis de conformidade são categorizados em quatro espectros.
- Nível 1: Aplica-se a entidades que processam mais de 6 milhões de transações por ano.
- Nível 2: Aplica-se a entidades que processam de 1 a 6 milhões de transações por ano.
- Nível 3: Aplica-se a entidades que processam de 20.000 a 1 milhão de transações por ano.
- Nível 4: Aplica-se a entidades que processam menos de 20.000 transações por ano.
Requisitos de conformidade de PCI
Os objetivos abaixo são exigidos pelo PCI SSC para proteger totalmente os dados de cartões de pagamento.
| Nº do requisito | Objetivo | Descrição |
|---|---|---|
| 01 | Construir e manter uma rede e sistemas seguros | Instalação e manutenção de firewalls. |
| 02 | Mudar as credenciais de sistemas fornecidas pelos fornecedores. | |
| 03 | Proteger os dados do titular do cartão | Implementar um plano de ação completo, abordando o que armazenar, seu período de retenção e metodologias que serão utilizadas para seu descarte. |
| 04 | Criptografar os dados transmitidos do titular do cartão em redes públicas. | |
| 05 | Manter um programa de gerenciamento de vulnerabilidades | Atualizações regulares de software antivírus. |
| 06 | Realizar a manutenção de aplicações e sistemas dentro da rede organizacional. | |
| 07 | Implementar fortes medidas de controle de acesso | Aplicação de funções apropriadas para acessar os dados do titular do cartão. |
| 08 | Emitir identificadores exclusivos de autenticação de usuário. | |
| 09 | Monitorar usuários privilegiados e aplicar o controle de acesso baseado na função aos dados do titular do cartão. | |
| 10 | Monitorar e testar as redes regularmente | Emitir identificadores exclusivos de autenticação de usuário. |
| 11 | Restringir o acesso físico aos data centers que armazenam dados do titular do cartão. | |
| 12 | Manter uma política de segurança da informação | Rastreamento e monitoramento de recursos de rede com software de monitoramento de integridade de arquivos e detecção de mudanças. |
Como o DataSecurity Plus pode ajudá-lo cumprir o PCI DSS?
O DataSecurity Plus da ManageEngine é uma solução de visibilidade e segurança de dados que oferece amplas capacidades de auditoria de conformidade. Ele ajuda-o a cumprir o PCI DSS ao:
- Localizar e classificar dados confidenciais de titulares de cartão armazenados no ambiente de PCI utilizando a avaliação de risco de dados.
- Garantir que os dados do cartão não sejam armazenados além do período de retenção visado usando a análise de dados ROT.
- Permitir que você identifique ações incomuns de exclusão, renomeação e cópia de arquivos em arquivos e pastas usando o monitoramento de integridade de arquivos em tempo real.
- Detectar e isolar servidores infectados para impedir a propagação de malware usando recursos rápidos de detecção de ransomware e resposta.
- Evitar o vazamento de dados críticos do ambiente de dados do cartão usando a prevenção contra vazamento de dados.
- Verificar se o princípio do menor privilégio é mantido usando a análise de permissões.
Explorar as outras capacidades oferecidas com o DataSecurity Plus — uma solução de software de conformidade com o PCI — com um teste grátis e totalmente funcional de 30 dias.
Baixe o teste grátis de 30 dias