O PCI DSS aparece como um assunto intimidador e confuso. Para ajudá-lo a ler o tópico com facilidade, criamos um guia que ajuda você a entender o que é e como o PCI DSS se aplica ao seu negócio. Editar editar data e hora
A menos que você tenha uma daquelas empresas que só aceita dinheiro e Bitcoin Você precisará entender como estar em conformidade com os regulamentos relativos à aceitação de cartões de crédito como forma de pagamento. Este guia é para empresas que lidam com processamento de cartão de crédito e percebem como a segurança dos dados é vital para uma experiência de compra segura nos tempos em que vivemos.
As pessoas geralmente perdem a cabeça quando as informações do cartão de crédito são roubadas, mais ainda, as empresas que aceitam/processam cartões de crédito são obrigadas por lei a garantir que todos os arquivos que tocam estejam seguros.
PCI DSS (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento) é o conjunto de padrões que ajudam os proprietários de pequenas e médias empresas a se manterem atualizados com os padrões de segurança.
Em setembro de 2006, cinco grandes empresas de cartão de crédito (MasterCard, Visa International, JCB, American Express e Discover) se uniram para formar a PCI SSC (Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento).
O conselho é um órgão independente encarregado de supervisionar o refinamento do PCI DSS, mantendo altos níveis de segurança em cada segmento de um processo de transação.
As empresas que aceitam transações com cartão de crédito são responsáveis perante as instituições financeiras e a empresa de cartão de crédito que lida com o dinheiro e não o conselho.
No entanto, o conselho garante que haja responsabilidade nos sistemas e avalia as tendências e fraquezas tecnológicas para manter altos níveis de segurança.
Qualquer empresa, instituição e entidade que aceite, transmita e armazene informações do titular do cartão é obrigada a seguir as regras e regulamentos do PCI DSS. O PCI define as informações do titular do cartão como PAN (Número da Conta Principal). O PAN contém as seguintes informações:
O PCI DSS pede às empresas que mantenham os seguintes dados protegidos:
Um sistema aplicável independentemente do tamanho ou número de transações. A maneira como cada empresa lida com os dados do titular do cartão é categorizada em um dos quatro níveis criados pela Visa.
O nível é determinado pelo número de transações Visa realizadas pelo DBA do comerciante (que está "Doing Business As") em um período de doze meses. Nos casos em que as entidades corporativas têm vários DBAs comerciais, o total de transações da empresa é avaliado.
Em entidades em que as empresas não interagem com os dados em nome de seus comerciantes, os DBAs individuais são avaliados para determinar seus níveis.
Definição do PCI DSS de varejista como qualquer entidade que aceite pagamento de cartões com os logotipos das cinco principais empresas de cartão de crédito mencionadas no início deste artigo.
Um comerciante também pode ser um prestador de serviços. Os níveis são determinados do seguinte modo:
Nível 1: Comerciantes que processam mais de seis milhões de transações Visa anualmente por correio, pessoalmente, comércio eletrônico ou telefone).
Nível 2: Comerciantes que processam de um a seis milhões de transações Visa anualmente por meio de todos os canais de aceitação.
Nível 3: Traders que processam de 20.000 a 1 milhão de transações de comércio eletrônico Visa anualmente.
Nível 4: Comerciantes que processam vendas de comércio eletrônico Visa de 20.000 ou menos anualmente por meio de todos os canais de aceitação.
Para atender às regras e padrões estabelecidos, os comerciantes passam por uma série de etapas. Primeiro, todo trader é obrigado a preencher um SAQ (Questionário de Autoavaliação) como meio de determinar como será sua conformidade.
Depois de preencher o questionário, há comerciantes encarregados de preencher e coletar evidências de uma passagem junto com uma verificação de vulnerabilidade de um ASV (PCI SSC Approved Scanning Vendor). As empresas que usam um único método de aceitação são necessárias para cumprir integralmente os padrões PCI DSS, assim como os comerciantes que usam processadores de terceiros.
Para empresas com vários locais, elas precisam validar uma vez por ano para todas as áreas se usarem o mesmo número de identificação fiscal. Por mais que todas as empresas que lidam com dados de cartão de débito ou crédito sejam solicitadas a cumprir os padrões PCI, as empresas que não armazenam dados têm mais facilidade ao lidar com o processo de conformidade.
Existem empresas individuais necessárias para realizar verificações trimestrais de vulnerabilidade. Um ASV (Fornecedor de Digitalização Aprovado) Aprovado tem a tarefa de realizar uma verificação de vários aplicativos da Web e redes de endereços IP fornecidos a eles pelo provedor de serviços ou comerciante.
A varredura tem como alvo e expõe quaisquer vulnerabilidades nos serviços, sistemas operacionais e dispositivos da empresa que os hackers possam usar para obter acesso à rede privada do trader.
Quando um ASV realiza a verificação, nenhum software requer instalação e as verificações são realizadas a cada 90 dias, pois os comerciantes são solicitados a enviar relatórios de conformidade de acordo com o cronograma estabelecido pelo adquirente.
Alguns traders consideram trabalhar com provedores de serviços. Uma entidade separada das cinco principais empresas de cartão de crédito envolvidas no armazenamento, processamento e transmissão de informações do titular do cartão.
Os provedores de serviços recebem uma rota de conformidade "exclusiva" e é fundamental que a sigam cuidadosamente. As empresas que se qualificam para serem prestadoras de serviços precisam fazer um curso que as ajude a entender claramente seu mandato.
Os aplicativos de pagamento são considerados aspectos que transmitem, armazenam ou processam informações do titular do cartão. Os aplicativos de pagamento são processos que começam desde sistemas de furto em restaurantes até software usado em carrinhos de compras de comércio eletrônico.
O PA-DSS (Padrão de Segurança de Dados de Aplicativos de Pagamento) é executado e mantido pelo PCI SSC. O PA-DSS existe como um meio de garantir que todos os fornecedores que fornecem aplicativos de pagamento em conformidade com os padrões PCI DSS não preservem os dados do titular do cartão.
Um gateway de pagamento conecta os comerciantes a um processador ou a um banco adquirente que os conecta ao emissor do cartão. Eles fazem login no processador ou na instituição financeira por meio de conexão baseada na web ou dial-up.
Na maioria dos casos, os comerciantes gostam de ter a opção de manter as informações do titular do cartão, tornando mais fácil para os clientes fazerem transações repetidas. A parceria com um provedor terceirizado é a maneira mais descontraída e descomplicada de armazenar informações com segurança.
As informações do titular do cartão são removidas da posse do comerciante e um terceiro especializado em proteção de dados lida com os dados em nome do comerciante.
Os revendedores que optam por manter os dados do titular do cartão são submetidos a um processo rigoroso por um Avaliador de Segurança Qualificado que vem ao local para realizar uma auditoria confirmando que o comerciante atende aos padrões PCI DSS.
Os padrões PCI aconselham que os primeiros seis ou últimos quatro dígitos do PAN devem ser impressos em uma cópia do recibo da transação. Isso ajuda a proteger o número completo de ser exibido.
Os padrões são estabelecidos para a segurança do consumidor. Quando os traders não cumprem os padrões PCI DSS, eles provocam muitas consequências.
Na maioria das vezes, eles recebem multas pesadas que variam de US $ 5000 a US $ 100,000 mensais.
As frentes de pagamento cobram do banco adquirente, que repassa os custos para o negócio. Na maioria dos casos, a instituição financeira encerra o relacionamento do comerciante ou aumenta muito as taxas de transação.
Essas são penalidades que podem arruinar pequenas e médias empresas e é importante que os comerciantes sigam todas as regras sem dobrá-las.
Por mais que o PCI não seja lei, os comerciantes que se recusam a cumprir estão sujeitos e são responsáveis por absorver os custos causados por multas, custos de substituição de cartão, danos à marca, auditorias forenses caras e várias consequências quando há uma violação.
Esforços iniciais e custos realizados após em conformidade com o PCI DSS Evite que os comerciantes tenham que gastar mais dinheiro e tempo lidando com consequências sérias, caras, complicadas e devastadoras.
Parabéns por iniciar uma pequena e média empresa, certifique-se de que todas as transações estejam em conformidade com as medidas de integridade e segurança. Navegue pelos meandros da conformidade e salve sua empresa de hackers que ficam mais sofisticados a cada dia.
"*" indica campos obrigatórios
"*" indica campos obrigatórios
"*" indica campos obrigatórios
Deixe uma resposta
Você deve ser logado para postar um comentário.