As fraudes com cartões de crédito atormentam tanto consumidores quanto lojistas e administradoras dos meios de pagamentos digitais em todo o mundo. Quando uma fraude acontece todos acabam prejudicados, seja perdendo tempo ou dinheiro, ou tendo a credibilidade arranhada.

Foi com o objetivo de ampliar a segurança das transações com cartões de crédito que um grupo de grandes empresas do setor decidiu formar um conselho para criar e administrar um conjunto de normas e serviços de segurança: o Payment Card Industry Security Standards Council (PCI SSC).

Saiba a seguir como essa instituição internacional atua, como suas normas impactam no seu dia a dia, e como ela pode ajudar o empreendedor a receber pagamentos com mais segurança.

O que é PCI SSC?

O PCI SSC é um conselho formado pela American Express, Discover, JCB International, Mastercard e Visa. Desde 2006, este tem como função criar um conjunto de normas e serviços de segurança relacionados aos pagamentos com cartões de crédito.

O comerciante deve zelar para que todas as partes cumpram as normas de segurança.

Todas as empresas que criam, armazenam e/ou transmitem dados de cartões de crédito devem aplicar as normas do PCI SSC.

Este universo engloba desenvolvedores de softwares, administradoras de cartão, gateways de pagamento, bancos e comerciantes.

Por meio do site, todos podem conhecer e atualizar-se sobre os padrões de segurança para transações com cartão de crédito e contribuir para a redução dos crimes de roubo de dados.

Conheça os padrões de segurança do PCI

As normas do PCI SSC tratam não somente de tecnologia como também de processos e pessoas. As empresas fundadoras são responsáveis por atualizar e compartilhar o regulamento, com o auxílio de instituições parceiras, que contribuem com feedbacks.

Esses materiais incluem uma estrutura de especificações, ferramentas, medições e recursos de suporte para ajudar a garantir o manuseio seguro das informações do titular do cartão em todas as etapas.

Entre os padrões do PCI SSC são:

  • Segurança da senha

  • Produção do cartão: requerimentos para as partes físicas e lógicas

  • Provedor do token de pagamento: produção física e lógica

  • Padrão de segurança de dados do aplicativo de pagamento: requerimentos para vendedores de softwares e aplicativos de pagamento

  • Transação com senha – segurança de hardware: inclui fabricação, transporte, uso e destruição

  • Criptografia ponto a ponto: requerimentos e procedimentos de teste para encriptação

  • Transação com senha – segurança do ponto de interação: para as transações realizadas no ponto de venda

  • Uso de senha de acesso para software: princípios, requisitos e metodologia de avaliação para soluções de pagamentos móveis no ponto de venda

Algumas normas se aplicam a um parceiro apenas, outras a todos. Os parceiros que cumprem o PCI SSC recebem um certificado de compliance. Mas, quaisquer penalidades ao seu descumprimento são de responsabilidade das empresas administradoras dos cartões de crédito, e não do conselho.

Aprenda como evitar fraudes ao receber pagamentos com cartão.

PCI DSS é norma mais conhecida

O PCI tem criado diversas normas para garantir a segurança do setor de pagamentos, voltadas para cada um dos envolvidos. A mais conhecida é a PCI DSS (Data Security Standard), que fornece instruções para a prevenção, detecção e reação apropriada a incidentes de segurança. Esta estabelece 12 requisitos, divididos em seis grupos de controle:

  • Construir e manter a segurança de redes e sistemas
    Manter uma configuração de firewall para proteger os dados do titular do cartão; não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança

  • Proteger os dados do titular do cartão
    Garantir a segurança dos dados armazenados e criptografar a transmissão dos mesmos em redes abertas e públicas

  • Manter um programa de gerenciamento de vulnerabilidades
    Proteger todos os sistemas contra malware, atualizar regularmente o software antivírus

  • Implementar medidas rigorosas de controle de acesso
    Restringir o acesso físico aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio; monitorar o acesso

  • Monitorar e testar as redes regularmente
    Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão

  • Manter uma política de segurança de informações
    Definir e gerenciar políticas de segurança de informação para todas as equipes

Mesmo que o comerciante contrate os serviços relacionados ao cumprimento do PCI DSS de um fornecedor, ele ainda deve zelar para que todas as partes cumpram as normas de segurança.

Como cumprir o PCI DSS

A primeira coisa a fazer é entender o perfil do ambiente de pagamento do seu estabelecimento: totalmente terceirizado, apenas pagamento terceirizado, terminal PDV.

Ao entender onde sua empresa se encaixa, você irá responder a um questionário para saber se você cumpre todos os requisitos ou, em caso negativo, o que precisará fazer para garantir os padrões de segurança.

Mitos sobre o PCI SSC

Muitos mitos rondam o PCI SSC. Veja alguns deles:

1.
O PCI SSC aplica-se apenas ao e-commerce e a grandes volumes de vendas.

Todos que processam, armazenam e transmitem dados de cartão devem seguir as recomendações, independentemente do ambiente ou do volume de transações.

As transações físicas com o cartão, aliás, são até mais sujeitas ao roubo de dados que os pagamentos virtuais, porque muitas delas envolvem o armazenamento de dados de rastreamento, o que é proibido pelo PCI SSC.

2.Ao terceirizar o processo de pagamento, o comércio está automaticamente livre de quaisquer outras responsabilidades.

Além de verificar se todos os parceiros são certificados, o empresário deve garantir a segurança dos dados em seu poder, como no caso das informações obtidas para reembolsos.

3.As normas são complexas demais. É necessário contratar um especialista em TI para obter um certificado.

As recomendações para os comerciantes tratam especialmente de ações simples para manter a segurança dos computadores, e da forma como a equipe e os prestadores de serviço gerenciam dados sigiloso. Elas não são tão complicadas quanto parecem.

Além disso, ao seguir todas as recomendações, você mesmo pode fazer uma autoavaliação no site do PCI para obter o certificado de compliance.

Como adotar o PCI SSC na sua empresa

Se você é um micro ou pequeno empreendedor e não conhecia o PCI SSC, deve estar se perguntando o que você precisa fazer para ampliar a segurança das transações com cartão realizadas no seu estabelecimento. Veja as principais práticas recomendadas:

  • No e-commerce, escolha  gateways de pagamento certificados pelo PCI

  • Configure o firewall dos computadores para proteger os dados dos consumidores

  • Troque imediatamente as senhas padrão do fornecedor de meios de pagamento, caso você ainda não tenha feito isso, e renove as senhas a cada três meses

  • Crie senhas fortes, com sete ou mais caracteres e uma combinação de letras maiúsculas e minúsculas, números e símbolos (como !@#$&*)

  • Proteja os dados armazenados dos usuários e permita o acesso apenas a pessoas autorizadas quando/se necessário

  • Monitore qualquer acesso aos dados

  • Não armazene dados sensíveis dos clientes, nem no computador, nem em papel

  • Destrua os comprovantes com dados dos clientes antes de descartá-los

  • Garanta que as transmissões de dados realizadas por meio de redes de Wi-Fi abertas sejam criptografadas

  • Use programas atualizados de segurança e antivírus

  • Crie uma identidade única para cada pessoa que tenha acesso ao computador

  • Restrinja o acesso físico aos dados do cartão

  • Inspecione seus terminais de pagamentos para checar se há danos ou mudanças suspeitas

  • Garanta que toda a equipe tenha conhecimento dos procedimentos de segurança.

É recomendável que você consulte a íntegra do guia para pagamentos seguros do PCI, que também fornece uma lista com todos os equipamentos, fornecedores e prestadores de serviço aprovados pelo órgão.

Se mesmo assim ainda restarem dúvidas, você pode entrar em contato com as administradoras de cartão de crédito.

Novas tecnologias também devem seguir as normas

O regulamento do PCI SSC é constantemente atualizado para garantir os padrões de segurança. Isso significa que ele se aplica às novas tecnologias, como os pagamentos recebidos em smartphones, tablets e outros dispositivos semelhantes, muito populares entre as pequenas empresas, e também ao novo PIN On Glass.

O PIN On Glass, ou “Senha no Vidro”, é uma tecnologia que elimina a necessidade de um teclado físico, uma vez que a senha é digitada na tela touchscreen de um smartphone, tablet ou máquina de cartão – saiba mais sobre o PIN On Glass neste texto.

Os padrões de segurança para softwares que aceitam PIN – senha – como método de verificação do titular do cartão, entre eles o PIN On Glass, estão em revisão. O PCI também está desenvolvendo as normas aplicáveis às tecnologias de pagamentos sem contato em smartphones e tablets. A expectativa do órgão é divulgá-los até o final de 2019.

Pronto para começar?

Uma vez que as fraudes no comércio ocorrem por meio do roubo de dados, é fundamental que os envolvidos façam sua parte para mantê-los em segurança. Todos que têm acesso a informações pessoais de terceiros precisam se esforçar para que esses dados não caiam em mãos erradas.

Ao adotar as normas do PCI SSC e garantir que os meios de pagamento que você utiliza também as siga, você garantirá mais confiabilidade para o seu negócio e reduzirá os riscos de prejuízos causados pelos fraudadores.