Digital Intelligence

PCI-DSS - Entenda como funciona a norma de segurança de transações eletrônicas

Nos últimos 10 anos, houve uma explosão de negócios via Internet – e-commerces -  na mesma proporção que aumentou o uso de cartões de crédito para compras em estabelecimentos comerciais e é claro, sites de internet.

Apesar de todos os esforços das empresas de proteger as informações de clientes, fraudes eletrônicas e roubos de informações tem aumentado drasticamente. Em 2006, mais de USD 4 milhões foram gastos em operações fraudulentas nos Estados Unidos, de acordo com o U.S Department of Justice.

Os governos estudam formas de criar leis para combater esse tipo de crime, enquanto os bancos e as operadoras de cartão de crédito tomaram suas próprias iniciativas para criar normas para garantir boas práticas no uso, manuseio e armazenagem de dados de cartão de crédito: Payment Card Industry (PCI) – Data Security standard (DSS)

FRAUDES DE CARTÃO DE CRÉDITO

Fraudes eletrônicas ou fraudes de cartão de crédito são aquelas em que os dados do cartão de crédito (número, validade e código de segurança) são roubados e usados indevidamente para a realização de compras em estabelecimentos. Os estabelecimentos entregam o produto comprado e esperam receber, em alguns dias o crédito referente àquela venda.

Ao receber a fatura do cartão de crédito os clientes (portadores de cartão de crédito) identificam despesas que não foram feitas por eles e solicitam à administradora o cancelamento das mesmas.

A Administradora por sua vez, estorna a compra do estabelecimento que não recebe o dinheiro e já entregou o produto. O estabelecimento acaba assumindo o prejuízo da fraude.

O QUE É PCI – DSS?

Em Setembro de 2006, algumas bandeiras de cartão de crédito, entre elas a Visa, Mastercard e American Express, criaram um conselho designado a criar e recomendar as melhores práticas de segurança de dados a serem seguidas pelos estabelecimentos comerciais que aceitam cartões de crédito como forma de pagamento, para proteger a privacidade dos consumidores portadores de cartão de crédito. Esse conselho é chamado PCI Council (www.pcisecuritystandards.org).

O PCI-DSS contempla 12 requerimentos básicos que tem o objetivo de:

1. Manter a rede de dados segura;
2. Proteger as informações de portadores de cartão de crédito;
3. Manter um programa de Gerenciamento de vulnerabilidades;
4. Implementar um forte controle de acessos;
5. Manter uma política de segurança de informações

MELHORES PRÁTICAS PARA ESTAR EM CONFORMIDADE COM A NORMA PCI-DSS
(PCI Compliance)

A PCI-DSS foi desenhada para proteger a privacidade dos consumidores e os dados de cartão de crédito no ponto de venda, dados em trânsito, até o fim do processamento. Empresas que conseguem demonstrar o compliance com o padrão de segurança PCI e provar que são confiáveis enquanto capturam, processam e armazenam dados de cartões de crédito de consumidores tem a oportunidade de construir uma sólida fidelidade com seus clientes.

É um desafio. Para estar em Compliance com a PCI, a empresa deve alterar os processos e procedimentos internos, promover alterações em sistemas, melhorar a segurança de acesso à redes de dados e até mesmo a ambientes e escritórios que possam conter dados confidenciais e críticos.

Para isso devem passar a gerenciar seus sistemas de forma centralizada, criar direitos de acesso individuais e aferir se, durante a vida da empresa, essas políticas estão sendo seguidas

Os 12 requerimentos da PCI-DSS e como nós solucionamos:

Nossas soluções contemplam a maioria dos requerimentos da PCI DSS . Veja no quadro abaixo os requerimentos e como nós podemos ajudá-lo no desafio de estar em conformidade com a norma PCI-DSS