Todas as empresas que lidam com dados de cartões de pagamento, independentemente de seu tamanho ou métodos de processamento, devem seguir os requisitos do PCI-DSS (Payment Card Industry Data Security Standard) para garantir a segurança dos dados dos consumidores e a confiança no ecossistema de pagamentos.
A certificação PCI DSS 4.0 se tornará obrigatória em março de 2025.
O PCI-DSS 4.0, lançado para fortalecer as práticas de proteção dos dados dos titulares de cartões, passa a ser exigido a partir de março de 2025. Essa norma reflete a evolução contínua das ameaças cibernéticas e a necessidade de adaptação das medidas de segurança. Embora possa demandar esforço e recursos, o investimento na conformidade com o PCI DSS 4.0 é crucial para proteger a confiança dos clientes e manter as informações de pagamento segura.
Mas por que e desde quando essa certificação é necessária?
Em 2006, as principais bandeiras de cartões de crédito (Visa, Mastercard, American Express, Discover e JCB) formaram o Conselho de Padrões de Segurança do Setor de Cartões de Pagamento – PCI SSC. Antes disso, cada bandeira tinha seus próprios programas de segurança, mas com requisitos semelhantes. O PCI SSC unificou esses padrões em um único conjunto de diretrizes: os Padrões de Segurança de Dados do PCI (PCI DSS) com o objetivo de garantir um nível mínimo de proteção para clientes e bancos na era da Internet.
O PCI-DSS (Payment Card Industry Data Security Standard) é um padrão global de segurança de informações aplicável a organizações que aceitam, transmitem ou armazenam dados de titulares de cartões. A versão mais recente, PCI-DSS 4.0, foi lançada em 31 de março de 2022.
Requisitos de Segurança do PCI-DSS 4.0
O PCI-DSS 4.0 estabelece diretrizes rigorosas para proteger os dados de pagamento.
Criptografia de Dados em Repouso
Para dados armazenados (em bancos de dados, arquivos, etc.), o PCI-DSS exige que você utilize criptografia forte.
AES (Advanced Encryption Standard) com chaves de 256 bits é uma escolha comum para criptografar dados em repouso.
Certifique-se de que as chaves de criptografia sejam gerenciadas de forma segura, usando HSMs (Hardware Security Modules) ou soluções equivalentes.
Criptografia de Dados em Trânsito
Para dados transmitidos pela rede (como transações de pagamento), o PCI-DSS exige o uso de TLS (Transport Layer Security) ou SSL (Secure Sockets Layer).
TLS 1.2 ou superior é recomendado, e TLS 1.0 e 1.1 não são mais considerados seguros.
Configure corretamente os parâmetros do TLS, como ciphersuites e protocolos, para garantir a segurança.
Chaves Criptográficas
O gerenciamento adequado das chaves é crucial.
As chaves devem ser fortes, não previsíveis e protegidas.
Use algoritmos de geração de chaves seguros, como RSA ou ECDSA.
Autenticação e Integridade
Além da criptografia, o PCI-DSS enfatiza a autenticação e a integridade dos dados.
Use assinaturas digitais para garantir a integridade dos dados.
Implemente HMAC (Hash-based Message Authentication Code) para autenticar mensagens.
Segurança Contínua
O PCI-DSS 4.0 enfatiza a segurança contínua. Isso inclui monitoramento constante, auditorias de segurança e atualizações regulares.
Mantenha-se atualizado com as melhores práticas de criptografia e ajuste suas implementações conforme necessário.
A conformidade com o PCI-DSS envolve não apenas a criptografia, mas também outros aspectos de segurança desde a proteção de dados armazenados até a criptografia da transmissão de dados de pagamento, o PCI-DSS 4.0 abrange uma ampla gama de requisitos.
Alguns dos principais requisitos incluem:
1 – Instalar e manter controles de segurança de rede.
2 – Eliminar configurações padrão do fornecedor.
3 – Proteger os dados armazenados do titular do cartão.
4 – Criptografar a transmissão de dados de pagamento.
5 – Atualizar regularmente o software antivírus.
6 – Implantar sistemas e aplicativos seguros.
7 – Aumento do tamanho mínimo das senhas: Agora, as senhas devem ter pelo menos 12 caracteres (ou 8, caso 12 não seja suportado pelo sistema).
8 – Autenticação multifator: É necessário implementar autenticação multifator para todos os acessos no Ambiente de Dados do Titular do Cartão (CDE).
9 – Proteção de senhas e frases de segurança: Medidas adicionais para proteger senhas contra uso indevido.
Consulte a Documentação Oficial do PCI-DSS 4.0 em português para obter detalhes completos e específicos.
Cuidados na implementação do PCI-DSS 4.0
A implementação do PCI-DSS 4.0 exige um compromisso sério com a segurança dos dados do titular do cartão. As organizações devem estar atualizadas com as regulamentações e seguir as melhores práticas para garantir a conformidade e proteger as informações sensíveis dos clientes.
Com o lançamento do PCI-DSS 4.0, as organizações que lidam com informações de pagamento precisaram se adaptar diretrizes. Isso pode envolver a reavaliação de estratégias de segurança, a implementação de novas medidas e a revisão dos processos existentes.
Certificação PCI DSS: Uma Exigência Internacional
O PCI DSS é uma exigência internacional. Ele define os requisitos de segurança para que as empresas do setor de cartões de pagamento operem de forma confiável, protegendo adequadamente seus sistemas de tecnologia e os dados dos clientes. Independentemente do país ou região, as organizações que lidam com dados de cartões de pagamento devem seguir os padrões do PCI-DSS para garantir a segurança dos dados dos consumidores e a confiança no ecossistema de pagamentos.
Conselho Regional do Brasil
O PCI SSC anunciou em janeiro de 2024 a lista de 34 novos líderes brasileiros de pagamentos para atuar em seu Conselho Regional de Engajamento Brasil 2024-2025.
Os membros do Conselho atuam como conselheiros do Conselho sobre questões e desafios de segurança de pagamentos na região, e como embaixadores para ajudar a aumentar a educação e a conscientização sobre padrões e melhores práticas para proteger dados de pagamento.
As empresas que atuam no Conselho Regional de Engajamento Brasil 2024-2025 representam líderes de todos os setores da indústria de pagamentos brasileira – incluindo fornecedores, comerciantes, processadores, prestadores de serviços, bancos e associações do setor. Estes incluem:
- 1stSecureIT LLC (dba GM SECTEC)
- ACI Worldwide Inc.
- ARGOTECHNO ENGENHARIA LTDA
- Asaas Gestão Financeira IP S/A
- Auditsafe Auditoria e Consultoria em Riscos Corporativos Ltda
- Banco Inter S.A
- Banco Safra AS
- Camara-e.net, Câmara Brasileira da Economia Digital
- Cielo Sa
- CloudWalk, Inc.
- CSU Digital
- Elo Serviços S.A.
- Serviços de Informações de Fidelidade (FIS)
- Serviços de Comerciante de Primeiros Dados (FiServ)
- First Tech Tecnologia
- Foregenix Ltda
- Segurança GC
- Gertec Brasil Ltda
- Getnet Tecnologia em Captura e Processamento De Transações H.U.A.H. S/A
- Ingênico
- Insside Informações Inteligente SRL
- Jscrambler
- Grupo LATAM Airlines S.A
- Matrix Consultoria Cibernética, LLC
- PAGONXT MERCHANT SOLUÇÕES TECNOLÓGICAS BRASIL LTDA.
- PagSeguro Internet S.A.
- PagueVeloz Instituição de Pagamento
- Perto S.A.
- PicPay Serviços Sa
- Pismo
- Stripe, Inc.
- Superlógica
- TIVIT Terceirização de Processos, Serviços e Tecnologia S/A
- Verifone, Inc.
Sobre o PCI Security Standards Council
O PCI Security Standards Council (PCI SSC) lidera um esforço global e intersetorial para aumentar a segurança de pagamentos, fornecendo padrões e programas de segurança de dados orientados pelo setor, flexíveis e eficazes que ajudam as empresas a detectar, mitigar e prevenir ataques cibernéticos e violações.
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
Ao longo de dez anos, trilhamos um caminho de pioneirismo com foco em segurança digital, identificação e privacidade. Celebramos essa jornada com a certeza de que a confiança é a base para um futuro digital sólido e promissor.
Mas a nossa missão continua! Convidamos você, leitor, e sua empresa a se juntarem a nós nesta jornada em busca de um futuro digital ainda mais seguro e confiável. Acreditamos no poder da colaboração para construir um ecossistema digital onde empresas, máquinas e pessoas possam confiar muito mais uma nas outras.