Sign in
Segurança Featured

PCI DSS: o que é e como obter esse certificado de segurança

Para que sua empresa possa aceitar os cartões de débito ou crédito como meios de pagamento, ela precisa atender aos 12 requisitos do PCI DSS.

Natália Lima

5 min read
PCI DSS

Se a sua empresa aceita ou vai começar a aceitar os cartões de crédito e débito como meios de pagamento, é provável que você conheça a sigla PCI DSS.

Cumprir os requisitos de segurança relacionados a este padrão é um critério obrigatório para todos os negócios que aceitam os pagamentos via cartões.

Isso independe do porte da empresa. Não importa se você é um microempreendedor ou o gestor de um grande negócio que realiza o processamento de milhares de transações todos os dias.

O que determina a necessidade de atender aos requisitos do PCI DSS é o oferecimento a seus clientes da possibilidade de pagamento com cartão de crédito ou débito.

Como muitos clientes de todos os nichos e segmentos utilizam os cartões e procuram por empresas que oferecem este meio de pagamento, é importante considerar aceitá-los.

Assim, ao preparar sua empresa para aceitar os pagamentos via cartão de crédito ou de débito, você vai se deparar com os requisitos do PCI DSS.

Se você não entende totalmente a necessidade desse padrão de segurança e quais são as implicações para cumprir cada requisito, a leitura deste artigo vai te ajudar.

Nos próximos tópicos, você vai conferir as informações detalhadas sobre o conceito e descobrir o que fazer para obter esse certificado de segurança.

O que é PCI DSS?

O PCI DSS é um certificado de segurança utilizado para pagamentos via cartão de crédito e débito.

A sigla diz respeito à expressão “Payment Card Industry Data Security Standard”, que pode ser traduzida como “Padrão de Segurança de Dados da Indústria de Pagamento com Cartões”.

Esse padrão de segurança é composto por uma série de procedimentos e requerimentos que têm o objetivo de manter em segurança as informações pessoais dos titulares dos cartões de crédito ou de débito.

Você certamente já tem consciência da importância da segurança da informação dentro de uma empresa.

Teste agora Keruak - Relatórios

Dados são um importante ativo organizacional e, como qualquer item valioso, precisam ser armazenados e transportados em segurança.

Quando falamos especificamente de dados financeiros, como números e senhas de cartões de crédito e débito, o cuidado deve ser ainda maior.

Por isso existem certificados de segurança como PCI DSS. O objetivo é reduzir os riscos relacionados ao roubo de dados e às fraudes.

O PCI DSS foi criado em 2004, a partir do interesse comum e a soma de esforços das bandeiras de cartões Visa, Mastercard, American Express, Discover e JCB.

Essas bandeiras também são as responsáveis pela criação do Payment Card Industry Security Standards Council ou Conselho dos Padrões de Segurança da Indústria de Pagamento com Cartão.

Este conselho é descrito pelos representantes das cinco bandeiras citadas como um órgão “mundial, aberto e formado para desenvolver, melhorar, divulgar e ajudar na compreensão dos padrões de segurança para as contas de pagamento”.

O conselho é o mantenedor do PCI DSS e cuida de sua promoção e de seu desenvolvimento.

O órgão também auxilia na implementação do padrão de segurança a partir de avaliações e qualificações, além das autoavaliações de conformidade.

Todavia, o responsável pelo cumprimento das regras estabelecidas e pela punição em casos de violação de dados é sempre o banco emissor ou a adquirente dos cartões.

Como vimos anteriormente, o PCI DSS deve ser aplicado a todos os negócios que processam ou transmitem dados dos portadores de cartão de crédito ou débito.

Por esta razão, antes de oferecer essas formas de pagamentos aos seus clientes, as empresas precisam obter um certificado de conformidade com o PCI DSC.

Para conseguir o certificado, as empresas devem apresentar uma demonstração de que possuem sistemas e processos adequados para a garantia da segurança da informação dos cartões.

Esses recursos para a manutenção da segurança devem ser eficientes em quaisquer situações, independentemente do volume de transações do negócio.

A seguir, veremos como é possível obter o certificado do PCI DSS.

Como conseguir o certificado do PCI DSS?

Para obter o certificado de segurança e poder oferecer o pagamento com cartão de crédito ou débito a seus clientes, é preciso cumprir os doze requisitos do PCI DSS.

Esses requisitos estão distribuídos em seis grupos, como mostraremos em seguida.

1. Construção e manutenção de uma rede segura através da qual as transações possam ser conduzidas

Este primeiro objetivo engloba dois requisitos:

  • O seu firewall deve ser forte e efetivo, mas não pode causar inconvenientes em excesso para os vendedores e titulares dos cartões;
  • As senhas e configurações padrões que normalmente são oferecidas pelos vendedores devem ser alteradas.

2. Proteção das informações dos titulares dos cartões

Os requisitos referentes ao segundo objetivo também são dois:

  • As informações dos titulares dos cartões que serão guardadas pela sua empresa, como telefones, endereços de e-mail, datas de nascimento e números de documentos devem estar sempre em segurança;
  • Da mesma forma, as informações dos titulares dos cartões que forem transmitidas através de redes públicas, também devem manter-se seguras e, para isso, você deve usar a criptografia.

3. Manutenção da proteção do sistema contra a atuação dos hackers

Vejamos agora os requisitos referentes ao terceiro objetivo:

  • Você deve contar com bons softwares de proteção antivírus, anti spyware e malware e eles devem ser mantidos sempre atualizados;
  • Também é preciso desenvolver e manter os sistemas e aplicações sempre seguros.

4. Implementação de medidas de controle de acesso fortes

Com relação ao controle de acesso, os requisitos são três:

  • O acesso aos dados dos cartões de crédito dos clientes só deve ser concedido a colaboradores específicos, de acordo com sua função;
  • Todos os usuários da rede e dos sistemas devem possuir dados de login únicos e confidenciais, além de senhas fortes;
  • Além do acesso eletrônico, o acesso físico aos dados dos cartões também deve ser restrito.
Banco Inter

5. Monitoramento e teste frequente das redes

O quinto objetivo visa à conferência constante dos requisitos de segurança, para que ela seja garantida em todos os momentos.

Seus requisitos são os seguintes:

  • É preciso rastrear e monitorar todos os acessos à rede e aos dados dos cartões;
  • A segurança dos sistemas e processos deve ser testada periodicamente.

6. Manutenção de uma política de segurança formal

Os requisitos e as boas práticas de segurança precisam ser amplamente conhecidos pelos seus colaboradores.

Por isso, este último objetivo tem como único requisito a definição de uma política de segurança a ser mantida e seguida por todos dentro da empresa.

Quando todos os objetivos e requisitos do PCI DSS são seguidos à risca, há uma enorme redução dos riscos de vazamento de dados.

Assim, todas as empresas de e-commerce que procuram um processador de pagamento precisam comprovar sua adequação às regras do PCI DSS. Se você está buscando a diversificação das possibilidades de pagamento oferecidas aos seus clientes, além de conhecer o PCI DSS, você deve ler também nosso artigo sobre meios de pagamento. Boa leitura e bons negócios!

Sign up for more like this.

Enter your email
Subscribe