O que é conformidade com PCI?

A conformidade com a indústria de cartões de pagamento (PCI) é baseada em um conjunto de 12 padrões técnicos e operacionais desenvolvidos pelo PCI Security Standards Council (SSC), um órgão independente formado em 2006 pela American Express, Discover, JCB International, MasterCard e Visa. Esses padrões se aplicam a qualquer empresa que aceite, transmite ou armazena dados do cartão de crédito. Eles foram criados para garantir um ambiente seguro que proteja informações de clientes e negócios contra questões como violações de dados.

Para entender melhor a conformidade com a PCI, é importante saber o que isso implica, os requisitos e como tudo funciona.

Definição e requisitos de conformidade com PCI

A conformidade com PCI é adesão a um conjunto de padrões para segurança e proteção de cartão de crédito definido pelo PCI SSC. Esses padrões foram criados para garantir um ambiente seguro para qualquer empresa que processe os dados do titular do cartão.

Enquanto o PCI SSC desenvolveu os padrões, as marcas de pagamento e os comerciantes são responsáveis ​​por fazer cumprir a conformidade.

Cada marca de cartão de crédito pode ter seus próprios requisitos específicos de PCI que as empresas precisam seguir. Os empresários devem verificar com cada marca de pagamento para garantir que atendam a todos os requisitos necessários.

• Nome alternativo: Padrão do padrão de segurança de dados do setor de cartões de pagamento
• Acrônimo: PCI, PCI DSS

Padrões de conformidade com PCI

Existem 12 padrões criados pelo PCI DSS que cobre componentes do sistema técnico e operacional:

• Mantenha um firewall para proteger os dados do titular do cartão
• Use senhas de segurança de alto nível em vez de senhas de sistema padrão
• Proteger dados armazenados do titular do cartão por meio de protocolos de segurança adequados
• Criptografar a transmissão dos dados do titular do cartão
• Proteja todos os sistemas contra malware e atualize regularmente os programas antivírus
• Desenvolver e manter sistemas e aplicações seguras
• Restringir o acesso às informações do titular do cartão
• Identifique e autentique o acesso a todos os componentes do sistema
• Restringir o acesso físico às informações do titular do cartão
• Rastrear e monitorar todo o acesso aos dados de rede e titular do cartão
• Teste frequentemente sistemas e processos de segurança
• Manter uma política de segurança da informação para todo o pessoal

Para proteger as informações sensíveis ao titular do cartão, é de responsabilidade de todas. Esses padrões podem ajudar os comerciantes a proteger contra hackers e ladrões de informações.

Não atender a esses requisitos pode deixar um negócio mais vulnerável a danos financeiros e pode resultar em taxas caras de não conformidade avaliadas pelas marcas de cartão de crédito.

Como funciona a conformidade com PCI?

Cada emissor de cartão tem suas próprias diretrizes de conformidade com PCI, por isso é uma boa ideia para os empresários verificarem com cada emissor para garantir que eles atendam às qualificações adequadas. Para ser considerado compatível com PCI, as empresas precisam passar por um processo de três etapas que inclua escopo, avaliação e relatório.

Escopo

No escopo, os empresários precisam identificar todos os sistemas que, se comprometidos, podem afetar os dados do titular do cartão. O escopo é geralmente um processo anual que envolve avaliar todos os sistemas e maneiras pelas quais os dados do titular do cartão interagem com um negócio. Este processo ajudará a determinar o tipo de avaliação necessária, bem como a magnitude e o custo.

Avaliando

A parte de avaliação da conformidade com PCI consiste em um questionário de auto-avaliação ou uma auditoria no local conduzida por um avaliador de segurança qualificado. Qual avaliação que uma empresa precisará é determinada pelos níveis de comerciante da empresa de cartão de crédito. Por exemplo, as empresas que processam sob o número especificado de um emissor de transações de cartões a cada ano podem precisar apenas de um questionário de auto-avaliação.

Os empresários podem determinar seu nível de comerciante através do site designado de cada empresa de cartão de crédito, como esses para Visa, MasterCard e American Express.

Comunicando

Depois que os empresários concluem a auto-avaliação, eles precisarão denunciá-la à empresa de cartão de crédito. As empresas que se qualificam para uma avaliação pessoal devem enviar um relatório sobre a conformidade com o emissor do cartão de pagamento diretamente. As avaliações de conformidade com PCI são necessárias apenas anualmente, mas os empresários podem precisar de varreduras trimestrais de vulnerabilidades conduzidas por um fornecedor de varredura aprovado. Qualquer que seja a avaliação, relatar os resultados da auditoria aos emissores do cartão de pagamento é a etapa final para a conformidade com o PCI.

Takeaways -chave

• A conformidade com PCI é o conjunto da indústria de cartões de crédito de padrões que as empresas aceitam, transmitindo e armazenando dados do titular do cartão devem seguir.
• Existem 12 padrões técnicos e operacionais que as empresas precisam aderir para atender à conformidade com PCI.
• Há um processo de três etapas para se tornar compatível com PCI: escopo, avaliação e relatório.
• O processo de avaliação envolve fazer um questionário de auto-avaliação ou obter uma auditoria no local.