nota3

A regulamentação PCI DSS 3.2 já entrou em vigor – sua empresa está em conformidade com ela?

Por Sérgio Muniz*

No dia 1º de fevereiro de 2018, a regulamentação PCI DSS (Padrão de Segurança de Dados da Indústria de Cartão de Pagamento) 3.2 entrou em vigor e é considerada uma grande evolução para qualquer empresa envolvida no processamento de cartões de pagamento, ou no armazenamento, processamento e transmissão de dados confidenciais dos titulares de cartões, incluindo sua autenticação, envolvendo: instituições financeiras, estabelecimentos e prestadores de serviços.

O PCI DSS foi desenvolvido para incentivar e aumentar a segurança de dados dos titulares de cartão e facilitar a ampla adoção de medidas de segurança de dados consistentes no mundo todo.  O objetivo final é reduzir a fraude dos cartões de crédito, débito e varejo (sem bandeira). As marcas de pagamento individuais, como Visa e MasterCard, Discover, AMEX e JCB, exigem o cumprimento da regulamentação e determinam ainda quaisquer penalidades para o seu descumprimento. Para serem consideradas em conformidade, as empresas deverão ser submetidas a uma auditoria de segurança por um órgão independente.

A PCI DSS abrange seis categorias, 12 requisitos e mais de 200 especificações diferentes. As principais atualizações na versão 3.2 são as seguintes:

  • Autenticação multifator: qualquer pessoa que acesse sistemas como bancos de dados, módulos de rede e servidores de e-mail que detenham dados de cartão de crédito será obrigada a obter a autenticação multifator. Isso é obrigatório para todos os funcionários com acesso administrativo aos ambientes de dados de titular do cartão (CDEs, cardholder data environment em inglês), mesmo os que estiverem dentro da rede da instituição, como um agente de call center não terceirizado.
  • Armazenamento de número de PAN: somente os primeiros seis e os últimos quatro dígitos do PAN (números do cartão de pagamento) de um cliente podem ser exibidos a um funcionário. Os demais dígitos devem permanecer ocultos. As empresas devem listar quem pode ver mais do que esses 10 dígitos aprovados e fornecer os motivos para tal.
  • Migração para TLS: todas as empresas em conformidade com o Padrão PCI DSS têm até 30 de junho de 2018 para migrar dos protocolos TLS iniciais e SSL para, no mínimo, o modelo de protocolo TLS 1.1. Porém, recomenda-se a migração para TLS 1.2.
  • Novas regras para prestadores de serviços: existem cinco novos requisitos (e múltiplos sub-requisitos) para os prestadores de serviços. Entre outras medidas, os prestadores devem agora detectar e notificar os clientes sobre as falhas críticas em sistemas de controle de segurança, manter registros de toda a arquitetura criptográfica e realizar revisões trimestrais para o pessoal da segurança.
  • Assegurar que as alterações no CDE são seguras e compatíveis: se uma empresa fizer qualquer mudança em seu CDE, ela deve configurar imediatamente os controles de segurança adequados. Quaisquer requisitos da PCI DSS afetados pelo novo ambiente devem ser, então, novamente verificados para garantir o cumprimento contínuo de todos os padrões PCI DSS.

Como você pode ver, essas mudanças são extensas. E as penalidades por descumprimento são significativas. As organizações podem enfrentar grandes multas, perda de receita, redução do número de clientes e danos de imagem, visto que sua reputação, credibilidade e confiança podem ser duramente impactadas.

Este regulamento também afeta o setor de varejo. Os comerciantes que não o cumprirem poderão estar sujeitos a multas, custos de substituição de cartões e auditorias onerosas em caso de ocorrência de algum evento de violação de dados.

As empresas já devem estar muito próximas da conformidade com esta regulamentação, mas, definitivamente, devem priorizar o trabalho com parceiros em soluções de criptografia, gerenciamento de chaves e autenticação.

É essencial que as organizações se ocupem disso. Só no primeiro semestre do ano passado, de acordo com o Relatório de Violação de Dados da Gemalto (Data Breach Index), o aumento da violação de dados, se comparado ao primeiro semestre de 2016, foi de 164%, comprometendo mais de 1,9 bilhão de dados. Bilhões de dólares são perdidos anualmente em virtude das fraudes, por isso esperamos que a PCI DSS 3.2 implemente as proteções necessárias para reduzir esse fardo

*Sérgio Muniz é diretor comercial para Enterprise & Cybersecurity da Gemalto na América Latina.

Compartilhe

Notícias relacionadas

Blog
Mudança na natureza jurídica da ANPD fortalece aplicação da LGPD
Por Edilma Rodrigues A Medida Provisória (MPV) nº 1.124, de 13 de junho de 2022 assinada pelo...
Blog
Mercado Pago usa tecnologia de segurança da Mastercard para criptos
A carteira digital do Mercado Livre, o Mercado Pago, vai usar
Blog
Ant Group lança banco digital para micro, pequenas e médias empresas em Singapura
O ANEXT Bank, banco digital de atacado de Singapura e parte do Ant Group, anunciou...
Blog
Cetelem vai reduzir 6 mil toneladas de CO² com emissão de cartões reciclados
O Banco Cetelem Brasil emitiu cerca de 370 mil cartões de plástico reciclado, desde o...

Assine o CANTAnews

Não perca a oportunidade de saber todas as atualizações do mercado, diretamente no seu e-mail

plugins premium WordPress
Scroll to Top