Desde 2005, mais de 10 bilhões de registros de consumidores foram comprometidos em mais de 9.000 violações de dados nos EUA. Esses são os números mais recentes da Privacy Rights Clearinghouse, que relata violações de dados e violações de segurança que afetam os consumidores desde 2005. Para melhorar a segurança dos dados do consumidor e a confiança no ecossistema de pagamento, foi criado um padrão mínimo de segurança de dados. A Visa, a Mastercard, a American Express, a Discover e a JCB formaram o Payment Card Industry Security Standards Council (PCI SSC) em 2006 para administrar e gerenciar padrões de segurança para empresas que lidam com dados de cartões de crédito.
O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) é o padrão de segurança global para todas as entidades que armazenam, processam ou transmitem dados de titulares de cartão e/ou dados de autenticação sigilosos. O PCI DSS define uma linha básica de proteção para os consumidores, além de ajudar a reduzir fraudes e violações de dados em todo o ecossistema de pagamentos. Ela é aplicável a todas as organizações que aceitam ou processam cartões de pagamento. Há penalidades, multas e custos significativos para as organizações que não cumprem esses padrões.
A conformidade com o PCI DSS envolve três componentes principais:
- Manusear a entrada de dados de cartão de crédito dos clientes. Ou seja, que os dados confidenciais dos cartões sejam coletados e transmitidos com segurança
- Armazenamento seguro dos dados, conforme descrito nos 12 domínios de segurança da norma PCI, como criptografia, monitoramento contínuo e testes de segurança do acesso aos dados dos cartões
- Validar anualmente a existência dos controles de segurança obrigatórios, o que pode incluir formulários, questionários, serviços externos de verificação de vulnerabilidades e auditorias de terceiros (consulte o guia passo a passo abaixo para obter uma tabela com os quatro níveis de requisitos)
Todas as empresas que aceitam pagamentos com cartão de crédito devem estar em conformidade com o PCI DSS, independentemente do volume, região geográfica ou método de integração. Ao cumprir essa estrutura, as empresas podem:
- Conquistar a confiança do cliente, garantindo a segurança dos dados do cartão
- Ter proteção contra fraudes e violações de dados
- Evitar multas por violações de conformidade com PCI
Isenção de responsabilidade: Este artigo deve ser usado apenas para fins de orientação e não deve ser tomado como aconselhamento definitivo. Recomendamos consultar um Avaliador de Segurança Qualificado (QSA) do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) para obter esclarecimentos.
Como a Stripe ajuda as organizações a alcançar e manter a conformidade com PCI
Se o seu modelo de negócios exigir que você lide com dados de cartão, poderá ser necessário cumprir cada um dos controles de segurança 300+ no PCI DSS. Há mais de 1.800 páginas de documentação oficial, publicada pelo Conselho de Padrões de Segurança do PCI, sobre o PCI DSS, e mais de 300 páginas apenas para entender quais formas serão usadas ao validar a conformidade.
A Stripe pode ajudar a reduzir significativamente a carga de PCI para as empresas ao fornecer uma variedade de métodos de integração tokenizados (por exemplo, Checkout, Elements, SDKs para dispositivos móveis, SDKs do Terminal), evitando a necessidade de tratar diretamente dados sigilosos de cartão de crédito.
- O Stripe Checkout e o Stripe Elements usam um campo de pagamento hospedado para manusear todos os dados de cartão de pagamento. Assim, o titular do cartão insere todas as informações de pagamento sigilosas em um campo de pagamento originado diretamente de nossos servidores validados pelo PCI DSS.
- Os SDKs do Terminal e da Stripe para dispositivos móveis também permitem que o titular do cartão envie dados de pagamento confidenciais diretamente para servidores validados pelo PCI DSS.
Para todos os nossos usuários, independentemente do tipo de integração, a Stripe atua como defensora do PCI e pode ajudar de algumas maneiras diferentes.
- Nosso assistente Stripe PCI analisa seu método de integração e orienta sobre como reduzir sua carga de conformidade.
- Notificaremos você com antecedência se um volume crescente de transações exigir uma mudança na forma como a conformidade é validada.
- Para empresas de grande porte que precisam trabalhar com um PCI QSA porque armazenam dados de cartão de crédito ou têm um fluxo de pagamento mais complexo, há mais de 400 empresas de QSA em todo o mundo. Podemos conectar você com vários auditores que entendem profundamente os diferentes métodos de integração da Stripe.
Guia detalhado de conformidade com o PCI DSS
1. Conheça seu nível de PCI
O primeiro passo para alcançar a conformidade com o PCI é saber quais requisitos se aplicam à sua organização. Existem quatro níveis diferentes de conformidade com o PCI, baseados normalmente no volume de transações com cartão de crédito processado pela empresa durante um período de 12 meses.
Dependendo do seu nível, você terá requisitos diferentes, incluindo verificações regulares de vulnerabilidades de um Fornecedor de digitalização aprovado (ASV). Há também requisitos adicionais para provedores de serviços, que são entidades empresariais diretamente envolvidas no processamento, armazenamento ou transmissão de dados do titular do cartão (CHD) e/ou dados de autenticação confidenciais (SAD) em nome de outra entidade (por exemplo,gateways de pagamento, provedores de serviço de pagamento e organizações de vendas independentes).
|
Nível de conformidade
|
Aplica-se a
|
Requisitos
|
|---|---|---|
|
Nível 1
|
|
|
|
Nível 2
|
|
|
|
Nível 3
|
|
|
|
Nível 4
|
|
|
2. Conheça o tipo de integração e os requisitos de documentação
Depois de saber seu nível de PCI, a próxima etapa é determinar quais documentos PCI você precisa preencher para validar sua conformidade, com base no tipo de integração usada com a Stripe, se você for um provedor de serviços, etc.
Usuários de nível 1
As empresas de nível 1 não são elegíveis para usar um SAQ para comprovar a conformidade com o PCI. Elas precisam preencher um ROC assinado por um QSA ou diretor executivo do comerciante para validar sua conformidade com o PCI anualmente.
Usuários de nível 2 a 4
Para usuários dos níveis 2 a 4, há tipos de SAQ diferentes, dependendo do método de integração de pagamentos. Se não tiver certeza de qual tipo de SAQ é adequado para você, o assistente Stripe PCI determinará automaticamente o tipo de documentação adequado para sua empresa.
|
Integração
|
Requisito
|
Recomendação
|
|---|---|---|
|
Checkout ou Elements
|
SAQ A |
Checkout, Stripe.js e Elements hospedam todas as entradas de coleta de dados de cartão em um iframe enviado do domínio da Stripe (e não do seu), de modo que os dados de cartão dos seus clientes não passam pelos seus servidores.
|
|
Connect
|
SAQ A | Se você coleta dados de cartão exclusivamente usando uma plataforma Connect (por exemplo, Squarespace), podemos determinar se a plataforma forneceu a documentação necessária referente ao PCI. |
|
SDK para dispositivos móveis
|
SAQ A |
O desenvolvimento de SDKs para dispositivos móveis e o controle de alterações da Stripe estão em conformidade com o PCI DSS (requisitos 6.3 a 6.5) e são implementados por meio dos nossos sistemas com validação para o PCI. Quando você usa apenas componentes de IU dos nossos SDKs oficiais para iOS ou Android, ou cria um formulário de pagamento com o Elements em um WebView, os números de cartão são passados diretamente dos clientes para a Stripe, reduzindo sua sobrecarga de conformidade com o PCI ao mínimo possível. Se fizer de outra forma, como programar seu próprio sistema para processar dados de cartão, você poderá ser responsável por outros requisitos do PCI DSS (6.3 a 6.5) e não se qualificar para o SAQ A. Fale com um QSA do PCI para determinar a melhor maneira de validar sua conformidade segundo as diretrizes atuais do PCI Security Standards Council. Se o seu aplicativo exige que os clientes informem dados usando o próprio dispositivo, você se qualifica para SAQ A. Se o seu aplicativo aceita dados de cartão de vários clientes no seu dispositivo (por exemplo, um aplicativo de ponto de venda), consulte um QSA do PCI para saber qual é a melhor forma de validar sua conformidade. |
|
Stripe.js v2
|
SAQ A-EP |
O uso do Stripe.js v2 para passar dados de cartão inseridos em um formulário hospedado em seu próprio site exige o preenchimento anual do SAQ A-EP para comprovar a conformidade da sua empresa com o PCI. Como alternativa, o Checkout e o Elements oferecem a flexibilidade e a personalização de um formulário auto-hospedado e atendem aos requisitos do PCI para o SAQ A. |
|
Terminal
|
SAQ C |
Se você coleta dados de cartão exclusivamente pelo Stripe Terminal, pode fazer a validação usando o SAQ C. Se você faz a integração com a Stripe com os métodos listados nesta tabela, é preciso comprovar a conformidade deles separadamente da forma descrita. |
|
Dashboard
|
SAQ C-VT |
É possível pagar manualmente com cartão no Dashboard, mas apenas em circunstâncias excepcionais, e não para processamento rotineiro de pagamentos. Ofereça uma forma de pagamento ou aplicativo móvel para que os clientes informem os dados do cartão. Não podemos confirmar a segurança de dados de cartão informados manualmente fora da Stripe. Portanto, você deve proteger os dados de acordo com os requisitos do PCI e preencher anualmente o SAQ C-VT para comprovar a conformidade da sua empresa com o PCI. |
|
API Direct
|
SAQ D |
Quando você passa dados do cartão diretamente para a API da Stripe, sua integração processa diretamente esses dados, e você precisa comprovar sua conformidade com PCI usando o SAQ D, o SAQ mais exigente. Para reduzir essa sobrecarga:
Além disso, o Radar, nossa ferramenta de prevenção de fraudes que inclui avaliação de riscos e regras, está disponível somente quando um dos nossos métodos de tokenização do lado do cliente é utilizado. |
Prestadores de serviços
Se você estiver diretamente envolvido no processamento, armazenamento ou transmissão de dados do titular do cartão (CHD) e/ou dados confidenciais de autenticação (SAD) em nome de outra entidade (por exemplo, gateways de pagamento, provedores de serviços de pagamento e organizações de vendas independentes), você pode ser classificado como um provedor de serviços. Os provedores de serviços normalmente:
- Processam dados do titular do cartão para outras organizações
- Armazenam dados do titular do cartão em nome dos clientes
- Transmitem dados do titular do cartão entre sistemas
- Prestam serviços que podem afetar a segurança dos dados dos titulares de cartões ou a segurança do ambiente dos titulares de cartões
Exemplos comuns incluem gateways de pagamento, provedores de hospedagem (que armazenam dados do titular do cartão), data centers de terceiros, empresas que fornecem aplicativos de pagamento e provedores de serviços de tokenização.
Como provedor de serviços, você tem requisitos adicionais que você deve validar.
|
Categoria de provedor de serviços |
Critérios |
Requisitos PCI |
|---|---|---|
|
Nível 1 |
Todos os processadores de terceiros (TPPs) Todas as Entidades de Armazenamento de Dados (DSEs) com mais de 300.000 transações combinadas de Mastercard e Maestro anualmente |
Avaliação anual no local conduzida por um QSA |
|
Nível 2 |
Todos os DSEs com 300.000 ou menos transações combinadas de Mastercard e Maestro anualmente |
Autoavaliação Anual |
3. Conclua sua avaliação e envie sua documentação SAQ
Depois de identificar qual avaliação precisa ser concluída, a próxima etapa é realizá-la, preencher a documentação SAQ ou ROC pertinente e enviá-la à Stripe para análise.
Usuários de alto volume vão querer proteger os serviços de um QSA que está registrado para operar nas regiões onde você está operando. O QSA ajudará a revisar seus sistemas em relação aos requisitos PCI e aconselhará sobre a remediação de quaisquer deficiências. Eles também produzirão e assinarão a documentação apropriada para você compartilhar com a Stripe anualmente.
Os usuários de nível 3 e 4 provavelmente precisarão concluir o Questionário de autoavaliação do PCI DSS que é apropriado para a linha de empresa. Mais recursos do comerciante estão disponíveis para você através do PCI Security Standards Council. A Stripe também está aqui para ajudar, pois nosso assistente personalizado em seu PCI Dashboard fará uma série de perguntas e gerará a documentação necessária para você. Você pode usar o Stripe PCI Dashboard para fazer upload de qualquer documentação SAQ ou ROC autopreenchida.
4. Monitorar e manter
É importante observar que a conformidade com PCI não é um evento único. Esse processo é anual para garantir a conformidade da sua empresa, mesmo com a evolução dos fluxos de dados e dos pontos de contato com os clientes.
O PCI DSS estabelece padrões importantes para o manuseio e o armazenamento de dados de titulares de cartão, mas não oferece proteção suficiente para todos os ambientes de pagamento isoladamente. Em vez disso, mudar para um método de aceitação de cartão mais seguro que usa dados tokenizados (como Stripe Checkout, Elements e SDKs para dispositivos móveis) é uma maneira muito mais eficaz de proteger sua organização. Essa abordagem fornece às empresas ágeis uma maneira de mitigar uma possível violação de dados e evitar abordagem histórica, que é demorada e cara, para validação de PCI.
Conforme uma empresa cresce, a lógica e os processos de negócios centrais também vão evoluir, assim como os requisitos de conformidade. Uma empresa online, por exemplo, pode decidir abrir lojas físicas, entrar em novos mercados ou lançar uma central de atendimento ao cliente. Se algo novo envolver dados de cartão de pagamento, recomendamos verificar proativamente se isso tem algum impacto no método de validação de PCI escolhido e revalidar a conformidade com PCI se necessário.
Para obter mais informações sobre o complexo mundo da conformidade com PCI, acesse o site do PCI Security Standards Council. Se você leu apenas este guia e alguns outros documentos sobre PCI, recomendamos começar com estes:
- Abordagem priorizada para PCI DSS
- Instruções e diretrizes do SAQ
- Perguntas frequentes sobre o uso de critérios de elegibilidade do SAQ para determinar requisitos de avaliação no local
- Perguntas frequentes sobre as obrigações das empresas que desenvolvem aplicativos para dispositivos de consumo que aceitam dados de cartões de pagamento
Como a Stripe ajuda as organizações a manter a conformidade com PCI
A Stripe, uma provedora de serviços PCI Nível 1, é certificada anualmente por um Avaliador de Segurança Qualificado PCI independente em relação a todos os requisitos do PCI DSS. Isso significa que todos os nossos produtos são seguros por padrão, reduzindo seus requisitos de conformidade.
Para todos os nossos usuários, independentemente do tipo de integração, a Stripe atua como defensora do PCI e pode ajudar de algumas maneiras diferentes.
Suporte para nossas pequenas empresas
A Stripe simplifica muito a carga de PCI para nossos usuários menores, oferecendo uma jornada de conformidade personalizada, incluindo SAQs pré-preenchidos e fluxos orientados para alguns usuários, aproveitando métodos de integração mais seguros, como Checkout, Elements, SDKs para dispositivos móveis e SDKs do Terminal.
Experiência personalizada com o Dashboard
Depois que você se tornar um cliente Stripe, analisaremos seu histórico de transações e aconselharemos sobre como reduzir suas obrigações de conformidade por meio de uma experiência personalizada com o Dashboard.
Suporte à medida que sua empresa cresce
Conforme o seu volume anual de transações aumenta, você pode perceber que os níveis de PCI mudam dentro de um ano. A Stripe ajuda você nessas transições, alertando sobre novos requisitos à medida que se aproxima a data de renovação do PCI.
Mais de uma provedora de serviços
Se a sua empresa usa mais de um processador, o processo de conformidade com PCI pode ficar confuso. A Stripe facilita o suporte ao envio de AOCs pelos seus provedores para facilitar seu caminho para a conformidade.
Suporte a pagamentos MOTO (pedidos por correio/pedidos por telefone)
A Stripe oferece suporte a empresas que aceitam pagamentos MOTO integrando-se a serviços de terceiros para coleta segura de cartões por telefone. Esses serviços automatizam a coleta de dados do cartão usando tecnologias como envio do número do cartão por tom de toque ou reconhecimento de voz e eliminam a necessidade de uma pessoa transcrever manualmente os dados do cartão. Essa abordagem pode reduzir significativamente encargos de conformidade com PCI, eliminando a necessidade de "um humano no circuito". Para casos de uso de MOTO, há três resultados SAQ prováveis:
- SAQ-A: Caso de uso do conector de pagamento em que os dados do titular do cartão são coletados por telefone usando uma solução de terceiros compatível com PCI e os dados do cartão fluem diretamente para Stripe. Nesse caso de uso, o usuário não tem acesso aos dados do cartão enquanto estão sendo apresentados por telefone e não armazenam, processam ou transmitem dados do titular do cartão em seu ambiente.
- SAQ C-VT: O usuário recebe os dados do cartão por meio de pagamentos MOTO, que são inseridos diretamente no Stripe Dashboard. Nessa situação, o envio manual deve ocorrer em casos de uso limitados, não recorrentes e com o conhecimento de que o armazenamento eletrônico de dados do cartão não é permitido.
- SAQ-D: Qualquer caso de uso em que o usuário esteja coletando dados do titular do cartão de seu cliente e tenha armazenamento eletrônico dos dados do titular do cartão em seu ambiente.
Para obter orientações específicas sobre conformidade com PCI e implementação do MOTO, recomendamos consultar um avaliador de segurança qualificado (QSA) pelo PCI.