Conformidade com PCI na Nova Zelândia: Requisitos, considerações e práticas recomendadas

Connect
Connect

Os marketplaces e plataformas mais bem-sucedidos do mundo, como Shopify e DoorDash, usam o Stripe Connect para incorporar pagamentos aos seus produtos.

Saiba mais 
  1. Introdução
  2. Principais conclusões
  3. O que é conformidade com PCI na Nova Zelândia?
  4. Por que a conformidade com PCI é importante para as empresas na Nova Zelândia?
  5. Como funciona a conformidade com PCI?
  6. Quais são os requisitos de conformidade com PCI para empresas na Nova Zelândia?
    1. 1. Construa e mantenha uma rede segura
    2. 2. Proteja dados da conta
    3. 3. Mantenha um programa de gestão de vulnerabilidades
    4. 4. Implemente medidas fortes de controle de acesso
    5. 5. Monitore e teste redes
    6. 6. Mantenha uma política de segurança da informação
  7. Quais desafios as empresas da Nova Zelândia enfrentam com a conformidade com PCI?
    1. Escopo maior do que o esperado
    2. Infraestrutura antiga
    3. Compreender mal o que a terceirização cobre
    4. Rotatividade de pessoal e lacunas de treinamento
    5. O problema da seleção do SAQ
  8. Como as empresas da Nova Zelândia podem garantir a conformidade com PCI?
    1. Use um provedor de serviços de pagamentos que mantenha os dados do cartão fora dos seus sistemas
    2. Primeiro, mapeie seus fluxos de dados
    3. Obtenha o SAQ correto
    4. Leve os testes de invasão a sério
    5. Atribua uma propriedade interna clara
    6. Integre a coleta de comprovantes em suas operações
  9. Como o Stripe Connect pode ajudar

As perdas com golpes e fraudes de cartões totalizaram 194 milhões de dólares neozelandeses (NZD) em 2024 e continuam a acelerar. Embora não seja exigido pelas leis da Nova Zelândia, espera-se que as empresas que aceitam cardpayments no país cumpram o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS). As bandeiras de cartão aplicam a conformidade por meio de contratos com comerciantes. O não cumprimento pode resultar em multas, custos de transação mais altos ou até mesmo na perda da capacidade de aceitar cardpayments.

Abaixo, abordaremos os requisitos do PCI DSS, os desafios de conformidade mais comuns que as empresas da Nova Zelândia enfrentam e como alcançar a conformidade com sucesso.

Principais conclusões

  • A conformidade com o PCI DSS é aplicada por meio de contratos de comerciantes com as bandeiras de cartão e bancos adquirentes, em vez da lei da Nova Zelândia. No entanto, as consequências financeiras e operacionais da não conformidade são substanciais.

  • O escopo das suas obrigações de conformidade depende de quanto dados do titular do cartão seus sistemas manipulam. Você pode simplificar o processo de conformidade reduzindo sua exposição.

  • Escolher o questionário de autoavaliação (SAQ) correto e atribuir uma propriedade interna clara são duas das decisões mais importantes que afetam o sucesso de conformidade de uma empresa da Nova Zelândia.

O que é conformidade com PCI na Nova Zelândia?

Conformidade com PCI significa atender aos requisitos globais do PCI DSS em torno de uma rede segura, dados do titular do cartão e controle de acesso e segurança da informação. Essas medidas devem ser seguidas por todas as empresas que lidam com dados do titular do cartão, desde um café que aceita pagamentos por aproximação até uma empresa de software faturando assinantes globalmente.

Por que a conformidade com PCI é importante para as empresas na Nova Zelândia?

As perdas por fraude de cartão na Nova Zelândia chegam a centenas de milhões de dólares anualmente. A conformidade ajuda a proteger os dados do titular do cartão e a reduzir o risco de fraude.

As consequências da não conformidade se dividem em algumas categorias:

  • Multas: Redes de pagamento e bancos adquirentes podem aplicar multas. Elas podem variar de centenas a centenas de milhares de dólares, dependendo da gravidade da violação.

  • Custos de transação aumentados: Bancos adquirentes podem mover empresas em não conformidade para níveis de intercâmbio mais altos.

  • Responsabilidade por perdas com fraude: Se ocorrer uma violação e você não estiver em conformidade no momento, seu seguro e o banco adquirente poderão responsabilizá-lo pelo custo de transações fraudulentas, substituição de cartão e investigação forense.

  • Rescisão da aceitação de cartão: Em casos graves, bancos adquirentes ou processadores podem revogar sua capacidade de aceitar pagamentos com cartão.

Também há danos à reputação. A Lei de Privacidade de 2020 (Privacy Act 2020) da Nova Zelândia exige que as empresas notifiquem os indivíduos afetados e o Comissário de Privacidade (Privacy Commissioner) após uma violação de privacidade que cause danos graves.

Como funciona a conformidade com PCI?

O PCI DSS organiza seus requisitos em torno do ambiente de dados do titular do cartão (CDE), que inclui os sistemas, as pessoas e os processos que armazenam, processam ou transmitem os dados do titular do cartão. O escopo de suas obrigações de conformidade depende em grande parte do tamanho e do formato do seu CDE.

O padrão atual é o PCI DSS 4.x, lançado pelo Security Standards Council em março de 2022 com um prazo de transição que o tornou a única versão ativa a partir de março de 2024. A versão 4.0 introduziu mudanças maiores que oferecem mais flexibilidade na forma como as empresas podem cumprir certos requisitos. Pequenas atualizações foram lançadas desde então, mas os princípios básicos permanecem os mesmos. A conformidade é validada por meio de SAQs ou auditorias formais por um assessor de segurança qualificado (QSA). Ela também depende do volume de transações e de como você lida com os dados do cartão:

  • SAQ A: Geralmente o caminho mais simples, este se aplica a empresas que terceirizaram totalmente o processamento de cartões e não tocam nos dados do titular do cartão elas mesmas.

  • SAQ A-EP: Geralmente se aplica se você usa uma página de pagamento de terceiros, mas seu próprio site cuida do redirecionamento.

  • SAQ D: O caminho mais abrangente, o SAQ D se aplica a empresas que armazenam dados do titular do cartão ou os processam de maneiras que não se enquadram em uma categoria mais simples.

  • Comerciantes Nível 1: Comerciantes Nível 1, como aqueles que processam mais de 6 milhões de transações Visa ou Mastercard anualmente, devem enviar um Relatório de Conformidade (ROC) por um QSA.

Muitas pequenas e médias empresas da Nova Zelândia se qualificarão para um dos caminhos SAQ. Qual deles depende em grande parte do seu modelo de integração de pagamentos.

Quais são os requisitos de conformidade com PCI para empresas na Nova Zelândia?

O PCI DSS contém 12 requisitos principais. Esses requisitos estão agrupados em seis objetivos de controle:

1. Construa e mantenha uma rede segura

Instale e mantenha controles de segurança de rede. Esta é a base do sucesso da conformidade.

2. Proteja dados da conta

Use criptografia forte para proteger os dados armazenados do titular do cartão. Nunca armazene o código de verificação do cartão após a autorização e certifique-se de que a transmissão dos dados do titular do cartão seja criptografada em redes abertas e públicas.

3. Mantenha um programa de gestão de vulnerabilidades

Proteja os sistemas contra malware e desenvolva sistemas e software seguros. Isso inclui cronogramas de correção, verificação de vulnerabilidades e testes de segurança de aplicativos.

4. Implemente medidas fortes de controle de acesso

Os dados do titular do cartão devem ser restritos à necessidade de conhecimento. Identifique e autentique cada usuário com credenciais exclusivas e restrinja fisicamente o acesso a sistemas que armazenam ou processam dados do titular do cartão.

5. Monitore e teste redes

Monitore e registre todo o acesso aos recursos de rede e dados do titular do cartão. Teste os sistemas e processos de segurança regularmente. Conduza verificações de vulnerabilidade e testes de invasão em muitos ambientes.

6. Mantenha uma política de segurança da informação

Mantenha uma política que abranja a segurança da informação para todo o pessoal e inclua treinamento e prestação de contas clara.

Alguns desses requisitos podem se tornar responsabilidade do provedor, desde que a empresa na Nova Zelândia tenha integrado adequadamente sua solução de pagamento online ou presencial.

Quais desafios as empresas da Nova Zelândia enfrentam com a conformidade com PCI?

Tornar-se em conformidade com PCI pode atrapalhar as empresas da Nova Zelândia de maneiras previsíveis. Depois de ter visibilidade de onde as coisas dão errado, a conformidade se torna administrável.

Escopo maior do que o esperado

Um problema de conformidade comum é subestimar o escopo do CDE. Qualquer sistema conectado ao seu CDE, esteja você ciente dele ou não, enquadra-se nos requisitos do PCI DSS. As empresas podem descobrir que seu CDE é muito maior do que presumiram depois que começam a mapear os fluxos de dados.

Infraestrutura antiga

Muitas empresas na Nova Zelândia podem estar executando hardware de ponto de venda (POS) mais antigo e software local que não foi projetado para o PCI DSS 4.0. A atualização pode ser cara e perturbadora. Manter a conformidade com sistemas legados pode significar maior complexidade.

Compreender mal o que a terceirização cobre

Usar um provedor de serviços de pagamentos em conformidade com PCI não torna sua empresa automaticamente em conformidade. Por exemplo, seu site pode ter uma vulnerabilidade que permite que um invasor intercepte os dados do cartão antes que eles cheguem ao formulário de pagamento do provedor, e essa violação se torna seu problema. O limite entre sua responsabilidade e a responsabilidade de seu provedor de serviços precisa ser claramente definido.

Rotatividade de pessoal e lacunas de treinamento

O PCI DSS requer treinamento de conscientização sobre segurança para todos os funcionários que interagem com dados do titular do cartão. Pode ser difícil manter o treinamento atualizado em indústrias com alta rotatividade.

O problema da seleção do SAQ

Certifique-se de escolher o SAQ correto. Uma empresa que pensa que se qualifica para o SAQ A, mas na verdade reteve algum envolvimento no processamento de dados do titular do cartão, pode estar subestimando substancialmente suas obrigações de conformidade.

Como as empresas da Nova Zelândia podem garantir a conformidade com PCI?

Uma boa maneira de reduzir a carga de conformidade é reduzir o ambiente de dados do titular do cartão.

Considere as seguintes abordagens:

Use um provedor de serviços de pagamentos que mantenha os dados do cartão fora dos seus sistemas

Provedores de serviços de pagamentos como a Stripe, que usam tokenização e campos de pagamento hospedados, recolhem dados de cartões diretamente em seu ambiente, para que seus servidores não recebam números de cartão não processados. Combinado com a certificação PCI Service Provider Level 1, isso pode simplificar os caminhos de conformidade de muitas empresas.

Primeiro, mapeie seus fluxos de dados

Você não pode definir o escopo de uma avaliação de PCI sem saber para onde vão os dados do titular do cartão. Mapeie rigorosamente todos os sistemas que possam tocar nos dados do cartão. Em seguida, sempre que você adicionar uma nova integração, atualizar seu fluxo de checkout ou alterar seu sistema de gestão de relacionamento com o cliente (CRM), atualize também o mapa.

Obtenha o SAQ correto

Fale com seu banco adquirente ou um QSA antes de selecionar seu SAQ. As bandeiras de cartão publicam critérios de elegibilidade para o SAQ, e a decisão certa nem sempre é óbvia. Se você escolher incorretamente no início, cada decisão subsequente de conformidade agravará o erro.

Leve os testes de invasão a sério

O teste de invasão tem um impacto substancial no sucesso de sua conformidade. Um teste genuíno do seu CDE, incluindo suas páginas de pagamento, mecanismos de autenticação e segmentação de rede interna, pode revelar vulnerabilidades que a varredura automatizada ignora.

Atribua uma propriedade interna clara

A conformidade com PCI pode cair no esquecimento quando se presume que alguém está cuidando dela, como o setor de TI, seu CFO ou quem configurou o sistema de pagamento originalmente. Cada requisito precisa ser atribuído a uma pessoa designada.

Integre a coleta de comprovantes em suas operações

Os avaliadores exigem comprovantes. Varreduras de vulnerabilidades, logs de acesso, registros de conclusão de treinamento e históricos de correções precisam existir e poderem ser recuperados. Integrar essa documentação às suas operações regulares é muito menos doloroso do que reconstruí-la antes de uma avaliação.

Como o Stripe Connect pode ajudar

O Stripe Connect coordena o movimento de fundos entre múltiplas partes para plataformas de software e marketplaces. Ele oferece onboarding rápido, componentes incorporados, repasses globais e muito mais.

Com o Connect, você pode:

  • Lançar em semanas: use funções hospedadas pelo Stripe ou incorporadas para lançar mais rapidamente e evite os custos iniciais e o tempo de desenvolvimento geralmente necessários para a facilitação de pagamentos.

  • Gerenciar pagamentos em escala: use ferramentas e serviços da Stripe para não precisar dedicar recursos extras a relatórios de margem, informes fiscais, risco, formas de pagamento globais ou conformidade de onboarding.

  • Crescer globalmente: ajude os usuários a alcançar mais clientes no mundo todo com formas de pagamento locais e a capacidade de calcular com facilidade imposto sobre vendas, IVA e GST.

  • Criar novas linhas de receita: otimize a receita de pagamentos recolhendo tarifas em cada transação. Monetize as funções da Stripe ativando pagamentos presenciais, repasses instantâneos, cobrança de imposto sobre vendas, financiamento, cartões de despesas e muito mais na plataforma.

Saiba mais sobre o Stripe Connect ou comece hoje mesmo.

O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.

Mais artigos

  • Algo deu errado. Tente novamente ou entre em contato com o suporte.

Vamos começar?

Crie uma conta e comece a aceitar pagamentos sem precisar de contratos nem dados bancários, ou fale conosco para criar um pacote personalizado para sua empresa.
Connect

Connect

Entre em produção em questão de semanas, não trimestres. Crie e expanda um negócio de pagamentos lucrativo.

Documentação do Connect

Saiba como direcionar pagamentos entre várias partes.