Um guia para a conformidade com PCI

Os Padrões de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) definem o padrão mínimo para a segurança de dados. Este guia descreve em detalhes a manutenção da conformidade e mostra como a Stripe pode ajudar.

Introdução

Desde 2005, mais de 11 bilhões de registros de consumidores foram comprometidos em mais de 8.500 violações de dados. Esses são os números mais recentes do The Privacy Rights Clearinghouse, que relata violações de dados e segurança que afetam clientes desde 2005.

Para aumentar a segurança dos dados dos consumidores e sua confiança no ecossistema de pagamentos, foi criado um padrão mínimo para a segurança dos dados. Em 2006, Visa, Mastercard, American Express, Discover e JCB formaram o Conselho de Padrões de Segurança do Setor de Cartões de Pagamento (PCI SSC), que administra e gerencia padrões de segurança para empresas que processam dados de cartões de crédito. Antes da criação do PCI SSC, essas cinco empresas tinham os seus próprios programas de padrões de segurança, cada um deles com requisitos e objetivos mais ou menos semelhantes. Por meio do PCI SSC, as empresas se reuniram para compartilhar uma única política padrão, os Padrões de Segurança de Dados do PCI (conhecidos como PCI DSS), para garantir um nível de referência de proteção para clientes e bancos na era da Internet.

A compreensão do PCI DSS pode ser complexa e desafiadora

Se o seu modelo de negócio exige o processamento de dados de cartões, poderá ser necessário cumprir cada um dos mais de 300 controles de segurança do PCI DSS. A documentação oficial sobre o PCI DSS é publicada pelo Conselho do PCI e tem mais de 1.800 páginas. Apenas para compreender quais formulários devem ser usados na validação da conformidade, são mais de 300 páginas. A simples leitura exige mais de 72 horas.

Para facilitar essa tarefa complexa, veja a seguir um guia detalhado de validação e manutenção da conformidade com PCI.

Visão geral do Padrão de Segurança de Dados do PCI (PCI DSS)

O PCI DSS é o padrão de segurança global para todas as entidades que armazenam, processam ou transmitem dados do portador do cartão e/ou dados de autenticação confidenciais. O PCI DSS estabelece uma referência de proteção para os consumidores e ajuda a reduzir fraudes e violações de dados em todo o ecossistema de pagamentos. Ele se aplica a qualquer organização que aceita ou processa cartões de pagamento.

A conformidade com PCI DSS envolve 3 fatores principais:

  1. Processamento da entrada de dados do cartão de crédito dos clientes, ou seja, coleta e transmissão seguras dos detalhes confidenciais do cartão
  2. Armazenamento seguro dos dados, conforme descrição dos 12 domínios de segurança do padrão PCI, como criptografia, monitoramento contínuo e testes da segurança do acesso aos dados do cartão
  3. Validação anual da existência dos controles de segurança obrigatórios, que podem incluir formulários, questionários, serviços externos de verificação de vulnerabilidades e auditorias de terceiros (consulte o guia detalhado abaixo para ver uma tabela com os quatro níveis de requisitos)

Processamento dos dados do cartão

Alguns modelos de negócio exigem o processamento direto de dados confidenciais de cartões de crédito ao aceitar pagamentos, enquanto outros não têm esse requisito. As empresas que precisam processar dados de cartões (por exemplo, aceitando PANs não tokenizados em uma página de pagamento) podem ser obrigadas a cumprir todos os mais de 300 controles de segurança do PCI DSS. Mesmo que os dados do cartão passem pelos servidores por um breve momento, a empresa precisaria comprar, implementar e manter software e hardware de segurança.

Se a empresa não precisa processar dados confidenciais de cartão de crédito, ela não deve fazer isso. Soluções de terceiros (por exemplo, Stripe Elements) aceitam e armazenam os dados de forma segura, eliminando complexidade, custo e risco consideráveis. Como os dados dos cartões nunca passam pelos servidores, a empresa precisaria confirmar apenas 22 controles de segurança, em sua maioria, simples, como o uso de senhas fortes.

Armazenamento seguro dos dados

Se uma organização processa ou armazena dados de cartão de crédito, ela precisa definir o escopo do ambiente de dados do titular do cartão (CDE). O PCI DSS define o CDE como pessoas, processos e tecnologias que armazenam, processam ou transmitem dados de cartões de crédito ou qualquer sistema conectado a tudo isso. Como todos os mais de 300 requisitos de segurança do PCI DSS se aplicam ao CDE, é importante separar o ambiente de pagamento do resto da empresa de forma adequada para limitar o escopo da validação do PCI. Se uma organização não conseguir limitar o escopo do CDE com uma separação granular, os controles de segurança do PCI serão aplicados a todos os sistemas, laptops e dispositivos da sua rede corporativa. Eita-ferro!

Validação anual

Independentemente da maneira como os dados do cartão são aceitos, as organizações são obrigadas a preencher anualmente um formulário de validação do PCI. A forma da validação da conformidade com o PCI depende de uma série de fatores, descritos a seguir. Estes são 3 cenários em que uma organização pode ser solicitada a demonstrar sua conformidade com PCI:

  • Processadores de pagamento podem solicitá-la como parte de seus relatórios obrigatórios para as bandeiras de cartão de pagamento
  • Parceiros empresariais podem solicitá-la como pré-requisito para contratos comerciais
  • Para empresas de plataforma (as que fornecem tecnologia para facilitar transações online entre vários conjuntos distintos de usuários), os clientes podem solicitar que a empresa demonstre que processa os dados de forma segura

O conjunto mais recente de padrões de segurança, o PCI DSS versão 3.2.1, contém 12 requisitos principais, com mais de 300 sub-requisitos, que espelham as melhores práticas de segurança.

    Crie e mantenha rede e sistemas seguros

  1. Instale e mantenha uma configuração de firewall para proteger os dados do titular do cartão
  2. Não use padrões do fornecedor para senhas de sistema e outros parâmetros de segurança
  3. Proteja os dados do titular do cartão

  4. Proteja os dados armazenados do titular do cartão
  5. Criptografe a transmissão de dados do titular do cartão por redes abertas ou públicas
  6. Mantenha um programa de gerenciamento de vulnerabilidades

  7. Proteja todos os sistemas contra malware e atualize regularmente o software antivírus
  8. Desenvolva e mantenha sistemas e aplicativos seguros
  9. Implemente medidas robustas de controle de acesso

  10. Restrinja o acesso aos dados do titular do cartão às empresas que precisam desses dados
  11. Identifique e autentique o acesso a componentes do sistema
  12. Restrinja o acesso físico aos dados do titular do cartão
  13. Monitore e teste regularmente as redes

  14. Rastreie e monitore todo o acesso a recursos de rede e dados do titular do cartão
  15. Teste regularmente sistemas e processos de segurança
  16. Mantenha uma política de segurança das informações

  17. Mantenha uma política que aborda a segurança das informações para todo o pessoal

Para "facilitar" a validação da conformidade com PCI em novas empresas, o Conselho do PCI criou nove diferentes formulários ou questionários de autoavaliação (SAQs), que são um subconjunto dos requisitos integrais do PCI DSS. O difícil é descobrir qual deles é aplicável ou se é necessário contratar um auditor aprovado pelo Conselho do PCI para confirmar o cumprimento de cada requisito de segurança do PCI DSS. Além disso, o Conselho do PCI revisa as regras a cada três anos e disponibiliza atualizações incrementais durante todo o ano, adicionando ainda mais complexidade dinâmica.

Guia detalhado para a conformidade com PCI DSS v3.2.1

1. Conheça seus requisitos

O primeiro passo para alcançar a conformidade com PCI é saber quais requisitos se aplicam à organização. Existem quatro níveis diferentes de conformidade com PCI, baseados normalmente no volume de transações com cartão de crédito processado pela empresa durante um período de 12 meses.

Aplicável a Requisitos
Nível 1
  1. Organizações com processamento anual acima de 6 milhões de transações Visa ou MasterCard, ou com mais de 2,5 milhões de transações American Express; ou
  2. Sofreram uma violação de dados; ou
  3. São consideradas como "Nível 1" por qualquer associação de cartões (Visa, Mastercard etc.)
  1. Relatório de conformidade (ROC) anual, emitido por um assessor de segurança qualificado (QSA), também conhecido como avaliação local de nível 1; ou por um auditor interno, se assinado por um diretor da empresa
  2. Verificação de rede trimestral pelo fornecedor de verificações autorizado (ASV)
  3. Atestado de conformidade (AOC) para avaliações locais: há formulários específicos para comerciantes e provedores de serviços
Nível 2 Organizações que processam anualmente de 1 a 6 milhões de transações
  1. Questionário de autoavaliação do PCI DSS anual (SAQ): existem 9 tipos de SAQ, mostrados resumidamente na tabela abaixo
  2. Verificação de rede trimestral pelo fornecedor de verificações autorizado (ASV)
  3. Atestado de conformidade (AOC): cada um dos 9 SAQs tem um formulário de AOC respectivo
Nível 3
  1. Organizações com processamento anual de 20.000 a 1 milhão de transações online
  2. Organizações com processamento anual total inferior a 1 milhão de transações
Nível 4
  1. Organizações com processamento anual inferior a 20.000 transações online; ou
  2. Organizações com processamento anual total de até 1 milhão de transações

Existem tipos de SAQ diferentes para os níveis 2 a 4, dependendo do método de integração de pagamentos. Veja esta tabela resumida:

SAQ Descrição
A

Comerciantes sem transações presenciais de cartão (e-commerce ou pedidos por correio/telefone) e que terceirizaram integralmente todas as funções de dados do titular do cartão para provedores de serviços terceirizados em conformidade com PCI DSS, sem atividades eletrônicas de armazenamento, processamento ou transmissão de qualquer dado do titular do cartão nos sistemas ou nas instalações do comerciante.

Não se aplica a canais presenciais.

A-EP

Comerciantes de e-commerce que terceirizam todo o processamento de pagamentos para terceiros validados pelo PCI DSS e têm um ou mais sites que não recebem diretamente os dados do titular do cartão, mas que podem afetar a segurança da transação de pagamento. Os sistemas ou as instalações do comerciante não realizam nenhuma atividade eletrônica de armazenamento, processamento ou transmissão de dados do titular do cartão.

Aplicação limitada a canais de e-commerce.

B

Comerciantes que usam apenas:

  • Máquinas de impressão sem armazenamento eletrônico de dados do titular do cartão; e/ou
  • Terminais autônomos com discagem e sem armazenamento eletrônico de dados do titular do cartão.

Não se aplica a canais de e-commerce.

B-IP

Comerciantes que usam apenas terminais de pagamento autônomos, aprovados para PTS, com uma conexão IP ao processador de pagamentos, sem armazenamento eletrônico de dados do titular do cartão.

Não se aplica a canais de e-commerce.

C-VT

Comerciantes que digitam manualmente uma única transação por vez em um teclado, usando uma solução de terminal de pagamentos virtuais baseada na Internet, fornecida e hospedada por provedor de serviços terceirizado validado pelo PCI DSS. Nenhuma atividade eletrônica de armazenamento de dados do titular do cartão.

Não se aplica a canais de e-commerce.

C

Comerciantes com sistemas de aplicativos de pagamento conectados à Internet e sem armazenamento eletrônico de dados do titular do cartão.

Não se aplica a canais de e-commerce.

P2PE

Comerciantes que usam apenas terminais de pagamento em hardware incluídos e gerenciados por meio de uma solução de criptografia ponto a ponto (P2PE) validada e listada pelo PCI SSC, sem armazenamento eletrônico de dados do titular do cartão.

Não se aplica a comerciantes de e-commerce.

D

SAQ D para comerciantes: Todos os comerciantes não incluídos nas descrições dos tipos de SAQ acima.

SAQ D para provedores de serviços: Todos os provedores de serviços definidos por uma marca de pagamento como qualificados para preencher um SAQ.

O fluxograma na página 18 deste documento do PCI pode ser útil para selecionar os documentos de SAQ e atestado mais indicados para a sua organização.

Os requisitos do PCI DSS mudam com o tempo. Portanto, uma das melhores formas de receber atualizações sobre requisitos de certificação novos ou alterados e a forma de cumpri-los é se tornar uma Organização Participante do PCI (PO).

2. Mapeie os fluxos de dados

Para proteger dados confidenciais de cartão de crédito, você precisa saber onde residem e como chegam lá. É necessário criar um mapa abrangente dos sistemas, das conexões de rede e dos aplicativos que interagem com dados de cartão de crédito em toda a organização. Dependendo da sua função, você provavelmente precisará trabalhar com as equipes de TI e segurança para criar esse mapa.

  • Primeiro, identifique todas as áreas da empresa voltadas ao consumidor que envolvem transações de pagamento. Por exemplo, você pode aceitar pagamentos por meio de um carrinho de compras online, terminais de pagamento na loja ou pedidos por telefone.
  • A seguir, determine as várias formas como os dados do titular do cartão são processados em toda a empresa. É importante saber exatamente onde os dados são armazenados e quem tem acesso a eles.
  • Por fim, identifique os sistemas internos ou as tecnologias subjacentes que participam nas operações de pagamento. Isso inclui sistemas de rede, centros de dados e ambientes de nuvem.

3. Verifique controles e protocolos de segurança

Após mapear todos os possíveis pontos de contato com os dados de cartão de crédito na organização inteira, trabalhe com as equipes de TI e segurança para garantir a implementação das configurações e dos protocolos de segurança corretos (consulte a lista de 12 requisitos de segurança do PCI DSS acima). Esses protocolos, como o Transport Layer Security (TLS), são projetados para proteger a transmissão de dados.

Os 12 requisitos de segurança do PCI DSS v3.2.1 são derivados das melhores práticas de proteção de dados confidenciais para qualquer empresa. Vários deles se sobrepõem aos necessários para cumprir determinações de privacidade, como GDPR, HIPAA e outros. Portanto, alguns deles podem já estar implementados na organização.

4. Monitore e mantenha

É importante observar que a conformidade com o PCI não é um evento isolado, mas um processo contínuo para garantir que a empresa mantenha a conformidade, mesmo com a evolução dos fluxos de dados e dos pontos de contato com os clientes. Algumas bandeiras de cartão de crédito podem exigir o envio de relatórios trimestrais ou anuais, ou a realização de uma avaliação anual local para validar a conformidade contínua, especialmente se você processar anualmente mais de 6 milhões de transações.

Muitas vezes, o gerenciamento da conformidade com PCI ao longo do ano (e ano após ano) exige apoio e colaboração interdepartamental. Se isso ainda não existe, pode ser benéfico criar uma equipe interna dedicada para manter a conformidade de forma adequada. Embora cada empresa seja única, um bom ponto de partida para uma "equipe do PCI" incluiria as seguintes representações:

  • Segurança: o diretor de segurança (CSO), o diretor de segurança das informações (CISO) e suas equipes garantem o investimento constante e adequado da organização nos recursos e políticas de segurança e privacidade de dados necessários.
  • Tecnologia/pagamentos: o diretor de tecnologia (CTO), o vice-presidente de pagamentos e suas equipes garantem a manutenção da conformidade das principais ferramentas, integrações e infraestruturas à medida que os sistemas da organização evoluem.
  • Finanças: o diretor financeiro (CFO) e sua equipe garantem que todos os fluxos de dados de pagamento sejam controlados no que diz respeito a sistemas e parceiros de pagamento.
  • Jurídico: esta equipe pode ajudar a compreender as diversas nuances jurídicas da conformidade com PCI DSS.

Para obter mais informações sobre o mundo complexo da conformidade com PCI, acesse o site do PCI Security Standards Council. Se você leu apenas este guia e alguns outros documentos sobre PCI, recomendamos começar aqui: abordagem priorizada do PCI DSS, instruções e diretrizes do SAQ, perguntas frequentes sobre o uso de critérios de qualificação do SAQ para determinar requisitos de avaliação local e perguntas frequentes sobre obrigações de comerciantes que desenvolvem aplicativos para dispositivos de consumidores que aceitam dados de cartão de pagamento.

Como a Stripe ajuda as organizações a alcançar e manter a conformidade com PCI

A Stripe simplifica substancialmente a complexidade do PCI para empresas integradas ao Checkout, ao Elements, a SDKs móveis e a SDKs do Terminal. O Stripe Checkout e o Stripe Elements usam um campo de pagamento hospedado para processar todos os dados de cartões de pagamento. Assim, o titular do cartão digita todas as informações confidenciais de pagamento em um campo de pagamento originado diretamente em nossos servidores validados pelo PCI DSS. Além disso, os SDKs do Terminal e dispositivos móveis da Stripe permitem que o titular do cartão envie informações de pagamento confidenciais diretamente aos nossos servidores validados pelo PCI DSS.

Com métodos de aceitação de cartões mais seguros como esses, preenchemos o formulário do PCI (SAQ) no Stripe Dashboard e você pode obter a certificação PCI com apenas um clique. Para organizações menores, isso pode economizar centenas de horas de trabalho; para as maiores, milhares.

Para todos os nossos usuários, independentemente do tipo de integração, a Stripe atua como promotora do PCI e pode ajudar de diversas maneiras diferentes.

  • Vamos analisar o seu método de integração e indicar qual formulário do PCI deve ser usado e como reduzir a complexidade da conformidade.
  • Vamos notificar você com antecedência se o crescimento do volume de transações exigir uma mudança na validação da conformidade.
  • Para grandes comerciantes (nível 1), oferecemos um pacote de PCI que pode reduzir o tempo de validação do PCI de meses para dias. Se você precisar trabalhar com o PCI QSA (porque armazena dados de cartão de crédito ou tem um fluxo de pagamentos mais complexo), existem mais de 350 empresas na mesma situação que a sua em todo o mundo e podemos apresentar diversos auditores que compreendem detalhadamente os diferentes métodos de integração da Stripe.
Nível de comerciante da Visa Tempo médio de auditoria (estimativas anuais) Tempo médio de auditoria com Stripe Elements, Checkout ou SDK móvel (estimativas anuais)
Nível 1 3 a 5 meses 2 a 5 dias
Nível 2 1 a 3 meses 0 dia
Nível 3 1 a 3 meses 0 dia
Nível 4 1 a 3 meses 0 dia

Para obter mais informações sobre como a Stripe ajuda você a proteger os dados dos clientes e alcançar a conformidade com PCI, confira nossa documentação sobre segurança na integração.

Conclusão

Normalmente, a avaliação e validação da conformidade com PCI ocorre uma vez por ano, mas a conformidade com PCI não é um evento único: trata-se de um esforço contínuo e substancial de avaliação e remediação. Quando uma empresa cresce, a lógica e os processos centrais do negócio também evoluem. Como resultado, o mesmo acontece com os requisitos de conformidade. Por exemplo, uma empresa online pode decidir abrir lojas físicas, entrar em novos mercados ou lançar uma central de suporte ao cliente. Se uma nova iniciativa envolver dados de cartões de pagamento, é uma boa ideia verificar com antecedência se isso afetará de alguma forma o método de validação do PCI e revalidar a conformidade com PCI conforme necessário.

A conformidade com PCI ajuda, mas não é suficiente.

O cumprimento das diretrizes do PCI DSS é uma camada necessária de proteção para a empresa, mas não é suficiente. O PCI DSS estabelece padrões importantes para o processamento e armazenamento de dados do titular do cartão, mas isso não oferece proteção suficiente para todos os ambientes de pagamento. Em vez disso, a mudança para um método mais seguro de aceitação de cartões (como Stripe Checkout, Elements e SDKs móveis) protege a organização de forma muito mais eficaz. O benefício de longo prazo é que você não precisa confiar em padrões básicos do setor ou se preocupar com possíveis falhas dos controles de segurança. Com essa abordagem, além de mitigar possíveis violações de dados e evitar a abordagem histórica da validação do PCI (um processo emocional, demorado e custoso), as empresas ágeis contam com um método de integração mais seguro e confiável todos os dias do ano.

Voltar para os guias
You’re viewing our website for New Zealand, but it looks like you’re in the United States.