Entenda o que é PCI Compliance, para que serve e quem precisa da certificação

O seu negócio faz parte de um complexo empresarial que realiza compra e venda online? É um site de e-commerce familiar? Ou, por acaso, é uma intermediadora digital de pagamentos com cartão de crédito e débito?

Se você se enquadra em qualquer dessas situações e, principalmente, se realiza transações com cartão, é importante que saiba: a empresa só poderá continuar operando no mercado com o certificado de PCI Compliance. E isso independe do tamanho que ela tem.

A certificação PCI Compliance, obrigatória para negócios dessa natureza, é a principal arma contra fraudes e violações de dados nas vendas online no mundo.

É por este motivo que as empresas precisam oferecer algo seguro ao consumidor: para que eles não tenham nenhum tipo problema na hora de pagar por produtos e serviços na internet.

Foi com esse propósito que, em 2004, nasceu a ideia da certificação PCI Compliance. Este artigo mostra o que ela é, qual é a sua importância e quais são os principais níveis e requisitos para obtê-la. Acompanhe!

O que é PCI Compliance e qual a sua finalidade?

A PCI Compliance, também chamada PCI DSS, é a principal certificação de segurança digital do mundo. É, portanto, obrigatória para organizações que processam, armazenam e transmitem dados de cartões de crédito e débito pela internet.

A sigla PCI DSS, em inglês, significa Payment Card Industry Data Security Standard. Em português, ela pode ser interpretada como Padrão de Segurança de Dados da Indústria de Pagamento com Cartão.

O padrão a qual o conceito se refere diz respeito a um conjunto de medidas de segurança que o negócio deve fornecer para que o usuário do cartão tenha suas informações pessoais protegidas.

O PCI DSS existe desde 2004 como parte de uma iniciativa das principais organizações do setor de cartões de crédito do mundo: Visa, MasterCard, American Express, Discover e JCB.

Quando se uniram para criar a certificação, elas também criaram o chamado Payment Card Industry Security Standards Council, ou Conselho dos Padrões de Segurança da Indústria de Pagamento com Cartão, em português.

Esse conselho funciona como uma espécie de órgão que estabelece quais são as normas que garantem segurança durante o manuseio dos dados de cartões de crédito em transações eletrônicas. A partir do cumprimento dessas normas é que a organização obtém a certificação PCI Compliance.

No entanto, quem não se adequar às normas corre o risco de ser multado e descredenciado do cadastro das operadoras de cartões.

Quem precisa de uma certificação PCI Compliance?

A PCI Compliance é uma certificação necessária para todas as empresas envolvidas em transações que envolvam dados de cartões de crédito, levando em consideração o armazenamento, a transmissão e o processamento dessas informações sigilosas.

Portanto, se a sua empresa lida com alguma ferramenta de pagamento online, é importante procurar saber se ela possui a certificação para garantir a segurança dos seus clientes.

Quais são os níveis da PCI Compliance?

A certificação PCI Compliance apresenta quatro níveis, representados por números. A divisão entre eles é feita conforme o tamanho do negócio. Quanto maior o número de transações feitas ao ano, mais próximo do nível 1 o negócio estará. Quanto menor, mais próximo do nível 4.

Veja:

• nível 1: mais de 6 milhões de transações por ano;
• nível 2: entre 1 e 6 milhões de transações por ano;
• nível 3: entre 20 mil e 1 milhão de transações ao ano (em geral, e-commerce);
• nível 4: menos de 20 mil transações ao ano (em geral, e-commerce).

Quais são os requisitos para um negócio obter a certificação?

Para que o negócio receba a PCI Compliance e possa atuar com o pagamento com cartões, ele precisa cumprir algumas condições básicas de segurança.

A certificação enumera 12 requisitos, que estão distribuídos dentro de 6 grandes objetivos. Veja quais são eles a seguir.

Objetivo 1: manter uma rede segura para o processamento das transações

• Utilizar um firewall que seja eficiente e não gere inconvenientes para os vendedores e para os compradores (titulares de cartões).
• Não fazer uso de senhas e configurações padrão fornecidas pelos vendedores.

Objetivo 2: proteger as informações dos titulares de cartão

• Garantir a proteção obrigatória dos dados pessoais do titular do cartão, como é o caso do número do documento, data de nascimento, telefone e endereço de e-mail, por exemplo.
• Utilizar criptografia na transmissão de dados dos titulares do pagamento quando a transação for feita em redes públicas.

Objetivo 3: manter o sistema protegido de hackers

• Utilizar antivírus, antispyware e antimalware e mantê-los sempre atualizados.
• Manter todos os sistemas e aplicações seguros.

Objetivo 4: controlar o acesso por meio de fortes medidas de proteção

• Implementar políticas de privacidade e acesso aos dados dos cartões com base na hierarquia dos empregados da organização.
• Criar login e senha únicos para cada usuário da rede e do sistema.
• Restringir qualquer acesso físico e eletrônico aos dados do cartão.

Objetivo 5: monitorar e testar as redes frequentemente

• Rastrear e monitorar todos os acessos à rede e aos dados dos cartões.
• Testar regularmente a segurança de sistemas e processos.

Objetivo 6: implementar uma política de segurança

• Definir uma política de segurança que seja seguida e mantida por todos os empregados da organização.

Por que escolher uma ferramenta de pagamento que possui a certificação PCI Compliance?

O Brasil acumula mais de 920 mil fraudes envolvendo cartões de crédito usados em transações de comércio eletrônico. É por isso que certificações que apostam na segurança dos dados fornecidos, como a PCI Compliance, são tão importantes.

O ambiente online precisa garantir eficiência ao usuário — iniciativa que, inclusive, ajuda no seu próprio crescimento. É por esse motivo, portanto, que o PCI Compliance eleva cada vez mais o padrão de exigência de sua certificação.

O peso dessa iniciativa transmite segurança semelhante àquela proporcionada pela certificação ISO, que confere a qualidade dos produtos e serviços aos consumidores.

Como se percebe, os negócios digitais precisam cumprir efetivamente com todos os 12 rígidos requisitos de segurança para obtê-la. Isso ajuda a reduzir significativamente o risco de vazamento de dados, o que é uma segurança para o usuário e também para a própria organização.

Gostou do artigo? Então, que tal saber mais sobre as formas de evitar armadilhas digitais e garantir a segurança do seu negócio? Esse conteúdo com certeza será de grande ajuda para você!