SensediaSensediaSensediaSensedia
  • Products
    • API Management Platform
    • Governança de APIs
    • Event-Driven Architecture
    • Microservices & Service Mesh Architecture
    • PCI
    • Flexible Actions
  • Services
    • Consulting & Professional Services
    • API Care
    • Developer Experience
  • Solutions
    • Insurance
    • Open Banking
    • Retail & e-commerce
  • Content
    • Webinar e Ebooks
    • Blog
    • Cases
  • Contact
    • Customers
    • Support
  • Careers
  • Português
    • Inglês
    • Espanhol

PCI Compliant: suas APIs precisam dessa certificação PCI DSS? (e como isso ajuda com LGPD e Open Banking)

By Nicholas Gimenes | API | 0 comment | 5 dezembro, 2019 | 4

O que é a certificação PCI DSS?

O PCI DSS (Payment Card Industry – Data Security Standard) é um padrão de segurança de alto nível, indicado para todo o ecossistema de empresas que gravam ou processam dados de cartões de crédito e débito – cobrindo desde dispositivos eletrônicos, até aplicativos e infraestruturas.

Esse padrão foi estabelecido pelo PCI Security Standards Concil (PCI SSC), formado pelas grandes bandeiras de cartões, para tornar o ecossistema de pagamentos eletrônicos mais seguro e garantir a adesão e confiança dos clientes.

Minhas APIs precisam estar PCI compliant?

Qualquer empresa que aceita pagamentos com cartão de crédito/débito, processando ou armazenando dados desses cartões, é indicada a ter a certificação PCI DSS. Esse cenário é cada vez mais comum, principalmente para empresas envolvidas em setores como Varejo, Serviços Financeiros e provedores de tecnologia.

No caso de suas APIs trafegarem alguma informação relacionada a cartões de pagamentos, então é muito importante que você e os parceiros técnicos envolvidos na sustentação dessas APIs atendam aos requerimentos e possuam a certificação PCI.

Por que a certificação PCI é importante?

As pessoas cada vez mais utilizam cartões de crédito e débito (físicos ou virtuais), ao invés de dinheiro, para realizar pagamentos. Esses meios eletrônicos promovem facilidades não apenas para consumidores, mas também para criminosos.

Usando exploit kits de uso simples, hackers de diversas partes do mundo exploram vulnerabilidades em sistemas e realizam crimes em escala, causando enormes prejuízos e se tornando um grande risco para as empresas. Esse risco não envolve apenas vulnerabilidades externas, mas também ameaças de origem interna.

Caso ocorra vazamento de dados, isso pode trazer consequências graves como: penalidades, multas, perda da confiança dos clientes e de vendas futuras, custos adicionais de adequação às normas, proibição de processamento de pagamentos com os cartões, e até falência.

Segundo o report 2019 Cost of a Data Breach, os vazamentos de dados ocorridos em 2019 geraram um custo médio de US$ 3,92 milhões cada para as empresas.

Sem a certificação PCI, as empresas não conseguem fechar acordos com muitas empresas do ecossistema de pagamentos. Obter uma certificação PCI significa que práticas fundamentais em segurança de dados estão sendo aplicadas.

Sendo assim, possuir o certificado PCI e parceiros PCI compliant pode trazer benefícios como:

  • Mais alto nível de segurança de dados
  • Diferenciação dos concorrentes
  • Redução de riscos
  • Aumento na confiança dos consumidores
  • Facilidade em fechar acordos para serem fornecedores das grandes empresas que trafegam pagamentos de cartão.
  • Sair na frente e encurtar a preparação para as regulações de privacidade como a GDPR, LGPD e até mesmo, Open Banking.

O que exige a certificação PCI?

As recomendações do PCI são boas práticas de segurança da informação e fornece uma metodologia clara do que deve ser alcançado.

A certificação PCI procura alcançar 6 objetivos, para isso, foram definidos 12 requerimentos, que são verificados por uma série de procedimentos de teste e conformidade, sendo confirmados por uma entidade autorizada para realizar a certificação:

certificação PCI

Objetivo 1 – Construir e manter a segurança de rede e sistemas

  1. Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão
  2. Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança

Objetivo 2 – Proteger os dados do titular do cartão

  1. Proteger os dados armazenados do titular do cartão
  2. Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas

Objetivo 3 – Manter um programa de gerenciamento de vulnerabilidades

  1. Proteger todos os sistemas contra malware e atualizar regularmente programas ou software antivírus
  2. Desenvolver e manter sistemas e aplicativos seguros

Objetivo 4 – Implementar medidas rigorosas de controle de acesso

  1. Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio
  2. Identificar e autenticar o acesso aos componentes do sistema
  3. Restringir o acesso físico aos dados do titular do cartão

Objetivo 5 – Monitorar e testar as redes regularmente

  1. Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão
  2. Testar regularmente os sistemas e processos de segurança

Objetivo 6 – Manter uma política de segurança de informações

  1. Manter uma política que aborde a segurança da informação para todas as equipes

Esses procedimentos de teste estão relacionados com 4 níveis de segurança (o nível 1 é o mais alto) de acordo principalmente com o volume de transações:

níveis de segurança

E o que a certificação PCI tem a ver com a GDPR e com a LGPD? Pode ajudar?

“As pessoas vêm até mim e perguntam, ‘Como posso me tornar GDPR compliant?’… digo: Comece com PCI DSS.” – Jeremy King, diretor do PCI SSC

A GDPR (General Data Protection Regulation) entrou em vigor na União Européia em 2018 e se aplica a todas as empresas que guardam ou processam dados que identifiquem cidadãos europeus, provendo uma série de direitos para garantir a propriedade, a finalidade, o consentimento, a transparência e a privacidade aos indivíduos sobre os dados relacionados a eles.

Regulações similares estão sendo desenvolvidas por diversos países. No Brasil, o congresso nacional está definindo a aplicação de uma regulação similar ao GDPR (a LGPD – Lei Geral de Proteção de Dados) em Agosto/2020.

gdpr

 

Estão sujeitas às multas, no caso da GDPR, todas as empresas que operam no Espaço Econômico Europeu, independentemente do seu país de origem, de até 4% do faturamento global ou 20 milhões de euros – o que for maior, e até a suspensão das atividades com a UE.

O cumprimento dessas regulações colocam desafios técnicos e de negócio para as empresas, que precisam se proteger das ameaças e aproveitar as oportunidades que se abrem. No entanto, mesmo que deixem explícito os direitos dos cidadãos, essas regulações não fornecem um guia claro de como estar em conformidade.

Embora o escopo de proteção de dados do PCI seja menor (dados de cartões de pagamentos), está contido no escopo de dados pessoais da LGPD e do GDPR. Além disso, o processo de certificação PCI provê uma metodologia definida para sua empresa ganhar capacidade de mapear e proteger dados sensíveis durante o processamento, transmissão e armazenamento.

Estar PCI compliant indica que sua empresa está atenta às práticas mais maduras de proteção de dados, e à frente da concorrência na adequação ao GDPR e à LGPD.

gdpr e certificação PCI DSS

Open Banking

Os bancos centrais de vários países estão desenvolvendo regulações similares ao PSD2 da União Européia, exigindo dos bancos a abertura de dados bancários e serviços de pagamentos através de APIs, a fim de serem consumidas por empresas terceiras que possuam o consentimento dos usuários.

O BC do Brasil está planejando aplicar uma regulação similar ao PSD2 para Open Banking até o início do 2º semestre/2020.

regulação de open banking

 

Essa regulação visa aumentar a concorrência no setor e dá oportunidades para que empresas terceiras se integrem aos bancos via APIs, e utilizando esses dados, disponibilizem ofertas e melhores experiências aos consumidores.

Essas oportunidades não estão restritas a empresas do setor financeiro, também estão sendo avaliadas por grandes empresas de varejo, telecom, utilities – que começam a oferecer serviços financeiros próprios.

Para aproveitar as possibilidades que dessa regulação, no que tange pagamentos com cartões, a certificação PCI é um passo essencial. Além disso, discute-se a necessidade de uma certificação similar ao PCI DSS para proteção dos dados bancários. Estar familiarizado com as práticas exigidas no PCI DSS acelera muito a preparação para desenvolver negócios baseados no Open Banking.

 

Como a Sensedia pode te ajudar a ter suas APIs PCI Compliant?

Muitas empresas querem aproveitar as oportunidades e fazer parte do ecossistema de pagamentos com cartão. Contar com parceiros tecnológicos cujas plataformas já estejam adaptadas aos parâmetros do PCI é uma forma de reduzir custos, diminuir riscos e evitar as complexidades técnicas na adequação a um padrão mundial de segurança, em constante evolução.

A Sensedia API Platform disponibiliza um ambiente PCI Compliant (PCI-DSS Level 1 – o mais alto nível), com certificado – AOC disponível, WAF, penetration tests e scans de vulnerabilidade em recorrência superior à exigida pela certificação.

Dentro da plataforma, também há componentes prontos para adicionar ao fluxo das APIs como Oauth 2.0, JWT, threat protections, IP filtering, criptografia e obfuscação, dentre outros.

A Sensedia API Platform conta também com controles de governança, alertas, dashboards customizados e logging em real-time para prevenir incidentes e agilizar respostas às ameaças.

platform de segurança

Além disso, a Sensedia dispõe de uma consultoria especializada para segurança e operação de suas APIs, considerada líder em API Strategy pelo Forrester, a fim de apoiar seus clientes no desenho dos melhores modelos e aplicação de práticas mais adequadas.

 

 

GDPR, LGPD, open banking, PCI, Segurança, Segurança de APIs

Nicholas Gimenes

Growth Hacker | Product Marketing | Account-based Marketing (ABM) LatAm + Iberia https://linkedin.com/in/nicholasgimenes

More posts by Nicholas Gimenes

Related Post

  • OWASP 2017 TOP 10 Riscos de Segurança e APIs

    Top 10 Riscos de Segurança na Web (OWASP 2017) e como mitigá-los com API Management

    By Nicholas Gimenes | 0 comment

      Segurança de APIs e de Apps Dados críticos na nuvem, acesso mobile em todo lugar, IoT, Open Banking, plataformas digitais habilitadas por APIs ̶ e a segurança disso, como fica? As APIs são aRead more

  • Open Banking

    O que é Open Banking? Promovendo o futuro dos bancos com APIs

    By Eike Malavasi | Comments are Closed

    O que é Open banking e por que fará a diferença? Imagine os principais bancos no Brasil quando começaram a oferecer serviços digitais, como Internet Banking ou o app. Como você se sentiu? Confortável, moderno,Read more

  • Os 10 conteúdos da Sensedia que mais fizeram sucesso em 2015

    By Ricardo Peloi | 0 comment

      Mais um ano se passou Se, por um lado, a Economia e Política no Brasil andam mal das pernas, algumas empresas e setores vão de vento em popa. Talvez seja aquele famoso efeito, “EnquantoRead more

  • Sua API é privada ou restrita aos seus parceiros? Tome cuidado! Talvez tenha alguém olhando pela fechadura. Veja por quê o Snapchat foi atacado e proteja-se

    Como evitar ataques como o sofrido pelo Snapchat

    By Kleber Bacili | 3 comments

    O fantasminha chamado Snapchat O mercado de redes sociais e novas formas de comunicação por meio de apps e plataformas é extremamente aquecido. Facebook parece até um tiozão no meio de projetos novos e popularesRead more

  • APIs já foram vazadas algumas vezes, o que motivou muita evolução nessa tecnologia. Se está tudo bem, por que se fala tanto em segurança de APIs?

    Por quê se fala tanto em segurança de APIs

    By Ricardo Peloi | 3 comments

    Aquelas tais APIs (in)seguras No ano passado, o Snapchat sofreu um dos ataques mais famosos e significativos em termos de Segurança de APIs. As razões para isso são várias e esse ataque não foi único.Read more

Leave a Comment

Cancelar resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Categorias

  • Analytics
  • API
  • Artigos
  • Eventos
  • Internet das Coisas
  • Negócios Digitais
  • Podcast Techbeer
  • Publicações externas
  • SOA

Tags

API API Economy API Experience API First API Management APIs APIX As APIs que você precisa conhecer Big Data Blocos Blocos de Construção Desenvolvedores desenvolvimento design de APIs digital transformation e-commerce Ecossistema de parceiros Estratégia API First Estratégia Digital Estratégias SaaS Eventos Exposição de APIs Forrester Games Gartner Gerenciamento de APIs Hackathon Inovação Integração Internet das Coisas Internet of Things IoT MicroServices midia Modelo de negócios Negócios Omnichannel open banking SaaS Segurança Segurança de APIs SOA Techbeer Tecnologia Transformação Digital

Posts recentes

  • Como criar um cluster Kubernetes com Terraform e AWS-EKS
  • Como o Developer Experience pode ajudar a suportar suas APIs
  • APIs e o novo paradigma da Educação Digital
  • Apache Ignite – Cache – Pt 1
  • Integração de gás com as APIs ganhando espaço
  • Política de Privacidade
Copyright © 2020 Sensedia | All Rights Reserved
  • Products
    • API Management Platform
    • Governança de APIs
    • Event-Driven Architecture
    • Microservices & Service Mesh Architecture
    • PCI
    • Flexible Actions
  • Services
    • Consulting & Professional Services
    • API Care
    • Developer Experience
  • Solutions
    • Insurance
    • Open Banking
    • Retail & e-commerce
  • Content
    • Webinar e Ebooks
    • Blog
    • Cases
  • Contact
    • Customers
    • Support
  • Careers
  • Português
    • Inglês
    • Espanhol
Sensedia