O que é a certificação PCI DSS?
O PCI DSS (Payment Card Industry – Data Security Standard) é um padrão de segurança de alto nível, indicado para todo o ecossistema de empresas que gravam ou processam dados de cartões de crédito e débito – cobrindo desde dispositivos eletrônicos, até aplicativos e infraestruturas.
Esse padrão foi estabelecido pelo PCI Security Standards Concil (PCI SSC), formado pelas grandes bandeiras de cartões, para tornar o ecossistema de pagamentos eletrônicos mais seguro e garantir a adesão e confiança dos clientes.
Minhas APIs precisam estar PCI compliant?
Qualquer empresa que aceita pagamentos com cartão de crédito/débito, processando ou armazenando dados desses cartões, é indicada a ter a certificação PCI DSS. Esse cenário é cada vez mais comum, principalmente para empresas envolvidas em setores como Varejo, Serviços Financeiros e provedores de tecnologia.
No caso de suas APIs trafegarem alguma informação relacionada a cartões de pagamentos, então é muito importante que você e os parceiros técnicos envolvidos na sustentação dessas APIs atendam aos requerimentos e possuam a certificação PCI.
Por que a certificação PCI é importante?
As pessoas cada vez mais utilizam cartões de crédito e débito (físicos ou virtuais), ao invés de dinheiro, para realizar pagamentos. Esses meios eletrônicos promovem facilidades não apenas para consumidores, mas também para criminosos.
Usando exploit kits de uso simples, hackers de diversas partes do mundo exploram vulnerabilidades em sistemas e realizam crimes em escala, causando enormes prejuízos e se tornando um grande risco para as empresas. Esse risco não envolve apenas vulnerabilidades externas, mas também ameaças de origem interna.
Caso ocorra vazamento de dados, isso pode trazer consequências graves como: penalidades, multas, perda da confiança dos clientes e de vendas futuras, custos adicionais de adequação às normas, proibição de processamento de pagamentos com os cartões, e até falência.
Segundo o report 2019 Cost of a Data Breach, os vazamentos de dados ocorridos em 2019 geraram um custo médio de US$ 3,92 milhões cada para as empresas.
Sem a certificação PCI, as empresas não conseguem fechar acordos com muitas empresas do ecossistema de pagamentos. Obter uma certificação PCI significa que práticas fundamentais em segurança de dados estão sendo aplicadas.
Sendo assim, possuir o certificado PCI e parceiros PCI compliant pode trazer benefícios como:
- Mais alto nível de segurança de dados
- Diferenciação dos concorrentes
- Redução de riscos
- Aumento na confiança dos consumidores
- Facilidade em fechar acordos para serem fornecedores das grandes empresas que trafegam pagamentos de cartão.
- Sair na frente e encurtar a preparação para as regulações de privacidade como a GDPR, LGPD e até mesmo, Open Banking.
O que exige a certificação PCI?
As recomendações do PCI são boas práticas de segurança da informação e fornece uma metodologia clara do que deve ser alcançado.
A certificação PCI procura alcançar 6 objetivos, para isso, foram definidos 12 requerimentos, que são verificados por uma série de procedimentos de teste e conformidade, sendo confirmados por uma entidade autorizada para realizar a certificação:
Objetivo 1 – Construir e manter a segurança de rede e sistemas
- Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão
- Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança
Objetivo 2 – Proteger os dados do titular do cartão
- Proteger os dados armazenados do titular do cartão
- Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas
Objetivo 3 – Manter um programa de gerenciamento de vulnerabilidades
- Proteger todos os sistemas contra malware e atualizar regularmente programas ou software antivírus
- Desenvolver e manter sistemas e aplicativos seguros
Objetivo 4 – Implementar medidas rigorosas de controle de acesso
- Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio
- Identificar e autenticar o acesso aos componentes do sistema
- Restringir o acesso físico aos dados do titular do cartão
Objetivo 5 – Monitorar e testar as redes regularmente
- Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão
- Testar regularmente os sistemas e processos de segurança
Objetivo 6 – Manter uma política de segurança de informações
- Manter uma política que aborde a segurança da informação para todas as equipes
Esses procedimentos de teste estão relacionados com 4 níveis de segurança (o nível 1 é o mais alto) de acordo principalmente com o volume de transações:
E o que a certificação PCI tem a ver com a GDPR e com a LGPD? Pode ajudar?
“As pessoas vêm até mim e perguntam, ‘Como posso me tornar GDPR compliant?’… digo: Comece com PCI DSS.” – Jeremy King, diretor do PCI SSC
A GDPR (General Data Protection Regulation) entrou em vigor na União Européia em 2018 e se aplica a todas as empresas que guardam ou processam dados que identifiquem cidadãos europeus, provendo uma série de direitos para garantir a propriedade, a finalidade, o consentimento, a transparência e a privacidade aos indivíduos sobre os dados relacionados a eles.
Regulações similares estão sendo desenvolvidas por diversos países. No Brasil, o congresso nacional está definindo a aplicação de uma regulação similar ao GDPR (a LGPD – Lei Geral de Proteção de Dados) em Agosto/2020.
Estão sujeitas às multas, no caso da GDPR, todas as empresas que operam no Espaço Econômico Europeu, independentemente do seu país de origem, de até 4% do faturamento global ou 20 milhões de euros – o que for maior, e até a suspensão das atividades com a UE.
O cumprimento dessas regulações colocam desafios técnicos e de negócio para as empresas, que precisam se proteger das ameaças e aproveitar as oportunidades que se abrem. No entanto, mesmo que deixem explícito os direitos dos cidadãos, essas regulações não fornecem um guia claro de como estar em conformidade.
Embora o escopo de proteção de dados do PCI seja menor (dados de cartões de pagamentos), está contido no escopo de dados pessoais da LGPD e do GDPR. Além disso, o processo de certificação PCI provê uma metodologia definida para sua empresa ganhar capacidade de mapear e proteger dados sensíveis durante o processamento, transmissão e armazenamento.
Estar PCI compliant indica que sua empresa está atenta às práticas mais maduras de proteção de dados, e à frente da concorrência na adequação ao GDPR e à LGPD.
Open Banking
Os bancos centrais de vários países estão desenvolvendo regulações similares ao PSD2 da União Européia, exigindo dos bancos a abertura de dados bancários e serviços de pagamentos através de APIs, a fim de serem consumidas por empresas terceiras que possuam o consentimento dos usuários.
O BC do Brasil está planejando aplicar uma regulação similar ao PSD2 para Open Banking até o início do 2º semestre/2020.
Essa regulação visa aumentar a concorrência no setor e dá oportunidades para que empresas terceiras se integrem aos bancos via APIs, e utilizando esses dados, disponibilizem ofertas e melhores experiências aos consumidores.
Essas oportunidades não estão restritas a empresas do setor financeiro, também estão sendo avaliadas por grandes empresas de varejo, telecom, utilities – que começam a oferecer serviços financeiros próprios.
Para aproveitar as possibilidades que dessa regulação, no que tange pagamentos com cartões, a certificação PCI é um passo essencial. Além disso, discute-se a necessidade de uma certificação similar ao PCI DSS para proteção dos dados bancários. Estar familiarizado com as práticas exigidas no PCI DSS acelera muito a preparação para desenvolver negócios baseados no Open Banking.
Como a Sensedia pode te ajudar a ter suas APIs PCI Compliant?
Muitas empresas querem aproveitar as oportunidades e fazer parte do ecossistema de pagamentos com cartão. Contar com parceiros tecnológicos cujas plataformas já estejam adaptadas aos parâmetros do PCI é uma forma de reduzir custos, diminuir riscos e evitar as complexidades técnicas na adequação a um padrão mundial de segurança, em constante evolução.
A Sensedia API Platform disponibiliza um ambiente PCI Compliant (PCI-DSS Level 1 – o mais alto nível), com certificado – AOC disponível, WAF, penetration tests e scans de vulnerabilidade em recorrência superior à exigida pela certificação.
Dentro da plataforma, também há componentes prontos para adicionar ao fluxo das APIs como Oauth 2.0, JWT, threat protections, IP filtering, criptografia e obfuscação, dentre outros.
A Sensedia API Platform conta também com controles de governança, alertas, dashboards customizados e logging em real-time para prevenir incidentes e agilizar respostas às ameaças.
Além disso, a Sensedia dispõe de uma consultoria especializada para segurança e operação de suas APIs, considerada líder em API Strategy pelo Forrester, a fim de apoiar seus clientes no desenho dos melhores modelos e aplicação de práticas mais adequadas.
Leave a Comment