PCI-DSS | Saiba o que é e por que seu site precisa
20 de janeiro de 2017Atualmente, o número de brasileiros que fazem compras via internet já é maior do que os que compram em lojas físicas – como comprova o levantamento Total Retail, feito pela PwC neste ano de 2016. Mas, ao mesmo tempo, estudos mostram que vêm aumentando o número de fraudes online em nosso país. Por isso, as bandeiras de cartão de crédito, e os bancos exigem das lojas online a chamada certificação PCI.
Quer saber mais sobre o PCI e por que ele é de suma importância para seu e-commerce? Continue lendo e descubra!
Contexto de compras online
Não faz muito tempo, a maioria das pessoas compravam tudo em lojas físicas enfrentando longas filas e carrinhos de compras lotados. Mesmo quando as compras online já estavam disponíveis, as pessoas sentiam certa desconfiança em utilizar seus cartões de crédito e fornecer informações pessoais às lojas cibernéticas.
Mas, hoje tudo isso mudou: como foi dito no início do post, o número de pessoas que compram online no Brasil, já ultrapassa aquelas que vão pessoalmente a uma loja física e se submetem à situação descrita acima.
Mas, assim como no mundo físico, no ambiente dos bits também existem pessoas determinadas a fraudar o sistema: os hackers. Muitas pessoas pensam que a fraude de cartão de crédito só ocorre quando sua carteira ou bolsa é roubada.
No entanto, a metade de todas as fraudes de cartão de crédito é realizada online utilizando spyware. Esquemas de fraude via internet com cartão de crédito são altamente rentáveis para esses vilões, que roubam bilhões de dólares todos os anos de usuários ingênuos e corporações.
A Certificação PCI
Quem pensa que apenas ter um bom antivírus lhe manterá seguro de fraudes online em seus cartões de crédito, está redondamente enganado. Os hackers são habilidosos o suficiente para passar facilmente até pelo melhor antivírus. E isso não só coloca os clientes em risco, mas também aumenta os custos das empresas.
Em resposta ao aumento desse tipo de violação de segurança de dados, as principais bandeiras de cartão de crédito — dentre elas American Express, Visa e Mastercard — se uniram e criaram o PCI-DSS (Payment Card Industry – Data Security Standard).
Trata-se de um conjunto de regras para gerar segurança nas transações online, que devem ser realizadas em ambiente seguro, assegurado por certificados digitais SSL.
As exigências feitas pelo PCI-DSS
O PCI-DSS exige 12 requisitos de alto nível e eles caem dentro de seis categorias, as quais são os objetivos que ele também especifica e desenvolve:
Construir e manter uma rede segura
- Instalar e manter uma configuração de firewall para proteger os dados;
- Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança.
Proteger os dados do titular do cartão
- Proteger os dados armazenados (criptografia de uso);
- Codificar a transmissão dos dados do titular do cartão e informações sensíveis através de redes públicas.
Manter um programa de gerenciamento de vulnerabilidades
- Usar e atualizar regularmente o antivírus;
- Desenvolver e manter sistemas e aplicativos seguros.
Implementar medidas rigorosas de controle de acesso
- Restringir o acesso aos dados por parte das empresas;
- Atribuir um ID único para cada pessoa com acesso ao computador;
- Restringir o acesso físico aos dados do portador do cartão
Monitorar e testar as redes regularmente
- Acompanhar e monitorar todo o acesso aos recursos da rede e dos dados do portador do cartão;
- Testar regularmente os sistemas e processos de segurança.
Manter uma política de Segurança da Informação
- Manter uma política que aborde a segurança das informações.
As fraudes online e a assunção dos prejuízos
Somente no ano de 2014, o valor total das fraudes online sobre compras com cartão de crédito, somou a quantia de R$ 900 milhões. Para cometer esses crimes, os bandidos virtuais driblam os certificados de segurança mais comuns e vulneráveis, e efetuam compras com os dados dos cartões de crédito alheios.
Já que para compras via internet não é exigido senha e muitos menos biometria, basta que um usuário mal intencionado tenha acesso ao número do cartão, validade e código de segurança para realizar uma compra fraudulenta.
Como os estabelecimentos consideram que a operação foi realizada pelo próprio cliente, eles enviam o produto, esperando que a compra seja compensada em alguns dias.
No entanto, quando os clientes percebem o valor indevido de uma compra não efetuada por eles em sua fatura de cartão de crédito, entram em contato com a operadora do cartão. Esta por sua vez, faz o estorno da compra e os estabelecimentos são obrigados a assumir os prejuízos.
Por outro lado, alguns clientes não percebem o valor indevido em suas faturas e ficam lesados.
A importância de obter a certificação PCI
Diante de tantas fraudes, os consumidores estão se tornando mais preocupados com a segurança online. Isto pode ser visto mais claramente quando se trata de sites de comércio eletrônico e compras online. Os clientes não arriscam a fornecer seus dados pessoais e números de cartão de crédito sem ter certeza, em primeiro lugar, de que o servidor é seguro.
E é aí que entra o PCI, com seu padrão de segurança de dados (DSS) para qualquer um lidar com cartões de crédito e dados financeiros online. Estar em conformidade com o PCI traz inúmeras vantagens para sua empresa. Veja abaixo algumas delas.
Diminui sua responsabilidade
Se uma violação de dados ocorre e a informação de seu cliente é revelada, então você pode enfrentar problemas de responsabilidade e ações judiciais. Além disso, a situação pode se tornar muito pior se for descoberto que você não estava usando um serviço em conformidade com o PCI.
A certificação garante que quaisquer questões de responsabilidade decorrentes de uma violação sejam mínimas.
Conquista a confiança e a lealdade do cliente
Se as pessoas não confiam em seu site ou negócio, consequentemente, isso terá um impacto negativo sobre seus lucros ao longo do tempo. Uma maneira de construir a confiança e lealdade dos clientes é a utilização de um serviço que está em conformidade com todas as diretrizes do PCI-DSS.
Ao verem que sua empresa é certificada pelo PCI-DSS, os consumidores compreenderão que há, em seu ambiente virtual, o esforço para proteger os dados pessoais e financeiros deles.
Limita os prejuízos
Todo o seu negócio poderia ser permanentemente lesado caso uma grande violação de dados ocorra e revele as informações dos cartões de crédito de muitos consumidores. O dano pode prejudicar sua empresa por muitos anos.
Além disso, você poderá ser responsável por uma grande quantidade de danos monetários aos clientes, caso não tenha tomado todas as medidas para proteger os dados pessoais deles. Por isso, a solução é utilizar um serviço de hospedagem seguro com a certificação PCI para limitar esses possíveis danos.
Mais tranquilidade para seu e-commerce e seus clientes
Uma das principais vantagens em estar em conformidade com o PCI-DSS é proporcionar paz de espírito para os clientes e sua empresa. Os consumidores sabem que o cumprimento deste conjunto de normas cria um servidor mais seguro e de melhor infraestrutura. Isto aumentará credibilidade de seu e-commerce e pode levar ao aumento das vendas on-line e diminuição dos casos que chegam até o atendimento ao cliente.
Esperamos ter sanado suas dúvidas a respeito da certificação PCI.
Fonte: VALID CERTIFICADORA