Últimas notícias

Fique informado

O que é o PCI e qual a sua importância para o mercado de pagamentos?

14 de março de 2022

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Kryptus aposta em expansão do mercado de Autoridades Certificadoras (ACs)

Apesar do crescimento elevado, o mercado de ACs ainda é restrito e altamente regulado, o que dificulta novos entrantes

8 de fevereiro de 2022

Kryptus discute a ubiquidade da Criptografia e Identidade Digital durante o Rio Innovation Week

A Kryptus participou do evento em parceria com a CryptoID para mostrar a ampla relevância da tecnologia hoje e no futuro das sociedades

1 de fevereiro de 2022

Kryptus e ITI: Parceria arrojada na inovação da ICP-Brasil

Para recapitular a história de sucesso da trajetória dos 20 anos da ICP-Brasil, Roberto Gallo, CEO da Kryptus, entrevistou Maurício Coelho, diretor de ICP do ITI.

5 de janeiro de 2022

ITI adota nova plataforma da Kryptus para a rede de Carimbo do Tempo

Os protocolos nativos dos produtos Kryptus passaram a ser considerados os novos padrões oficiais da ICP-Brasil

3 de janeiro de 2022

Para garantir que tal adoção ocorra de forma consistente, o PCI mantém uma base de padrões e requisitos, entre eles o PCI PIN Security

Por Maurício Okuyama 

PCI (do inglês, Payment Card Industry) ou PCI SSC (PCI Security Standards Council) é uma organização global que une stakeholders da indústria de pagamentos com o objetivo de desenvolver e fomentar a adoção de altos padrões e recursos de segurança da informação para o setor de pagamentos.

Maurício Okuyama, Gerente de Pré Vendas na Kryptus e membro do REB (Regional Engagement Board) do PCI

Para garantir que tal adoção ocorra de forma consistente, o PCI mantém uma base de padrões e requisitos, entre eles o PCI PIN Security, que são revisados e atualizados periodicamente, abrangendo os mais diversos segmentos da indústria: provedores de serviços de pagamentos, provedores de soluções de software, provedores de soluções de hardware etc.

Para fins de exemplificação, todas as empresas que, de alguma forma, atuam dentro da cadeia de fornecimento de serviços ou recursos tecnológicos para pagamentos através de cartão com as “bandeiras clássicas” (American Express, Discover, Mastercard, Visa) seguem algum padrão específico do PCI. Existem requisitos para a empresa que processa pagamentos através da “maquininha” de cartão, para o datacenter ou a empresa que hospeda softwares ou APIs de pagamentos e, inclusive, para a empresa que fabrica hardwares criptográficos utilizados no setor.

Por que o PCI é importante?

As bandeiras de cartão possuem requisitos técnico-operacionais próprios, que precisam se desdobrar para as entidades que fornecem produtos e serviços para a indústria de pagamentos.

Em determinados aspectos, relacionados à área de segurança ou a outras áreas, as exigências e os requisitos de uma bandeira diferem dos de outra(s).

Dessa forma, um provedor de produtos e/ou serviços que quer abranger todas as bandeiras com seu portfólio precisa de uma base clara de requisitos que, se devidamente atendida, permitirá ao provedor contemplar tanto os pontos em comum quanto as especificidades de cada bandeira de cartão.

Considerando as necessidades, os interesses e as exigências das bandeiras, o PCI realiza uma intermediação entre elas e os demais stakeholders da indústria de pagamentos, estabelecendo uma base comum de padrões a serem seguidos pelos provedores de produtos e serviços do setor.

Portanto, a partir da união dos mais diversos stakeholders relevantes para a indústria de pagamentos e da manutenção e evolução dos padrões de segurança, o PCI contribui para o desenvolvimento sustentável e global do setor.

No fim das contas, quem ganha com isso são os consumidores e a sociedade, que acabam usufruindo de um sistema de pagamentos universal, confiável e, através das evoluções tecnológicas atreladas aos requisitos de segurança, cada vez mais conveniente.

Quais os benefícios dos padrões exigidos pelo PCI para o mercado e para o usuário Final de pagamentos?

O PCI propicia a utilização de uma base comum de padrões e requisitos de segurança a serem seguidos pelos mais diversos stakeholders do setor de pagamentos. Se essa base unificada não existisse, provavelmente nós não conseguiríamos usufruir da facilidade de realizar pagamentos com nossos cartões em quase qualquer lugar do mundo ou em qualquer website de compras.

Portanto, a atividade do PCI é essencial para o mercado e para o usuário final, que se beneficia com um sistema de pagamentos universal, confiável e, através das evoluções tecnológicas atreladas aos requisitos de segurança, cada vez mais conveniente.

Sobre o PCI Pin Securty

O PCI PIN Security é um dos padrões do PCI e deve ser adotado por todas as empresas que fazem o gerenciamento, processamento e transmissão dos dados do número de identificação pessoal (PIN) durante o processamento de transações de cartão de pagamento online e offline em caixas eletrônicos e terminais de ponto de venda (PoS).

Os requisitos exigidos pelo padrão PCI PIN Security definem que todos os PINs inseridos pelo titular do cartão devem ser processados em equipamentos que estejam em conformidade com os requisitos para dispositivos criptográficos seguros (SCD – Secure Cryptographic Device), como por exemplo o HSM (Hardware Security Module). Os PINs nunca devem ser expostos “em claro” fora de um módulo criptográfico. 

Certificação FIPS 140-2 e o PCI

A publicação 140-2 do FIPS (Federal Information Processing Standard) trata de um padrão que define requisitos mínimos de segurança para módulos de segurança criptográficos. Ter uma certificação FIPS 140-2 significa que o seu equipamento foi validado pelo Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) e pelo Centro Canadense de Segurança Cibernética (CCCS).

Resumidamente, o padrão garante que um produto utilize práticas de segurança robustas, como métodos de proteção física e lógica, bem como mecanismos criptográficos aprovados em um dos quatro níveis de segurança do FIPS 140-2.

Para uma instituição financeira estar em conformidade com as normas do PCI PIN Security e garantir a certificação, é necessário que os HSMs (Hardware Security Modules), ou módulos de segurança criptográficos, utilizados para guarda de chaves criptográficas nas transações de pagamentos, atendam aos requisitos exigidos pela certificação FIPS 140-2 level 3.

Cases

Dois exemplos de empresas que adquiriram a certificação PCI PIN Security com a implementação de HSMs da Kryptus, os quais possuem certificação FIPS 140-2 level 3, são a Perto S.A e o Grupo Seven. Ambos precisavam estar em conformidade com o PCI e garantir a robustez da infraestrutura de segurança por trás das transações financeiras.

Perto s.a. adquire HSM da Kryptus para processo seguro de carga das chaves criptográficas em seus terminais POS, PINPADS e ATM’s.

Com apoio da parceria Kryptus e Ecoscard, o Grupo Seven lança a Onnipro, sua processadora de cartões.

Fonte: Kryptus

Falta de maturidade expõe setores financeiro e de meios de pagamento no Brasil, aponta pesquisa da Kryptus

Kryptus aposta em expansão do mercado de Autoridades Certificadoras (ACs)

Kryptus e ITI: Parceria arrojada na inovação da ICP-Brasil