Últimas notícias

Fique informado

O que é a certificação do PCI DSS

26 de agosto de 2020

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Windows 10 e o Transport Layer Security (TLS) 1.3

A Microsoft vem trabalhando para tornar o Windows 10 cada dia mais seguro, e uma das sua iniciativas e utilizar o TLS 1.3 habilitado como padrão.

21 de agosto de 2020

Relatório de Segurança de 1 milhão de sites. Por Adriano Frare

O site CRAWLER.NINJA emitiu um relatório onde verificamos o aumento significativo do usos de sites utilizando HTTPS e criptografia forte.

24 de abril de 2020

Embora o PCI SSC não tenha autoridade legal para obrigar a conformidade, é um requisito para qualquer empresa que processe transações de cartão

Por Adriano Frare

Adriano Valério L. Frare – Pki consultant /
BlockChain / Security / Pen Test

O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) é um conjunto de padrões de segurança formado em 2004 pela Visa, MasterCard, Discover Financial Services, JCB International e American Express para a certificação de empresas.

Governado pelo Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento (PCI SSC), o esquema de conformidade visa proteger as transações de cartão de crédito e débito contra roubo e fraude de dados.

A certificação PCI também é considerada a melhor forma de proteger dados e informações confidenciais, ajudando assim as empresas a construir relacionamentos duradouros e de confiança com seus clientes.

Certificação PCI DSS

A certificação PCI garante a segurança dos dados do cartão em sua empresa por meio de um conjunto de requisitos estabelecidos pelo PCI SSC. Isso inclui uma série de práticas recomendadas comumente conhecidas, como:

• Instalação de firewalls

• Criptografia de transmissões de dados

• Uso de software antivírus

Além disso, as empresas devem restringir o acesso aos dados do titular do cartão e monitorar o acesso aos recursos da rede.

A segurança compatível com PCI fornece um ativo valioso que informa aos clientes que sua empresa é segura para transações. Por outro lado, o custo da não conformidade, tanto em termos monetários quanto de reputação, deve ser suficiente para convencer qualquer empresário a levar a segurança de dados a sério.

Uma violação de dados que revele informações confidenciais do cliente provavelmente terá graves repercussões em uma empresa. Uma violação pode resultar em multas de emissores de cartões de pagamento, ações judiciais, redução de vendas e danos graves à reputação.

Depois de experimentar uma violação, uma empresa pode ter que deixar de aceitar transações de cartão de crédito ou ser forçada a pagar taxas subsequentes mais altas do que o custo inicial de conformidade de segurança. 

O investimento em procedimentos de segurança PCI é um grande passo para garantir que outros aspectos do seu comércio estejam protegidos contra agentes mal-intencionados online.

Níveis de conformidade da Certificação PCI DSS

A conformidade com a Certificação PCI DSS  é dividida em quatro níveis, com base no número anual de transações de cartão de crédito ou débito que um negócio processa. O nível de classificação determina o que uma empresa precisa fazer para permanecer em conformidade.

Nível 1 : Aplica-se a comerciantes que processam mais de seis milhões de transações de cartão de crédito ou débito no mundo real anualmente. Conduzidos por um auditor autorizado PCI, eles devem passar por uma auditoria interna uma vez por ano. Além disso, uma vez por trimestre, eles devem se submeter a uma varredura PCI por um Fornecedor de varredura aprovado (ASV).

Nível 2 : Aplica-se a comerciantes que processam entre um e seis milhões de transações de cartão de crédito ou débito do mundo real anualmente. Eles são obrigados a completar uma avaliação uma vez por ano usando um Questionário de Autoavaliação (SAQ). Além disso, uma varredura PCI trimestral pode ser necessária.

Nível 3 : Aplica-se a comerciantes que processam entre 20.000 e um milhão de transações de comércio eletrônico anualmente. Eles devem completar uma avaliação anual usando o SAQ relevante. Uma varredura PCI trimestral também pode ser necessária.

Nível 4 : Aplica-se a comerciantes que processam menos de 20.000 transações de comércio eletrônico anualmente ou aqueles que processam até um milhão de transações do mundo real. Uma avaliação anual usando o SAQ relevante deve ser concluída e uma varredura PCI trimestral pode ser necessária.

Requisitos PCI DSS

A Certificação PCI SSC descreveu 12 requisitos para lidar com os dados do titular do cartão e manter uma rede segura. Distribuídos entre seis objetivos mais amplos, todos são necessários para que uma empresa se torne compatível.

1. Uma configuração de firewall deve ser instalada e mantida

2. As senhas do sistema devem ser originais (não fornecidas pelo fornecedor)

3. Os dados armazenados do titular do cartão devem ser protegidos

4. As transmissões de dados do titular do cartão em redes públicas devem ser criptografadas

5. O software antivírus deve ser usado e atualizado regularmente

6. Sistemas e aplicativos seguros devem ser desenvolvidos e mantidos

7. O acesso aos dados do titular do cartão deve ser restrito à necessidade de conhecimento do negócio

8. Cada pessoa com acesso ao computador deve receber uma identificação exclusiva

9. O acesso físico aos dados do titular do cartão deve ser restrito

10. O acesso aos dados do titular do cartão e recursos de rede deve ser rastreado e monitorado

11. Os sistemas e processos de segurança devem ser testados regularmente

12. Uma política que lida com a segurança da informação deve ser mantida

Concluímos que os padrões de segurança da Certificação PCI DSS garantem um nível adequado no armazenamento, transmissão e guarda de informações sensíveis em transações eletrônicas.

Office 365 – substituição do TLS 1.0 e 1.1. Por Adriano Frare

CIOs estão preocupados sobre os riscos de segurança do certificado TLS

Criptografia Homomórfica. Por Adriano Frare

Explore mais do Crypto ID para saber mais sobre formas de pagamento e proteção de dados!