O que é conformidade com PCI e preciso ser compatível com PCI?

Conformidade PCI: O que é?

As empresas de cartão de crédito devem aderir à conformidade com o PCI para ajudar a proteger a segurança das transações com cartão de crédito no sistema financeiro. A conformidade do setor de cartões de pagamento refere-se aos requisitos técnicos e operacionais das empresas para proteger e preservar os dados do titular do cartão fornecidos durante as operações de processamento do cartão. O PCI Security Standards Council desenvolve e gerencia padrões de conformidade PCI.

Entendendo a conformidade com PCI

O processamento de cartão de crédito é regulamentado pela Federal Trade Commission (FTC), uma vez que está sob a proteção e regulamentação do consumidor. Embora não haja compulsão legislativa para a conformidade com o PCI, ela é vista como exigida pelo precedente do tribunal.

A conformidade com o PCI, em geral, é um componente crítico do processo de segurança de todas as empresas de cartão de crédito. As empresas de cartão de crédito geralmente exigem isso, e isso é mencionado nos acordos da rede de cartões de crédito.

O PCI Requirements Council é responsável pelo desenvolvimento de padrões de conformidade com o PCI. Esses padrões se aplicam ao processamento do comerciante e foram aprimorados para incluir requisitos para transações criptografadas na Internet. Outras instituições importantes envolvidas no processo de definição de padrões da indústria de cartões de crédito são a Card Association Network e a National Automated Clearing House (NACHA).

E se eu não for compatível com PCI?

Embora a conformidade com o PCI seja obrigatória, alguns proprietários de empresas questionam se podem evitar os padrões - essa é uma ideia antiética e possivelmente desastrosa. Se você não for compatível com PCI, estará arriscando a segurança de seus consumidores e empresa. Sem as proteções fornecidas pela conformidade com o PCI, sua empresa pode estar exposta a ataques caros e violações de dados.

Se ocorrer uma violação de dados e sua organização não for compatível com PCI, você poderá estar sujeito a penalidades e multas que variam de US$ 5.000 a US$ 500.000. No entanto, as penalidades são apenas o começo dos danos causados ​​pelo descumprimento. Se você não for compatível com PCI, corre o risco de perder sua conta de comerciante, o que o impediria de aceitar pagamentos com cartão de crédito. Além disso, sua empresa pode ser incluída na lista Member Alert to Control High-Risk Merchants (MATCH), tornando-o inelegível por muitos anos para estabelecer uma nova conta de comerciante.

Além disso, uma violação de dados pode resultar em milhares de dólares em danos, perda de respeito e confiança do consumidor e perda de sua marca. Devido à variedade de penalidades associadas à não conformidade com PCI, é sempre aconselhável estar em conformidade o mais completamente possível para evitar multas dispendiosas e outros danos.

Quais são os 12 requisitos para conformidade com o PCI DSS?

Instalar e manter firewalls

Os firewalls negam efetivamente o acesso a dados privados a organizações externas ou desconhecidas. Essas precauções costumam ser a primeira linha de proteção contra hackers (maliosos ou não). Devido à sua capacidade de impedir o acesso não autorizado, os firewalls são necessários para a conformidade com o PCI DSS.

Proteção eficaz por senha

Roteadores, modems, sistemas de ponto de venda (POS) e outros produtos de terceiros geralmente incluem senhas genéricas e mecanismos de segurança prontamente acessíveis ao público em geral. As empresas geralmente não protegem essas vulnerabilidades. Manter a conformidade nesta área envolve manter uma lista de todos os dispositivos e aplicativos protegidos por senha (ou outra segurança para acesso). Com um inventário de dispositivos/senhas, proteção e configurações essenciais devem ser implementadas (por exemplo, alterar a senha).

Proteja os dados do titular do cartão

A terceira obrigação de conformidade do PCI DSS é proteger os dados do titular do cartão de duas maneiras. Os dados do titular do cartão devem ser criptografados usando um algoritmo específico. Essas criptografias são implementadas usando chaves de criptografia — que também devem ser criptografadas para fins de conformidade. É necessário manter e verificar regularmente os números de conta primária (PAN) para verificar se não existem dados não criptografados.

Criptografar dados transmitidos

Os dados do titular do cartão são enviados por várias rotas convencionais (ou seja, processadores de pagamento, escritórios domésticos de lojas locais, etc.). Quando esses dados são transferidos para esses destinos conhecidos, eles devem ser criptografados. Além disso, os números de conta nunca devem ser fornecidos a sites desconhecidos.

Use e mantenha o antivírus

Fora da conformidade com o PCI DSS, o uso de software antivírus é uma prática inteligente. Todos os dispositivos que interagem e armazenam PAN, no entanto, devem ter um software antivírus instalado. Este software deve ser corrigido e atualizado regularmente. Além disso, seu fornecedor de ponto de venda deve usar proteção antivírus em áreas onde ela não pode ser implantada diretamente.

Software atualizado

Firewalls e software antivírus precisarão ser atualizados regularmente. Além disso, é aconselhável manter todos os softwares de uma corporação atualizados. A maioria dos programas de software incorpora medidas de segurança, como patches para lidar com vulnerabilidades recém-identificadas, como parte de suas atualizações, fornecendo uma camada adicional de proteção. Essas atualizações são significativas para qualquer software executado em dispositivos que interagem ou armazenam dados do titular do cartão.

Restringir o acesso aos dados

As informações do titular do cartão devem ser estritamente "necessárias". Todos os funcionários, executivos e terceiros que não precisam dessas informações devem ter o acesso negado. As responsabilidades que precisam de dados confidenciais devem ser bem documentadas e atualizadas regularmente, conforme exigido pelo PCI DSS.

Códigos de acesso exclusivos

Os funcionários que têm acesso aos dados do titular do cartão devem ser identificados e cada um tem suas credenciais separadas. Por exemplo, os dados criptografados não devem ser acessados ​​por meio de um único login, com vários funcionários conhecendo o nome de usuário e a senha. Os identificadores exclusivos reduzem a suscetibilidade e proporcionam um tempo de reação mais rápido se os dados forem comprometidos.

Limitar o acesso em um nível físico

Quaisquer dados sobre os titulares do cartão devem ser armazenados fisicamente em uma área segura. Dados escritos ou digitados fisicamente e dados armazenados digitalmente (por exemplo, em um disco rígido) devem ser protegidos em uma sala, gaveta ou armário seguro. Não apenas o acesso deve ser restrito, mas sempre que dados confidenciais são acessados, um registro deve ser mantido para garantir a conformidade.

Gerenciar registros de acesso

Todas as transações envolvendo dados do titular do cartão e números de conta principal (PANs) devem ser registradas. Talvez a preocupação de não conformidade mais prevalente seja a falta de manutenção de registros e documentação suficientes para acesso a dados confidenciais. A conformidade exige o rastreamento do fluxo de dados que entram em sua empresa e a frequência com que o acesso é necessário. Além disso, as ferramentas de software que rastreiam o acesso são necessárias para garantir a precisão.

Verificação e teste de vulnerabilidades

Cada um dos dez critérios de conformidade anteriores requer o uso de muitos produtos de software, locais físicos e pessoal. Inúmeros itens podem não funcionar corretamente, ficar desatualizados ou estar sujeitos a erros humanos. Podemos mitigar esses riscos aderindo aos critérios do PCI DSS para verificações regulares e testes de vulnerabilidade.

Políticas relativas a documentos

A conformidade precisará de documentação do equipamento, software e trabalhadores que têm acesso. Além disso, os registros de acesso aos dados do titular do cartão exigirão documentação. Também será necessário registrar como as informações entram no seu negócio, onde são mantidas e utilizadas além do ponto de venda.

Vantagens da conformidade com PCI

As vantagens de conformidade incluem um risco reduzido de violações de dados, a proteção dos dados do titular do cartão e a prevenção de roubo de identidade. A conformidade é uma prática recomendada para as empresas porque minimiza as penalidades associadas a violações de dados, beneficia a reputação da marca de uma empresa e garante que os consumidores estejam satisfeitos e confiantes de que estão fazendo negócios com uma empresa responsável, resultando em fidelidade à marca.

Todas as empresas que aceitam informações de cartão de crédito são obrigadas, de acordo com seus contratos de processamento de cartão, a manter a conformidade com o PCI. A conformidade com o PCI é o padrão do setor, e as empresas que não aderirem a ele correm o risco de incorrer em penalidades significativas por violações de contrato e descuido. As empresas que não são compatíveis com PCI também estão muito expostas a roubos, fraudes e violações de dados.

No Fixed.net, recomendamos fortemente que você nunca toque nos dados do cartão . Isso significa usar um provedor como Stripe ou Braintree onde os dados do cartão são tokenizados. Os dados do cartão não são armazenados por você e nem mesmo são vistos por você. Um cliente insere os detalhes usando um widget incorporado do site do provedor de pagamento.

Conformidade PCI e WordPress

O WordPress é um software de código aberto e não possui um sistema de pagamento embutido. Em vez disso, os sistemas de pagamento são empacotados com plugins como o WooCommerce. Esses plugins geralmente têm a capacidade de associar gateways de terceiros como o Stripe. Se você escolher um gateway em que não toque nos dados do cartão, não precisará ser compatível com PCI.

Conformidade PCI e WooCommerce

O WooCommerce vem com várias opções de pagamento agrupadas e você pode estendê-lo com plugins de terceiros. Entramos em opções de pagamento em vários outros guias neste blog. No entanto, a grande maioria dos assinantes Fixos tende a usar uma combinação de Stripe e PayPal.