Adequar-se aos padrões de segurança do PCI (Payment Card Industry) é uma exigência do mercado para empresas envolvidas na cadeia de pagamentos por cartão. E é preciso preparar o ambiente de pagamentos para fazer a correta adesão às normas.
Além de ser um mecanismo de defesa contra fraudes, trabalhar seguindo os protocolos do PCI mostra que a empresa está adequada às mais modernas regras de segurança quando o assunto é operação com cartões. E isso aumenta a credibilidade do negócio e agrega valor à marca.
Mas como preparar a empresa para aderir ao PCI? O investimento é alto? Compensa? Vamos às respostas!
Os 12 passos do PCI
O PCI foi estabelecido por um conselho das maiores operadoras de cartões em 2006. O objetivo foi criar um protocolo de segurança para nortear procedimentos de todos os atores envolvidos na cadeia de pagamentos por cartão – transmissão, armazenamento ou processamento dos dados.
Atualmente, o PCI exige o cumprimento de 12 requisitos, divididos em seis objetivos gerais:
Construir e manter uma rede segura para conduzir as
transações
1. Utilizar um firewall eficiente, mas que não provoque excessivos
inconvenientes para os vendedores e titulares de cartões.
2. Não utilizar senhas e configurações padrão fornecidas pelos vendedores.
Proteger as informações dos titulares de cartão
3. Garantir mecanismos para proteger a informação do portador do cartão (data
de nascimento, número de documento, telefone e endereço de e-mail).
4. Criptografar a transmissão de dados dos titulares quando realizada através
de redes públicas.
Manter o sistema protegido de hackers
5. Utilizar antivírus, antispyware e antimalware e se certificar de que
eles estejam sempre atualizados.
6. Desenvolver e manter sistemas e aplicações seguras.
Implementar fortes medidas de controle de acesso
7. Restringir acesso aos dados de cartões de crédito conforme o cargo de cada
empregado da empresa.
8. Designar dados de login únicos e confidenciais para cada usuário da rede e
sistema.
9. Restringir o acesso físico e eletrônico aos dados do cartão.
Monitorar e testar as redes frequentemente
10. Rastrear e monitorar todos os acessos à rede e aos dados de cartões de
crédito.
11. Testar a segurança de sistemas e processos de forma regular.
Manter uma política de segurança formal
12. Definir uma política de segurança que seja difundida, seguida e mantida
por todos os membros da organização.
HoP, Sala Segura e API customizada
O investimento para contratar soluções prontas e certificadas para adequação aos protocolos PCI é pesado, mas compensatório se for levado em conta o custo-benefício. Estas plataformas reduzem os gastos com desenvolvedores e programadores que não precisarão, por exemplo, debruçar-se sobre os Books EVM (Earned Value Management) do PCI – o que também custa muito dinheiro e, principalmente, tempo.
Conectada com a necessidade de seus clientes, a First Tech passou a oferecer de modo customizado o HSM (Hardware Security Module) para processamento e autenticação segura das transações com cartões. Um investimento de alto custo que agora oferece na modalidade de serviços HoP (HSM off Premisses). São equipamentos robustos e certificados pelos mais altos padrões de segurança, disponíveis para processar ambientes de Teste e Desenvolvimento, ou Produtivo.
A First Tech também trabalha com uma Sala Segura para geração de chaves criptográficas. O ambiente é totalmente offline e o cliente é acompanhado por profissionais que fazem o gerenciamento e auditoria de todo o processo, garantindo que ninguém comprometa a segurança das chaves inseridas.
Por fim, a First Tech também desenvolve APIs (Application Programming Interfaces) customizadas, um conjunto de rotinas e padrões de programação para acesso a um aplicativo de software ou plataforma baseado na web, para atender a necessidade do negócio do cliente.
Para saber mais detalhes sobre como preparar o ambiente de pagamentos de sua empresa, fale conosco ou clique aqui e acesse nosso site.
Fique por dentro do PCI. Assine nossa Newsletter e acompanhe as principais notícias sobre o assunto.