A preocupação com informações oferecidas para compras por meio de cartões de débito e de crédito não é uma característica exclusiva da pandemia do coronavírus, embora o uso desta forma de pagamento tenha aumentado sensivelmente com o fechamento de alguns setores da economia e a migração de outros para plataformas de venda on-line.
É para proteger o cliente – e também as empresas que processem, armazenem ou transmitam dados referentes a transações por cartões – que foi criado o PCI (Payment Card Industry). Trata-se de um conjunto de normas que devem necessariamente ser seguidas para a operação de empresas envolvidas na cadeia de pagamentos por cartão.
O PCI foi criado em 2006 pela iniciativa conjunta da Visa, MasterCard, American Express, Discover e JCB. Juntas, elas formam o Payment Card Industry Security Standards Council (Conselho dos Padrões de Segurança da Indústria de Pagamento com Cartão), fórum aberto que discute constantemente os padrões do PCI e, quando necessário, os atualiza.
Para empresas que trabalham com cartões, seguir seu protocolo não é uma mera alternativa. É uma obrigação.
Contra fraudes
O principal objetivo do PCI é evitar fraudes. Elas acontecem quando dados do cartão (nome, número, validade e código de segurança) são, de alguma forma, obtidos e utilizados para a realização de compras sem anuência de seu portador.
Diante do problema, o estabelecimento responsável pela venda entrega o produto e não recebe o valor da compra, já que o proprietário do cartão não identifica a despesa e solicita o cancelamento junto à operadora. Além do prejuízo financeiro, o empresário assume também uma espécie de “perda moral”, com a reputação ruim de ter autorizado uma venda fraudulenta.
Padrões de segurança
Mesmo a adequação ao PCI não acaba com a possibilidade de fraudes. Mas garante a proteção e o atendimento de procedimentos padronizados quando as fraudes eventualmente acontecerem.
O padrão que assegura a proteção dos dados de cartões de pagamento para ambientes que armazenam, processam ou transmitem dados de cartão é o PCI DSS (Payment Card Industry Data Security Standards).
Existem quatro níveis de certificação PCI, dependendo do número de transações por ano processadas pela empresa interessada em obtê-la e da área de atuação (loja física ou e-commerce). Cada nível chama-se Tier.
O processo de certificação da PCI DSS é bastante rígido. Testes de segurança para detectar fragilidades de sistema são realizados; há verificação de mais de 20 critérios de blindagem; processos internos de auditoria; scans e penetration tests; amplo conhecimento da equipe para o Tier 1 (nível máximo da certificação) e auditoria externa homologada (caso a empresa também almeje atingir o Tier 1).
Soluções sob medida
Para evitar dores de cabeça e gastos excessivos com departamentos exclusivos para a adequação das normas de PCI, as empresas recorrem a parceiros que oferecem soluções prontas para obter a certificação.
A First Tech reconhece essa necessidade no mercado financeiro e investe pesado nessas regulações e certificações, além de fazer parte do boarding, do conselho do PCI, que ajuda a tomar decisões no Brasil. E por isso atua em dois dos seus maiores pilares: o PIN Security e o PCI DSS que, juntos, representam 70% do mercado financeiro para que estejam aderente a esses padrões.
O HSM (Hardware Security Module), dispositivo com o qual a First Tech trabalha, carrega todos os códigos e procedimentos exigidos pelo PCI. Trata-se de uma solução certificada que pode ser utilizada por qualquer um dos atores envolvidos na cadeia de compras por cartão – operadoras, portadores e clientes.
Quer saber mais sobre segurança de transações, fale com a gente ou clique aqui e veja em nosso site.
Assine nossa Newsletter e fique por dentro sobre o PCI, vamos seguir falando sobre sua importância e nossa atuação.