O avanço da tecnologia tem sido cada vez mais rápido e, com as transformações digitais, o cotidiano tem se tornado mais fácil. O uso do cartão de crédito, por exemplo, nos últimos anos, se popularizou absurdamente, ao ponto de que muitas pessoas não andam mais com dinheiro ou com poucas quantidades.
Não somente isso, o cartão físico também está perdendo espaço para o cartão digital – basta você os guardar em uma carteira digital em seu celular e fazer compras por aproximação em estabelecimentos físicos. A pandemia, que impulsionou o e-commerce, também teve um grande impacto no uso de cartões digitais pois eles têm um prazo de validade, sendo mais seguros contra golpes ao os usar para compras pela internet.
Mas apesar do crescimento do uso de cartões de crédito nos últimos anos, a preocupação com os dados de seus titulares não é tão recente. Foi em 2004 que surgiu o PCI DSS, um padrão regulamentário para a proteção destes dados criados por uma iniciativa conjunta das maiores bandeiras de cartão.
Entenda como funciona o PCI DSS e a importância para as empresas lendo este artigo.
PCI DSS: O que é?
PCI DSS é a sigla para “Payment Card Industry Data Security Standard”, ou seja, é o Padrão de Segurança de Dados da Indústria de Pagamento com Cartão. É uma lei de privacidade que visa a proteção dos dados de titulares dos cartões de pagamento, desde a transação até a forma como estas informações são armazenadas.
Essa regulamentação é composta por 12 requisitos que devem ser seguidos por qualquer empresa que armazene, processe ou transmita dados do titular do cartão. Com estes requisitos, é possível garantir a privacidade e segurança em cada transação, protegendo os dados do titular de roubo ou fraude.
Qual a importância do PCI DSS?
Como entendemos acima, o PCI DSS é uma forma de fortalecer a segurança de dados. Na era atual, em que transações com cartões são comuns, tanto na forma online quanto física, assegurar que os dados sensíveis do seu cliente estão protegidos é essencial, tanto para a segurança dos usuários quanto para a empresa.
Para isso, é importante não só saber o que é o PCI DSS e quais seus requisitos, mas como criar estratégias dentro da corporação para melhor atendê-los.
Os 12 requisitos do PCI DSS
Instalar e manter segura a rede com firewalls
Monitorar o tráfego da rede e o ambiente é a primeira camada de proteção quanto a ataques cibernéticos. Instale e mantenha atualizados firewalls e outros recursos que aumentem a segurança da rede.
Mudar as configurações do fornecedor
Ao fazer a instalação de sistemas, redes e aplicações, sempre mude as configurações padrões do fornecedor. Senhas, nomes e logins padrões que vêm de fábrica não são suficientes para proteger o ambiente e dados dos titulares de vulnerabilidades e ataques. Certifique-se de mudar as configurações e mantê-las atualizadas.
Proteger os dados armazenados do titular
Armazenar dados sensíveis é como ter um grande sinal chamando atenção de cibercriminosos. Por isso, se é necessário que sua empresa guarde as informações dos titulares dos cartões, certifique-se que o armazenamento está sendo feito em um lugar com o máximo de proteção possível, com criptografias e chaves de segurança. Saber onde os dados estão guardados e por quanto tempo também é importante para saber como o mantê-los em segurança.
Usar criptografia para transmissão de dados
O momento de transmissão de dados pode ser o ponto perfeito para hackers atacarem, principalmente se for em uma rede pouco protegida, como as redes públicas. Por isso, é necessário que quem esteja enviando os dados do titular use criptografia para que seja mais difícil o comprometimento dos dados, além de saber quem enviará e receberá as informações.
Usar e atualizar softwares de antivírus
Somente ter um software antivírus e antimalware não é mais eficiente para manter a proteção de seus sistemas e dados dos titulares dos cartões. É importante sempre os manter atualizados, fazer verificações de vulnerabilidades e ameaças em seus sistemas.
Implantar sistemas e softwares seguros
Identifique se há vulnerabilidades nos sistemas, softwares e aplicações para entender o nível de segurança. Após esse processo, pode começar a implantação de equipamentos e aplicações necessárias para o uso dos cartões. Além disso, é necessária a instalação de patches e técnicas de codificação.
Restringir o acesso aos dados do titular
Crie regras e políticas para se ter permissão e acesso aos dados do titular do cartão, assim como privilégios com base nos requisitos e níveis de trabalho. Entenda quais pessoas devem ter acesso aos dados dos titulares, porque e por quanto tempo, além de ter registro de tudo para maior controle.
Identificar e autenticar o acesso dos usuários
Cada usuário deve possuir uma identidade única e complexa para acesso, tornando mais difícil o roubo de identidades. Ter um forte gerenciamento de identidade e acesso (IAM) também é importante e faz parte da regulamentação do PCI DSS ter a autenticação em 2 fatores.
Restringir o acesso físico aos dados
As regulamentações PCI DSS também abrangem o meio físico. Por isso, este item inclui restringir acesso a data centers, estações de trabalhos, servidores ou qualquer lugar físico que armazena os dados dos titulares dos cartões. Também é exigido que gravações de câmeras de vídeo e outros registros sejam armazenados por no mínimo 90 dias. Qualquer mídia física que armazenou um dado e não é mais utilizada, deve ser destruída após o uso.
Rastrear e monitorar o acesso à rede
Este requisito exige que todas as redes sejam rastreadas e monitoradas, com os logs de eventos sendo mantidos para as auditorias sempre que necessários. As redes físicas e sem fio devem estar sempre protegidas, detectando qualquer tipo de anomalia. Ainda segundo este item, as atividades de rede devem ser armazenadas por pelo menos um ano.
Testar a segurança do sistema
Fazer testes de penetração e vulnerabilidades constantemente é obrigatório. Atualmente, qualquer pequena brecha no sistema é o suficiente para um ataque criminoso. Estes testes, internos e externos, servem para analisar se os dados dos titulares estão bem protegidos e como aumentar a segurança do seu sistema.
Criar políticas de segurança
Não adianta nada ter várias regulamentações se não há uma política organizacional bem definida. Se os funcionários não são bem treinados ou não sabem sequer da existência dessas regulamentações e regras, é claro que elas serão quebradas. Por isso, ter treinamentos de conscientização de forma regular e avaliações é uma parte importante, desde funcionários temporários até C-level e líderes.
Cumpra com o PCI DSS com a ManageEngine
Para estar em conformidade com o PCI DSS, é necessário estar de acordo com os 12 requisitos acima. Porém, encontrar soluções que abordem todos eles de forma eficaz, que garanta a segurança da empresa e usuários de forma que intuitiva e completa, pode ser um desafio.
A ManageEngine possui um conjunto completo de soluções de gerenciamento de TI que te ajudam a atender estes requisitos. Para saber como, acesse aqui.
