O que é a certificação PCI DSS? Tudo o que você precisa saber sobre esse tema!

Está sem tempo de ler agora? Que tal ouvir o artigo? Experimente no player abaixo!

Certificação PCI, ou apenas PCI DSS (Payment Card Industry – Data Security Standard), é um padrão internacional de segurança de dados voltado para a indústria de cartões.

Qualquer empresa que opere com meios de pagamento precisa se adequar a diversos tipos de exigências, e uma delas é justamente a certificação PCI DSS.

Criada em 2006 pelo Payment Card Industry Security Standards Council, inicialmente essa certificação foi formada pelas bandeiras American Express, Discover, JCB, MasterCard e Visa.

O principal objetivo da PCI Compliance, como também pode ser chamada a certificação, é garantir a segurança de dados sensíveis em transações financeiras, via cartões, que acontecem em ambiente virtual.

Por conta disso, a certificação PCI DSS é obrigatória a todas as empresas que processam, armazenam e transmitem dados de cartões de crédito e/ou de débito na internet.

Se esse é o seu modelo de negócio, confira agora o que é a certificação PCI DSS e como obtê-la.

O que é a certificação PCI DSS?

A certificação PCI DSS é uma norma internacional que garante que uma empresa siga padrões internacionais de segurança e boas práticas nas operações com cartões. 

Todas as empresas que lidam com dados sensíveis de cartões precisam dessa certificação.

A PCI Compliance se aplica a pagamentos presenciais (compras em terminais com cartões de tarja ou chip) e a pagamentos digitais (e-commerce, sites e aplicativos), definindo os padrões de segurança que devem ser seguidos e regularmente auditados.

Quais são os requisitos da certificação PCI DSS?

Agora que você sabe melhor o que é a certificação PCI DSS, vamos falar um pouco mais sobre os requisitos de segurança especificados nessa norma.

São 12 requisitos agrupados em 6 categorias, conforme você pode ver na tabela abaixo:

Como conduzir uma PCI Compliance Assessment para obter o seu atestado de conformidade?

Mas não basta saber o que é a certificação PCI DSS e seus requisitos, é preciso, também, saber como conduzir a avaliação para obtê-la.

Uma PCI Compliance Assessment (Avaliação de Conformidade PCI) é uma auditoria para validar a conformidade com o PCI DSS. 

Durante a avaliação, um Qualified Security Assessor (Avaliador de Segurança Qualificado ou QSA, entidade que é certificada pelo Conselho do PCI) determina se o comerciante alcançou os 12 requisitos. 

Além disso, os comerciantes devem comprovar a conformidade anualmente, enviando um Questionário de Auto-Avaliação (SAQ) ou um Relatório de Conformidade (ROC).

O processo de certificação inclui:

• amplo conhecimento da equipe para o Tier 1 (nível máximo da certificação);
• auditoria externa homologada (caso a empresa queira chegar ao Tier 1);
• processos internos de auditoria;
• Scans e pen tests (penetration tests);
• testes de segurança para detectar fragilidades de sistema;
• verificação de mais de 20 critérios de blindagem.

 

Há 4 níveis de certificação PCI: 1, 2, 3 e 4. A divisão entre os níveis, chamada de tiers, são as seguintes:

Caso haja sucesso na validação, a entidade emite o Atestado de Conformidade (AoC).

O que mais você precisa saber sobre certificação PCI DSS?

A fim de deixar o conceito e importância da certificação PCI DSS ainda mais claros, fizemos um breve resumo dos pontos mais importantes dessa norma.

O que é PCI Compliance?

PCI Compliance é um padrão de segurança internacional voltado para a indústria de cartões (crédito e débito), criado com o objetivo de promover de maneira mais segura o processamento, armazenamento e transmissão dos dados sensíveis desses meios de pagamento.

Qual o objetivo da certificação PCI DSS?

O objetivo da certificação PCI DSS é garantir que as empresas que trabalham com pagamentos online via cartão, tanto de crédito quanto de débito, realizem essa tarefa de maneira segura, evitando, assim, fraudes na internet, vazamento de dados e outros transtornos relacionados.

Aproveite e ouça este podcast do Papo na Nuvem:

 

Quais os requisitos para obter a certificação PCI DSS?

De maneira resumida, os 12 requisitos que precisam ser atendidos para obter a certificação PCI DSS são:

1. utilizar um firewall eficiente;
2. não utilizar senhas e configurações padrões;
3. proteger as informações guardadas do proprietário do cartão;
4. criptografar a transmissão dos dados;
5. utilizar soluções de segurança como antivírus, antispyware e antimalware;
6. criar e manter aplicações e sistemas seguros;
7. restringir o acesso aos dados dos cartões;
8. criar um login para cada usuário do sistema;
9. restringir o acesso aos dados dos cartões;
10. rastrear e monitorar todos os acessos;
11. testar a segurança do sistema utilizado;
12. definir uma política de segurança. 

Como tratamos a PCI na Zoop?

Aqui na Zoop, oferecemos um ambiente com capacidade de processar, armazenar e transmitir dados com diferentes níveis de acesso, garantindo que somente seja passado para os sistemas o que é realmente necessário para sua execução da transação.

Com isso, os parceiros que usarem a nossa plataforma de pagamento digital para processar, armazenar e tokenizar/criptografar dados de cartão, podem contar com as melhores práticas de segurança utilizadas atualmente, deixando sob nossa responsabilidade todas as questões relacionadas à certificação PCI DSS.

Leia também o nosso artigo “Como se adequar à Lei Geral de Proteção de Dados (LGPD)? E confira os impactos na indústria de meios de pagamento?”

Atingindo o nível máximo da certificação

Estamos felizes em anunciar que os parceiros da Zoop podem contar agora com o PCI DSS 3.2.1 nível 1, o mais alto emitido pela entidade certificadora. 

Com o crescimento acelerado de 2018, tivemos a necessidade de garantir aos nossos clientes o mais alto nível do PCI DSS para manter a excelência da plataforma Zoop.

Isso significa que aumentamos a conformidade sempre que nossos parceiros usam nossa plataforma para armazenar dados de cartão no momento da transação. 

O Atestado de Conformidade da Zoop pode ser usado e considerado como o necessário para a sua operação.

Aliás, recebemos a certificação em tempo recorde, o que foi reconhecido pela entidade certificadora.

Leia também: “A evolução dos meios de pagamento no Brasil: o que mudou e quais as possibilidades nessa nova fase?”

Como se beneficiar com a certificação PCI DSS automática da Zoop?

Agora que você já sabe o que é a certificação PCI DSS e que a oferecemos automaticamente dentro da nossa infraestrutura de pagamentos, basta dar o próximo passo para alavancar seus negócios!

A boa notícia é que nós podemos ajudar sua empresa nesse desafio!

A Zoop possibilita que marketplaces, ERPs, empreendedores e outros tipos de negócios, passem a gerenciar o fluxo transacional de seus clientes, gerando novas receitas por meio de serviços de contas digitais, splits de pagamento e antecipação de recebíveis.

Com a nossa plataforma de pagamentos White Label, que conta com tecnologias de captura para maquininhas, boletos bancários e outros meios de pagamentos com sua própria marca, você elimina barreiras regulatórias, custos de desenvolvimento e tempo de implementação para sua empresa crescer focada no core business.

Junte-se ao iFood, Sympla, Avec e outras grandes empresas que também geram valor com serviços financeiros próprios.

Converse agora com um dos nossos especialistas e confira como!