Lista de verificação de conformidade PCI: o que toda empresa de comércio eletrônico precisa saber

Parece que todos os dias ouvimos falar de uma nova violação de dados. Somente em 2020, grandes empresas como J.Crew, Estee Lauder, T-Mobile, GE, Marriott, Avon e Staples sofreram violações de dados, custando grandes somas de dinheiro e prejudicando a confiança do cliente.

É fácil pensar que “isso só acontece com os grandes”, mas o fato é que 90% das violações afetam as pequenas empresas. Por esse motivo, os varejistas de comércio eletrônico que processam pagamentos com cartão de crédito ou débito on-line – ou seja, quase todos! – deve ser compatível com PCI. Então, o que é conformidade com PCI e como ela pode ajudar sua empresa? Vamos mergulhar!

O que é Conformidade PCI?

PCI é um acrônimo para “Indústria de Cartões de Pagamento”. Você também pode vê-lo como PCI DSS, que significa “Padrão de Segurança de Dados da Indústria de Cartões de Pagamento”. De qualquer forma, a definição de conformidade com PCI é “um conjunto de requisitos destinados a garantir que todas as empresas que processam, armazenam ou transmitem informações de cartão de crédito mantenham um ambiente seguro”.

A conformidade com o PCI foi desenvolvida em 2006 pelo PCI Security Standards Council (PCI SSC) , um órgão independente formado por líderes da indústria de cartões de pagamento da Visa, MasterCard, American Express, Discover e JCB (e é por isso que às vezes é chamado de “credit conformidade do cartão”). Seu objetivo é proteger todas as partes envolvidas em transações de pagamento, incluindo redes de pagamento, processadores, instituições financeiras, clientes e empresas.

Por que a conformidade com PCI é importante?

A conformidade com o PCI não é um requisito legal. No entanto, não seguir os protocolos PCI pode colocar os varejistas de comércio eletrônico em problemas legais. Como? Se sua empresa sofrer uma violação de dados e as investigações resultantes revelarem que seus processos não eram compatíveis com PCI, você poderá estar sujeito a milhares de dólares em multas e taxas governamentais e de emissores de cartões de pagamento, e ações judiciais e reivindicações de seguro podem ser movidas contra você por falha para estar em conformidade com os padrões PCI. Além disso, você pode perder a confiança do cliente, funcionários valiosos, a capacidade de aceitar cartões de pagamento (a sentença de morte para os varejistas on-line) e estar sujeito a custos mais altos de conformidade.

Portanto, embora você não possa ser penalizado simplesmente por não estar em conformidade com a PCI, você pode ser responsabilizado por qualquer violação que ocorra se não estiver em conformidade. E, como mencionado anteriormente, 90% das violações afetam as pequenas empresas, por isso é melhor prevenir do que remediar.

Você pode estar se perguntando por que os cibercriminosos iriam atrás de pequenas empresas; afinal, há peixes muito maiores para fritar! Bem, os cibercriminosos veem as pequenas empresas como presas fáceis. Eles sabem que a maioria dos grandes varejistas será compatível com PCI e, portanto, menos vulnerável. No entanto, eles estão apostando que muitas pequenas empresas não tomaram as medidas necessárias para se tornarem compatíveis com o PCI, tornando-as um alvo fácil.

6 tipos de violações de segurança que a conformidade com PCI protege contra

Embora os cibercriminosos estejam sempre procurando uma maneira de entrar, apesar das proteções (é exatamente isso que eles fazem), a conformidade com o PCI pode fazer muito para proteger contra os seis tipos de desastres de segurança a seguir .

1. Malware. Os criminosos usam software malicioso para se infiltrar em um sistema de computador e roubar dados de pagamento. Ransomware , no qual um hacker mantém dados “refém” em troca de dinheiro em Bitcoin, é uma das formas de malware que mais crescem.
2. Phishing. Um veículo comum de entrega de malware, e-mails de phishing (como uma fatura ou uma solicitação de informações do C-suite) parecem legítimos para convencer as pessoas a abri-los. No entanto, eles contêm links ou anexos maliciosos que podem infectar um computador e todo o sistema.
3. Acesso remoto. Controles de acesso remoto fracos, por exemplo, aqueles usados ​​por seus fornecedores de terminais de pagamento, permitem que os cibercriminosos tenham acesso aos seus sistemas que armazenam, processam ou transmitem dados de pagamento.
4. Senhas Fracas . Há uma razão pela qual as senhas hoje pedem letras maiúsculas, números e símbolos especiais diferentes: mais de 80% das violações de dados envolvem senhas roubadas/fracas.
5. Software desatualizado. Falhas em software desatualizado geralmente não são corrigidas, o que facilita a infiltração de cibercriminosos.
6. Skimming. Embora isso se aplique apenas a lojas físicas, o skimming é quando os criminosos conectam pequenos "dispositivos de skimming" de hardware a leitores de cartão que roubam dados de pagamento do cliente quando usam cartões de pagamento. Então, cartões falsificados podem ser criados para fazer compras ilegais.

Os 4 Níveis de Conformidade PCI

Acha que não é justo que sua pequena empresa seja mantida nos mesmos padrões PCI de uma empresa multibilionária como a Amazon? A boa notícia é que não é! Existem quatro níveis de conformidade com o PCI, que são determinados pelo número de transações que uma empresa processa a cada ano.

• Nível 1: Comerciantes que processam mais de 6 milhões de transações com cartão anualmente.
• Nível 2: Comerciantes que processam de 1 a 6 milhões de transações anualmente.
• Nível 3: Comerciantes que processam de 20.000 a 1 milhão de transações anualmente.
• Nível 4: Comerciantes que processam menos de 20.000 transações por ano.

O PCI SSC também oferece um questionário simples de autoavaliação em seu site que o ajudará a determinar quais requisitos do PCI Data Security Standard são aplicáveis ​​ao seu negócio.

Como as startups e pequenas empresas de comércio eletrônico podem se preparar usando esta lista de verificação de conformidade com PCI

Abaixo estão as maneiras pelas quais você pode aumentar seus níveis de conformidade com PCI para proteger seus negócios e seus clientes. Pense nisso como sua “Lista de Verificação de Conformidade PCI”. Todos os 12 requisitos de conformidade do PCI pertencem a um princípio, e esses princípios são:

• Construir e manter uma rede segura
• Proteja os dados do titular do cartão
• Manter um programa de gerenciamento de vulnerabilidades
• Implemente medidas fortes de controle de acesso
• Monitore e teste regularmente as redes
• Mantenha uma política de segurança da informação

1. Use e mantenha firewalls

Quando um cibercriminoso ou outro ator desconhecido, malicioso ou não, tenta acessar dados privados em seu sistema, um firewall basicamente os impede de entrar. É claro que firewalls não são impenetráveis ​​e vulnerabilidades podem ser encontradas (e é por isso que é importante mantê-los por meio de atualizações), mas eles são uma boa primeira linha de defesa.

2. Use Proteções de Senha Adequadas

Software e hardware de terceiros geralmente vêm com senhas genéricas e medidas de segurança padrão que podem ser facilmente acessadas por cibercriminosos. Para ser compatível com PCI, você precisa alterar essas senhas e ajustar as configurações básicas, além de manter uma lista de todos os dispositivos que exigem senha ou outro meio de acesso.

3. Proteja os dados armazenados do titular do cartão

Os dados do titular do cartão nunca devem ser armazenados além do tempo necessário para finalizar uma transação, a menos que seja exigido por necessidades legais, regulatórias ou comerciais. Se o armazenamento for necessário, as empresas devem limitar o tempo de armazenamento e retenção ao mínimo, limpando os dados pelo menos a cada trimestre. A conformidade com PCI também aborda como os números de conta primária (PAN) devem ser exibidos, por exemplo, revelando apenas os primeiros seis e os quatro últimos dígitos.

4. Criptografar Dados Transmitidos

Quando os dados do titular do cartão são transmitidos através de redes públicas, esta é uma excelente oportunidade para os cibercriminosos interceptá-los. Esse requisito do PCI afirma que os dados do titular do cartão devem ser criptografados sempre que forem enviados para esses locais conhecidos e que nunca devem ser enviados para locais desconhecidos.

5. Use e mantenha o software antivírus

Software antivírus como McAfee ou Norton é necessário para qualquer dispositivo que interaja ou armazene PAN. Assim como seu firewall, este software precisa ser atualizado regularmente para que as vulnerabilidades possam ser corrigidas. Confira a lista do PC dos melhores softwares antivírus para 2021.

6. Manter sistemas e aplicativos seguros

As empresas de comércio eletrônico devem manter o software seguro, trabalhando com seus fornecedores de software para garantir que os patches de segurança estejam atualizados e sejam facilmente acessíveis e executáveis. Além de implantar patches críticos em tempo hábil, as empresas precisam criar um processo para descobrir novas vulnerabilidades e classificá-las. Essas atualizações são especialmente importantes para todos os softwares em dispositivos que interagem ou armazenam dados do titular do cartão.

7. Restringir o acesso aos dados do titular do cartão

Os dados do titular do cartão são informações muito confidenciais e devem ser visualizados apenas por agentes que realmente precisam conhecê-los. A maioria de sua equipe e terceiros não precisarão de acesso a essas informações, portanto, elas devem ser restritas. As funções que precisam de acesso a esses dados devem ser altamente documentadas e atualizadas regularmente.

8. Atribuir IDs exclusivos para acesso

Em vez de ter um único nome de usuário e senha de login para os dados do titular do cartão, os indivíduos que precisam de acesso devem ter credenciais e identificação individual. Isso garante que sempre que alguém acessar os dados do titular do cartão, essa atividade possa ser rastreada até um usuário conhecido ou, pelo menos, imediatamente reconhecida como acesso não autorizado. Para acesso remoto, é necessária uma autorização de dois fatores que fornece uma camada extra de segurança.

9. Restringir o acesso físico aos dados

Todos os dados do titular do cartão no local devem ser mantidos fisicamente em um local seguro, monitorados e exigem registros. Procedimentos para identificar rapidamente as pessoas que não pertencem devem ser implementados. Os backups também devem ser mantidos em um site secundário seguro. Por fim, quando o negócio não precisa mais dos dados, eles devem ser destruídos.

10. Auditar Redes Regularmente

A conformidade com o PCI exige que as empresas de comércio eletrônico monitorem e testem suas redes regularmente para garantir que não haja vulnerabilidades físicas ou sem fio. São necessárias trilhas de auditoria automatizadas, juntamente com a capacidade de reconstruir eventos, caso ocorra uma violação. Os dados de auditoria devem ser protegidos e mantidos por pelo menos um ano.

11. Verificar e testar vulnerabilidades

Vulnerabilidades acontecem devido à atividade cibercriminosa, mau funcionamento, erro humano e introdução de novo código. Isso significa que todos os sistemas e processos internos e externos devem ser testados trimestralmente para garantir que a segurança seja mantida. Outros requisitos contínuos do PCI DSS incluem testes de penetração, bem como o uso de sistemas de detecção e prevenção de intrusão. Além disso, o monitoramento de arquivos é necessário para conformidade com PCI para que os alertas sejam emitidos sempre que um usuário modifique o conteúdo, a configuração ou um arquivo do sistema de maneira não autorizada.

12. Políticas de Segurança de Documentos

O inventário de equipamentos, softwares e funcionários que têm acesso aos dados precisarão ser documentados para fins de conformidade. Os registros de acesso aos dados do titular do cartão e a forma como as informações chegam à sua empresa, onde são armazenadas e como são usadas após as vendas também devem ser documentadas. Além disso, um indivíduo ou uma equipe precisa ser nomeado para criar iniciativas de conscientização de segurança e para selecionar possíveis funcionários, contratados, etc. como parte do processo de contratação para evitar violações de dados internos.

Orçamento para conformidade com PCI

Alcançar e manter as 12 etapas de conformidade com o PCI, sem dúvida, custará dinheiro. Obviamente, quanto dinheiro dependerá do nível de conformidade de sua empresa, do tamanho de sua organização, da cultura de segurança de sua empresa, do tipo de tecnologia que você usa e se você pode pagar um profissional de TI/PCI dedicado.

No entanto, como o custo da não conformidade pode ser tão grande caso ocorra uma violação de dados (e honestamente não é uma questão de se, mas de quando), vale a pena encontrar o orçamento para isso, mesmo que isso signifique cortar despesas em outros lugares ou aumentar os preços de determinados produtos temporariamente para levantar o dinheiro. No final, você terá um negócio de comércio eletrônico seguro e tranquilidade para você e seus clientes.

Reduza as preocupações com a segurança de dados com o Fulfillment Lab

A tecnologia oferece muitos benefícios aos varejistas de comércio eletrônico, desde o monitoramento do estoque até o rastreamento de remessas, processamento de pagamentos e segurança dos dados do cliente. É claro que adquirir esses sistemas requer um grande investimento financeiro — e sempre há uma curva de aprendizado!

Ao transferir o atendimento de pedidos para o The Fulfillment Lab, líder em marketing de comércio eletrônico com 14 instalações internacionais, tire o fardo do envio de suas mãos. Você também reduzirá muitas de suas preocupações com a conformidade com PCI porque terá acesso ao nosso software de ponta Global Fulfillment System (GFS) . Esse sistema seguro permite monitorar o estoque, rastrear remessas, personalizar embalagens e processar pagamentos. Não deixe de conferir nosso blog, 10 razões para usar um centro de atendimento para seu envio de comércio eletrônico , para saber mais, e não hesite em nos contatar para saber mais.