As vendas de e-commerce estão crescendo mais rápido do que nunca. Em 2023, as vendas globais de e-commerce ultrapassaram 6,5 trilhões de dólares (estudo em inglês) e espera-se que superem 8,1 trilhões de dólares até 2026.
À medida que mais clientes compram online, eles compartilham mais dados pessoais e financeiros com marcas de confiança.
Infelizmente, à medida que os consumidores compartilham dados sensíveis de autenticação online, hackers aparecem para tentar roubar essas informações. E, se sua empresa processa pagamentos online, você está na lista deles.
De acordo com o relatório (em inglês) HUMAN Enterprise Bot Fraud de 2023, em média, 48% das tentativas de login em 2022 foram maliciosas. Isso representa um aumento de 108% em relação ao ano anterior em ataques de tomada de conta. Até mesmo algumas das maiores empresas de e-commerce, como a Yum! Brands, controladora do KFC, Taco Bell e Pizza Hut, anunciaram um ataque cibernético em abril de 2023 (artigo em inglês) que pode ter exposto dados de funcionários.
Enquanto os consumidores continuam a comprar online, marcas e varejistas precisam entender que as pessoas só comprarão com sua empresa se confiarem na segurança do seu site. A Baymard descobriu que a taxa média de abandono de carrinho online é de 70,19% (estudo em inglês).
Isso levanta a questão: o que você pode fazer para prevenir violações de segurança cibernética e conquistar a confiança de seus clientes?
Primeiro, tornar-se compatível com o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS).
Depois, realizar um checklist de PCI DSS para ter certeza de que tudo foi implementado como se deve.
O que é PCI DSS?
A conformidade com o PCI DSS refere-se ao Padrão de Segurança de Dados da Indústria de Cartões de Pagamento. É um padrão de segurança da informação definido pelo Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento, criado para melhorar os processos, verificações e equilíbrios existentes que protegem os dados dos portadores de cartões.
Aplica-se a qualquer organização que armazene, processe ou transmita dados de cartões de crédito de empresas como Visa, Mastercard, Discover, American Express e JCB.
Em dezembro de 2004, as principais marcas de cartões de crédito formaram o Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento (PCI SSC), a organização responsável pelo PCI DSS. Desde então, o PCI SSC lançou várias versões atualizadas dos padrões PCI DSS. A atualização mais recente — PCI DSS v4.0.1 (artigo em inglês) — foi lançada em junho de 2024.
De acordo com um documento elaborado pelo conselho, o PCI DSS v4.x incorpora várias mudanças, incluindo:
- Trabalhar para atender continuamente às necessidades de segurança do setor de pagamentos, expandindo os requisitos de autenticação multifatorial e atualizando os requisitos de senha.
- Promover a segurança como um processo contínuo para se manter à frente do cibercrime. Um exemplo inclui a adição de orientações para ajudar as pessoas a implementar e manter a segurança.
- Aumentar a flexibilidade para organizações que utilizam diferentes métodos para apoiar a inovação em aplicações de pagamento. Isso inclui a permissão para contas em grupo, compartilhadas e genéricas.
- Aprimorar métodos e procedimentos de validação para apoiar a transparência. Isso inclui relatórios melhores.
Os padrões de conformidade PCI foram desenvolvidos para proteger emissores de cartões e portadores de cartões, garantindo que os comerciantes atendam a requisitos técnicos, operacionais e de segurança globais para manter todos os dados de pagamento seguros.
Exemplos de violações de dados
A maior violação de dados da história é atribuída ao Yahoo!, quando, em 2013, espiões russos invadiram o banco de dados da empresa enviando e-mails falsos para funcionários do Yahoo! e comprometeram três bilhões de contas.
A seguir, alguns exemplos das violações de dados mais recentes em e-commerce.
Ataque à plataforma de e-commerce da Honda (2023)
Em 2023, a plataforma de e-commerce da Honda para equipamentos de potência, jardinagem e produtos marinhos foi comprometida devido a uma vulnerabilidade significativa na API. Essa falha permitiu redefinições de senha não autorizadas para qualquer conta, potencialmente concedendo acesso total de administrador sem precisar da senha atual ou de um token de segurança. A violação expôs dados sigilosos, incluindo 21.393 pedidos de clientes (artigo em inglês), 1.570 sites, 3.588 contas e 1.090 e-mails de revendedores, e 11.034 e-mails de clientes de agosto de 2016 a março de 2023. As vulnerabilidades foram corrigidas pela Honda em abril de 2023 após uma divulgação responsável em março.
Exposição de dados da Luxottica (2023)
A Luxottica, a maior empresa de óculos do mundo, sofreu uma violação de dados em 2023 que expôs as informações pessoais de mais de 70 milhões de clientes (artigo em inglês). A violação ocorreu devido a um ataque cibernético a um parceiro da Luxottica em 2021, com o banco de dados contendo aproximadamente 300 milhões de registros de clientes dos Estados Unidos e Canadá sendo vazados em fóruns de hacking em abril e maio de 2023. Os dados vazados incluíam endereços de e-mail, nomes completos, endereços residenciais e datas de nascimento, mas não continham informações financeiras, números de seguridade social ou credenciais de login.
Violação de dados da JD Sports (2023)
A JD Sports, um dos principais varejistas de marcas de esportes, moda e ao ar livre, relatou um ataque cibernético em 2023 que potencialmente acessou as informações pessoais e financeiras de 10 milhões de clientes (artigo em inglês). A violação visou pedidos online feitos entre novembro de 2018 e outubro de 2020 em várias marcas da JD Sports. As informações potencialmente acessadas incluíam nomes, endereços de cobrança e entrega, números de telefone, detalhes do pedido e os últimos quatro dígitos dos cartões de pagamento. A JD Sports notificou o Escritório do Comissário de Informação e começou a contatar os clientes afetados em janeiro de 2023.
Minha empresa precisa estar em conformidade com o PCI?
Você pode estar se perguntando se precisa ou não estar em conformidade com o. A resposta é sim e não.
Tecnicalmente, algumas leis não exigem conformidade com o PCI. Todas as principais empresas de cartões de crédito exigem conformidade com o PCI quando sua organização armazena, processa ou transmite dados de portadores de cartões.
Se você não cumprir, as empresas de cartões de crédito podem:
- Impor multas (que podem variar de US$ 5.000 a US$ 500.000 por mês)
- Suspender suas permissões de uso de cartão de crédito
- Aumentar suas taxas de transação
- Emitir um aviso de Ponto Comum de Compra (CPP)
- Considerá-lo responsável por cobranças fraudulentas
“Qualquer empresa de varejo que realiza transações com as principais empresas de cartões de crédito é obrigada por esses esquemas a aderir aos requisitos do PCI DSS,” diz Mitangi Parekh, gerente sênior de marketing da eSentire.
“Os varejistas têm acesso aos dados dos cartões de crédito e esses dados não estão apenas sendo armazenados por eles em algum tipo de caixa trancada. Eles são transmitidos e processados, muitas vezes com fornecedores terceirizados com os quais o varejista pode fazer negócios. Portanto, estar em conformidade com os requisitos do PCI DSS ajuda os varejistas a determinar os controles, políticas ou práticas necessárias para ajudar a reduzir os riscos cibernéticos específicos do varejo,” diz Parekh.
Seguir os padrões de conformidade e implementar uma checklist de PCI DSS não é apenas uma questão de evitar multas. Trata-se de proteger seus clientes e seus dados pessoais. Quando você faz tudo o que pode para reduzir o potencial de violações de dados, aumenta a credibilidade do seu negócio e a confiança dos seus clientes.
Checklist de PCI DSS para e-commerce
A boa notícia é que, se você lançar seu e-commerce em uma solução SaaS como a Shopify, sua loja será PCI compliant desde o início. Você não precisará se preocupar em seguir etapas rígidas todos os anos para garantir a conformidade.
“O melhor conselho para um novo empreendedor de e-commerce é escolher uma plataforma que já seja PCI compliant, para que você esteja coberto por padrão. A conformidade com o PCI é muito cara, o que varejistas maiores e mais estabelecidos podem investir, mas não é prático para pequenas empresas,” diz Parekh.
Se você optar por investir em uma solução comercial de PCI ou em uma plataforma de conformidade PCI de código aberto, sua equipe de TI precisará seguir esta checklist de PCI DSS com 12 etapas. Esta é uma visão geral de alto nível, mas é recomendável consultar os requisitos do PCI DSS (em inglês).
- Instalar e manter controles de segurança de rede
- Aplicar configurações seguras a todos os componentes do sistema
- Proteger dados de contas armazenados
- Proteger dados dos portadores de cartões com criptografia forte
- Proteger todos os sistemas e redes de software malicioso
- Desenvolver e manter sistemas e software seguros
- Restringir o acesso aos dados dos portadores de cartões com base na necessidade de saber
- Identificar usuários e autenticar o acesso aos componentes do sistema
- Restringir o acesso físico aos dados dos portadores de cartões
- Registrar e monitorar todo o acesso aos componentes do sistema e dados dos portadores de cartões
- Testar a segurança de sistemas e redes regularmente
- Apoiar a segurança da informação com políticas e programas organizacionais
1. Instalar e manter controles de segurança de rede
Instalar e manter controles de segurança de rede (NSCs) significa utilizar soluções como políticas de rede e firewalls para proteger os dados dos portadores de cartões. Isso inclui permitir apenas o tráfego confiável a entrar no seu ambiente de dados dos portadores de cartões (CDE), configurar e manter os NSCs adequadamente e criar uma zona altamente segura para todo o armazenamento de dados de cartões.
2. Aplicar configurações seguras a todos os componentes do sistema
Hackers tentam invadir com frequência sistemas usando configurações padrão para acessar informações sensíveis. Como as configurações padrão, como senhas padrão, são facilmente determinadas por meio de informações públicas, certifique-se de aplicar configurações seguras aos componentes do sistema. Além disso, altere as senhas padrão e torne-as mais seguras.
3. Proteger dados de contas armazenados
Se você está armazenando informações de cartões de crédito ou outros dados sigilosos, certifique-se de ter métodos de proteção como criptografia ponto a ponto, truncamento, mascaramento e hashing. Faça tudo para minimizar os riscos. Isso inclui não armazenar informações desnecessárias, truncar dados dos portadores de cartões e não enviar informações sensíveis por e-mail ou mensagens instantâneas.
4. Proteger dados dos portadores de cartões com criptografia forte
Use criptografia forte para proteger dados, especialmente durante a transmissão em redes que são altamente vulneráveis a ataques — especialmente redes públicas.
5. Proteger todos os sistemas e redes de software malicioso
Malware inclui coisas como Trojans, spyware, vírus, worms, ransomware, rootkits e links. Hackers usam esses métodos para infiltrar um sistema de computador. Proteja seus portadores de cartões com soluções de software anti-malware e antivírus.
6. Desenvolver e manter sistemas e software seguros
Evite invasões com a ajuda de patches de segurança fornecidos pelos fornecedores, monitorando o ciclo de vida do seu software (SLC) e implementando técnicas de codificação seguras. Certifique-se de que os componentes do sistema tenham patches de software que protejam contra comprometimentos e malware.
7. Restringir o acesso aos dados dos portadores de cartões com base na necessidade de saber
Assegure-se de que dados críticos sejam acessíveis apenas por sistemas autorizados com base na necessidade de saber. Crie regras que concedam acesso e privilégios específicos ao pessoal de TI para realizar apenas as tarefas necessárias.
8. Identificar usuários e autenticar o acesso aos componentes do sistema
Autentique usuários estabelecendo sua identidade e implementando um processo de verificação. Considere exigir que os usuários apresentem prova de identificação para verificar quem são. Além disso, implemente autenticação multifatorial (MFA) para proteger o acesso a sistemas de alto valor e prevenir abusos.
9. Restringir o acesso físico aos dados dos portadores de cartões
Proteja a exfiltração de dados dos portadores de cartões restringindo o acesso físico. Isso significa remover cópias impressas e qualquer outro documento ou dispositivo físico que contenha informações sensíveis. Este requisito geralmente se aplica a comerciantes que gerenciam totalmente sua infraestrutura de pagamento.
10. Registrar e monitorar todo o acesso aos componentes do sistema e dados dos portadores de cartões
Outra etapa crítica na proteção dos dados dos portadores de cartões é implementar mecanismos de registro e rastrear as atividades de usuários e sistemas. Registros em componentes do sistema ajudam no rastreamento, alteração e análise em caso de uma violação.
11. Testar a segurança de sistemas e redes regularmente
Hackers não descansam, então não ignore a verificação da segurança do seu sistema. Implemente ferramentas, processos e teste redes para “estressar” sua segurança frequentemente.
12. Apoiar a segurança da informação com políticas e programas organizacionais
Dedique tempo para colocar suas informações de segurança e conformidade por escrito e construir um programa para manter a conformidade durante todo o ano. Em seguida, eduque todos os seus funcionários sobre quais são suas políticas de conformidade e como eles podem desempenhar um papel crítico na proteção dos dados de seus clientes.
Requisitos e níveis de conformidade PCI para e-commerce
Os níveis de conformidade variam dependendo se você é um lojista ou um prestador de serviços. Para lojistas de e-commerce, existem quatro níveis diferentes de conformidade, e cada um pode variar ligeiramente dependendo do esquema de cartão de crédito.
Você pode determinar seu nível de conformidade PCI avaliando quantas transações você processa anualmente através do seu respectivo provedor de cartão de crédito. Aqui está uma análise mais detalhada dos níveis de conformidade da Visa, Discover e Mastercard para ajudá-lo a determinar o seu.
| Nível de Conformidade PCI | Transações por ano | Requisitos de validação |
|---|---|---|
| Nível 1 | Mais de 6 milhões |
|
| Nível 2 | 1 milhão a 6 milhões |
|
| Nível 3 | 20.000 a 1 milhão |
|
| Nível 4 | Menos de 20.000 |
|
Nível de Conformidade PCI 1
O Nível 1 é o mais alto nível de conformidade. É para lojistas que processam mais de seis milhões de transações anualmente. Este nível também inclui todos os processadores terceirizados (TPPs) que processam mais de 300.000 transações a cada ano.
Os requisitos de validação do Nível 1 de conformidade PCI incluem:
- Avaliação Anual no Local por um Avaliado de Segurança Qualificado (QSA) para completar um Relatório Anual de Conformidade (ROC)
- Escaneamentos trimestrais de vulnerabilidades de rede por um fornecedor de escaneamento aprovado (ASV) para produzir uma atestação de escaneamento.
- Envio anual do AOC e ROC para demonstrar conformidade com todos os mais de 300 requisitos e sub-requisitos do PCI DSS
Nível de Conformidade PCI 2
O Nível 2 é para lojistas que processam entre um milhão e seis milhões de transações anualmente. Também inclui processadores terceirizados (TPPs) que processam menos de 300.000 transações a cada ano.
Os requisitos de validação do Nível 2 de conformidade PCI incluem:
- Autoavaliação anual usando um questionário de autoavaliação (SAQ) adequado de acordo com as Instruções e Diretrizes do PCI SSC para SAQ
- Escaneamentos de rede trimestrais por um fornecedor de escaneamento aprovado (ASV)
- Envio anual de um AOC baseado em SAQ para demonstrar conformidade com todos os requisitos aplicáveis do PCI DSS
Nível de Conformidade PCI 3
O Nível 3 é para lojistas de e-commerce menores que processam de 20.000 a um milhão de transações a cada ano.
Os requisitos de validação do Nível 3 de conformidade PCI incluem:
- Autoavaliação anual usando um questionário de autoavaliação (SAQ) adequado de acordo com as Instruções e Diretrizes do PCI SSC para SAQ
- Escaneamentos de rede trimestrais por um fornecedor de escaneamento aprovado (ASV)
- Envio anual de um AOC baseado em SAQ para demonstrar conformidade com todos os requisitos aplicáveis do PCI DSS
Nível de Conformidade PCI 4
O Nível 4 é para empresas que processam quantidades menores de transações anualmente. Comerciantes que processam menos de 20.000 transações por ano são considerados Nível 4.
Os requisitos de validação do Nível 4 de conformidade PCI incluem:
- Autoavaliação anual usando um questionário de autoavaliação (SAQ) adequado de acordo com as Instruções e Diretrizes do PCI SSC para SAQ
- Escaneamentos de rede trimestrais por um fornecedor de escaneamento aprovado (ASV)
- Envio anual de um AOC baseado em SAQ para demonstrar conformidade com todos os requisitos aplicáveis do PCI DSS
Tipos de plataformas de conformidade PCI para e-commerce
A questão não é se você precisa alcançar a conformidade PCI — pois isso você precisa. A pergunta é: que tipo de plataforma você deve usar para estar em conformidade com o PCI?
Assim como existem diferentes opções para criar, gerenciar e hospedar sites online (por exemplo, auto-hospedados, dedicados ou compartilhados), também existem diferentes opções de software que ajudarão seu e-commerce a se tornar PCI compliant.
A escolha dependerá do tamanho da sua loja, expertise, orçamento, equipe de TI e objetivos.
Aqui estão os três principais tipos de plataformas de conformidade PCI para e-commerce e uma análise mais detalhada de como você pode ser compatível em todos os três:
- Software comercial
- Software de código aberto
- Software hospedado como serviço (SaaS)
Software comercial PCI certificado
Comprar um software comercial PCI certificado é como optar por hospedagem dedicada para um site.
Em vez de pagar a uma empresa de hospedagem para ajudá-lo com todos os detalhes de se tornar PCI compliant, você compra e mantém seu próprio hardware e licença de software comercial. Com essa opção, você é o único responsável pela licença e certificação da sua loja, mas o software comercial PCI facilitará isso.
Esses provedores de soluções comerciais PCI certificados são normalmente reservados para e-commerces grandes e amplamente reconhecidos que têm:
- Conformidade de e-commerce Nível 1
- Mais de seis milhões de transações anualmente
- Suporte robusto de TI
- Orçamentos grandes para instalar, personalizar e manter o e-commerce e os requisitos de conformidade PCI
Conclusão: Se você está expandindo seu novo e-commerce, não tem milhões de transações para gerenciar ou está buscando a conformidade PCI pela primeira vez, essa opção não é para você.
Software de código aberto
O software de código aberto para conformidade PCI é como o WooCommerce, onde você tem acesso a programações de código aberto e pode fazer suas próprias personalizações para aumentar a segurança.
Com essa opção, você pagará pelo seu hardware, mas não precisará se preocupar em pagar uma taxa de licença de software.
O software de código aberto é uma boa solução para grandes e-commerces com equipes dedicadas de desenvolvimento e conformidade que escrevem seu próprio código e podem aproveitar ao máximo a personalização e flexibilidade oferecidas por soluções de código aberto. Em outras palavras, um software de código aberto permitirá que sua equipe técnica e especialista em PCI avance com a codificação e assuma total responsabilidade pela construção e manutenção contínua dos controles de conformidade necessários.
Conclusão: Se você está criando um e-commerce altamente personalizado com requisitos complexos e únicos, mas tem um orçamento amplo, recursos e expertise interna para atender a todos os mais de 300 requisitos do PCI DSS, então o código aberto pode ser para você.
Software hospedado como serviço (SaaS)
Usar uma solução SaaS de conformidade PCI hospedada é como construir um site em uma plataforma de hospedagem compartilhada.
A maioria das grandes plataformas de e-commerce (como a Shopify) fornece SaaS hospedado como parte de seu serviço. Em outras palavras, você pode criar uma loja na Shopify e não se preocupar com a segurança do seu site — porque a conformidade PCI está embutida na Shopify.
“A maioria dos e-commerces normalmente não precisa fazer nada específico para se tornar PCI compliant, simplesmente porque se a loja estiver hospedada em uma plataforma como a Shopify, ela será automaticamente PCI compliant,” diz Parekh.
É fundamental lembrar, no entanto, que não importa qual opção você escolha (mesmo hospedada), você ainda terá que preencher um questionário de autoavaliação se for um comerciante de Nível 2 a 4. Se você for um comerciante de Nível 1, terá que preencher o questionário e um ROC. Portanto, existem responsabilidades de conformidade compartilhadas, mas uma plataforma PCI compliant, como a Shopify, cuida dos aspectos mais desafiadores em nome do comerciante, aqueles que consomem recursos e são caros.
Conclusão: Se você está construindo um e-commerce em uma plataforma como a Shopify, essa opção é para você. Você não precisa se preocupar em gastar dinheiro com hardware, licenças ou equipes dedicadas de engenharia e conformidade, e você permanecerá PCI compliant com pouco esforço.
Por que ser PCI compliant é importante para o seu negócio
Hackers estão em toda parte no mundo tecnológico de hoje, e eles estão se tornando mais astutos a cada dia. Em 2022, o Centro de Queixas de Crimes na Internet (IC3) recebeu quase 801.000 relatórios de crimes cibernéticos (artigo em inglês), com danos financeiros ultrapassando 10,3 bilhões de dólares. Apesar de uma leve diminuição no número de queixas, que caiu 5% em relação ao ano anterior, o impacto financeiro desses crimes aumentou impressionantes 49%.
À medida que a internet cresce e os hackers se tornam melhores no que fazem, é fundamental que os e-commerces tomem medidas para aumentar a segurança.
A maneira de proteger dados sigilosos e continuar a conquistar a confiança dos consumidores e das redes de pagamento é seguindo os padrões de conformidade PCI.
“Cumprir os padrões do PCI SSC garante que você implementou as melhores práticas para se proteger contra ameaças e reduzir os riscos cibernéticos que impactam as organizações de varejo,” diz Parekh. “Além disso, se você não puder provar que seu e-commerce é PCI compliant, muitos esquemas de pagamento com cartão de crédito não permitirão que você transmita, armazene ou até processe transações.”
Acima de tudo, expandir um e-commerce requer que você ganhe a confiança de seus clientes — e você não pode fazer isso se os dados deles não estiverem seguros com você.
Mantenha seu site seguro com a Shopify
Quando a situação aperta, a responsabilidade é sua de proteger as informações do cartão de crédito de seus clientes e quaisquer outros dados sigilosos.
Salvo se você for um desenvolvedor altamente qualificado e experiente em conformidade, com experiência em proteger e-commerces e garantir que sejam 100% PCI compliant, a melhor maneira de proteger os dados dos clientes é com um pouco de ajuda.
Em outras palavras, é melhor contar com a ajuda de uma ferramenta SaaS hospedada (como a Shopify) para manter os dados do cartão de crédito de seus clientes seguros. Quando você configura seu e-commerce com a Shopify, pode ter certeza de que ele será PCI compliant.
Ilustração por Melanie Peters
Perguntas frequentes sobre checklist de PCI DSS
O que significa estar em conformidade com o PCI DSS?
Estar em conformidade com o PCI DSS significa que sua empresa está seguindo o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI) e cumpriu todos os requisitos para manter os dados dos clientes seguros.
O PCI DSS é um conjunto de requisitos projetados para garantir a segurança das informações de cartões de crédito armazenadas e processadas por sistemas computacionais. Esses padrões foram criados pela indústria de pagamentos para ajudar a prevenir fraudes e melhorar a segurança dos dados.
Meu e-commerce precisa ser PCI compliant?
A conformidade com o PCI DSS é um requisito para e-commerces que mantêm informações de cartões de crédito, lidam com transações financeiras ou aceitam pagamentos usando cartões de crédito, cartões de débito, cartões pré-pagos e outras formas de pagamento. Se você não cumprir, corre o risco de ser multado ou ter sua conta encerrada. Pior, você pode perder a confiança de seus clientes e arruinar a reputação da sua empresa.
A conformidade PCI afeta todos os aspectos do seu negócio, portanto, é fundamental ser PCI compliant.
Sou obrigado por lei a me tornar PCI compliant?
Você não é obrigado por lei federal a ter um site PCI compliant. No entanto, alguns estados exigem que e-commerces sejam PCI compliant. Vale a pena pesquisar os requisitos do governo do seu estado ou região para descobrir quais são as leis e como elas se aplicam ao seu negócio. Além disso, comerciantes que não atendem aos requisitos do PCI DSS correm o risco de serem negados serviços de processadores de pagamento por seus adquirentes ou bancos devido à não conformidade.
Quais são os custos para se tornar PCI compliant?
Os custos de conformidade PCI dependem de vários fatores:
- Pequenas Empresas: A partir de US$ 300 anualmente, incluindo um Questionário de Autoavaliação (SAQ) e escaneamentos de vulnerabilidades.
- Grandes Empresas: Mais de US$ 70.000 para avaliações completas do PCI DSS, com auditorias no local custando cerca de US$ 40.000, além de custos adicionais para escaneamentos, testes e treinamento.
- Custos de Auditoria: Uma auditoria de um Avaliador de Segurança Qualificado (QSA) custa em média US$ 15.000, variando com a complexidade do negócio.
- Custos de Não Conformidade: Multas e taxas aumentadas por não conformidade podem superar os custos de conformidade.
- Manutenção Anual: Os custos contínuos de conformidade variam de US$ 5.000 a US$ 200.000, com base no tamanho e complexidade.
Onde posso encontrar mais informações sobre como se tornar PCI compliant?
Este artigo é uma revisão de alto nível sobre como se tornar PCI compliant. No entanto, se você está optando pela abordagem DIY para se tornar PCI compliant, a melhor coisa a fazer é revisar os requisitos oficiais do PCI DSS.
Quais são os 4 padrões PCI?
Os 4 padrões PCI são:
- PCI DSS (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento)
- PCI PTS (Segurança de Transação PIN da Indústria de Cartões de Pagamento)
- PCI P2PE (Criptografia Ponto a Ponto da Indústria de Cartões de Pagamento)
- PCI SSF (Framework de Segurança de Software da Indústria de Cartões de Pagamento)
Quais são as diretrizes de conformidade PCI?
Os Padrões de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) são um conjunto de diretrizes estabelecidas pelas principais empresas de cartões de crédito para garantir a segurança das transações com cartões de crédito. Essas diretrizes incluem:
- Manter uma rede segura: Instalar e manter um firewall para proteger os dados dos portadores de cartões.
- Proteger os dados dos portadores de cartões: Criptografar dados sensíveis para evitar acesso não autorizado.
- Manter um programa de gestão de vulnerabilidades: Escanear regularmente sistemas e redes em busca de vulnerabilidades e tomar as ações necessárias.
- Implementar medidas de controle de acesso rigorosas: Restringir o acesso aos dados dos portadores de cartões com base na necessidade de saber.
- Monitorar e testar redes regularmente: Monitorar e testar sistemas e processos de segurança, incluindo rastreamento e monitoramento de todo o acesso a recursos de rede e dados dos portadores de cartões.
- Manter uma política de segurança da informação: Manter uma política de segurança da informação em toda a empresa, incluindo treinamento para funcionários e contratados.
