Escolha uma Página

Uma das áreas que ainda não é tida como necessária por muitas empresas no Brasil é a Segurança da Informação. Muitas empresas cometem o equívoco de achar que nada acontecerá com ela. Porém, com as tecnologias que existem nos dias atuais, ninguém está blindado contra um possível ataque cibernético. Mais cedo ou mais tarde poderá acontecer. A questão aqui é se a sua empresa está preparada e se saberá como proceder quando isso vier a ocorrer. Alguns exemplos de empresas que foram alvos de invasão no ano de 2016 são a Oracle, Dropbox, Yahoo! E SnapChat. Quando o assunto é meio de pagamento online e dados de portadores de cartão, o tema é ainda mais grave. Pensando na proteção dessas informações, em 2006, foi criado o PCI-DSS. O PCI é um conselho formado pelas principais administradoras de cartões, como MasterCard, Visa e American Express.

Mas o que é o PCI-DSS?

O Payment Card Industry – Data Security Standard é um padrão de segurança voltado para a indústria de cartões de pagamento. Essas diretrizes valem tanto para o mundo físico quanto para o online e definem os modelos de segurança através de padrões que devem ser seguidos de forma rigorosa.

Para quem foi feito o PCI-DSS?

Essa certificação é necessária para qualquer empresa que armazene, transmita ou processe informações sigilosas de portadores de cartões. Dados como nome, número do cartão e código de segurança devem ser criptografados para a segurança dos portadores de cartões.

Como é realizado o processo de certificação do PCI-DSS?

O processo do PCI-DSS deve ser acompanhado de uma empresa/pessoa que seja auditora oficial da certificação, chamado QSA – Qualified Security Assessor. Esta pessoa é a responsável por auxiliar e auditar a empresa que está em busca da certificação. A empresa auditada deve atingir todos os requisitos e processos estabelecidos pela norma dentro de um ciclo de 12 meses.

Os requisitos a serem atingidos são diversos, desde instalação de antivírus até testes de penetração e scans de vulnerabilidade no ambiente. Os processos envolvem, por exemplo, auditoria de vida pregressa de novo funcionário, treinamentos de desenvolvimento seguro de aplicações e procedimentos de resposta à incidentes de segurança.

Para muitas empresas este processo é complicado. Além do conhecimento técnico em Segurança da Informação, também é preciso o conhecimento em regras de negócios. Isto pode tornar a conquista da certificação ainda mais difícil e complexa. Algumas ferramentas e tecnologias solicitadas nos controles também podem ser custosas para a empresa o que se torna outro empecilho.

O PCI-DSS é opcional ou obrigatório para a minha empresa?

Se sua empresa trabalha com formas de pagamento através de cartão e manipula dados de clientes, você precisa ser PCI. Caso contrário, o seu negócio pode estar suscetível a fraudes e invasões que podem ocasionar vazamento de dados dos compradores.

Caso estes problemas venham aconteçam, a empresa deve pagar multas altíssimas que são aplicadas pelas operadoras de cartão de crédito.

Trabalho com vendas no cartão, porém não possuo a certificação. E agora?

Não se desespere! Contrate um gateway de pagamento para transacionar suas vendas que possua a certificação PCI-DSS. Ele precisa estar preparado para transmitir, processar e armazenar as informações do comprador de forma segura. Afinal, você precisa de tranquilidade para focar seus esforços na estratégia do seu negócio.
O PCI-DSS é uma escolha excelente se a loja não tem um padrão de segurança e precisa se proteger de fraudes e vazamento de dados. No Brasil, ainda há um número muito grande de empresas que não seguem nenhum protocolo de segurança. A preocupação é real e as providências a serem tomadas são urgentes. Por isso, vá atrás do PCI ou contrate um Gateway que seja certificado.

Quer receber as novidades de e-commerce em primeira mão?

x