Registre-se agora
 
X

Minhas Páginas > Padrão de segurança em compras com cartões e o PCI DSS

Padrão de segurança em compras com cartões e o PCI DSS

Payment Card Industry – Data Security Standard (PCI DSS) é um padrão de segurança de dados voltado para a indústria de cartões de pagamento que define requisitos e procedimentos de segurança que devem ser seguidos de forma rigorosa, tanto no mundo físico quanto no online.


Este artigo fala um pouco da minha experiência de muitos anos trabalhando nesta área de pagamentos com cartões, adicionando informações sobre a norma PCI e também trechos de outros artigos interessantes sobre o assunto.

O PCI DSS aplica-se a todas as entidades envolvidas nos processos de pagamento com cartão — inclusive comerciantes, processadores, adquirentes, emissores e prestadores de serviço. O PCI DSS também se aplica a todas as outras entidades que armazenam, processam ou transmitem dados do titular do cartão e/ou dados de autenticação confidenciais. Não estar em conformidade com a PCI-DSS pode incorrer em multas altíssimas e até em descredenciamento dos estabelecimentos comerciais em aceitar cartões de crédito.


Foi criado por um conselho (PCI Council) que reúne as bandeiras MasterCard, Visa, American Express, JCB e Discover com a intenção de evitar fraudes na indústria de cartões de pagamento.


Os hackers são, em geral, mais velozes do que uma indústria enorme envolvendo bancos, adquirentes, bandeiras e diversos prestadores de serviços. Por esta razão, este conselho resolveu reunir as boas práticas de vários atores para formular um padrão de segurança que garanta o envolvimento e compromisso de todos os atores em uma solução que trafegue, armazene e processe dados de titular de cartão de crédito da forma mais segura possível.


O PCI-DSS contempla 12 requerimentos básicos que podem ser agrupados em grandes linhas a seguir:

  1. Manter a rede de dados segura;

  2. Proteger as informações de portadores de cartão de crédito;

  3. Manter um programa de Gerenciamento de vulnerabilidades;

  4. Implementar um forte controle de acessos;

  5. Manter uma política de segurança de informações.

Mesmo assim, é claro que a norma PCI DSS, que já está na revisão 3.2, vai ficando defasada com requisitos que acabam se tornando obsoletos, justamente por conta da atuação de pessoas dedicadas a burlar regras e procedimentos de segurança nesta indústria gigante e tão interessante financeiramente.


Como exemplo claro desta defasagem da norma, há as recomendações sobre os dados de CVV (Card Verification Value), aquele código de segurança de 3 ou 4 dígitos que moram na parte traseira do cartão de crédito. De acordo com o requisito 3.2.2 do PCI DSS, não é permitido armazenar este conteúdo após a transação de autorização. A intenção deste código é de proteger as transações "cartão não presente", normalmente realizadas por internet. Entretanto, uma equipe de hackers conseguiu desenvolver uma solução simples que descobre o CVV em no máximo 6 segundos. Como conseguiram? Implementando um robô que, a partir dos dados da parte da frente do cartão (número do cartão, titular, data de expiração), bombardeiam em paralelo milhares de sites de compras espalhados pelo mundo tentando as combinações possíveis de CVV. Como os códigos tem normalmente 3 dígitos, em no máximo 1000 tentativas eles descobrem o CVV válido para aquele cartão.


Isto significa que a norma precisará continuar evoluindo e adotando novos critérios e mecanismos de segurança que as bandeiras inventarão no futuro, para tentar conter novas ameaças e brechas descobertas por hackers. O CVV será eventualmente substituído por outro código com mais dígitos, ou algum outro tipo de validação mais moderna, como as transações biométricas etc.


Empresas que se aplicam para obterem o certificado de PCI Compliant e aplicam estas regras e tecnologias em seus processos, estão mais seguras do que as que nunca se preocupam em proteger os dados de cartão dos clientes.


O caminho da certificação parece ser inevitável para quem trafega, processa e transmite dados de cartões de crédito num futuro próximo. As empresas brasileiras, em sua maioria, ainda não aderiram ao PCI, mas as multas por falhas e brechas nos seus dados são muito altas e é quase certo de que não irão se arriscar a levarem uma punição de até US$ 500.000,00 por falha.


Há algumas recomendações úteis nesta caminhada para a certificação. Talvez a mais importante delas seja: se sua empresa realmente não necessita armazenar os dados de cartão do cliente, não armazene. Deixar de guardar estes dados, em média, eliminam 335 requisitos complicados de manter em conformidade.  


Entretanto, há casos em que o armazenamento tende a ser essencial, como por exemplo nas compras com 1 clique (One Click Buy), em que o cliente não deseja digitar mais nenhum dado de seu cartão e efetuar compras de maneira rápida com o seu cartão de sempre, e também as compras recorrentes e assinaturas, onde o cliente nem está mais ali para digitar nada. Ou seja, você precisa ter os dados do cartão guardados em algum local.


Uma solução cada vez mais utilizada para resolver este dilema é a tokenização. Tokenização é um processo que transforma os dados de cartão em um código criptografado, um token. A entidade que armazena os cartões, ou qualquer outra informação sigilosa, é chamada de cofre de dados. Um cofre, que precisa ser PCI Compliant por natureza, oferece o serviço de guardar com máxima segurança qualquer dado que seus clientes desejem, devolvendo um token para os usos futuros. Armazenar o token é permitido pelas normas PCI, logo pode-se utilizar o token recorrentemente para compras futuras sem problemas. Esta tokenização é feita por empresas PCI Compliant e portanto não podem armazenar o CVV também. O que implica em outras soluções de negociação com os processadores de pagamento, para que depois de enviado o CVV na primeira autorização de pagamento, a partir da segunda, o processador aceite transações sem o envio do CVV por confiar que aquela loja com aquele cartão/cliente dali em diante.


Para quem se interessar por mais informações sobre este assunto, aqui está o link da norma PCI DSS v 3.2: https://www.pcisecuritystandards.org/document_library?category=pcidss&document=pci_dss


 

, , , ,

Última atualização 249 dias atrás por Luís Eugênio