Com a expansão da vendas pelo e-commerce e do mercado de SaaS (Software as a Service, ou Software como Serviço, em português), cresce a necessidade de implementar sistemas de pagamento em aplicações web.
Normalmente, esta funcionalidade é implementada a aplicações por meio de integrações com ferramentas de terceiros. Fazendo isso, o host da aplicação se exime da responsabilidade sobre o manuseio de dados do seu usuário, deixando esta responsabilidade para a empresa que oferece a solução de pagamentos.
Mas este tipo de operação, que envolve a coleta e o tratamento de dados sensíveis do usuário, também vem com requisitos e normas de segurança. Um destes conjuntos de normas é o PCI DSS.
As empresas de meios de pagamento devem estar em conformidade com as normas do PCI DSS para operar regularmente com cartões de crédito e débito. Para entender melhor sobre esse padrão de segurança, continue a leitura!
PCI DSS é um acrônimo para Payment Card Industry Data Security Standard (em português, Padrão de Segurança de Dados da Indústria de Cartões de Pagamento).
Esse padrão de segurança de dados (Data Security Standard — DSS) foi criado em 2006 pelo PCI SSC, a sigla para Payment Card Industry Security Standards Council, ou Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento.
Faziam parte do conselho, à época, as bandeiras American Express, Discover, JCB, MasterCard e Visa.
O padrão foi criado para garantir a segurança de dados sensíveis de usuários no processamento de transações financeiras com cartão via internet. Por exigência do PCI SSC, toda empresa que processe, armazene ou manipule de qualquer forma dados de cartões de pagamento na internet devem estar em conformidade com o PCI DSS.
Para atestar compliance ao padrão, são emitidas certificações para as empresas que manuseiam dados de cartões de pagamento.
Estão protegidos pelo PCI DSS as informações do cartão como número, senha, código de segurança, data de validade, etc.
Além disso, o padrão também protege as informações pessoais do titular do cartão, como nome, endereço e números de documentos como o CPF, no Brasil.
A certificação PCI DSS prevê quatro níveis de compliance em que são classificadas as empresas. A classificação se dá de acordo com o número de transações em compliance com o DSS que a empresa a ser certificada faz ao ano.
Essa classificação em níveis não diz respeito a maior ou menor conformidade com o padrão, mas sim aos requisitos impostos à empresa para se manter compliant com o DSS. Confira quais são os níveis:
É o nível mais alto de compliance. Encaixam-se nesse nível as empresas com mais de 6 milhões de transações anuais com cartões de crédito e débito. Estas transações devem estar em plena conformidade com o padrão de segurança de dados do PCI SSC.
Empresas de nível 1 de compliance têm como requisito passar por uma auditoria anual, feita por terceiros, para verificar a conformidade das transações. Além disso, suas redes são anualmente escaneadas por um Vendedor de Escaneamento Aprovado.
Estas empresas recebem um Atestado de Compliance e um Relatório de Compliance de suas operações.
Empresas classificadas como nível 2 de compliance de acordo com o PCI DSS são aquelas que movimentam entre 1 e 6 milhões de transações com cartão por ano. Estas empresas não necessitam de auditorias externas anuais, mas requerem o preenchimento de um Questionário de Autoavaliação todos os anos.
São classificadas como nível 3 de compliance as empresas com o número anual de transações com cartão entre 20 mil e 1 milhão. Assim como para o nível 2, estas empresas dispensam a necessidade de auditorias externas anuais, mas o Questionário de Autoavaliação se faz igualmente necessário.
As empresas com menos de 20 mil transações anuais com cartão são classificadas como nível 4 de compliance. Estas empresas também cumprem suas obrigações apenas preenchendo o Questionário de Autoavaliação anual, dispensando a necessidade de auditorias externas.
Os 12 requisitos básicos para conformidade com o PCI DSS são divididos em 6 grupos. São eles: segurança da rede; segurança dos dados do titular do cartão; gerenciamento de vulnerabilidades; controle de acesso; testagem e monitoramento de rede; e segurança da informação.
Abaixo, conheça os requisitos de cada grupo:
<h3> Segurança da informação
A iugu tem orgulho de estar em perfeita conformidade com o PCI DSS, possuindo a certificação PCI DSS Compliance Nível 1. Colocamos a segurança em primeiro lugar ao oferecer soluções de pagamento com cartão para aplicações web de todos os portes.
Conheça nossos serviços e garanta a segurança dos seus clientes.