Skip to main content

5 Dicas para facilitar a conformidade com a PCI

A conformidade com a PCI pode parecer uma arte arcana se você for um pequeno comerciante, mas você a ignora por sua conta e risco. A não conformidade com os padrões de segurança desenvolvidos pelo Conselho de Padrões de Segurança do PCI (Payment Card Industry) carrega multas de US $ 5.000 a US $ 100.000 por mês.

Os Padrões de Segurança de Dados (DSS) e muitos outros documentos de suporte podem ser facilmente baixados do site. site do conselho, mas para pequenas empresas sem um profissional de segurança de TI, os requisitos podem ser desconcertantes. No entanto, existem algumas coisas que você pode fazer para facilitar o processo de conformidade e as medidas de segurança que ele determina. Embora eu ainda sugira a contratação de um Assessor de Segurança Qualificado (QSA), essas dicas podem apontar você na direção correta.

Não armazene dados do portador do cartão

Para simplificar muito as medidas de segurança necessárias para conformidade com PCI, não salvar ou armazenar dados do portador do cartão em formato digital ou escrito. Use um leitor de cartão, PDV e / ou processador de pagamento que não retenha essas informações em seus sistemas, para que você não tenha que se preocupar em proteger e criptografar esses dados. Consulte os fornecedores de pagamento para obter detalhes sobre seus modelos específicos.

[Leia mais: Como remover malware do seu PC com Windows]

Nunca armazene informações de autenticação do cartão de crédito.

Se você precisar manter os dados do portador do cartão para voltar a ocorrer faturamento ou outros fins comerciais necessários, verifique com seu processador de pagamentos se eles oferecem opções que permitem inserir e armazenar os dados em seus sistemas. Se você precisar armazenar os dados por conta própria, lembre-se de ter que seguir muito mais medidas de segurança e nunca poderá armazenar as informações de autenticação confidenciais: dados de tarja magnética completos, o código de segurança ou o PIN.

Host da Web

Se você vender produtos ou receber pagamentos por meio do seu site, escolha um plano de hospedagem na Web compatível com PCI e um aplicativo de comércio eletrônico ou carrinho de compras. Algumas empresas de hospedagem publicam publicamente seus detalhes de conformidade em seu site, mas em muitos casos você terá que perguntar ao departamento de vendas ou suporte. Para aplicativos de comércio eletrônico e carrinhos de compras, você pode consultar a Lista de aplicativos de pagamento validados do conselho do PCI.

Você provavelmente terá mais chances de alcançar a conformidade com PCI se usar planos de hospedagem compartilhada mais baratos devido à forma como os servidores são divididos entre vários proprietários de sites. Mas você pode conseguir usar um (mesmo não compatível) se escolher uma solução de pagamento hospedada em que os clientes sejam encaminhados a um site compatível para inserir os detalhes do cartão de crédito, como o PayPal Standard, 2Checkout ou Autorizar. Líquido. E você pode querer considerar uma solução de pagamento hospedada mesmo se o seu plano de hospedagem na Web for compatível, a fim de reduzir as medidas de segurança que você deve tomar. No entanto, se você quiser integrar totalmente o processo de pagamento em seu site, talvez seja necessário usar um servidor privado virtual ou dedicado mais caro, que geralmente é compatível com PCI.

Use os terminais dial-up em vez de terminais IP

Os terminais de cartão de crédito de conexão discada se conectam à sua linha telefônica e se comunicam com o processador de pagamento de maneira similar aos modems antigos de 56K conectados à Internet discada. Eles são mais lentos que os terminais baseados em IP, mas podem reduzir bastante o Ambiente de Dados do Portador de Cartão - os computadores e componentes onde as informações do portador do cartão são armazenadas, processadas ou transmitidas - reduzindo as medidas de segurança que você deve seguir. tipo de terminal de cartão de crédito ou sistema de PDV escolhido, certifique-se de que ele é compatível com PCI, seja através do fornecedor ou verificando os dispositivos de segurança de transação de PIN aprovados e / ou a lista de aplicativos de pagamento validados do conselho do PCI. Além disso, verifique com os fornecedores como funcionam os seus terminais e pergunte-se sobre aqueles que facilitam a conformidade.

Use uma rede separada para o processamento de pagamentos

Se você usar terminais de cartão de crédito baseados em IP, talvez seja mais fácil ter uma rede completamente separada com sua própria conexão com a Internet apenas para o processamento do pagamento. Isso pode facilitar as medidas de segurança que você deve tomar durante a configuração inicial da rede e as que você deve seguir no futuro para permanecer compatível com PCI.

Leitores de cartões móveis seguros

Para pequenas empresas que fornecem serviços no local, soluções de leitor de cartão móvel como Square, GoPayment ou PayPal Aqui são muito atraentes. Eles oferecem uma maneira rápida e fácil de começar a aceitar pagamentos com cartão de crédito e podem ser usados ​​com smartphones ou tablets por meio de dados de celular ou conexão Wi-Fi. Embora os atuais requisitos do PCI DSS (versão 2.0) não abordem especificamente os leitores de cartão móvel, as empresas ainda precisam garantir que essas soluções estejam dentro da conformidade com PCI.

A PCI publicou diretrizes de segurança para proteger as soluções de pagamento móvel usadas seus smartphones ou tablets. Basicamente, você deve garantir que os dispositivos móveis sejam mantidos fisicamente e digitalmente protegidos contra roubo, uso não autorizado, malware e invasão. Não faça o jailbreak nem faça o root no seu dispositivo ou habilite outras funções que possam deixar o dispositivo inseguro, como a depuração USB em dispositivos Android. Instale um aplicativo antivírus e faça o download de aplicativos somente de fontes confiáveis, como a loja de aplicativos oficial. E lembre-se de que se os dispositivos móveis estiverem conectados a uma conexão Wi-Fi sob o controle da empresa enquanto estiver usando o leitor de cartões, a rede deve estar em conformidade com o PCI.