Entenda o que você perde ignorando o padrão PCI-DSS
Sabia que, entre janeiro de 2005 e abril de 2016, mais de 898 milhões de registros contendo informações sensíveis, como dados de cartões de pagamento, foram comprometidos por meio de 4.823 violações de dadas (considerando apenas as que vieram a público)? A informação é da organização PrivacyRights.
Atualmente, nos Estados Unidos e na Europa, 81% das empresas armazenam números de cartões de pagamento, enquanto 71% chegam a armazenar os códigos de verificação de cartões de débito e de crédito. No Brasil, os cartões de pagamento são o meio mais importante para o comércio eletrônico. Em 2015, mais de 73% dos consumidores brasileiros usaram o cartão de crédito para efetuar compras.
Para proteger esses dados, empresas que lidam com transações de cartão de pagamento – transmitem, processam ou armazenam dados de cartões de pagamento – devem estar em conformidade com o padrão PCI-DSS, que prevê a proteção da privacidade e da confidencialidade de dados de cartão de crédito e de débito.
Entenda algumas exigências do padrão PCI-DSS
O PCI-DSS serve para todas as empresas que trabalham com dados de cartões de créditos ou são associadas a eles de alguma maneira. Isso inclui comerciantes de todos os tamanhos, instituições financeiras, fornecedores de plataformas e dispositivos de ponto de venda, e desenvolvedores de hardware e software que criam e operam a infraestrutura global para o processamento de pagamentos.
O padrão teve sua primeira versão divulgada em 2004, como resultado da criação de um conselho instituído pelas principais empresas de cartões de crédito do mundo, como American Express, Discover, JCB International, MasterCard e Visa Inc. Desde então, o padrão PCI-DSS tem recebido uma série de mudanças na tentativa de acompanhar a evolução do cibercrime, em especial, as técnicas de fraude.
Um dos requisitos estabelecidos pelo padrão PCI-DSS é a necessidade de realizar testes automatizados e manuais, como os testes de invasão, para garantir a segurança das aplicações web. Além disso, também há a exigência de instalar e manter configurações de firewall para proteger os donos dos cartões.
O padrão PCI-DSS também exige que as empresas que lidam com dados de cartões de pagamento mantenham um programa de gestão de vulnerabilidades e implementem controles fortes de acesso aos dados, com a restrição do acesso apenas aos indivíduos que realmente precisam trabalhar com essas informações, e a identificação e a autenticação de acesso a todos os componentes do sistema.
As empresas também precisam contar com políticas de segurança de informação para toda a sua força de trabalho, garantindo que todos tenham conhecimento da importância de seguir as regras e saibam como mantê-las.
O perigo de deixar a segurança da informação de lado
Sites e aplicações web vulneráveis são o principal caminho dos hackers para comprometer a rede de empresas de todos os portes e segmentos, colocando em risco dados de pagamentos e outras informações sensíveis de clientes e funcionários e expondo o negócio a ataques que podem custar milhões em custos de remediação e danos à reputação da marca.
Infelizmente, no Brasil, as ações de segurança da infraestrutura acabam sendo privilegiadas em detrimento da segurança de aplicação web – algo que é evidenciado na quantidade de testes de infraestrutura executados em comparação com a quantidade de testes de aplicação web.
As vulnerabilidades podem ocorrer em qualquer ponto do ecossistema de processamento de pagamentos por cartão, como os dispositivos de ponto de venda, dispositivos móveis, computadores pessoais ou servidores, pontos wireless, aplicações de compra na web, sistemas de armazenamento baseados em papel, fornecedores de serviço de transmissão de dados de cartão de crédito e em conexões de acesso remoto.
O padrão PCI-DSS ajuda a mitigar uma série de possíveis vulnerabilidades em todos os pontos do ecossistema de processamento de pagamentos por cartão para proteger essas informações.
Como a iBLISS pode ajudar
O compliance é uma preocupação constante para as empresas da maioria dos segmentos e o preço de ignorar as normas pode ser alto. Segundo uma pesquisa do Instituto Ponemon, no último ano, o prejuízo total das empresas com as violações de dados passou de R$ 3,96 milhões para R$ 4,31 milhões – o custo por cada roubo ou perda de registros passou de R$ 175 mil para R$ 225 mil.
A iBLISS conta com uma série de serviços essenciais para estar em conformidade com importantes regulamentações, incluindo o PCI-DSS. A empresa oferece serviços como testes de invasão e testes gerenciados, além do GAT, uma plataforma que oferece gestão de vulnerabilidades e itens de compliance de forma integrada.
Conheça a estratégia de proteção para compliance da iBLISS.