O que é PCI DSS?

Hackers seguem o dinheiro, de modo que as transações financeiras são um foco para fraudes e atividades de criminosos virtuais. Por exemplo, em 2022, um relatório da Akamai descobriu que os ataques a as aplicações Web e API contra empresas de serviços financeiros cresceram 257% em comparação com o ano anterior. Além disso, os dados da Federal Trade Commission mostram que os consumidores perderam quase 8,8 mil milhões de dólares em 2022 devido à fraude financeira, um aumento de 44% em relação aos números de 2021.

Para ajudar a combater a fraude financeira e o crime financeiro com dados de cartões de pagamento, o PCI, Conselho de Normas de Segurança, criou uma norma de segurança de informações conhecida como PCI DSS (Payment Card Industry Data Security Standard). Veja aqui o que os requisitos da PCI DSS exigem.

A PCI DSS é um conjunto de normas de segurança lançadas em 2004; essas normas se aplicam a qualquer organização que aceite, processe, armazene ou transmita dados de cartão de crédito. A PCI DSS é administrada pelo PCI SSC (Payment Card Industry Security Standards Council, conselho de normas de segurança do setor de cartões de pagamento), formado por um consórcio de grandes empresas de cartões de crédito: Mastercard, Visa, Discover, American Express, e JCB.

A PCI DSS agora é um norma reconhecida globalmente para aplicar a segurança de dados de cartões de pagamento e evitar violações de segurança. No entanto, esse norma de segurança cibernética está sujeita a alterações devido a ameaças emergentes e em evolução. A versão mais recente é a PCI DSS v4.0, lançada em março de 2022, e a conformidade total é necessária em março de 2025 (12 meses após a PCI DSS v3.2.1 ser desativada em março de 2024).

A PCI DSS trata de uma variedade de ameaças, incluindo as seguintes:

• Malware
• Phishing
• Controle de acesso remoto e autenticação
• Senhas fracas
• Software herdado
• Skimming de cartões

Os 12 controles para proteger dados de titulares de cartão cobertos pela PCI DSS baseiam-se no ethos "pessoas, processos e tecnologia". Os controles incluem o uso de um firewall, minimização de dados, transmissão criptografada de dados de titulares de cartão, controles de acesso robustos, software antivírus e teste de penetração regular e avaliação de risco de vulnerabilidade, gerenciamento de patches e controle de ambiente seguro geral.

Qualquer empresa que lida com transações financeiras é alvo de criminosos virtuais, que seguem o dinheiro. Espera-se que as perdas de eCommerce relacionadas a fraudes de pagamento on-line chegue a mais de 48 bilhões de dólares em todo o mundo até o final de 2023. O A Pesquisa Global de Crimes Econômicos e Fraudes da PwC 2022 descobriu que mais da metade dos entrevistados enfrentou fraude financeira nos últimos dois anos. De acordo com a Verizon, no Relatório Data Breach Investigations de 2023 (DBIR), no setor financeiro, o uso indevido de privilégios está por trás da maioria das violações de dados.

Como o norma PCI DSS se aplica a qualquer organização que aceite, processe, armazene ou transmita dados de titulares de cartão, os seguintes tipos de organizações devem demonstrar a conformidade com o norma:

• Comerciantes de todos os tamanhos
• Instituições financeiras
• Processadores de pagamento, baseados em hardware e software
• Fornecedores de POS (Point-Of-Sale, ponto de venda)

Exemplos de organizações afetadas pela PCI DSS incluem:

Pequenos comerciantes e varejistas

Pequenas e médias empresas (PME) correm tanto risco de uma violação grave de dados como suas contrapartes maiores. De acordo com o DBIR de 2022, 61% das PMEs enfrentaram pelo menos um tipo de violação de dados. Os pequenos estabelecimentos devem estar em conformidade com os princípios da PCI DSS, sob os quais existem quatro níveis de conformidade do estabelecimento:

Nível 1: Processar mais de 6 milhões de transações de cartão anualmente

Nível 2: Processar 1 a 6 milhões de transações anualmente

Level 3: Processar 20.000 a 1 milhão de transações anualmente

Level 4: Processar menos de 20.000 transações anualmente

Os pequenos estabelecimentos devem garantir que a segurança seja abordada como um exercício abrangente: garantir que os sistemas de TI estejam protegidos usando firewalls, implementar controles de acesso robustos e aplicar criptografia aos dados dos titulares de cartão. Para alcançar e simplificar esse nível de segurança de 360 graus, as PMEs devem procurar soluções que possam proteger dados, dispositivos e pessoas.

Prestadores de serviços

Um prestador de serviços é qualquer empresa que possa afetar a segurança dos dados de pagamento, mesmo que pertença a outra organização. A PCI DSS tem dois níveis de conformidade que dependem dos níveis de transação tratados pelo prestador de serviços:

Nível 1 Prestador de serviçosr: 300.000 transações ou mais por ano (2,5 milhões transações ou mais para a American Express)

Prestador de serviços de nível 2: Menos de 300.000 transações por ano (menos de 2,5 milhões de transações para a American Express)

Dessa maneira, como acontece com os estabelecimentos de pequenas e médias empresas, os prestadores de serviços devem seguir as medidas e os controles de segurança da PCI DSS.

Sim, a Akamai é certificada como um prestador de serviços PCI DSS Nível 1, o mais alto nível de avaliação disponível. A Akamai também oferece uma variedade de soluções que ajudam sua organização a cumprir os seis pilares da PCI DSS. As seguintes soluções da Akamai oferecem controles de segurança compatíveis com PCI para ajudar a atender aos requisitos de PCI 12:

App & API Protector com proteção contra malware: Garanta a conformidade do registro e proteja contra vazamento de dados PII, ataques de dia zero e CVEs, bem como outros ataques baseados em borda.

API Security: Detecte e atenue o comportamento da API e o abuso lógico, protegendo o site, os ativos e a perda de PII.

Client-side Protection & Compliance: Mantenha um inventário e uma justificativa de todos os scripts executados no navegador, monitore as alterações no comportamento do script e sinalize qualquer atividade suspeita de script.

Akamai Guardicore Segmentation: Defina o escopo dos ativos regulamentados para obter mais facilmente a conformidade.

Secure Internet Access Enterprise: Bloqueie ou monitore uploads de conteúdo que apresentam dados PII, PCI, DSS ou HIPAA.