Precisa de computação em nuvem? Comece agora mesmo

O que é PCI DSS?

Hackers seguem o dinheiro, de modo que as transações financeiras são um foco para fraudes e atividades de criminosos virtuais. Por exemplo, em 2022, um relatório da Akamai descobriu que os ataques a as aplicações Web e API contra empresas de serviços financeiros cresceram 257% em comparação com o ano anterior. Além disso, os dados da Federal Trade Commission mostram que os consumidores perderam quase 8,8 mil milhões de dólares em 2022 devido à fraude financeira, um aumento de 44% em relação aos números de 2021.

Para ajudar a combater a fraude financeira e o crime financeiro com dados de cartões de pagamento, o PCI, Conselho de Normas de Segurança, criou uma norma de segurança de informações conhecida como PCI DSS (Payment Card Industry Data Security Standard). Veja aqui o que os requisitos da PCI DSS exigem.

Visão geral da PCI DSS

A PCI DSS é um conjunto de normas de segurança lançadas em 2004; essas normas se aplicam a qualquer organização que aceite, processe, armazene ou transmita dados de cartão de crédito. A PCI DSS é administrada pelo PCI SSC (Payment Card Industry Security Standards Council, conselho de normas de segurança do setor de cartões de pagamento), formado por um consórcio de grandes empresas de cartões de crédito: Mastercard, Visa, Discover, American Express, e JCB.

A PCI DSS agora é um norma reconhecida globalmente para aplicar a segurança de dados de cartões de pagamento e evitar violações de segurança. No entanto, esse norma de segurança cibernética está sujeita a alterações devido a ameaças emergentes e em evolução. A versão mais recente é a PCI DSS v4.0, lançada em março de 2022, e a conformidade total é necessária em março de 2025 (12 meses após a PCI DSS v3.2.1 ser desativada em março de 2024).

Diagram illustrating the six areas of PCI DSS compliance

A PCI DSS trata de uma variedade de ameaças, incluindo as seguintes:

  • Malware
  • Phishing
  • Controle de acesso remoto e autenticação
  • Senhas fracas
  • Software herdado
  • Skimming de cartões

Controles de segurança da PCI DSS

Os 12 controles para proteger dados de titulares de cartão cobertos pela PCI DSS baseiam-se no ethos "pessoas, processos e tecnologia". Os controles incluem o uso de um firewall, minimização de dados, transmissão criptografada de dados de titulares de cartão, controles de acesso robustos, software antivírus e teste de penetração regular e avaliação de risco de vulnerabilidade, gerenciamento de patches e controle de ambiente seguro geral.

Tipos de organizações necessárias para cumprir com a PCI DSS

Qualquer empresa que lida com transações financeiras é alvo de criminosos virtuais, que seguem o dinheiro. Espera-se que as perdas de eCommerce relacionadas a fraudes de pagamento on-line chegue a mais de 48 bilhões de dólares em todo o mundo até o final de 2023. O A Pesquisa Global de Crimes Econômicos e Fraudes da PwC 2022 descobriu que mais da metade dos entrevistados enfrentou fraude financeira nos últimos dois anos. De acordo com a Verizon, no Relatório Data Breach Investigations de 2023 (DBIR), no setor financeiro, o uso indevido de privilégios está por trás da maioria das violações de dados.

Como o norma PCI DSS se aplica a qualquer organização que aceite, processe, armazene ou transmita dados de titulares de cartão, os seguintes tipos de organizações devem demonstrar a conformidade com o norma:

  • Comerciantes de todos os tamanhos
  • Instituições financeiras
  • Processadores de pagamento, baseados em hardware e software
  • Fornecedores de POS (Point-Of-Sale, ponto de venda)

Exemplos de organizações afetadas pela PCI DSS incluem:

Pequenos comerciantes e varejistas

Pequenas e médias empresas (PME) correm tanto risco de uma violação grave de dados como suas contrapartes maiores. De acordo com o DBIR de 2022, 61% das PMEs enfrentaram pelo menos um tipo de violação de dados. Os pequenos estabelecimentos devem estar em conformidade com os princípios da PCI DSS, sob os quais existem quatro níveis de conformidade do estabelecimento:

Nível 1: Processar mais de 6 milhões de transações de cartão anualmente

Nível 2: Processar 1 a 6 milhões de transações anualmente

Level 3: Processar 20.000 a 1 milhão de transações anualmente

Level 4: Processar menos de 20.000 transações anualmente

Os pequenos estabelecimentos devem garantir que a segurança seja abordada como um exercício abrangente: garantir que os sistemas de TI estejam protegidos usando firewalls, implementar controles de acesso robustos e aplicar criptografia aos dados dos titulares de cartão. Para alcançar e simplificar esse nível de segurança de 360 graus, as PMEs devem procurar soluções que possam proteger dados, dispositivos e pessoas.

Prestadores de serviços

Um prestador de serviços é qualquer empresa que possa afetar a segurança dos dados de pagamento, mesmo que pertença a outra organização. A PCI DSS tem dois níveis de conformidade que dependem dos níveis de transação tratados pelo prestador de serviços:

Nível 1 Prestador de serviçosr: 300.000 transações ou mais por ano (2,5 milhões transações ou mais para a American Express)

Prestador de serviços de nível 2: Menos de 300.000 transações por ano (menos de 2,5 milhões de transações para a American Express)

Dessa maneira, como acontece com os estabelecimentos de pequenas e médias empresas, os prestadores de serviços devem seguir as medidas e os controles de segurança da PCI DSS.

Como a Akamai pode ajudar na conformidade com a PCI DSS v4.0?

Sim, a Akamai é certificada como um prestador de serviços PCI DSS Nível 1, o mais alto nível de avaliação disponível. A Akamai também oferece uma variedade de soluções que ajudam sua organização a cumprir os seis pilares da PCI DSS. As seguintes soluções da Akamai oferecem controles de segurança compatíveis com PCI para ajudar a atender aos requisitos de PCI 12:

App & API Protector com proteção contra malware: Garanta a conformidade do registro e proteja contra vazamento de dados PII, ataques de dia zero e CVEs, bem como outros ataques baseados em borda.

API Security: Detecte e atenue o comportamento da API e o abuso lógico, protegendo o site, os ativos e a perda de PII.

Client-side Protection & Compliance: Mantenha um inventário e uma justificativa de todos os scripts executados no navegador, monitore as alterações no comportamento do script e sinalize qualquer atividade suspeita de script.

Akamai Guardicore Segmentation: Defina o escopo dos ativos regulamentados para obter mais facilmente a conformidade.

Secure Internet Access Enterprise: Bloqueie ou monitore uploads de conteúdo que apresentam dados PII, PCI, DSS ou HIPAA.

Perguntas frequentes (FAQ)

A PCI DSS (Payment Card Industry Data Security Standard) define normas de segurança para garantir que todas as empresas que aceitam, processam, armazenam ou transmitem informações de cartão de crédito mantenham um ambiente seguro.

Qualquer organização, independentemente do tamanho ou do número de transações, deve estar em conformidade com a PCI DSS se essa organização aceitar, transmitir ou armazenar quaisquer dados do portador do cartão.

Qualquer organização coberta pela PCI DSS está sujeita a penalidades e multas severas por não conformidade com a norma. As multas variam e dependem da gravidade da infração da regulamentação. Mas as multas típicas são de alguns milhares a centenas de milhares de dólares, o que pode continuar até a retificação. No entanto, o custo para a reputação pode ser muito maior. A falta de confiança do cliente devido a violações de dados pode levar à perda de clientes e até mesmo a ações de classe: uma violação de dados envolvendo 34 milhões de cartões de pagamento terminou em uma ação judicial de 8 milhões de dólares em 2019; a investigação encontrou várias violações da PCI DSS.

As organizações em conformidade com a PCI DSS devem se concentrar na proteção de dados financeiros. A segurança da PCI DSS abrange duas classes gerais de dados: dados de titulares de cartão e dados de autenticação confidencial.

Dados do portador do cartão

  • PAN (Primary Account Number, número da conta principal) 
  • Nome do portador do cartão 
  • Data de validade 
  • Código de serviço 

Dados confidenciais de autenticação

  • Dados de pista completa (dados de tarja magnética ou equivalente em um chip) 
  • CAV2/CVC2/CVV2/CID 
  • PINs/Blocos de PIN

Por que os clientes escolhem a Akamai

A Akamai é uma empresa de cibersegurança e cloud que potencializa e protege negócios online. Nossas soluções de segurança líderes de mercado, inteligência avançada contra ameaças e equipe de operações globais oferecem defesa em profundidade para garantir a segurança de dados e aplicativos empresariais em todos os lugares. As abrangentes soluções de computação em nuvem da Akamai oferecem desempenho e acessibilidade na plataforma mais distribuída do mundo. Empresas globais confiam na Akamai para obter a confiabilidade, escala e experiência líderes do setor de que precisam para expandir seus negócios com confiança.

Explore todas as soluções de segurança da Akamai