Serviços

Payment Card Industry Data Security Standard - PCI-DSS

O Standard de Segurança de Dados da Indústria de Cartões de Pagamento (PCI-DSS) foi desenvolvido para incentivar e aprimorar a segurança dos dados do titular do cartão e promover uma ampla adoção de medidas de segurança dos dados dos cartões de crédito/débito por todas as organizações. O PCI-DSS fornece a base de requisitos técnicos e operacionais para proteger os dados dos cartões de débito/crédito. O PCI-DSS também se aplica a todas as outras entidades que armazenam, processam ou transmitem dados do titular do cartão (CHD) e/ou dados de autenticação confidenciais (SAD).

A PCI-DSS classifica as organizações, por tipo: comércio (super/hipermercados, transportes, comércio eletrónico, agências de viagens, etc.), prestadores de serviços (ISP’s / ASP, gateways de pagamento, fabricantes de cartões, etc.) e instituições financeiras (bancos, seguradoras, instituições de crédito, etc.) e para preencherem os requisitos, estão cobertos por 6 áreas de operação, conforme a seguir descrito.  

 

ÁREAS DE OPERAÇÃO PCI-DSS                                            

Criar e manter uma rede segura.

  • Requisito 1: Instalar e manter uma configuração de firewall para proteger os dados dos titulares dos cartões .
  • Requisito 2Não utilizar as passwords fornecidas por defeito pelos fornecedores nos sistemas ou em outros parâmetros de segurança.

Proteger os dados do titular do cartão.

  • Requisito 3: Proteger os dados armazenados do titular do cartão.
  • Requisito 4: Encriptar a transmissão de dados do titular do cartão através de redes públicas.

Manter um programa de gestão de vulnerabilidades.

  • Requisito 5: Utilizar e regularmente atualizar o software de antivírus.
  • Requisito 6: Desenvolver e manter seguros os sistemas e as aplicações.

Implementar fortes medidas de controlo de acesso.

  • Requisito 7: Restringir o acesso aos dados do titular do cartão caso não tenha a confirmação do nome da entidade.
  • Requisito 8: Atribuir um ID exclusivo para cada pessoa com acesso ao computador.
  • Requisito 9: Restringir o acesso físico aos dados do titular do cartão.

Monitorizar regularmente e testar a rede.

  • Requisito 10: Monitorizar e efetuar o track de todos os acessos aos recursos da rede e aos dados do titular do cartão.
  • Requisito 11: Testar regularmente os sistemas e os processos de segurança.

Manter uma Política de Segurança da Informação.

  • Requisito 12: Manter/atualizar as políticas de segurança da informação.

 

OS BENEFÍCIOS EM TER UM PROGRAMA QUE CUMPRE COM O STANDARD PCI-DSS SÃO:

  • Proteção contra potenciais responsabilidades e custos associados à má utilização das informações do cartão de débito/crédito (por exemplo, em caso de fuga de informações ou intrusão), custos de investigação em caso de incidentes, taxas legais, entre outras.
  • Gestão e controlo de custos relacionados com a segurança da informação: pode ser justificada pela obrigação de conformidade com este standard.
  • Aumentar a confiança dos clientes: um cliente que paga utilizando o cartão, sabe que os seus dados são geridos de acordo com um standard internacional de segurança reconhecido internacionalmente.
  • Conformidade com outros standards, normas ou requisitos de segurança e privacidade (LOPD, LSSICE, LGT, ISO27001, etc.).