PCI-DSS: Como funciona a norma de segurança de transações eletrônicas

Nos útlimos 09 anos, houve uma explosão de negócios via Internet - e-commerces - na mesma proporção que aumentou o uso de cartões de crédito para compras em estabelecimentos comercias e, é claro, sites de internet.

Apesar  de todos os esforços das empresas de proteger as informações de clientes, fraudes eletrônicas e roubos de informações têm aumentado drasticamente. Em 2008, mais de US$ 4 milhões foram gastos em operações fraudulentas nos Estados Unidos, de acordo com o U.S Departament of Justice.

Os governos estudam formas de criar leis para combater esse tipo de crime, enquanto os bancos e as operadoras de cartão crédito tomaram suas próprias iniciativas para criar normas para garantir boas práticas no uso, manuseio e armazenagem de dados de cartão de crédit: Payment Card Industry (PCI) - Data Security Standard DSS).

Fraudes de Cartão de Crédito.

Fraudes eletrônicas ou fraudes de cartão de crédito são aquelas em que os dados do cartão de crédito (número, validade e código de segurança) são roubados e usados indevidamente para a realização de compras em estabelecimentos. Os estabeleciemntos entregam o produto comprado e esperam receber, em alguns dias, o crédito referente áquela venda.

Ao receber a fatura do cartão de crédito, os clientes (portadores de cartão de crédito) identificam despesas que não foram feitas por eles e solicitam à administradora o cancelamento das mesmas. A admisntradora, por sua vez, estorna a compra do estabelecimentom, que não recebe o dinheiro e já entregou o produto. O estabelecimento acaba assumindo o prejuízo da fraude.

O que é PCI-DSS?

Em setembro de 2006, algumas bandeiras de cartão crédito, entre elas Visa, Mastecard e American Express, criaram um conselho designado a criar e recomendas as melhores práticas de segurança de dados, a serem seguidas pelos estabelecimentos comerciais que aceitem cartões de crédito como forma de pagamento, para proteger a privacidade dos consumidores portadores de cartões de crédito. Esse conselho é chamado PCI Council (www.pcisecuritystandards.org.).

O PCI-DSS contempla 12 requerimentos básicos que têm o objetivo de:

1. Manter a rede de dados segura;
2. Proteger as informações de portadores de cartão de crédito;
3. Manter um programa de Gerenciamento de vulnerabilidade;
4. Implementar um forte controle de acessos;
5. Manter uma política de segurança de informações.

Não estar em conformidade com a PCI-DSS pode incorrer em multas e ate em descredenciamento dos estabelecimentos comerciais em aceitar cartões de crédito.

12 Requerimentos da PCI-DSS

1. Instalar e manter um firewall para proteger dados de cartão de crédito.
2. Não utilizar senhas padrão ou outras configurações de segurança dos software utilizados.
3. Proteger dados de cartões de crédito armazenados.
4. Utilizar criptografia na transmissão de dados de cart~eos de crédito, manter um programa de Gerenciamento de Vulnerabilidade.
5. Utilizar regulamente programas anti-vírus.
6. Desenvolver e manter sistemas e aplicações seguras, implementar um forte controle de acesso.
7. Restringir  acesso a dados de cartões de crédito por negócio e por pessoas que relamente precisam acessá-los.
8. Designar um único ID para cada usuário da rede e sistemas.
9. Restringir acesso físico aos dados de cartões de crédito, testar e monitorar a rede regulamente.
10. Rastrear e monitorar todos os acessos à rede e dados de cartões de crédito.
11. Testar a segurança de sistemas e processos regularmente, manter um programa de Gerenciamento de Vulnerabilidade.
12. Manter um política que enderece informações de segurança.

Cartão de Crédito envolvem 05 participantes

Portador: Pessoa interessada em adquirir bens ou contratar serviços pagando através do cartão de crédito. Pode ser o titular da conta de cartão de crédito ou apenas portador do cartão adicional.

Estabelecimento: Empresa interessada em vender ou prestar serviço recebendo o pagamento feito pelos seus clientes através do cartão de crédito.

Adquirente: Empresa responsável pela comunicação da transação entre o estabelecimento e a bandeira. Para isso, aluga e mantém os equipamentos usados pelos estabelecimentos como, por exemplo, o POS. As maiores adquirentes no Brasil são Cielo, Redecard, Hipercard e Getnet.

Bandeira: Empresa responsável pela comunicação da transação entre o adquirente e o emissor do cartão de crédito. As maiores bandeiras no Brasil são Visa, MasterCard e Hipercard. Para identificar qual é o emissor do cartão, as bandeiras usam os 6 primeiros números do cartão, chamados de "bin-number".

Emissor: (também chamado de empresa administradora do cartão) Instituição financeira, principalmente bancos, que emitem o cartão de crédito, definem limite de compras, decidem se as transações são aprovadas, emitem fatura para pagamento, cobram os titulares em caso de inadimplência e oferecem produtos atrelados ao cartão como seguro, cartões adicionais e plano de recompensas.

Em uma transação, o estabelecimento passa o cartão em um equipamento eletrônico que pode ser um POS (comum em pequenas lojas, restaurantes e postos de gasolina) ou um equipamento integrado com o sistema do estabelecimento (usado em supermercados e lojas de departamentos). Nesse momento um funcionário do estabelecimento digita a opção de crédito ou débito, o número de parcelas e o tipo de parcelamento (com ou sem juros). Esse aparelho se comunica com o adquirente, que envia a transação para a bandeira, que, por sua vez, direciona para o emissor. O emissor decide se a transação será aprovada ou não e envia a decisão de volta para a bandeira, que envia para o adquirente e, então, para o equipamento do estabelecimento.

A opção de parcelamento sem juros (ou "parcelamento loja") significa que o valor da transação é dividido pelo número de parcelas. Nesse tipo de transação o estabelecimento recebe o valor da venda de forma parcelada. A opção de parcelamento com juros (ou "parcelamento emissor") significa que o titular do cartão pagará, além do valor combinado, uma taxa de juros definida pelo emissor do cartão. Nesse tipo de transação o estabelecimento recebe o valor da venda de uma vez e o emissor recebe os juros a serem pagos pelo titular.