PCI-DSS: Como funciona a norma de segurança de transações eletrônicas

Nos útlimos 09 anos, houve uma explosão de negócios via Internet - e-commerces - na mesma proporção que aumentou o uso de cartões de crédito para compras em estabelecimentos comercias e, é claro, sites de internet.

Apesar  de todos os esforços das empresas de proteger as informações de clientes, fraudes eletrônicas e roubos de informações têm aumentado drasticamente. Em 2008, mais de US$ 4 milhões foram gastos em operações fraudulentas nos Estados Unidos, de acordo com o U.S Departament of Justice.

Os governos estudam formas de criar leis para combater esse tipo de crime, enquanto os bancos e as operadoras de cartão crédito tomaram suas próprias iniciativas para criar normas para garantir boas práticas no uso, manuseio e armazenagem de dados de cartão de crédit: Payment Card Industry (PCI) - Data Security Standard DSS).

Fraudes de Cartão de Crédito.

Fraudes eletrônicas ou fraudes de cartão de crédito são aquelas em que os dados do cartão de crédito (número, validade e código de segurança) são roubados e usados indevidamente para a realização de compras em estabelecimentos. Os estabeleciemntos entregam o produto comprado e esperam receber, em alguns dias, o crédito referente áquela venda.

Ao receber a fatura do cartão de crédito, os clientes (portadores de cartão de crédito) identificam despesas que não foram feitas por eles e solicitam à administradora o cancelamento das mesmas. A admisntradora, por sua vez, estorna a compra do estabelecimentom, que não recebe o dinheiro e já entregou o produto. O estabelecimento acaba assumindo o prejuízo da fraude.

O que é PCI-DSS?

Em setembro de 2006, algumas bandeiras de cartão crédito, entre elas Visa, Mastecard e American Express, criaram um conselho designado a criar e recomendas as melhores práticas de segurança de dados, a serem seguidas pelos estabelecimentos comerciais que aceitem cartões de crédito como forma de pagamento, para proteger a privacidade dos consumidores portadores de cartões de crédito. Esse conselho é chamado PCI Council (www.pcisecuritystandards.org.).

O PCI-DSS contempla 12 requerimentos básicos que têm o objetivo de:

1. Manter a rede de dados segura;
2. Proteger as informações de portadores de cartão de crédito;
3. Manter um programa de Gerenciamento de vulnerabilidade;
4. Implementar um forte controle de acessos;
5. Manter uma política de segurança de informações.

Não estar em conformidade com a PCI-DSS pode incorrer em multas e ate em descredenciamento dos estabelecimentos comerciais em aceitar cartões de crédito.

12 Requerimentos da PCI-DSS

1. Instalar e manter um firewall para proteger dados de cartão de crédito.
2. Não utilizar senhas padrão ou outras configurações de segurança dos software utilizados.
3. Proteger dados de cartões de crédito armazenados.
4. Utilizar criptografia na transmissão de dados de cart~eos de crédito, manter um programa de Gerenciamento de Vulnerabilidade.
5. Utilizar regulamente programas anti-vírus.
6. Desenvolver e manter sistemas e aplicações seguras, implementar um forte controle de acesso.
7. Restringir  acesso a dados de cartões de crédito por negócio e por pessoas que relamente precisam acessá-los.
8. Designar um único ID para cada usuário da rede e sistemas.
9. Restringir acesso físico aos dados de cartões de crédito, testar e monitorar a rede regulamente.
10. Rastrear e monitorar todos os acessos à rede e dados de cartões de crédito.
11. Testar a segurança de sistemas e processos regularmente, manter um programa de Gerenciamento de Vulnerabilidade.
12. Manter um política que enderece informações de segurança.