A IMPORTÂNCIA DE SE ADEQUAR AO PCI DSS 3.0 PARA PROCESSAMENTE DE PAGAMENTOS POR CARTÕES

Transcrição

1 A IMPORTÂNCIA DE SE ADEQUAR AO PCI DSS 3.0 PARA PROCESSAMENTE DE PAGAMENTOS POR CARTÕES Weslley Ribeiro da Silva ¹, Jaime William Dias¹ ¹ Universidade Paranaense (Unipar) Paranavaí PR Brasil Resumo: este artigo aborda algumas das principais normas do PCI DSS 3.1, das mais relevantes mudanças da versão 2.0 (outubro de 2010) até a versão 3.1, de junho de Serão apresentadas as dificuldades que comerciantes (principalmente de e-commerce) encontrarão durante o processo de atualização, e as penalidades que ocorrerão se não se adequarem a estas novas normas. 1. Introdução Com o avanço do setor financeiro americano em 1920, surgiram os primeiros cartões de crédito (feitos de papel), e somente em 1955 (já produzidos em plástico) passou-se a utiliza-los em larga escala. Em 1956 começaram a ser distribuídos no Brasil [Redação BankFacil, 2012]. Segundo o Banco Central brasileiro, em 2014 existiam mais de 85,7 milhões de cartões de crédito e 112,6 milhões de cartões de débito ativos em todo o país. Foram realizadas 11,99 bilhões de transações via cartão, e esse número representou mais de 942 bilhões de reais em transações bancárias [Banco Central do Brasil, 2014]. O volume financeiro gerado pelos cartões representa aproximadamente 1/3 de todos os gastos com consumo no Brasil. Este sistema, que movimenta trilhões de dólares pelo mundo, sempre foi considerado seguro, porém, após as descobertas de métodos sofisticados de fraude, os cartões estão entre os meios de pagamentos mais fraudados [Tim Chen, 2011]. O objetivo deste artigo é mostrar como a indústria de cartões se organiza para diminuir estas fraudes e aumentar a confiança dos usuários, principalmente para os que utilizam cartão modalidade crédito. Serão apresentados alguns requisitos mínimos de segurança que os emissores de cartões exigem dos estabelecimentos que estão envolvidos em uma transação financeiras deste tipo. 2. Metodologia Para a elaboração deste artigo, foi realizada uma extensa leitura de notícias, artigos, livros, e sites institucionais como PCI-SSC Website e o Banco Central do Brasil. 3. Desenvolvimento 3.1 O que é PCI-SSC O Payment Card Industry Security Standards Council (PCI-SSC) é uma organização surgida em 2006, quando os maiores players de cartões organizaram-se a fim de discutir

2 medidas para prevenção de fraudes nas transações em estabelecimentos conveniados às bandeiras. 3.2 O que é PCI-DSS O Payment Card Industry Data Security Standard é um guia de boas práticas elaborado a partir dos já existentes na época: Visa Card Information Security Program, o Master Card Site Data Protection, o American Express Data Security Operating Policy, o Discover Information and Compliance e o JCB Data Security Program. Esses guias possuíam a mesma finalidade, a de assegurar que os comerciantes tivessem uma conduta correta com o manuseio e armazenamento dos dados dos portadores dos cartões [PCI SSC Website, 2015]. O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) aborda requisitos básicos sobre como proteger as informações dos titulares de cartão. [PCI SSC Website, 2013]. O PCI DSS se aplica a todas as entidades envolvidas nos processos de pagamento do cartão inclusive comerciantes, processadores, adquirentes, emissores e prestadores de serviço, bem como todas as entidades que armazenam, processam ou transmitem os dados do portador do cartão (CHD) e/ou dados de autenticação confidenciais. (SAD) [PCI SSC Website, 2013] Requisitos do PCI-DSS Em suma, são 12 requisitos que, divididos em subcategorias, contabilizam centenas de procedimentos que devem ser adotados. Construir e manter a segurança de rede e sistemas Proteger os dados do titular do cartão Manter um programa de gerenciamento de vulnerabilidades Implementar medidas rigorosas de controle de acesso Monitorar e testar as redes regularmente Manter uma politica de segurança de informação Tabela 1. Visão Geral dos requisitos de alto nível 1. Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão. 2. Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança. 3. Proteger os dados armazenados do titular do cartão 4. Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas. 5. Usar e atualizar regularmente o software ou programas antivírus 6. Desenvolver e manter sistemas e aplicativos seguros 7. Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio. 8. Identificar e autenticar o acesso aos componentes do sistema 9. Restringir o acesso físico aos dados do titular do cartão. 10. Acompanhar e monitorar todos os acessos com relação aos recursos de rede e aos dados do titular do cartão. 11. Testar regularmente os sistemas e processos de segurança. 12. Manter uma politica que aborde a segurança das informações para todas as equipes. Fonte: PCI SSC Website (2015) Alguns requisitos são de fácil adequação, outros, complexos e onerosos.

3 3.4. Adequação dos requisitos A indústria de cartões de crédito exige que todos os requisitos do PCI-DSS sejam cumpridos, e em seu material de apoio detalha cada um deles. Empresas que desenvolvem softwares ou aplicativos de pagamento devem se adequar também ao PA- DSS (Payment Application Data Security Standard) que definem procedimentos desde o planejamento, controle de código fonte, teste, e entrega da aplicação. De acordo com o volume de transações ou volume de vendas através de cartões, são estabelecidas algumas exigências complementares para o PCI-DSS, como auditoria externa. Tabela 2. Apresenta escala de exigências Tier Qtde de transações por ano Auto Avaliação Anual Scan Trimestral 1 Acima de 6 milhões Não Sim Sim 2 Entre 1 e 6 milhões Sim Sim Não 3 Ecommerce - Entre e 1 milhão Sim Sim Não 4 Ecommerce - menos de Sim (recomendável) Não Fonte: Cielo (2015) Auditoria Anual A auto avaliação é feita através de um questionário (SAQ Self Assessment Questionaire) que deve retratar a realidade da empresa no momento. Com base nas respostas, o PCI-DSS faz a homologação do estabelecimento [Cielo, 2015]. A auditoria anual deve ser realizada pelos Assessores de Segurança Independentes (QSA), que devem garantir que o comerciante cumpra todas as exigências do PCI [Cielo, 2015]. O scan trimestral se baseia em uma empresa credenciada (ASV Approved Scannning Vendor) que faz varreduras e simulações, a fim de encontrar e orientar sobre possíveis problemas de rede, o que poderia ocasionar ataques de Crackers e roubos de informações [Cielo, 2015]. 3.5 Principais mudanças da versão 2.0 para 3.1 A cada 3 anos, o PCI-DSS passa por alterações onde os emissores de cartões, junto ao mercado, propõem melhorias e novos procedimentos. Na ultima mudança, foram realizadas 98 alterações em relação à versão anterior, e destas, 20% são novas exigências, e as demais são esclarecimentos de requisitos já existentes [Adyen, 2015]. De acordo com Ed Moyle, as principais alterações foram os requisitos (que trata de teste de penetração interno e externo avançados, que para pequenas empresas pode significar gastos extras com a contratação de serviços especializados, pois a maioria não possui profissionais em seu quadro de funcionários capazes de realizar os testes) e 2.4, que obriga as empresas a possuírem uma lista de todos os hardwares (switches, firewalls, roteadores, dispositivos de redes, etc), softwares e aplicativos adquiridos e personalizados (internet por exemplo), servidores (banco de dados, Web, autenticação, , proxy, NTP e DNS), ou qualquer outro dispositivo que envolve o CDE (Cardholder Data Environment ) atualizadas e com a descrição do uso de cada um, o que para grandes empresas pode ser um trabalho árduo, pois

4 mudanças ocorrem frequentemente, e sem o uso de processos automatizados se torna ainda mais difícil. (Ed Moyle, 2013). Para Chris Camejo, a principal mudança é o requisito 12.9, que diz respeito ao fato dos prestadores de serviços reconhecerem, por escrito, que são responsáveis pela segurança das informações dos portadores de cartões que eles armazenam ou processam em nome de seus clientes, o que na prática pode significar um trabalho árduo [Chris Camejo, 2014]. 3.6 Penalidades e multas pelo descumprimento dos requisitos PCI-DSS De acordo com John Shier, a não adequação aos requisitos do PCI-DSS pode ocasionar multas, ressarcimento da taxa de substituições de cartões, pagamento de auditorias forenses, danos à reputação da marca emissora dos cartões, e até a perda do direito de processar novas transações [John Shier, 2014]. Visa e Master possuem multas semelhantes: Tabela 3. Multas por descumprimento do PCI-DSS vigentes em 12/08/2015 Nível 1 e 2 Merchants Nível 3 Merchants Primeira Violação Até US $ Até US $ Segunda Violação Até US $ Até US $ Terceira Violação Até US $ Até US $ Quarta Violação Até US $ Até US $ Fonte: The PCI Standard Simplified (2015) Se a empresa for pega armazenando dados não permitidos, como o código de segurança do cartão, a multa pode chegar até $ por mês em que os dados estiveram armazenados [The PCI Standard Simplified, 2015]. 4. Considerações finais Este artigo apresentou os números do mercado de cartões no Brasil, exemplificou a importância dos estabelecimentos se adequarem aos requisitos do PCI-DSS, citou as maiores alterações da versão do PCI-DSS 2.0 para a 3.1, e mostrou as penalidades resultantes do não cumprimento das normas do PCI. Com essas informações, pretende-se ajudar os lojistas e profissionais de TI a compreenderem as principais mudanças no PCI-DSS, colaborando para a segurança dos comerciantes e portadores de cartões. 5. Referências Adyen. (2015) Tudo Que Você Precisa Saber Sobre PCI DSS Compliance 3.0. Disponível em: Acesso em 31 Julho PCI SSC Website. (2013) Requisitos e procedimentos da avaliação de segurança Versão 3.0. Disponível em: < ts/pci_dss_v3_05nov13_final_pt-br.pdf>. Acesso em 31 de Julho de 2015.

5 PCI SSC Website. (2013) Summary of Changes from PCI DSS Version 2.0 to 3.0.Disponível em: < pdf>. Acesso em 31 Julho Ed Moyle. (2013) PCI DSS version 3.0: The five most important changes for merchants. Disponível em: < 30-The-five-most-important-changes-for-merchants>. Acesso em 01 Agosto Redação BankFacil. (2012) A história do cartão de crédito. Disponível em: < Acesso em 01 Agosto Banco Central do Brasil. (2015) Estatísticas de Pagamentos de Varejo e de Cartões no Brasil. Disponível em: < Acesso em 02 de Agosto de PCI SSC Website. (2015) About the PCI SSC.Disponível em: < ystandards.org/organization_info/index.php>. Acesso em 02 de Agosto de Cielo. (2015) PCI - Programa de Segurança da Informação. Disponível em: < Acesso em 02 de Agosto de Chris Camejo. (2014) Three critical changes to PCI DSS 3.0 that every merchant should know. Disponível em: < rity0/three-critical-changes-to-pci-dss-3-0-that-every-merchant-should-know.html>. Acesso em 02 de Agosto de John Shier(2014) PCI DSS - Por que funciona.disponívelem: < y.sophos.com/pt/2014/04/23/pci-dss-why-it-works>. Acesso em 02 de Agosto de The PCI Standard Simplified. (2015) Fines for non compliance with the PCI DSS. Disponível em: < Acesso em 02 de Agosto de Tim Chen. (2011) Credit Card and Debit Card Transaction Volume Statistics. Disponível em: < Acesso em 12 de Agosto de Coelho, L; Raittz, R; Trezub, M. (2006) FControl : sistema inteligente inovador para detecção de fraudes em operações de comércio eletrônico. Gest. Prod., São Carlos, v. 13, n. 1, p (2006)