O PCI Council lançou recentemente a versão 4.0 do Payment Card Industry Data Security Standard (PCI DSS). Esta nova versão apresenta uma série de mudanças que as empresas precisam estar cientes.
Neste artigo, discutiremos um pouco mais sobre o contexto do PCI DSS, além das principais mudanças da nova versão e como as empresas podem se preparar para elas.
O que é o PCI DSS e por que você precisa cumpri-lo
O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) é um conjunto de regras de segurança projetadas para proteger os dados do titular do cartão.
Qualquer organização que aceite, processe ou armazene informações de cartão de crédito ou débito deve estar em conformidade com o padrão PCI.
O descumprimento pode resultar em multas significativas por parte das bandeiras de cartão, bem como um aumento do risco de violação de dados.
O PCI DSS inclui requisitos para construir e manter uma rede segura, proteger os dados do titular do cartão, manter um programa de gerenciamento de vulnerabilidades, implementar medidas fortes de controle de acesso e monitoramento e testes regulares de sistemas.
Requisitos que garantem a segurança das transações financeiras
Basicamente, são 12 requisitos que cobrem tudo, desde como os dados são criptografados até como a segurança física é mantida. Atender a esses requisitos pode ser um desafio, mas é essencial para qualquer empresa que queira proteger as informações de seus clientes.
Além disso, muitas empresas estão exigindo que seus fornecedores também sejam compatíveis com PCI. Portanto, se você quiser fazer negócios com eles, precisará certificar-se de que concorda com os padrões PCI DSS.
Ao seguir essas práticas recomendadas, as organizações podem ajudar a se proteger contra roubo e fraude de dados.
Quais são as principais mudanças no PCI DSS 4.0
Uma das mudanças mais importantes no PCI DSS 4.0 é o requisito de autenticação multifator (MFA) para todos os acessos aos dados do titular do cartão.
A MFA adiciona uma camada extra de segurança ao exigir que os usuários forneçam duas ou mais informações antes de receberem acesso.
Isso pode incluir algo que o usuário conhece, como uma senha, algo que o usuário possui, como um token digital, ou algo que o consumidor é, como uma impressão digital.
Ao exigir vários fatores, torna-se muito mais difícil para indivíduos não autorizados obter acesso a dados confidenciais.
Outra mudança significativa no PCI DSS 4.0 é a introdução de requisitos para entrada de PIN baseada em software em dispositivos COTS.
Isso significa que os comerciantes precisam garantir que seus terminais de ponto de venda (POS) sejam capazes de aceitar PINs inseridos por meio de software, como um aplicativo de smartphone.
Mudanças que ajudará a reduzir a fraude, dificultando para os cibercriminosos o roubo e uso de dados dos clientes à medida que eles são inseridos
Outras mudanças incluem a adição de novos requisitos para proteção contra malware e vulnerabilidades, bem como requisitos mais rigorosos para resposta a incidentes e gerenciamento de senhas.
No geral, o PCI DSS revisado fornece proteções mais fortes para os dados do titular do cartão e ajuda a garantir que as organizações estejam mais bem preparadas para responder a incidentes de segurança.
Por fim, a atualização do padrão PCI inclui novos requisitos para planos de resposta a incidentes. Em particular, as organizações precisarão ter procedimentos para identificar e conter rapidamente violações de dados.
Isso pode incluir isolar os sistemas afetados, notificar autoridades policiais e monitorar ativamente os sistemas para detectar acessos não autorizados.
 |
Importante recurso para a certificação do PCI DSS 4.0: payShield 10K garante a segurança de pagamentos
A quinta geração de HSMs de pagamento da Thales, empresa parceira da EVAL, oferece um conjunto de funcionalidades de segurança comprovadas em ambientes críticos, além do processamento de transações, proteção de dados confidenciais, emissão de credenciais de pagamento, aceitação de cartão móvel e tokenização.
O payShield 10K pode ser usado em todo o ecossistema global por emissores, provedores de serviços, adquirentes, processadores e redes de pagamento, oferecendo diversos benefícios para as empresas, mostrando o compromisso da Thales com a melhoria contínua de seus produtos.
Suporte criptográfico de alto desempenho
Atualmente, os pagamentos com cartão e os pagamentos digitais online estão crescendo ano a ano, exigindo que você monitore e atualize constantemente sua largura de banda de processamento.
O payShield 10K oferece desempenho RSA e 3DES significativamente maior do que seus antecessores, o que pode reduzir o número de dispositivos na versão anterior e reduzir seus custos.
Esse mecanismo criptográfico mais rápido também fornece um desempenho mais consistente e previsível em todos os comandos do host, mesmo em situações de carga pesada e quando comunicações seguras baseadas em TLS estão em uso.
Além disso, para suportar novos métodos de pagamento, o payShield 10K é capaz de alavancar o processamento ECC baseado em hardware muito rápido, além dos algoritmos 3DES, AES e RSA legados.
Muitos dos casos de uso de emissão de credenciais de pagamento emergentes utilizam ECC em vez de RSA, especialmente quando o instrumento de pagamento é um dispositivo móvel, IoT ou conectado.
O payShield 10K está pronto para ser aprimorado para oferecer suporte a uma gama muito maior de algoritmos e mecanismos criptográficos à medida que se formalizam como parte da crescente variedade de especificações de segurança de pagamento.
Na prática, o payShield 10K oferece os seguintes benefícios para as empresas que buscam a certificação PCI DSS 4.0:
- Simplifica a implantação em data centers;
- Oferece alta resiliência e disponibilidade;
- Disponibiliza o mais amplo suporte a cartões e aplicativos móveis em tempo hábil;
- Suporta atualizações de desempenho sem alteração de hardware;
- Mantém a compatibilidade com todos os HSMs de pagamento legados da Thales.
À medida que o mundo dos pagamentos procura cada vez mais novos modelos de implantação envolvendo uma mistura de nuvens privadas e públicas, o payShield 10K foi projetado especificamente para oferecer gerenciamento e monitoramento remotos seguros, proporcionando uma verdadeira experiência ‘sem contato’.
Isso oferece suporte a vários tipos de ofertas de serviços de pagamento e mais recursos para executar funções com segurança em uma ampla variedade de ambientes operacionais.
Com os recursos aprimorados, o payShield 10K é adequado para lidar com o cenário em constante mudança da segurança de pagamentos.
Com o payShield 10K você tem a garantia de que sua empresa atende aos mais altos padrões de segurança do setor financeiro.
EVAL Professional Services possui um time de profissionais especializados e com as melhores práticas do mercado
Beneficie-se de nossos anos de experiência e conhecimento especializado em segurança da informação e conformidade com a LGPD. Seremos seu parceiro para a realização de projetos de digitalização em conformidade com os regulamentos de segurança e proteção de dados.
Compartilhamos a nossa experiência em todos os fluxos de negócios em instituições de saúde para ajudá-lo a minimizar riscos, maximizar o desempenho e garantir a proteção de dados que seus pacientes e parceiros esperam.
Sobre a EVAL
A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.
Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval segurança é valor.
