A CIPHER é uma das únicas empresas no Brasil autorizadas a validar a conformidade e executar todo o processo de análise de gaps, relatórios e atendimento dos requisitos para certificação do padrão de segurança PCI DSS, criado pelo PCI Security Standard Council. Este padrão se aplica a todas organizações que armazenam, processam ou transmitem informações dos usuários de meios de pagamento eletrônico.
De acordo com uma pesquisa realizada pela Global Consumer Card Fraud, 49% dos brasileiros afirmaram ter sofrido algum tipo de fraude no cartão nos últimos cinco anos, deixando o Brasil em segundo lugar no ranking dos países que mais sofreram esse tipo de fraude. Para inibir este tipo de falha de segurança, as principais bandeiras de cartões de pagamento criaram em 2006 o Conselho da Indústria de Cartões de Pagamento, (Payment Card Industry Council – PCI Council, em inglês). O conselho criou um conjunto de padrões de segurança denominado PCI-DSS (Payment Card Industry Data Security Standards) para garantir as operações de transmissão, utilização e guarda dos dados de usuários e cartões.
A CIPHER é pioneira na validação e conformidade de empresas em relação ao padrão PCI-DSS no Brasil e, hoje, é uma das maiores certificadoras do país. A empresa é um ASV (Approved Scanning Vendor) há 11 anos e conta com uma equipe de catorze profissionais dedicados a certificação PCI-DSS, sendo quatro deles QSAs (Qualified Security Assessores), especializados em determinar rapidamente os requisitos necessários para a conformidade com o padrão, além de reduzir o escopo necessário das empresas para tal. “São 80 companhias em nossa carteira de empresas com validação e conformidade PCI DSS atestada pela CIPHER e mais de 350 certificados emitidos somente no Brasil”, destaca Paulo Roberto Bonucci, vice-presidente para América Latina da CIPHER.
O processo de validação e conformidade deve ser realizado anualmente para garantir a segurança nas transações que utilizam dados de cartões de pagamento e usuários, seja em pontos de venda físicos ou on-line. O padrão de segurança demanda o seguimento de procedimentos rigorosos e processos automáticos para detecção de vulnerabilidades, com recolhimento frequente de evidências.
Para ter sua conformidade validada, é necessário o cumprimento de mais de 400 requisitos em 12 áreas diferentes, além de anexos específicos. O padrão PCI-DSS passa por revisões periódicas realizadas pelo PCI Council para acompanhar a evolução de tecnologia e ameaças digitais, atualmente o padrão está em sua versão 3.2. “O tempo para concluir um projeto desse tipo varia bastante de acordo com o grau de maturidade em segurança, porte e complexidade do ambiente a ser avaliado”, esclarece Paulo Poi, PCI-QSA e coordenador de GRC da CIPHER.
A CIPHER é especializada em qualquer tipo de negócio que envolva pagamentos desde um pequeno estabelecimento comercial até um grande provedor do mercado financeiro. “Nossa equipe passa por uma cultura interna muito forte de treinamento e aprendizagem para estar sempre atenta às novas regras e avaliar como elas impactam os negócios de nossos clientes e se é necessário a implementação de ferramentas para ajudar no processo de adequação”, finaliza Poi.
