Há algum tempo o mercado de negócios na internet tem crescido exponencialmente, na mesma proporção em que aumentam as compras por cartão de crédito em e-commerces. Com isso, mesmo com a preocupação das empresas em manter dados e informações dos clientes seguras, muitas fraudes e roubos eletrônicos continuam acontecendo. De acordo com uma pesquisa realizada pela Global Consumer Card Fraud, 49% dos brasileiros afirmaram ter sofrido algum tipo de fraude no cartão nos últimos cinco anos, deixando o Brasil em segundo lugar no ranking dos países que mais sofreram esse tipo de fraude.
Iniciativas do governo e empresas privadas buscam formas de combater esse tipo de crime, enquanto as principais bandeiras de cartões de pagamento (Amex, Discover, JCB, Mastercard e Visa) criaram uma iniciativa para garantir boas práticas no uso, manuseio e armazenagem de dados de cartão de crédito: Payment Card Industry (PCI) – Data Security Standard (DSS).
Para atender esse controle, alguns requisitos são primordiais. Eles se aplicam para entidades de negócios que estão envolvidas diretamente no processamento, armazenamento ou transmissão dos dados de cartão em nome de outra entidade (como estabelecimentos comerciais, por exemplo), incluindo empresas que promovem serviços que impactam na segurança dos dados do cartão.
O PCI-DSS sempre passa por uma revisão periódica feita em conjunto com os principais stakeholders da indústria de cartões de pagamento para oferecer novas orientações sobre as exigências atuais. A última versão disponibilizada em abril de 2016 é a 3.2 e visa ampliar a proteção da segurança, com ênfase em prestadores de serviço na cadeia de pagamentos.
Os provedores de serviço precisarão implementar um processo para detecção de falhas em sistemas críticos segurança (tais como firewalls, IDS/IPS, FIM, sistemas antivírus, controle de acessos físicos e lógicos, mecanismos de auditoria, gestão de logs e controles de segmentação), visando garantir que as ferramentas e processos de segurança mantenham-se em pleno funcionamento.
Além dessas mudanças, as empresas para se manterem em conformidade devem seguir alguns dos recentes requerimentos, entre os quais destacam-se:
- Aprimorar documentações de gestão de chaves criptográficas, incluindo algoritmos utilizados, descrição e função das chaves e inventário dos ativos que compõem a solução;
- Certificar-se de que qualquer alteração realizada no ambiente não impacte negativamente a segurança do ambiente certificado em PCI-DSS;
- Todo acesso administrativo ao ambiente de dados de cartão (CDE), quando originado de uma rede que não faça parte do escopo de validação, deverá incluir a autenticação por múltiplos fatores (MFA), mesmo que o acesso se origine da própria rede corporativa da empresa;
- Realizar testes de intrusão para validar a segmentação do ambiente a cada seis meses;
- Acompanhamento e definição de responsabilidades para a proteção de dados do titular do cartão pelos executivos da empresa, criando um programa de conformidade com o PCI-DSS;
- Realizar revisões (ao menos a cada trimestre) para confirmar se os funcionários estão seguindo as políticas de segurança e procedimentos operacionais.
Cada vez mais os requerimentos demandam que estabelecimentos comerciais e prestadores de serviços vejam a implementação e manutenção do PCI-DSS como um processo rotineiro de seu negócio, ao invés de uma avaliação pontual. Os novos requerimentos vão impactar mais duramente os provedores de serviço. Apesar de ter bastante tempo para implementar os novos requerimentos (as evoluções se tornam obrigatórias a partir de 1º de fevereiro de 2018), é aconselhado que eles sejam executados o mais cedo possível, evitando problemas futuros durante as suas certificações.
A recomendação é que os prestadores de serviços reservem um tempo para ler as novas regras e avaliar como elas impactam em seus negócios. Haverá necessidade de recursos adicionais e maior investimento para o processo, além avaliações de risco mais extensas para determinar o impacto das modificações em seus ambientes.
* Paulo Poi é PCI-QSA e coordenador de GRC da Cipher