Introducing G2.ai, the future of software buying.Try now
Glossário de Tecnologia

Conformidade PCI

Sagar Joshi
SJ
por Sagar Joshi
A conformidade com o padrão PCI (Payment Card Industry) desempenha um papel crucial na segurança de dados. Saiba mais sobre a conformidade PCI, como ela ajuda as empresas a manterem os dados de cartões de crédito seguros, e informações úteis sobre os benefícios e as melhores práticas de conformidade PCI.
DefiniçãoSoftware de Conformidade PCI

Neste post

Neste post

O que é conformidade PCI?

A conformidade com o setor de cartões de pagamento (PCI), originalmente conhecida como conformidade com o padrão de segurança de dados do setor de cartões de pagamento (PCI DSS), é um código de conduta autorregulatório administrado pelo Conselho de Padrões de Segurança do Setor de Cartões de Pagamento.

A conformidade PCI exige que as organizações que lidam com cartões de crédito de marcas sob os principais esquemas de cartões (Visa, Mastercard, American Express, etc.) aceitem, armazenem, processem e transmitam com segurança os dados dos titulares dos cartões.

As empresas precisam descobrir dados sensíveis armazenados, transmitidos ou processados em seu sistema e protegê-los contra acesso não autorizado para cumprir com o PCI. Software de descoberta de dados sensíveis facilita a localização desses dados sensíveis e ajuda as empresas a estabelecer medidas adequadas para impedir que hackers acessem esses dados.

As organizações precisam do seguinte para se tornarem compatíveis com o PCI:

  • 12 requisitos gerais de conformidade PCI
  • 78 requisitos básicos com base no seu negócio
  • Quatrocentos procedimentos de teste para garantir que sua organização está cumprindo os requisitos PCI (dependendo do seu negócio)

As regulamentações de conformidade PCI garantem que tanto os clientes quanto as empresas fiquem protegidos contra violações de dados. Aplica-se a todas as empresas que transportam informações de cartões de crédito e é um pilar do protocolo de segurança de todas as organizações.

Os padrões PCI expandiram seus contornos para incluir transações pela internet criptografadas e adicionaram novas regras e regulamentos para acomodar os avanços recentes na tecnologia de pagamento e comércio.

Software de Conformidade PCI
Software que menciona conformidade pci como recurso ou termo.
VGS Platform
VGS Platform
Trustwave Managed SIEM
Trustwave Managed SIEM
Stripe Connect
Stripe Connect
AlienVault USM (from AT&T Cybersecurity)
AlienVault USM (from AT&T Cybersecurity)
Clover
Clover
Qualys VMDR
Qualys VMDR

Níveis de conformidade PCI

Quatro níveis de conformidade PCI determinam o número de transações que um comerciante realiza a cada ano.

  • Nível 1: Comerciantes que processam mais de 6 milhões de transações com cartão por ano.
  • Nível 2: Comerciantes que processam de 1 a 6 milhões de transações com cartão por ano.
  • Nível 3: Comerciantes que processam de 20.000 a 1 milhão de transações com cartão por ano.
  • Nível 4: Comerciantes que processam menos de 20.000 transações com cartão por ano.

Para organizações no nível 1 de conformidade PCI, alcançar a conformidade PCI inclui realizar auditorias externas por um avaliador de segurança qualificado (QSA) ou um avaliador de segurança interno (ISA). O QSA ou ISA realiza uma avaliação no local para:

  • Validar o escopo da avaliação
  • Revisar informações técnicas e documentação,
  • Determinar se os requisitos PCI são atendidos
  • Oferecer orientação e suporte durante o processo de conformidade
  • Avaliar controles compensatórios

Após a avaliação bem-sucedida, o avaliador de segurança qualificado envia um Relatório de Conformidade (RoC) aos bancos operacionais da organização para demonstrar conformidade.

As organizações de Nível 2 de conformidade PCI também devem completar um RoC.

As organizações de Nível 2 a 4 podem completar um questionário de autoavaliação em vez de auditorias externas para determinar a conformidade.

Benefícios da conformidade PCI DSS

A conformidade PCI DSS fornece um conjunto de regulamentos e requisitos para garantir a confidencialidade e segurança ideais dos dados.

Alguns dos benefícios de estar em conformidade com o PCI DSS são:

  • A conformidade PCI DSS garante que os ativos da empresa tenham várias camadas de segurança.
  • Ela lista ameaças e vetores de ataque em evolução, tornando o ambiente de dados mais seguro.
  • O PCI DSS envolve a configuração de firewalls, SIEM systems, e outras infraestruturas de segurança para reunir inteligência de ameaças em caso de anomalias.
  • A conformidade PCI enfatiza a criptografia dos dados dos titulares dos cartões, tornando uma empresa compatível com o PCI DSS um alvo menos valioso para os cibercriminosos.
  • Os princípios de conformidade PCI colocam um forte foco na proteção dos dados dos titulares dos cartões enquanto são armazenados ou transmitidos. Enfatiza a aplicação dos princípios PCI com uma infraestrutura de segurança apropriada para ajudar as organizações a prevenir violações de dados.
  • A conformidade PCI DSS constrói e mantém a confiança do cliente e torna a segurança dos dados sem complicações.
  • A conformidade PCI ajuda a alinhar as empresas com os padrões aceitos pela indústria no armazenamento, processamento e transmissão de informações dos titulares dos cartões.
  • A conformidade PCI DSS ajuda as organizações a cumprir com os padrões de segurança de dados reconhecidos pela indústria.

Requisitos de conformidade PCI

Os requisitos de conformidade PCI DSS se concentram em alcançar a conformidade PCI e proteger os dados dos titulares dos cartões contra acesso não autorizado.

1. Proteja a rede da empresa com firewalls

Passos que você pode tomar para proteger sua rede:

  • Configure firewalls para proteger a rede da empresa e regular o tráfego de entrada e saída com base nos critérios organizacionais.
  • Use firewalls de hardware e firewalls de software para proteger a rede.
  • Configure os firewalls para tráfego de entrada e saída. Se um invasor penetrar no sistema, será difícil para ele exportar as informações roubadas devido às regras de saída.

2. Evite usar senhas padrão e configure as configurações

Para cumprir com o segundo requisito de conformidade PCI:

  • Altere as senhas padrão e implemente o fortalecimento do sistema e o gerenciamento de configuração do sistema.
  • Aborde todas as vulnerabilidades no sistema, remedeie e relate-as, e garanta que os padrões de fortalecimento do sistema estejam alinhados com as melhores práticas da indústria.
  • Adote software de gerenciamento de sistema, que serve como um pacote completo para monitorar, escanear e configurar dispositivos e opções de fortalecimento do sistema.
  • Verifique se o padrão de fortalecimento do sistema está implementado de forma segura à medida que novos dispositivos e aplicativos são introduzidos no ambiente do sistema.

3. Proteja os dados armazenados dos titulares dos cartões contra acesso não autorizado

Adote a seguinte medida para proteger os dados dos titulares dos cartões contra acesso não autorizado:

  • Criptografe os dados dos titulares dos cartões usando padrões de criptografia fortes e aceitos pela indústria, como AES-256.
  • Garanta que os sistemas armazenem detalhes confidenciais dos titulares dos cartões em um formato criptografado.
  • Crie e documente o diagrama de fluxo de dados dos titulares dos cartões (CHD). É uma representação gráfica do fluxo de dados dentro de uma organização.
  • Use uma ferramenta de descoberta de dados sensíveis para encontrar informações sensíveis, como número de segurança social, nos sistemas da empresa para criptografar ou removê-las.

4. Criptografe a transmissão de dados dos titulares dos cartões em redes abertas e públicas

Considere o seguinte para criptografar a transmissão de dados dos titulares dos cartões em redes abertas ou públicas:

  • Identifique como e onde os dados estão sendo transmitidos. Acompanhe todas as áreas onde detalhes semelhantes estão sendo enviados.
  • Faça a transição do protocolo de camada de soquetes seguros (SSL) e das versões iniciais do protocolo de segurança da camada de transporte (TLS) para versões mais seguras do TLS.
  • Verifique os gateways, provedores de terminais, provedores de serviços e bancos para ver se eles usam criptografia atualizada para aplicativos transacionais.

5. Use uma versão atualizada de software antivírus

Adote as seguintes medidas para cumprir com o quinto requisito PCI DSS.

  • Use software antivírus e evite que os sistemas sejam infectados por malware conhecido.
  • Atualize o software antivírus regularmente.
  • Reúna informações sobre malware emergente e as diferentes maneiras como ele pode penetrar nos sistemas da empresa.
  • Configure os sistemas e projete processos para serem alertados quando qualquer atividade maliciosa ocorrer no ambiente do sistema.
  • Execute varreduras periódicas de malware para garantir que você tenha um processo projetado para implementá-las.

6. Desenvolva e mantenha sistemas e aplicativos seguros

Pratique os seguintes métodos para desenvolver e manter sistemas e aplicativos seguros:

  • Corrija as fraquezas de segurança com patches recentes lançados pelo fornecedor de software.
  • Instale as atualizações de segurança mais recentes e corrija as vulnerabilidades em aplicativos e sistemas que são cruciais para o fluxo de dados dos cartões.
  • Instale patches críticos dentro de um mês após seu lançamento para garantir a conformidade
  • Seja proativo no gerenciamento de patches e na implementação assim que o patch for lançado.

7. Restrinja o acesso aos dados dos titulares dos cartões por necessidade de conhecimento

Considere o seguinte para restringir o acesso aos dados dos titulares dos cartões:

  • Garanta controles de acesso rigorosos aos dados dos titulares dos cartões implementando sistemas de controle de acesso baseado em função (RBAC) que concedem acesso aos detalhes dos titulares dos cartões com base na necessidade de conhecimento.
  • Evite criar usuários em grupo ou compartilhar uma conta de usuário comum com outros usuários. Será desafiador rastrear violações de dados.

8. Atribua um ID único a cada pessoa com acesso ao computador

Tome as seguintes medidas para cumprir com o oitavo requisito do PCI DSS:

  • Atribua um ID único a cada usuário com acesso ao computador e crie senhas fortes para evitar acesso não autorizado.
  • Crie várias camadas de segurança ao proteger contas de usuário.
  • Use soluções de autenticação multifator para fornecer camadas adicionais de defesa e proteger seus sistemas contra invasores.

9. Restrinja o acesso físico ao local de trabalho e aos dados dos titulares dos cartões

Coisas importantes a considerar para cumprir com o nono requisito do PCI DSS:

  • Limite o acesso dos funcionários a áreas com dados dos titulares dos cartões armazenados.
  • Documente os funcionários com acesso a ambientes seguros e aqueles que precisam de privilégios de acesso. Liste todos os usuários autorizados de dispositivos, locais onde o dispositivo não é permitido e onde ele está atualmente localizado. Anote todos os aplicativos que podem ser acessados em um dispositivo. Registre o que, onde, quando e por que os dispositivos estão sendo usados.
  • Diferencie entre funcionários e visitantes na organização e use métodos para monitorar pessoas com acesso a ambientes seguros.
  • Garanta que os privilégios de acesso do usuário sejam removidos e que os mecanismos de acesso físico, como chaves e cartões de acesso, sejam desativados ou devolvidos ao desligar funcionários.

10. Acompanhe e monitore o acesso a recursos de rede e dados dos titulares dos cartões

Pontos cruciais a considerar ao rastrear e monitorar o acesso a recursos de rede e dados dos titulares dos cartões:

  • Implemente e mantenha um sistema de registro para visualizar todos os logs e receber alertas em caso de anomalias.
  • Verifique os logs de eventos do sistema pelo menos uma vez por dia para identificar padrões, reunir inteligência de ameaças e detectar comportamentos que contradizem as tendências esperadas.
  • Use soluções de gerenciamento de informações e eventos de segurança (SIEM) para construir e gerenciar um sistema centralizado de coleta de logs, monitoramento e inspeção.

11. Teste regularmente sistemas e processos de segurança

Siga as práticas mencionadas abaixo para cumprir com o décimo primeiro requisito do PCI DSS.

  • Conduza varreduras frequentes de vulnerabilidades para identificar se as fraquezas de segurança foram corrigidas com sucesso.
  • Realize varreduras de vulnerabilidade trimestrais para todos os IPs externos e domínios expostos no ambiente de dados dos titulares dos cartões usando um fornecedor de varredura aprovado pelo PCI (ASV).
  • Conduza testes de penetração regulares para identificar diferentes maneiras que hackers podem explorar vulnerabilidades para configurar com segurança seus sistemas de segurança e proteger os dados contra táticas maliciosas semelhantes. (A frequência dos testes de penetração depende do seu questionário de autoavaliação (SAQ), ambiente, tamanho, procedimentos e outros fatores).

12. Avaliação de risco e documentação

Adote as seguintes práticas para cumprir com o requisito final de conformidade PCI DSS:

  • Documente todas as políticas, procedimentos e evidências associadas às práticas de segurança da informação da organização.
  • Avalie formalmente e anualmente os riscos para determinar ameaças críticas, vulnerabilidades e riscos associados.
Sagar Joshi
SJ

Sagar Joshi

Sagar Joshi is a former content marketing specialist at G2 in India. He is an engineer with a keen interest in data analytics and cybersecurity. He writes about topics related to them. You can find him reading books, learning a new language, or playing pool in his free time.

Software de Conformidade PCI

Esta lista mostra os principais softwares que mencionam conformidade pci mais no G2.

VGS Platform

VGS é a abordagem moderna para a segurança de dados. Sua solução SaaS oferece todos os benefícios de interagir com dados sensíveis e regulamentados sem a responsabilidade de protegê-los.

Trustwave Managed SIEM

Trustwave Managed SIEM ajuda as empresas a verem através do ruído de dados facilmente, responder rapidamente a ameaças emergentes e maximizar a proteção de forma econômica enquanto comprovam a conformidade. Quer o seu desafio seja escolher o SIEM certo, mantê-lo totalmente equipado, conter custos ou acompanhar novas ameaças e requisitos de conformidade, a Trustwave pode ajudar.

Stripe Connect

Stripe oferece soluções para pagamentos na web e em dispositivos móveis que são desenvolvidas para desenvolvedores. Stripe fornece um conjunto de APIs unificadas e ferramentas que permitem instantaneamente que as empresas aceitem e gerenciem pagamentos online.

AlienVault USM (from AT&T Cybersecurity)

AlienVault USM (da AT&T Cybersecurity) é uma plataforma que fornece cinco capacidades essenciais de segurança em um único console para gerenciar tanto a conformidade quanto as ameaças, compreendendo a natureza sensível dos ambientes de TI, incluindo tecnologias ativas, passivas e baseadas em host para atender aos requisitos de cada ambiente específico.

Clover

Clover substitui seu caixa registradora, terminal de pagamento, impressora de recibos e leitor de código de barras com um conjunto integrado de produtos. Aceita cartões de crédito, EMV e Apple Pay.

Qualys VMDR

Descubra, avalie, priorize e corrija vulnerabilidades críticas em tempo real e em todo o seu ambiente de TI híbrido global — tudo a partir de uma única solução.

PCIPal

PCI Pal é um conjunto de soluções projetadas para ajudar a operar suas operações de contato com clientes em conformidade com o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS).

BlueSnap

Com o BlueSnap, você finalmente obtém tudo o que precisa para processar pagamentos – uma solução de gateway de pagamento, conta de comerciante e recursos avançados para impulsionar seus lucros – tudo em um só lugar.

Shopify

Shopify é uma plataforma de comércio baseada em nuvem projetada para pequenas e médias empresas. Os comerciantes podem usar o software para projetar, configurar e gerenciar suas lojas em vários canais de vendas, incluindo web, dispositivos móveis, redes sociais, locais físicos e lojas temporárias.

PayPal BrainTree

A plataforma robusta e multifacetada da Braintree é ideal para empresas baseadas em assinaturas que desejam configurar cobranças recorrentes ou aceitar pagamentos repetidos online.

Vanta

Ficou claro que segurança e privacidade se tornaram questões comuns, e que todos nós dependemos cada vez mais de serviços em nuvem para armazenar tudo, desde nossas fotos pessoais até nossas comunicações no trabalho. A missão da Vanta é ser a camada de confiança sobre esses serviços, e proteger a internet, aumentar a confiança nas empresas de software e manter os dados dos consumidores seguros. Hoje, somos uma equipe em crescimento em San Francisco, apaixonada por tornar a internet mais segura e elevar os padrões para empresas de tecnologia.

Chargent

Processamento de pagamentos Chargent para Salesforce. Processamento de pagamentos com cartão de crédito/ACH 100% nativo em Oportunidades, Casos, Pedidos Chargent ou sites Force.com.

EBizCharge

O gateway de pagamento EBizCharge integra-se com mais de 50 soluções de ERP, CRM, contabilidade e eCommerce, e é projetado para: reduzir os custos de processamento em 15-40%, aumentar a eficiência do processamento de pagamentos, eliminar a entrada dupla, reduzir erros humanos, melhorar a segurança e simplificar a experiência do cliente. O EBizCharge oferece processamento de cartão de crédito online e móvel, histórico de transações ilimitado, relatórios personalizáveis, faturamento eletrônico, criptografia segura e tokenização, entre outros.

LogRhythm SIEM

A LogRhythm capacita organizações em seis continentes a reduzir com sucesso o risco ao detectar, responder e neutralizar rapidamente ameaças cibernéticas prejudiciais.

REPAY

REPAY (NASDAQ: RPAY) é um provedor de tecnologia de pagamento que oferece processamento de cartão e ACH, Financiamento Instantâneo, funções automatizadas de contas a pagar e sistemas de pagamento de contas online com capacidades web, texto, aplicativo móvel e IVR. Com as soluções de pagamento omnicanal integradas da REPAY, os clientes podem pagar e receber pagamentos a qualquer hora, em qualquer lugar.

Chargebee

A plataforma de faturamento e monetização construída para a economia de IA.

Zuora

As soluções de faturamento da Zuora ajudam as empresas a monetizar suas inovações por meio de estratégias de precificação flexíveis e operações de faturamento simples e automatizadas.

Passly

80% das violações de dados de hoje são resultado de senhas perdidas, fracas ou roubadas. Toda organização, independentemente do tamanho, deve implementar uma plataforma de gerenciamento de identidade e acesso segura para proteger seus dados, funcionários, redes e garantir a continuidade dos negócios. Passly fortalece suas defesas adicionando múltiplos elementos essenciais de gerenciamento de identidade e acesso seguro, incluindo autenticação de dois fatores, login único e gerenciador de senhas em uma solução abrangente e econômica.

Ostendio

Ostendio é uma plataforma de gestão de cibersegurança e informações baseada em nuvem que oferece uma maneira fácil de usar e econômica para as empresas demonstrarem conformidade com a segurança da informação em relação a múltiplos padrões e regulamentos da indústria.

Imperva App Protect

Incapsula é um serviço de segurança e aceleração baseado em nuvem que torna os sites mais seguros, rápidos e confiáveis.