A troca de dados que ocorre durante uma venda efetuada em sites de compra, por cartões de crédito ou telefone, envolve dados privados que, uma vez expostos, podem levar a grandes prejuízos a todas as partes envolvidas. Consistindo em 6 categorias distintas, o PCI-DSS (ou Payment Card Industry Data Security Standard, do original em inglês) garante a maior segurança contra fraudes em transações financeiras.
A quem o padrão se aplica?
O PCI-DSS deve ser adotado em todas as companhias que trabalham com a coleta, processamento, armazenamento ou transmissão de dados de cartões de crédito. Ela envolve empresas como o Paypal e o PagSeguro, que dão a oportunidade para consumidores reunirem os seus dados de pagamento em um único login, assim como os sistemas de venda online, provedores de serviço e demais intermediários que trabalham com qualquer tipo de dados de cartão de crédito.
Entendendo o padrão PCI-DSS
Os 12 requerimentos são divididos em seis seções. Elas abordam todas as etapas da comunicação entre sites de vendas, sistemas de pagamento e máquinas de cartões de crédito com operadoras como MasterCard, Visa e American Express. Assim, é possível manter a rede de comunicação e as informações dos portadores de cartões de crédito seguras por meio de um forte controle de acessos e uma política de segurança de dados. As seis seções são:
Construir e manter uma rede segura
O uso de um firewall e de senhas complexas é o primeiro passo para garantir maior segurança durante transações financeiras. Senhas utilizadas por mais de uma pessoa, assim como usuários padronizados para testes, devem sempre ser apagados antes de uma ferramenta tornar-se pública.
Proteger os dados do portador de cartão
A proteção dos dados deve envolver não só a utilização de métodos que impeçam o acesso não autorizado às informações de consumidores, mas também o uso de conexões criptografas para a comunicação com os sistemas de pagamento. Assim, mesmo que o cartão seja roubado ou a conexão não siga padrões rígidos de segurança, a transação estará protegida de ataques.
Manter um programa de rastreamento de vulnerabilidades
A criação de aplicativos que lidam com as transações deve seguir métodos de desenvolvimento que possuam sólidas rotinas de segurança. Da mesma forma, as máquinas que executarão esses softwares devem estar sempre atualizadas e utilizando programas de segurança avançados. O rastreamento de vulnerabilidades é feito por meio de algoritmos que simulam ataques e invasões, permitindo que as falhas de segurança sejam identificadas e correções sejam feitas rapidamente.
Implementar medidas de controle de acesso
A restrição de acesso — física e virtual — aos dados do portador de cartão reduz as chances de informações privadas serem vazadas. Com a atribuição de um ID exclusivo para cada usuário do computador, é possível identificar os responsáveis por uma alteração no banco de dados corporativo não autorizada e diminui as brechas de segurança da empresa.
Monitorar e testar as redes de dados regularmente
Todos os acessos aos recursos devem ser monitorados. O registro das trocas de dados feitas nas redes corporativas permite detectar tentativas de ataques. Além disso, é uma boa maneira de detectar pontos de rede que precisam de otimização. Já os testes de rede permitem que qualquer erro nos protocolos de segurança seja visto rapidamente, aumentando a confiabilidade das conexões internas e externas.
Ter uma política de segurança de dados
Ter uma política sólida para o tratamento de dados, controlando o acesso a informações e garantindo a segurança das informações de terceiros aumenta a confiabilidade da sua organização. Ela também deve garantir que todos os sistemas estejam sempre atualizados.
As verificações devem ser feitas regularmente, de tal forma que os sistemas envolvidos nas transações estejam sempre prontos para enfrentar as ameaças mais modernas. Manter sistemas atualizados e bem protegidos é objetivo principal do PCI-DSS. Dessa forma, empresas garantem que as informações de usuários de cartão de crédito estarão seguras o tempo todo.
Para o gestor de uma empresa, é importante ter em mente que esse é um padrão focado somente em segurança. Politicas para garantir disponibilidade de sistemas e recursos, assim como a rapidez das transações também devem ser adotados meio de outros padrões conhecidos pela indústria.
Boas práticas que melhoram resultados corporativos
Sites de venda, máquinas de cartão de crédito, telefones e serviços como Paypal usam conexões de dados para trocarem informações sobre cartões e consumidores. A cada ano, milhões de dólares são gastos pela indústria e pelo comércio para repararem os problemas causados por vazamento e captura de dados bancários não autorizada. Nesse cenário onde as fraudes são um risco recorrente, proteger-se é necessário. Para isso, métodos como o PCI-DSS garantem que negócios sejam fechados com segurança e privacidade.
Quais são as rotinas de segurança adotadas pelo seu time durante o desenvolvimento de seus sistemas? Compartilhe conosco!
Veja também:
Originalmente postado no Blog da Conviso Application Security – Siga-nos no Twitter @conviso Google+
