Em Setembro de 2006, algumas bandeiras de cartão de crédito, entre elas a Visa, Mastercard e American Express,
criaram um conselho designado a criar e recomendar as melhores práticas de segurança de dados a serem
seguidas pelos estabelecimentos comerciais que aceitam cartões de crédito como forma de pagamento, para
proteger a privacidade dos consumidores portadores de cartões. Esse conselho é chamado PCI Council
(www.pcisecuritystandards.org). A obrigatoriedade de conformidade total está marcada para setembro de 2010.
O PCI DSS se aplica a toda e qualquer empresa que coleta, processa, armazena ou transmite dados dos cartões de
crédito ou débito. Essas empresas são obrigadas a se adaptar à normativa.
Não estar em conformidade com a PCI-DSS pode incorrer em multas e até em descredenciamento dos
estabelecimentos comerciais em aceitar cartões de crédito. A PCI-DSS foi desenhada para proteger a privacidade
dos consumidores e os dados de cartão de crédito no ponto de venda, dados em trânsito, até o fim do
processamento. Empresas que conseguem demonstrar o compliance com o padrão de segurança PCI e provar
que são confiáveis enquanto capturam, processam e armazenam dados de cartões de crédito de consumidores
têm a oportunidade de construir uma sólida fidelidade com seus clientes. É um desafio. Para estar em Compliance
com a PCI, a empresa deve alterar os processos e procedimentos internos, promover alterações em sistemas,
melhorar a segurança de acesso às redes de dados e até mesmo a ambientes e escritórios que possam conter
dados confidenciais e críticos. Para isso devem passar a gerenciar seus sistemas de forma centralizada, criar
direitos de acesso individuais e aferir se, durante a vida da empresa, essas políticas estão sendo seguidas.
Os 12 requerimentos da PCI-DSS são:
Manter a rede de dados Segura
1. Instalar e manter um firewall para proteger dados de cartão de crédito
2. Não utilizar senhas padrão ou outras configurações de segurança dos softwares utilizados
Proteger dados de Cartão de crédito
3. Proteger dados de cartões de crédito armazenados
4. Utilizar criptografia na transmissão de dados de cartões de crédito
Manter um programa de Gerenciamento de Vulnerabilidades
5. Utilizar regularmente programas antivírus
6. Desenvolver e manter sistemas e aplicações seguras
Implementar um forte controle de acesso
7. Restringir acesso a dados de cartões por negócio e por pessoas que realmente precisam acessá-los
8. Designar um único ID para cada usuário da rede e sistemas
9. Restringir acesso físico aos dados de cartão de crédito
Testar e monitorar a rede regularmente
10. Rastrear e monitorar todos os acessos à rede e dados de cartões de crédito
11. Testar a segurança de sistemas e processos regularmente
Manter um programa de Gerenciamento de Vulnerabilidades
12. Manter uma política que enderece informações de segurança
