Padrão garante proteção dos dados nas transações eletrônicas com cartões de crédito
Para os consumidores é cada vez mais importante reconhecer o quanto os estabelecimentos comerciais e os sites onde eles realizam suas transações são seguros. Independentemente do tamanho da empresa, é fundamental garantir que ela disponha de medidas para proteger as informações dos compradores. Ainda mais quando se tornou público que nos maiores mercados da América Latina, como o México, 45% das fraudes realizadas em 2018 foram contra usuários de cartão de crédito.
Desse modo, é muito importante que os meios de pagamento das empresas tenham o suporte e as certificações de segurança, como o Padrão PCI-DSS, para a proteção dos dados nas transações eletrônicas com cartões de crédito. Os componentes desse padrão agregam valor à proteção de dados do titular do cartão e devem ser rigorosamente obedecidos pelas empresas de pequeno e grande porte que gerenciam transações de pagamento com cartão.
Sim. Qualquer atividade comercial que use meios de pagamento por cartão de crédito tem a necessidade de proteger a segurança dos dados pessoais dos clientes titulares de cartão. É o caso, por exemplo, das empresas que têm seus canais de pagamento expostos na Internet e das atividades que aceitam pagamentos telefônicos por cartão.
No primeiro caso, os meios de pagamento eletrônicos podem ser vulneráveis a ataques cibernéticos que manipulam e acessam os dados do cartão enquanto, em pagamentos feitos por telefone, as chamadas que são capturadas nos sistemas de chamadas PAN (Personal Account Number, como o número do cartão) e SAD (Sensitive Authentication Data, como o código de verificação do cartão -CVV) podem ser armazenadas de forma inadequada, fazendo com que a coleta de dados ocorra de forma irregular.
Por essa razão, o PCI Standards Council (Conselho de Normas de Segurança da Indústria de Meios de Pagamento) recomenda algumas ações para garantir políticas integradas de proteção de dados que não apenas estejam em conformidade com os padrões PCI-DSS, mas que também garantam a redução dos riscos para as empresas, decorrentes de ataques à integridade dos dados, as quais compartilhamos como um guia de sobrevivência para a regulamentação.
1. Desenvolver e manter um programa de conformidade sustentável para incluir a cultura de proteção dos dados do cliente em todas as instâncias da organização. A segurança contínua dos dados do titular do cartão deve ser o principal objetivo de todas as atividades do relacionamento comercial.
2. Desenvolver programas, políticas e procedimentos. Como consequência da ação anterior, deve ser implementado um programa de conformidade com o PCI-DSS que inclua pessoas, processos e tecnologia, além de políticas e procedimentos de suporte para ajudar a promover o comportamento adequado e manter continuamente os processos operacionais e corporativos.
3. Definir as métricas de desempenho. Um programa de métricas eficaz pode fornecer dados úteis para direcionar a alocação de recursos a fim de minimizar a ocorrência de riscos e medir os efeitos comerciais de eventos de segurança.
4. Atribuir autoridade para coordenar atividades de segurança. É preciso que uma pessoa específica, no nível da gerência, seja o responsável pelo cumprimento contínuo. As atividades podem incluir a coordenação centralizada de recursos, monitoramento, projetos e dos custos associados à conformidade com o PCI-DSS.
5. Concentrar-se na segurança e no gerenciamento de riscos para alcançar e manter a conformidade. O foco deve ser construir uma cultura de segurança e proteger os ativos de informação e a infraestrutura de TI da empresa, permitindo que, por consequência, a conformidade seja alcançada.
6. Controlar e monitorar continuamente. As organizações devem desenvolver estratégias de proteção que se alinhem a seus objetivos comerciais e de segurança para monitorar, testar e documentar continuamente a implementação, a efetividade e a eficiência dos controles por meio da validação dos controles BAU (Business As Usual).
7. Ativar mecanismos de detecção e resposta a falhas. As organizações devem ter processos para reconhecer e responder com rapidez às falhas de controle de segurança. Os processos de resposta devem incluir, pelo menos, as seguintes ações: minimizar o impacto do incidente, restaurar os controles, realizar a análise e a correção da causa raiz, implementar os padrões de fortalecimento e melhorar o monitoramento.
8. Muitas vezes, as técnicas de engenharia social levam a violações de dados. As empresas devem implementar um processo formal de conscientização de segurança que inclua conteúdo sobre os tipos de ataques baseados em engenharia social e na manipulação de comportamentos que acabam violando a proteção de dados.
9. Supervisionar os prestadores de serviços. Com frequência, as organizações contratam prestadores de serviços terceirizados para implementar e manter os controles de segurança necessários para cumprir os padrões PCI-DSS. Em função disso, as organizações devem implementar processos para monitorar o status de conformidade de seus prestadores de serviços nessa área.
*Héctor Guillermo Martínez é presidente da GM Security Technologies
