Em entrevista ao IT Forum, diretor do PCI Security Standards Council fala sobre normas e desafios no mercado
O universo de meio de pagamentos é complexo e envolve diversos atores – bancos, bandeiras de cartão, terminais de pagamento, entre outros. Naturalmente, a complexidade de segurança cresce conforme a tecnologia se torna mais presente no dia a dia de todas as entidades. Nesse contexto, surgiu, em 2006, a PCI Security Standards Council como um esforço global para compartilhar melhores práticas no mercado.
Formada pela American Express, Discover, JCB International, Mastercard e Visa, a instituição criou a primeira norma de segurança para meios de pagamento. “O que acontecia antes disso era: cada entidade tinha seu próprio programa de segurança e, se uma empresa queria processar com a Master ou a Visa tinha que cumprir suas normas e elas não se conversavam. Além disso, cuidamos dos programas de certificação”, explica Guilherme Scheibe, diretor regional Brasil do PCI Security Standards Council.
O PCI, diz ele, não tem fins lucrativos e é uma entidade que precisa de feedback do mercado. Atualmente, aproximadamente 700 empresas participam dos programas de organização e participação, sendo cerca de 42 na América Latina e, no Brasil, 30.
Leia mais: Dia da Internet Segura: bancos lideram contratações de especialistas em cibersegurança
A chegada de Guilherme, inclusive, é para aumentar esse número. “Nós estamos em uma fase de expansão. Já tivemos um diretor regional até o começo do ano passado e tivemos alguns eventos regionais, só que isso acabou sendo contraído nos últimos dois anos de pandemia. Um dos meus objetivos é expandir e trazer mais entidades da região que possam colaborar com o Council. Essas entidades são quem dá o retorno sobre o que está acontecendo, o que precisamos melhorar e quanto mais gente na região para trazer os problemas é melhor para nós”, afirma ele.
Apesar de confidenciar que ainda não existe uma meta fechada, ele acredita aceitável dobrar o número atual de instituições. Ao comparar a América Latina com o total, a região representa 5% de representatividade. Apesar disso, Guilherme é otimista ao falar do mercado brasileiro.
“O Brasil sempre foi muito avançado em relação aos meios de pagamentos e na adoção das tecnologias e processos de segurança. Eu não diria que estamos atrasados, mas que falta maturidade. Se surge uma fintech, por exemplo, quando ela quiser trabalhar com cartões e bater na Master ou na Visa, eles dirão que será necessário implementar todos os requisitos de segurança. Há uma conscientização da indústria de que se um player é afetado, ele afeta toda a indústria. Acho que estamos alinhados em relação às práticas de acordo com o mundo.”
Por outro lado, o brasileiro também é criativo em relação à fraude. O que é mais observado, segundo Guilherme, não são novas técnicas, mas sobre enganar pessoas para que ela seja exposta ao risco.
Entre as principais tendências de meios de pagamento, o especialista afirma ter um boom em relação à web e não apenas para transações por e-commerce, mas a integração por e-commerce. Isso não só impulsionou as novas fintechs, mas continuamos em uma expansão de serviços de pagamentos feitos via internet.
“O que apostaríamos seria o pagamento por dispositivos móveis. Talvez a gente já comece a ver alguns produtos que permitam fazer o download da aplicação do banco para fazer transações direto do celular [sem uma ‘maquininha de cartão’]. É um tipo de atuação que não vai expandir para uma loja, mas para pagamentos de microempreendedores e profissionais liberais”, comenta.
Desde a sua fundação, novas normas foram criadas para acompanhar a evolução tecnológica. Uma delas é o PCI Mobile Payments on COTS (MPoC), que baseia-se nos padrões existentes PCI de Entrada de PIN Baseada em Software em COTS (SPoC) e Pagamentos Contactless em COTS (CPoC), que atendem aos requisitos de segurança para soluções que permitem aos comerciantes aceitar PINs ou pagamentos por aproximação usando um smartphone ou outro dispositivo móvel existente (COTS). O padrão PCI MPoC visa fornecer maior flexibilidade não apenas na aceitação dos pagamentos, mas também em como as soluções de aceitação de pagamento baseadas em COTS podem ser desenvolvidas, implantadas e mantidas.
O PCI MPoC é um padrão novo e flexível para dispositivos móveis, além de um programa para o desenvolvimento de soluções de pagamento. Ele fornece um padrão de segurança modular baseado em objetivos que oferecem suporte a vários tipos de canais de aceitação de pagamento e métodos de identificação do consumidor em dispositivos COTS. O PCI MPoC combina muitos dos aspectos dos padrões PCI SPoC e PCI CPoC existentes, principalmente ao incluir a entrada de PIN e de dados do titular do cartão por aproximação no mesmo dispositivo COTS.
O PCI MPoC Standard foi desenvolvido com a contribuição da indústria global de pagamentos em dois períodos de Pedidos de Comentários (RFC), produzindo aproximadamente 900 itens de feedback de 37 empresas. As RFCs forneceram informações sobre como o mercado pode buscar usar soluções de aceitação de pagamento baseadas em COTS, e esses comentários foram adotados no padrão, afetando substancialmente os requisitos e como eles devem ser avaliados.
