Experimentar agora!

Glossário

PCI DSS

O que é a normativa PCI-DSS?

O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (Payment Card Industry Data Security Standard ou PCI DSS) é um padrão de segurança orientado para a proteção dos dados do titular do cartão, assim como outros dados sensíveis de autenticação durante o seu processamento, armazenamento e/ou transmissão. Atualmente, este padrão está atualizado até à versão 4.0, publicada em março de 2022. É obrigatório cumprir esta normativa para todas as empresas que aceitam, processam ou transmitem dados de cartões. Caso contrário, as empresas podem enfrentar grandes multas ou perder as permissões de processamento de pagamentos.

Contexto prévio à PCI-DSS

Antes da publicação da primeira versão do padrão PCI DSS, cada empresa emissora de cartões de pagamento possuía um programa próprio de segurança. Cada um desses programas definia os controles de segurança que as entidades deveriam implementar, os processos de reporte de cumprimento e as sanções a aplicar em caso de incumprimento. Isto implicava que, se uma entidade trabalhasse com dados de cartões pertencentes a alguma dessas marcas, tinha a obrigação de cumprir com o seu programa de segurança, o que poderia resultar em duplicações, incongruências e sobreposições na implementação de controles.

Requisitos para cumprir com a PCI-DSS

Com a chegada da PCI DSS, todos os requisitos foram unificados sob um único padrão de segurança. Estes são os requisitos necessários para proteger a informação sensível dos cartões e evitar fraudes:
  • Uso de firewalls para prevenir acessos não autorizados.
  • Cifração de dados para garantir a confidencialidade.
  • Controlo de acessos para limitar o acesso a pessoal autorizado.
  • Monitorização de redes para detetar atividades suspeitas.
  • Testes de segurança para identificar vulnerabilidades.
  • Políticas de gestão de palavras-passe para garantir palavras-passe robustas e seguras.
Estes elementos formam uma estrutura integrada que protege contra ameaças como o roubo de dados e a fraude. Assim, assegura-se a segurança da informação dos clientes e o cumprimento com a normativa PSD2.

Níveis de cumprimento PCI DSS

A normativa PCI DSS estabelece quatro níveis de cumprimento, dependendo do volume de transações anuais:
  • Nível 1: mais de seis milhões de transações.
  • Nível 2: entre um e seis milhões de transações.
  • Nível 3: entre 20.000 e um milhão de transações.
  • Nível 4: menos de 20.000 transações.
Os níveis 2, 3 e 4 devem cumprir os seguintes requisitos:
  • Preencher o questionário de autoavaliação SAQ (Self-Assessment Questionnaire).
  • Realizar uma verificação trimestral da rede, realizada por um fornecedor de verificação aprovado (ASV - Approved Scanning Vendor).
  • Obter a certificação de cumprimento (AOC - Attestation of Compliance).
Para o Nível 1, aplicam-se controles mais rigorosos e os tempos de auditoria geralmente são mais elevados. Além dos requisitos mencionados para os níveis anteriores, as entidades de Nível 1 devem apresentar um relatório anual de cumprimento (ROC - Report on Compliance), elaborado por um avaliador de segurança qualificado (QSA - Qualified Security Assessor).

PaynoPain e PCI-DSS

Na PaynoPain, como fornecedor de soluções de pagamentos, já temos mais de 13 anos a garantir o cumprimento da normativa PCI DSS, um dos padrões de segurança mais elevados da indústria atual. Além disso, também cumprimos a ISO 27001, que implica a implementação de um sistema de gestão de segurança da informação (SGSI), conforme os padrões internacionais estabelecidos para proteger a confidencialidade, integridade e disponibilidade da informação.
Volver