O padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é um conjunto de padrões de segurança, projetados para garantir que as empresas que aceitem e processam informações de crédito e cartão de débito, faça-o em um ambiente seguro e seguro.
Não importa em que setor você opera ou em que tamanho de negócios você possui, se aceitar pagamentos e processos de cartões, transmitir e armazenar dados do titular do cartão, você deve hospedar seus dados com segurança com um provedor de hospedagem que é PCI complacente.
O Conselho de Padrões de Segurança da PCI foi formado em 2006 pelas cinco principais marcas de cartão de crédito-American Express, Visa, Mastercard, Japanese Credit Bureau (JCB) e Discover. Embora cada marca de cartão de crédito tenha seus próprios programas de conformidade, os padrões da PCI são a base para todos eles.
Embora o conselho não tenha autoridade legal, se sua empresa pretende aceitar transações com cartão de crédito ou débito, ele precisará aderir aos padrões da PCI.
O que é conformidade com PCI?
O PCI compreende um conjunto de 12 requisitos específicos que abrangem seis objetivos. Os objetivos fundamentais são maximizar a segurança em relação aos pagamentos e informar os comerciantes sobre como se tornar mais seguro. E isso significa criar e manter uma rede segura, proteger os dados dos titulares de cartões e testar e monitorar regularmente as redes.
Você encontrará quatro níveis diferentes de conformidade com PCI, dependendo do volume de transações que seus negócios transportam durante um período de 12 meses. O volume de transações deriva do número agregado de transações de visto, incluindo transações de crédito, débito e cartão pré-pago de um comerciante que faz negócios como ‘DBA’.
Se você vender com mais de um DBA, considere o volume agregado de transações processadas, armazenadas ou transmitidas em geral para determinar seu nível de validação.
Se sua empresa processar 20.000 transações ou menos a cada ano, ou se os dados do cartão forem processados apenas por fornecedores como fornecedores de cartões de compra, sua empresa terá menos requisitos de PCI e será classificada como nível 4 .
Se sua empresa processar entre 20.000 e 1 milhão de transações por ano, você será classificado como nível 3. Processamento de empresas entre 1 e 6 milhões de transações de cartões em um período de 12 meses for classificado como nível 2. Cada nível traz consigo um número maior de requisitos de conformidade.
Nível 1 traz consigo o maior número de requisitos de conformidade reservados para empresas processando 6 milhões ou mais transações por ano ou armazenando seus próprios dados de cartão, escrevendo seu próprio código e executando seus próprios servidores.
Quanto custará a conformidade com a PCI?
Para uma empresa de nível 4 com dados de cartão de crédito armazenados eletronicamente em seu site ou sistemas de processamento com conectividade on-line, um fornecedor de varredura aprovado deve preencher regularmente um site ou digitalização de rede. A equipe da empresa também deve concluir um questionário de auto-avaliação e atestado de conformidade. Isso pode custar apenas US $ 60 por mês.
Se sua empresa estiver no nível 3, os custos associados a um site regular ou digitalização de rede por um fornecedor de varredura aprovado e a conclusão do questionário anual de auto-avaliação e o atestado da conformidade podem subir a US $ 1.200 anualmente.
Para empresas de nível 2, esse custo pode subir entre US $ 10.000 e US $ 50.000 por ano, dependendo do número de endereços IP e do tamanho da sua rede.
Para empresas no nível 1 da conformidade com PCI, os custos podem variar de US $ 50.000 para cima e envolver não apenas a varredura regular de rede por um fornecedor de varredura aprovado, mas também um atestado de conformidade e um relatório anual de conformidade por um assessor de segurança qualificado.
O que minha empresa pode fazer para atender aos requisitos da PCI?
Como sugerido acima, para garantir a conformidade com a PCI, você precisará fazer o site ou verificações de rede regulares por um fornecedor de digitalização aprovado-independentemente do nível que sua empresa seja classificada. As empresas de nível 1 também precisarão ser auxiliadas por um assessor de segurança qualificado para realizar avaliações anuais no local.
Para pequenas empresas que lidam com menos de 6 milhões de transações com cartão de crédito e débito por ano, atender aos padrões de conformidade com PCI requer plenamente a assistência de um fornecedor de varredura aprovado e algum trabalho de sua própria equipe.
Foto via Shutterstock Comentário?