Open Finance
10
min de leitura
5 de dezembro de 2019

Em conformidade com o PCI: Suas APIs precisam de uma certificação PCI DSS? (e como isso pode ajudar com o LGPD e Open Banking)

Letícia Trevisan
Analista de Marketing e Conteúdo Digital
Publicitário formado na PUC de Campinas. Trabalho no desenvolvimento de conteúdo para websites, blogs e redes sociais, produção de comunicações endomarketing e produção de palestras, workshops e eventos.
Mais sobre o autor

05O que é uma certificação PCI DSS?O PCI DSS (Payment Card Industry - Data Security Standard) é um padrão de segurança de alto nível para todo o ecossistema de empresas que registram ou processam dados de cartões de crédito e débito - cobrindo desde dispositivos eletrônicos até aplicações e infra-estruturas.

Esta norma foi estabelecida pelo PCI Security Standards Council (PCI SSC), formado pelas principais marcas de placas, para tornar o ecossistema de pagamentos eletrônicos mais seguro e garantir ao cliente compliance e confiança.

2305

Minhas APIs precisam ser compatíveis com PCI?

Qualquer empresa que aceite pagamentos com cartão de crédito/débito, através do processamento ou armazenamento de dados destes cartões, é indicada para ter uma certificação PCI DSS. Este cenário é cada vez mais comum, especialmente para empresas envolvidas em setores como Varejo, Serviços Financeiros e provedores de tecnologia.

Caso suas APIs contenham alguma informação relacionada a cartões de pagamento, é muito importante que você e os parceiros técnicos envolvidos no suporte dessas APIs atendam aos requisitos e tenham uma certificação PCI.

Por que uma certificação PCI é tão importante?

As pessoas usam cada vez mais cartões de crédito e débito (físicos ou virtuais) em vez de dinheiro para fazer pagamentos. Estes meios eletrônicos promovem facilidade de uso não só para os consumidores, mas também para os criminosos.

Usando kits de exploração simples de usar, hackers de todo o mundo exploram vulnerabilidades em sistemas e realizam crimes em larga escala, causando enormes danos e se tornando um grande risco para as empresas. Este risco envolve não somente vulnerabilidades externas, mas também ameaças de origem interna. Se ocorrer vazamento de dados, pode levar a sérias conseqüências como: penalidades, multas, perda de confiança do cliente e vendas futuras, custos adicionais do compliance , proibição de processar pagamentos com os cartões, e até mesmo falência.

De acordo com o relatório Custo de uma quebra de dados de 2019, os vazamentos de dados em 2019 geraram um custo médio de US$ 3,92 milhões cada para as empresas. A obtenção de uma certificação PCI significa que as principais práticas de segurança de dados estão sendo aplicadas.

Portanto, ter uma certificação PCI e parceiros em conformidade com a PCI pode trazer benefícios tais como

  • Maior nível de segurança dos dados
  • Qualidades diferenciadas em relação aos Concorrentes
  • Redução de Riscos
  • Aumento da confiança do consumidor
  • Facilidade de se tornar um fornecedor para grandes empresas que lidam com pagamentos com cartão
  • Estar à frente de outros e encurtar a preparação para regulamentos de privacidade como GDPR, LGPD e até mesmo Open Banking.

O que requer uma certificação PCI?

A PCI recomenda boas práticas de segurança da informação e fornece uma metodologia clara sobre o que deve ser alcançado.

A certificação PCI busca atingir 6 objetivos e, para isso, foram definidos 12 requisitos, que são verificados por uma série de testes e procedimentos compliance , sendo confirmados por uma entidade autorizada a realizar a certificação:

Objetivo 1 - Construir e manter a segurança da rede e do sistema

  1. Instalação e manutenção de uma configuração de firewall para proteger os dados do portador do cartão
  2. O fornecedor de equipamentos não forneceu padrões para senhas de sistemas e outros parâmetros de segurança.

Objetivo 2 - Proteger os dados do portador do cartão

  1. Proteger os dados armazenados do titular do cartão
  1. Criptografar a transmissão de dados do portador do cartão através de redes abertas e públicas

Objetivo 3 - Manter um programa de gerenciamento de vulnerabilidades

  1. Proteger todos os sistemas contra malware e atualizar regularmente os programas antivírus ou software
  1. Desenvolvimento e manutenção de sistemas e aplicações seguras

Objetivo 4 - Implementar medidas rigorosas de controle de acesso

  1. Restringir o acesso aos dados do portador do cartão de acordo com a necessidade de conhecimento para o negócio
  1. Identificando e autenticando o acesso aos componentes do sistema
  1. Restrição do acesso físico aos dados do portador do cartão

Objetivo 5 - Monitorar e testar redes regularmente

  1. Rastreamento e monitoramento de todos os acessos relativos aos recursos da rede e aos dados do portador do cartão
  1. Testar regularmente os sistemas e processos de segurança

Objetivo 6 - Manter uma política de segurança da informação

  1. Manutenção de uma política que trate da segurança da informação para todas as equipes

Estes procedimentos de teste estão relacionados a 4 níveis de segurança (o nível 1 é o mais alto) de acordo principalmente com o volume de transações:

E o que uma certificação PCI tem a ver com GDPR e LGPD? Pode ser útil?

"As pessoas vêm até mim e perguntam: 'Como eu posso me tornar compatível com o GDPR?

Eu digo: "Comece com o PCI DSS".-Jeremy King, diretor do PCI SSC

O Regulamento Geral de Proteção de Dados (GDPR) entrou em vigor na União Européia em 2018 e se aplica a todas as empresas que armazenam ou processam dados que identificam cidadãos europeus, fornecendo uma gama de direitos para garantir o ownership, finalidade, consentimento, transparência e privacidade dos indivíduos sobre seus dados.

Regulamentações semelhantes estão sendo desenvolvidas por vários países. No Brasil, o congresso nacional está definindo a aplicação de uma regulamentação semelhante à GDPR ( Lei Geral de Proteção de Dados) em agosto/2020.

Todas as empresas que operam no Espaço Econômico Europeu, independentemente de seu país de origem, estão sujeitas a multas de até 4% do faturamento global ou 20 milhões de euros - o que for maior - e até mesmo à suspensão das atividades com a UE.

Compliance com estas regulamentações apresenta desafios técnicos e comerciais para as empresas, que precisam se proteger de ameaças e aproveitar as oportunidades que surgem. Entretanto, mesmo que explicitem os direitos dos cidadãos, estas regulamentações não fornecem um guia claro sobre como cumprir.

Embora o escopo da proteção de dados PCI seja menor (dados do cartão de pagamento), este último está contido no escopo do LGPD e dos dados pessoais da GDPR. Além disso, o processo de certificação PCI fornece uma metodologia definida para que sua empresa tenha a capacidade de mapear e proteger dados sensíveis durante o processamento, transmissão e armazenamento.

A conformidade com o PCI indica que sua empresa está ciente das práticas finais de proteção de dados, e está à frente da concorrência no que diz respeito à adaptação ao GDPR e LGPD.

Open Banking

Os bancos centrais em vários países estão desenvolvendo regulamentações similares ao PSD2 da União Européia, exigindo que os bancos tornem os dados bancários e os serviços de pagamento abertos através de APIs para que sejam utilizados por empresas terceirizadas que tenham o consentimento dos usuários. ‍

O Banco Central do Brasil está planejando aplicar uma regulamentação semelhante ao PSD2 para Open Banking até o início do 2º semestre de 2020.

Este regulamento visa aumentar a concorrência no setor e oferece oportunidades para que empresas terceirizadas se integrem com bancos através de APIs e façam ofertas e melhores experiências disponíveis para os consumidores, utilizando estes dados. Estas oportunidades não estão restritas a empresas do setor financeiro; elas também estão sendo avaliadas por grandes empresas de varejo, telecomunicações, serviços públicos - que estão começando a oferecer seus próprios serviços financeiros.

A certificação PCI é um passo essencial para aproveitar as possibilidades de tal regulamentação em relação aos pagamentos com cartão. Além disso, é discutida a necessidade de uma certificação semelhante ao PCI DSS para a proteção de dados bancários. Estar familiarizado com as práticas requeridas no PCI DSS acelera muito a preparação para o desenvolvimento do Open Banking-Based Business.

Como a Sensedia pode ajudar você a tornar suas APIs compatíveis com PCI?

Muitas empresas querem fazer uso das oportunidades e fazer parte do ecossistema de pagamento com cartão. Confiar em parceiros tecnológicos cujas plataformas já estão adaptadas aos parâmetros PCI é uma forma de reduzir custos, reduzir riscos e evitar as complexidades técnicas de adaptação a um padrão de segurança global em constante evolução.

A Plataforma Sensedia API fornece um ambiente compatível com PCI (PCI-DSS Nível 1 - o mais alto nível), com certificado AOC, WAF, testes de penetração e varreduras de vulnerabilidade disponíveis em maior recorrência do que a exigida pela certificação.

Dentro da plataforma, há também componentes prontos para serem adicionados ao fluxo de APIs como Oauth 2.0, JWT, proteções contra ameaças, filtragem IP, criptografia e ofuscação, entre outros.

A plataforma Sensedia API também apresenta controles de governança, alertas, painéis de controle personalizados e registro em tempo real para evitar incidentes e acelerar as respostas a ameaças.

Além disso, a Sensedia tem uma consultoria especializada em segurança e operação de seus APIs, e é considerada pela Forrester como um leader em Estratégia API, a fim de apoiar os clientes no projeto dos melhores modelos e na aplicação das melhores práticas.

Deseja saber mais?

Entre em contato conosco e fale com um de nossos especialistas.

Obrigado pela leitura!