Alcançar e manter os requisitos de conformidade com PCI

Publicados: 2022-06-30

Se sua empresa Magento 1 lida com informações de cartão de crédito, você já deve estar ciente dos mais de 300 requisitos de segurança no PCI DSS. Se você não estiver familiarizado, este artigo abordará alguns dos fundamentos e oferecerá recursos para certificar a conformidade.

Fundado em 2006 pela American Express, Discover, JCB International, Mastercard e Visa, o Payment Card Industry Data Security Standards (PCI DSS) define o padrão mínimo de segurança de dados em torno do processamento de transações com cartão de crédito. Ele ajuda a reduzir fraudes e violações de dados em todo o ecossistema de pagamentos e se aplica a qualquer organização que aceite ou processe pagamentos por meio de cartões de crédito.

Conformidade com PCI DSS

A conformidade com o PCI DSS envolve três regras principais:

  1. Os dados confidenciais de cartão de crédito dos consumidores devem ser coletados e transmitidos com segurança
  2. Esses dados devem ser armazenados com segurança utilizando criptografia, monitoramento contínuo e testes de segurança de acesso aos dados do cartão
  3. Anualmente, validar se os controles de segurança necessários estão em vigor

Dados confidenciais de consumidores

As empresas que lidam com dados de cartão podem ser obrigadas a cumprir cada um dos mais de 300 controles de segurança do PCI DSS. Mesmo que os dados do cartão passem pela infraestrutura de uma empresa apenas por um momento, a empresa precisaria comprar, implementar e manter software e hardware de segurança.

Se uma empresa não precisa lidar com dados confidenciais de cartão de crédito, não deveria. Soluções de terceiros (como Stripe) aceitam e armazenam dados de cartão de crédito com segurança, eliminando complexidade, custo e risco consideráveis. Se os dados do cartão nunca chegarem aos servidores da sua empresa, você só precisará confirmar 22 controles de segurança relativamente simples, como usar senhas fortes.

Armazene os dados com segurança

Se uma organização manuseia ou armazena dados de cartão de crédito, ela precisa definir o escopo de seu ambiente de dados do titular do cartão (CDE). O PCI DSS define CDE como as pessoas, processos e tecnologias que armazenam, processam ou transmitem dados de cartão de crédito — ou qualquer sistema conectado a ele.

Como todos os mais de 300 requisitos de segurança do PCI DSS se aplicam ao CDE, é importante segmentar adequadamente o ambiente de pagamento do restante da empresa para limitar o escopo da validação do PCI. Se uma organização não puder conter o escopo CDE, os controles de segurança PCI se aplicarão a todos os sistemas, laptops e dispositivos em sua rede corporativa. Ninguém tem tempo para isso.

Uma revisão anual dos controles de segurança necessários

Independentemente de como os dados do cartão são aceitos, as organizações que lidam com pagamentos com cartão de crédito precisam preencher um formulário de validação PCI anualmente para manter a conformidade.

12 Principais Requisitos para PCI DSS

Os padrões de segurança mais recentes, PCI DSS versão 3.2.1, incluem 12 requisitos principais com mais de 300 subrequisitos que refletem as práticas recomendadas de segurança.

Esses 12 requisitos principais são:

  1. Instale e mantenha uma configuração de firewall para proteger as informações do titular do cartão
  2. Nunca use padrões fornecidos pelo fornecedor para senhas do sistema e outros parâmetros de segurança
  3. Proteja os dados armazenados do titular do cartão
  4. Criptografe a transmissão de dados do titular do cartão em redes abertas ou públicas
  5. Proteja todos os sistemas contra malware e atualize regularmente o software antivírus
  6. Desenvolver e manter sistemas e aplicativos seguros
  7. Restringir o acesso aos dados do titular do cartão
  8. Identifique e autentique o acesso aos componentes do sistema
  9. Restringir o acesso físico aos dados do titular do cartão
  10. Acompanhe e monitore todo o acesso a recursos de rede e dados do titular do cartão
  11. Testar regularmente sistemas e processos de segurança
  12. Manter uma política que aborde a segurança da informação para todos os funcionários

Novos negócios podem validar a conformidade com o PCI por meio de nove questionários de autoavaliação que são um subconjunto de todo o requisito do PCI DSS. A dificuldade vem de tentar descobrir quais requisitos são necessários para o seu negócio. Algumas empresas contratarão um auditor aprovado pelo PCI Council para garantir que cada requisito do PCI DSS foi atendido. E como se isso não fosse complicado o suficiente – o PCI Council revisa as regras a cada três anos e lança atualizações ao longo de cada ano. Como as empresas podem proteger seus dados de cartão de crédito e manter a conformidade com o PCI considerando esses fatores?

Maneiras de proteger

Existem várias maneiras aceitas de proteger seu site com os requisitos do PCI DSS, desde a contratação de uma empresa qualificada de assessor de segurança (QSA) até a utilização do PCI 3-Step Process e via Nexcess Safe Harbor em parceria com a Stripe.

1. Um Avaliador de Segurança Qualificado

Um avaliador de segurança qualificado é uma empresa de segurança de dados qualificada pelo PCI Council para realizar avaliações do padrão de segurança de dados PCI no local. Um avaliador verificará todas as informações técnicas fornecidas pelo comerciante ou provedor de serviços e usará um julgamento independente para confirmar que o padrão foi atendido. Uma lista de empresas de Avaliadores de Segurança Qualificados (QSA) pode ser encontrada aqui.

2. O Processo PCI em 3 Etapas

  1. Avalias Identificar dados do titular do cartão, fazer um inventário de ativos de TI e processos de negócios para processamento de cartão de pagamento e analisá-los em busca de vulnerabilidades.
  2. Remediar Corrigir vulnerabilidades e eliminar o armazenamento de dados do titular do cartão, a menos que seja absolutamente necessário.
  3. Relatório Compilar e enviar os relatórios necessários ao banco adquirente apropriado e às marcas de cartão.

3. Porto Seguro

O Magento 1 chegou ao fim da vida útil em junho de 2020, colocando milhares de sites de comércio eletrônico em uma área cinza de conformidade quando a Adobe parou de emitir atualizações oficiais de segurança.

Embora o próprio aplicativo de comércio eletrônico represente apenas uma pequena parte do que realmente envolve a conformidade com PCI, para os comerciantes que ainda executam seus sites de comércio eletrônico no Magento 1, o importante a observar é que não haverá mais patches de segurança e atualizações emitidas para a plataforma. Eles estão por conta própria, a menos que tenham investido em uma solução como o Nexcess Safe Harbor. Sugerimos fortemente que você confira o Stripe, que tem o compromisso de manter seu módulo Magento 1 funcionando para seus clientes.

Listra

A Stripe continua comprometida em permitir que os usuários usem com segurança os produtos da Stripe no Magento 1. Para esse fim, a Nexcess incentiva você a instalar o módulo Magento 1 oficial da Stripe, que usa Stripe.js e Elements para simplificar a conformidade com PCI do seu site. A Stripe continuará lançando correções de bugs e atualizações de segurança para o módulo Stripe Magento 1 para garantir que esta solução siga os Padrões de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS).

Conclusão

Como você pode ver, alcançar e manter a conformidade com o PCI não é tarefa fácil. Mas com as informações corretas, assistência de um profissional de compliance e Nexcess Safe Harbor, as empresas que ainda operam no Magento 1 podem manter os dados do cartão de crédito de seus clientes seguros e protegidos.