requisitos PCI DSS

As principais marcas de cartões de pagamento, Visa, MasterCard, American Express, JCB e Discover Financial Services, criaram o PCI Security Standards Council (PCI Council), com o objetivo de produzir e gerir normas para proteger os dados de cartões e garantir um maior controlo sobre os sistemas e redes que processam, transmitem e armazenam essa informação.

Esse conjunto de normas pretende aumentar o nível de segurança das transacções eletrónicas e diminuir o risco de fraude para os Titulares dos Cartões, Comerciantes, Processadores, Bancos, tornando a indústria de pagamentos mais confiável e menos suscetível de comprometimento de dados.
Entre os diversos normativos produzidos pelo PCI Council destaca-se o Payment Card Industry Data Security Standard (PCI DSS), que consiste num conjunto de requisitos de segurança ao nível técnico, operacional e de procedimentos que deve ser cumprido pelas entidades que acedem, processam, armazenam ou transmitem dados de Cartões. O cumprimento do PCI DSS pelos Comerciantes é obrigatório.

Conheça os Requisitos PCI DSS de alto nível em PCI Council, Visa Europe e também MasterCard.

A par do PCI DSS salientam-se também os seguintes normativos desenvolvidos pelo PCI Council:

  • Conjunto de requisitos de segurança ao nível de software e hardware que os equipamentos TPA têm de respeitar e que é denominado por Payment Card Industry PIN Transaction Security (PCI PTS). Estão sujeitos a estas regras os fabricantes de equipamentos, sendo que os Comerciantes deverão usar apenas terminais testados e devidamente certificados.
  • Conjunto de requisitos de segurança que as aplicações de pagamento utilizadas pelos Comerciantes têm de obedecer e que é denominado por Payment Application Data Security Standard (PA-DSS). Estão sujeitos a estas regras os fabricantes de software, sendo que os Comerciantes deverão usar apenas aplicações testadas e devidamente certificadas.

 

Dados Críticos do Cartão

O PCI DSS impõe restrições sobre alguns dos dados de cartões com destaque para as seguintes:
 

    Elemento de dados Armazenamento permitido Tornar ilegíveis os dados armazenados (Ponto 3.4*) dos Requisitos PCI DSS
Dados
de cartão
Dados do Titular
do Cartão
Número de cartão Sim Sim
Nome do Titular Não
Código de serviço
Data de validade
Dados de autenticação sensíveis Dados completos da banda magnética Não armazenável de acordo com o Requisito 3.2* dos Requisitos PCI DSS
Dados de segurança
CVC2/CVV2
PIN

* Disponível para consulta no Anexo PCI dos Contratos de TPA Virtual
 

 

Níveis de Comerciantes e Requisitos de Validação

Todos os Comerciantes são classificados em diferentes níveis, segundo o critério da transacionalidade e/ou o tipo de negócio que exerçam, como é o caso específico do e-commerce e do setor da Hotelaria. Para cada um dos níveis, com o objetivo de aferir a compliance com o PCI DSS, estão estabelecidos diversos requisitos de validação, tais como:
 

Nível Comerciante Requisitos de validação
1 Comerciantes que processem mais de 6 milhões de transações/ano ou comerciantes classificados como grandes comerciantes De acordo com o nível, a certificação do comerciante implica ou o preenchimento de um questionário/relatório ou a auditoria interna ou a auditoria por uma empresa externa
2 Comerciantes que processem entre 1 milhão e 6 milhões de transações/ano
3 Comerciantes de e-commerce que processem entre 20 mil e 1 milhão de transações/ano
4 Comerciantes de e-commerce que processem até 20 mil transações/ano
Comerciantes que processem até 1 milhão de transações/ano

 

Os comerciantes do setor da Hotelaria devem alterar as passwords de default das aplicações e sistemas, que habitualmente utilizam para efetuarem a gestão das reservas, por onde passam os dados dos cartões.
Com o objetivo de mitigar o risco no acesso indevido a estas aplicações e sistemas aconselham-se algumas ações:

  • Alterar as passwords de default: As passwords devem ser alteradas imediatamente aquando da instalação de equipamentos e softwares de gestão de reservas.
  • Utilizar passwords complexas: Palavras que estejam no dicionário são consideradas com nível de segurança baixo, pelo que se aconselha uma password com um mínimo de 8 caracteres, usando uma combinação de letras maiúsculas e minúsculas, algarismos e caracteres especiais.
  • Remover contas inativas
  • Atribuir um user ID a cada utilizador: Atribuir um código de identificação único (user ID) e respetiva password a cada utilizador.
  • Não partilhar credenciais: As mesmas passwords não deverão ser utilizadas em várias aplicações e sistemas, a não ser quando estritamente necessário.
  • Alterar frequentemente as passwords: As passwords devem ser alteradas no mínimo 1 vez a cada 90 dias.
  • Monitorizar atividades suspeitas: Monitorizar acessos não autorizados
  • Limitar o nº de tentativas incorretas de passwords: No caso das aplicações e sistemas disporem da capacidade de bloquear após determinado nº de tentativas incorretas, a mesma deve ser ativada.
  • Utilizar os privilégios mínimos: Cada utilizador deve ter apenas acesso às aplicações estritamente necessárias para o desempenho da sua atividade.
  •  

    Políticas Awareness

    Aconselha-se a leitura do documento Skimming Prevention: Best Practices for Merchants publicado pelo PCI Council que tem como objetivo ser um guia de segurança para o comerciante na utilização do TPA, maximizando a segurança dos dados dos titulares dos cartões.
    De uma forma geral, o comerciante deverá:

    • Estar consciente dos riscos relacionados com o skimming;
    • Estar consciente da vulnerabilidade inerente à utilização de um Terminal de Pagamento Automático e às respetivas infra estruturas;
    • Estar consciente das vulnerabilidades associadas ao facto de puder haver um conjunto de pessoas que têm acesso ao equipamento;
    • Prevenir ou deter ataques criminosos contra o equipamento e a sua infra estrutura;
    • Identificar qualquer terminal comprometido logo que possível e notificar as autoridades competentes para responder e minimizar o impacto de um ataque bem sucedido.
    •  
      Para obter mais informação sobre estes temas consulte os sites:
      PCI Council
      Visa Europe
      MasterCard

       

      Venda Online Venda à Distância Preços e Condições Vantagens netcaixa Aderir Já

      Venda
      Online

      Venda
      à Distância

      Preços e
      Condições

      Vantagens
      netcaixa

      Aderir Já

Linha de Apoio netcaixa

(disponível 24 horas/dia, 7 dias/semana)

707 29 70 70

 

Pesquisar

netcaixa

Quem Somos
Serviços netcaixa
Vantagens netcaixa
Preços e Condições
Campanhas
Adesão

TPA Físico

TPA Fixo
TPA Portátil
TPA Móvel
Comunicações
Máquinas Manuais
Vantagens TPA Físico

TPA Virtual

Venda Online 3D Secure
Venda à Distância
Requisitos PCI DSS
Vantagens TPA Virtual