O que é PCI?
PCI, abreviação de Indústria de cartões de pagamento, é um padrão global para salvaguardar informações confidenciais de cartões de pagamento. O PCI Security Standards Council (PCI SSC) foi fundado em 2006 por grandes empresas de cartão de crédito, como Visa, Mastercard, American Express, Discover e JCB International. Seu objetivo principal é desenvolver e aprimorar padrões de segurança para proteger dados de titulares de cartão.
Importância da conformidade com PCI
A conformidade com os padrões do setor de cartões de pagamento é vital por vários motivos:
- Segurança de dados: A conformidade com o PCI protege informações confidenciais de cartões de pagamento contra roubo e fraude.
- Confiança e reputação: Seguir os padrões do setor de cartões de pagamento aumenta a confiança do cliente na capacidade de uma organização de lidar com seus dados financeiros com segurança.
- Requerimentos legais: Muitos países têm leis e regulamentações que exigem a conformidade do Setor de Cartões de Pagamento para empresas que lidam com dados de cartão de crédito, e o não cumprimento pode levar a repercussões legais.
- Consequências Financeiras: O não cumprimento pode levar a multas impostas por órgãos reguladores e penalidades de empresas de cartão de crédito.
Padrões da indústria de cartões de pagamento
PCI não é uma certificação única, mas um conjunto de requisitos contínuos. O PCI Data Security Standard (PCI DSS) é a estrutura central para a conformidade do Payment Card Industry. Ele consiste em doze requisitos organizados em seis categorias:
Quem precisa estar em conformidade com o PCI?
Qualquer entidade que retenha, manipule ou envie informações do titular do cartão deve aderir aos regulamentos do PCI DSS. Isso se aplica globalmente, independentemente do tamanho do negócio ou do número de transações que eles manipulam. Aqui está uma análise de quem normalmente precisa de conformidade com o Payment Card Industry:
- Comerciantes: Isso inclui qualquer empresa que aceite cartões de pagamento (crédito, débito, pré-pago) pessoalmente, online, por telefone ou por meio de um aplicativo móvel.
- Provedores de serviço: Qualquer empresa que armazene, transmita ou processe dados de titulares de cartão em nome de comerciantes precisa estar em conformidade. Isso inclui processadores de pagamento, gateways e qualquer terceiro envolvido no fluxo de pagamento.
Mesmo que você terceirize seu processamento de pagamentos, você ainda é responsável por garantir que o fornecedor escolhido esteja em conformidade com o PCI.
Quem supervisiona o PCI?
A organização que supervisiona o PCI é o Payment Card Industry Security Standards Council (PCI SSC), que gerencia e desenvolve os padrões de segurança. O PCI SSC é um órgão independente fundado por grandes empresas de cartão de pagamento como Visa, Mastercard, American Express, Discover e JCB International.
Multa por Descumprimento
Não há uma única multa definida para a não conformidade com os padrões PCI. As penalidades são impostas por marcas de pagamento (Visa, Mastercard, American Express, Discover e JCB International) e bancos adquirentes, não diretamente pelo próprio PCI SSC. Aqui está o que você pode esperar:
- Multas: Podem variar de $ 5,000 a $ 100,000 por mês, dependendo da gravidade da não conformidade e de quanto tempo ela persiste. As multas geralmente aumentam quanto mais tempo você permanecer em não conformidade.
- Aumento nas taxas de transação: a não conformidade também pode fazer com que seu processador de pagamento cobre taxas mais altas para cada transação processada.
- Encerramento do serviço: Em casos extremos, seu banco adquirente pode encerrar completamente sua capacidade de aceitar pagamentos com cartão.
Como alcançar a conformidade com o PCI?
Para atingir a conformidade com o Setor de Cartões de Pagamento, as organizações devem:
- Entenda os requisitos do PCI DSS aplicáveis ao seu ambiente.
- Realizar uma avaliação completa de seus sistemas e processos para identificar vulnerabilidades e lacunas.
- Implementar controles e medidas de segurança apropriados para lidar com os riscos identificados.
- Monitore, teste e atualize regularmente os sistemas de segurança para garantir a conformidade contínua.
- Trabalhe com avaliadores de segurança qualificados (QSAs) ou avaliadores de segurança internos (ISAs) para validar a conformidade por meio de auditorias e avaliações.
Concluindo, a conformidade com a Payment Card Industry é essencial para qualquer organização que processe, armazene ou transmita dados de cartão de crédito. Ao aderir aos padrões da Payment Card Industry, as empresas podem mitigar o risco de violações de dados, proteger sua reputação e manter a confiança de seus clientes. É crucial se manter atualizado com os requisitos mais recentes do PCI e melhorar continuamente as medidas de segurança para se adaptar às ameaças em evolução na indústria de cartões de pagamento.
Perguntas frequentes
A conformidade do setor de cartões de pagamento é obrigatória para todas as empresas?
Sim, a conformidade do Payment Card Industry é obrigatória para qualquer organização que processe, armazene ou transmita dados de cartão de crédito. A não conformidade pode levar a multas, penalidades e danos à reputação.
A conformidade do Setor de Cartões de Pagamento se aplica a empresas fora dos Estados Unidos?
Sim, a conformidade do Payment Card Industry é um padrão global aplicável a empresas no mundo todo que lidam com dados de cartão de crédito. É crucial para qualquer organização que conduza transações envolvendo cartões de pagamento.
Existem diferentes níveis de conformidade do setor de cartões de pagamento com base no volume de transações?
Sim, os níveis de conformidade do Payment Card Industry são determinados pelo volume de transações processadas anualmente. Os níveis variam do Nível 1 (mais alto) para organizações com os maiores volumes de transações ao Nível 4 (mais baixo) para aquelas com o menor número de transações.
O que você pode fazer com Solix
Participe para ganhar um vale-presente Amex de $ 100
