Compliance e Segurança em PCI: criando um ambiente confiável

Como garantir um ambiente que cumpra os requisitos para transações de cartão de crédito realmente seguras.

Fraudes com cartões de crédito são uma realidade em todo o mundo, dado o enorme potencial para ganho financeiro e informacional por parte dos hackers; para referência do tamanho deste mercado, somente em 2015 no Brasil os cartões de crédito foram responsáveis por R$1,1 trilhão em pagamentos, valor que só tende a crescer ao longo dos anos, na medida em que oferecem facilidades como possibilidade de compra online e parcelamento de valores (o torna acessível o consumo de bens antes fora da faixa de renda do consumidor) e, ao mesmo tempo, atraindo o interesse de ciberciminosos. É justamente por ser visado que as principais empresas do mundo deste ramo se uniram para criar parâmetros de segurança e certificar, assim, os ambientes onde as transações acontecem, de modo a ajudar a difundir boas práticas para este tipo de operação. Nascia, assim, a PCI-DSS (Payment Card Industry – Data Security Standard).

A implementação dos preceitos do PCI

Esta prática oferece desafios para o empresário, tanto do ponto de vista técnico quanto gerencial; abaixo estão os seis principais pontos de atenção para os gestores neste tema:

  • Proteção efetiva de dados: é fundamental que haja medidas de proteção não apenas de acesso, mas também de manipulação de dados, seja em trânsito, em processamento ou em repouso;
  • Aparelhos de mobilidade: invasores podem usar de tablets e smartphones infectados para ganhar acesso ilegal a rede, por isto sua solução de segurança deve conseguir proteger seus sistemas e dispositivos móveis contra invasões;
  • Gerenciamento de riscos de TI: capacidade de descoberta e eliminação de riscos e vulnerabilidade com rapidez é um ponto que não pode ser ignorado e requer uma solução que permita prevenir ataques de dia-zero através de recursos como virtual patching, por exemplo;
  • Controle de custos e complexidade: este aspecto trata das boas práticas de gestão e governança, onde todo o sistema é compreendido, planejado para expansão, evolução e futuros investimentos, com foco no controle e na segurança;
  • Priorização de verbas: ligado ao item anterior, é importante enxergar todo seu composto de sistemas, de modo a planejar a melhor forma de investir nas evoluções e ferramentas necessárias para sustentabilidade do ambiente.

O próprio PCI oferece um guia que inclui detalhes dos requisitos de segurança de ambiente para certificação, servindo de orientação para os gestores. Como sempre, vale lembrar que prevenção, um olhar criterioso em segurança desde a formação inicial dos sistemas (formando o sistema “nascido seguro”, como é chamado) e o conjunto certo de ferramentas ideal, que monitore não somente perímetro, mas também permita analisar logs, monitorar integridade, aplicar patches virtuais preventivos e oferecer segurança ponto a ponto dentro da rede. Apoiado com as melhores práticas e as soluções mais avançadas do mercado, seu sistema não apenas terá condições de certificação, mas também será considerado efetivamente seguro, protegendo seu negócio e garantindo tranquilidade e confiabilidade para seu cliente em todas as transações.