São Paulo
Novas regras incluem proteção a cartões online e que nenhum prestador de serviço mantenha dados críticos em seu poder.
As bandeiras de cartão de créditoVisa e MasterCard estabeleceram novas regras para o padrão de segurança de dados Payment Card Industry (PCI), lançado há um ano. A atualização será divulgada detalhadamente a todas as organizações que manipulam dados dos cartões de crédito em até 60 dias.
O PCI está sendo implementado no Brasil há três meses pela representantes das bandeiras aqui e, segundo Isabel Silva, diretora de risco da Visa do Brasil, as novas regras já estão sendo incorporadas.
Uma das novidades tem o objetivo de proteger as informações dos cartões de aplicações web, conta Eduardo Perez, vice-presidente da Visa. Entre outras regras está solicitar às empresas que elas assegurem que nenhum terceiro que preste serviço para elas deverá ter controle sobre as informações críticas de segurança do cartão.
O padrão lista 12 ações de controles que deverão ser implantadas por varejistas, companhias de comércio online, processadores de dados e outros negócios. Encriptação de dados, controle do acesso dos usuários finais e monitoramento de atividades e processos judiciais são algumas das exigências.
Philippe Courtot, CEO da empresa de gerenciamento de segurança Qualys, afirma que a maioria de exigências do PCI tem como foco a segurança no nível de rede, mas muitas das últimas ameaças vêm surgindo de outras direções, principalmente das aplicações. Por isso, a necessidade de atualizações no PCI que protejam de ameaças disponíveis na web.
O padrão PCI ficará completo em poucos anos. Atualmente, as companhias são encorajadas, mas não obrigadas, a usar aplicativos de pagamento que sejam compatíveis com os padrões de melhores práticas PCI. No entanto, as ações passarão a ser dever nos próximos dois anos, segundo Perez. Depois de obrigatório, aqueles que não cumprirem com o PCI serão punidos ou excluídos da rede de cartões.
Os dados revelam que há progresso no número de empresas que adotam o PCI, embora lentamente, conforme observou um analista de Gartner, Avivah Litan. Segundo a Visa, em torno de 22% dos comerciantes de primeiro nível, aqueles que processam mais de 6 milhões de transações por mês, já estão de acordo com as regras, enquanto 72% estão a caminho de atenderem completamente às exigências do PCI.
Para o analista do Gartner, um dos maiores desafios é a exigência de encriptação das informações. Algumas empresas ainda não sabem quando devem implementar o processo e se podem utilizar outro tipo de controle que compense essa exigência.
"Outro fator da lentidão seria a percepção de que o PCI, diferentemente das exigências governamentias, é um padrão privado que pretende substituir uma lei", segundo Nigel Tranter, auditor do PCI na companhia de auditoria Payment Software.
Nenhum comentário:
Postar um comentário