As novas regras de processamento de pagamentos com cartão de crédito reforçarão a segurança e oferecerão mais flexibilidade para as empresas. Embora não entrem totalmente em vigor até 2025, os especialistas dizem que há mudanças significativas e recomendam que as empresas voltadas para o consumidor comecem já a preparar-se para a conformidade.
Por Neal Weinberg
Para empresas que lidam com dados de cartão de crédito, o que significa praticamente todas as empresas voltadas para o consumidor, o processamento de pagamentos é um sistema de missão crítica que requer os mais altos níveis de segurança.
O volume de transações realizadas com cartões de crédito de uso geral (American Express, Discover, Mastercard, Visa, UnionPay na China e JCB no Japão) totalizou 581 mil milhões de dólares em 2021, um aumento de 24,5% ao ano, segundo o Relatório da Nilson.
No entanto, os emissores de cartões de crédito, comerciantes, bancos e processadores de transações de terceiros perderam 28,58 mil milhões de dólares em fraudes de cartão de crédito em 2020, o que equivale a quase 7 centavos por 100 dólares em volume de compras. E o Relatório Nilson projeta que as perdas com cartões de crédito podem exceder 400 mil milhões de dólares nos próximos 10 anos.
[Marque presença no CYBER CLOUD EXPO e conheça soluções que o podem ajudar a preparar-se para a conformidade]
Num esforço para reduzir estas perdas e acompanhar o cenário de ameaças em rápida evolução, o órgão global de padrões do Payment Card Industry Data Security Standards Council (PCIDSSC) emitiu uma grande atualização nas regras que regem como os dados de cartão de crédito devem ser armazenados, processados e protegido.
Conformidade total com PCI DSS 4.0 exigida até março de 2025
O novo regulamento – PCI DSS 4.0 – foi apresentado em março de 2022. O padrão atual, PCI DSS 3.2.1, permanecerá em vigor até março de 2024, quando será oficialmente retirado. Haverá um período de transição e, em seguida, as organizações precisarão estar totalmente em conformidade com a versão 4.0 até março de 2025.
Isto pode parecer um longo tempo de espera, mas os especialistas dizem que as empresas não devem adiar seus esforços de conformidade com o PCI DSS 4.0 até o último minuto. Os novos regulamentos representam uma mudança significativa. O documento PCI DSS 4.0 é executado em 360 páginas e abrange desde itens extremamente específicos, como exigir que o comprimento mínimo das passwords seja aumentado de sete para 12 carateres, até orientações gerais sobre procedimentos e políticas.
“Este é um grande negócio”, diz Marc Rubinnaccio, gestor de conformidade da Secureframe, que ajuda as empresas a automatizar seus esforços de conformidade. “É a mais recente iteração importante do padrão PCI DSS e implementa mudanças significativas nos requisitos para se concentrar na manutenção da segurança contínua, além de novos métodos para atender aos requisitos.”
As novas regulamentações abordam todos os aspetos de segurança, incluindo firewalls, software antivírus, segmentação de rede, autenticação multifator, criptografia, controle de acesso, monitorização ativa, deteção de intrusão e resposta a incidentes.
A conformidade com o PCI DSS 4.0 é um processo de três etapas
Ian Terry, diretor de serviços de segurança cibernética da AWA International, uma empresa de consultoria que realiza auditorias do PCI DSS, diz que a conformidade é um processo de três etapas. Primeiro, as empresas precisam realizar uma pré-validação abrangente para identificar lacunas nos seus sistemas atuais. Em seguida, precisam aprofundar e executar as atividades de remediação necessárias, destinadas a deixar a organização em conformidade com as novas regras. E, finalmente, vão precisar de ter um auditor certificado ou avaliador de segurança qualificado para realizar uma análise de conformidade.
“Para as empresas, a conformidade com o PCI DSS pode ser um desafio porque as empresas precisam conciliar estes esforços com todas as outras iniciativas de tecnologia que consomem recursos da equipe de TI, como migração para a cloud ou transformação digital, diz Terry.”
Quais são as maiores mudanças no PCI DSS 4.0?
Gary Glover, vice-presidente de avaliações da SecurityMetrics, uma empresa que realiza auditorias do PCI DSS, diz que há “um total de 53 novos regulamentos no PCI DSS 4.0 que se aplicam a comerciantes e empresas que armazenam ou processam dados de cartão de crédito, além de outros 11 que aplicam-se apenas a prestadores de serviços de processamento de transações.”
Aqui estão algumas das principais mudanças:
Personalização: A maior mudança num nível conceptual é que, pela primeira vez, o PCI DSS 4.0 permite que as organizações adotem uma abordagem personalizada de conformidade, em vez de seguir os requisitos definidos do padrão.
“Por exemplo, o padrão fala sobre passwords, mas uma empresa pode querer migrar para um sistema totalmente sem password que pode envolver tokens, cartões inteligentes, biometria, chaves de criptografia ou certificados, diz Anthony Jones, chefe da prática de segurança cibernética da AWA.”
Lauren Holloway, diretora de padrões de segurança de dados do PCI DSS Council, enfatiza que a opção de personalização não se destina a pequenas empresas e menos experientes em tecnologia que podem estar a lutar para atender ao padrão e precisam de uma solução alternativa. É exatamente o oposto – a executiva diz que a abordagem definida é “adequada para organizações que já possuem controlos para atender a um requisito e estão confortáveis com os métodos atuais para validar estes controlos.”
A abordagem personalizada oferece maior flexibilidade e destina-se a organizações que desejam usar controlos de segurança alternativos ou novas tecnologias. A executiva reconhece que pode haver mais do que um caminho para atingir uma meta de segurança e permite que as organizações inovem, desde que possam demonstrar a um auditor que sua abordagem atende aos objetivos de segurança.
Glover prevê que apenas as organizações maiores e mais tecnologicamente maduras seguirão o caminho da personalização, porque provavelmente será mais caro, levará mais tempo e será mais difícil de validar. Mas ressalta que os regulamentos devem ser apenas uma linha de base e há empresas que desejam implementar medidas de segurança avançadas ou inovadoras.
Phishing: o PCI DSS 4.0 reconhece que muitos ataques cibernéticos começam com phishing, que é tanto um problema de pessoas quanto de tecnologia. Os regulamentos exigem que as empresas implementem software automatizado de segurança de e-mail destinado a identificar e bloquear e-mails de phishing.
O PCI DSS 4.0 também muda a formação em segurança e consciencialização de uma prática recomendada para um requisito de que as organizações revejam e atualizem os programas de consciencialização de segurança pelo menos uma vez em cada 12 meses. Também especifica que formação em segurança inclui a consciencialização sobre ameaças e vulnerabilidades que podem afetar a segurança do ambiente de dados do cartão, bem como a consciencialização sobre o uso aceitável de tecnologias para utilizador final.
E-commerce: O aumento da prevalência da tecnologia de chip em cartões de crédito impediu, em grande medida, que os burlões usassem um skimmer para roubar dados do titular do cartão de um caixa eletrónico, por exemplo. Assim, os hackers mudaram suas táticas e agora estão a roubar dados de cartão de crédito durante a própria transação, injetando código malicioso na plataforma de comércio eletrónico. Em resposta, o PCI DSS 4.0 exige que as empresas realizem verificações semanais para garantir que os scripts de terceiros que fazem parte da transação de comércio eletrónico não estejam infetados com código malicioso.
Tecnologia: O PCI DSS 4.0 reforça a segurança em várias áreas de tecnologia, como exigir autenticação multifator para todos os acessos a dados de cartão de crédito. O padrão anterior aplicava-se apenas ao acesso remoto. O novo padrão requer criptografia de dados de autenticação armazenados. Em 3.2.1 isso era apenas uma recomendação. Também requer controlos que limitem o acesso ao menor número de pessoas necessárias para um processo de negócios específico e mecanismos de deteção que possam identificar rapidamente alterações não autorizadas nos sistemas de processamento de pagamentos.
Processo: O novo padrão tenta codificar o conceito de que a segurança é um processo contínuo, não uma atividade única. Exige análise de risco direcionada, avaliações de vulnerabilidade e monitorização contínua dos sistemas de processamento de pagamentos. As empresas precisam ter processos específicos para identificar vulnerabilidades de alto risco e abordar estes problemas. Também exige melhorias nos esforços de resposta e correção de incidentes. O PCI DSS 4.0 também fornece orientações detalhadas sobre procedimentos de validação e teste.
Conclusão: Não entre em pânico, mas também não procrastine
Em termos de cronograma de conformidade, as empresas devem começar a fazer pesquisas agora para ver quais etapas a sua organização precisaria planear para estar preparada para a implementação da versão 4.0, diz Rubinnaccio.
Terry recomenda que as empresas comecem a realizar pré-avaliações em 2023. O cronograma do PCI DSS oferece “uma pista bem grande”, mas recomenda que as empresas não esperem até a 11ª hora.
Glover acrescenta que o PCI DSS 4.0 é um lançamento importante, mas, ao mesmo tempo, as empresas não precisam entrar em pânico. As novas regulamentações representam uma mudança radical, mas o sistema básico de conformidade do PCI DSS não mudou fundamentalmente e a linguagem nas novas regulamentações será familiar e reconhecível para qualquer pessoa que lide com a conformidade regulatória.