PCI DSS
PCI DSS – Payment Card Industry Data Security Standard
O PCI DSS (Payment Card Industry Data Security Standard) é um standard global de segurança criado para proteger dados de pagamentos com cartão de crédito e débito. Este standard foi desenvolvido pelo PCI Security Standards Council (PCI SSC), uma entidade fundada pelas principais marcas de cartões, como Visa, Mastercard, American Express, Discover e JCB.
Requisitos Obrigatórios do PCI DSS
O PCI DSS estabelece requisitos obrigatórios para instituições que armazenam, processam ou transmitem dados de cartões, reduzindo riscos de fraudes, fugas e ciberataques, assentes em 12 requisitos fundamentais, organizados em 6 objetivos de segurança
Construir e Manter uma Rede Segura
Requisito 1
Instalar e manter firewalls para proteger dados dos cartões.
Requisito 2
Não utilizar passwords padrão de fornecedores (ex: admin/admin).
Proteger os Dados do Titular do Cartão
Requisito 3
Proteger os dados armazenados do cartão (encriptação).
Requisito 4
Proteger a transmissão dos dados com encriptação segura.
Manter um Programa de Gestão de Vulnerabilidades
Requisito 5
Utilizar antivírus, EDR ou XDR atualizado.
Requisito 6
Aplicar práticas seguras de desenvolvimento e gestão de vulnerabilidades.
Manter um Programa de Gestão de Vulnerabilidades
Requisito 7
Restringir o acesso aos dados do cartão (apenas pessoas autorizadas).
Requisito 8
Utilizar 2FA/MFA para acesso aos sistemas.
Requisito 9
Controlar o acesso físico a dados sensíveis.
Monitorizar e Testar Redes de forma Regular
Requisito 10
Monitorizar e armazenar atividades nos sistemas (logs).
Requisito 11
Testar a segurança regularmente (ex: testes de intrusão).
Manter uma Política de Segurança da Informação
Requisito 12
Implementar e manter uma política de segurança institucional.
O nível de conformidade varia de acordo com o volume de transações processadas anualmente.
Os domínios de atuação:
Os passos realizados pela XCIFRA para o seu cumprimento:
Para que serve o PCI-DSS?
- Garantir a segurança das transações com cartão.
- Reduzir riscos de fraudes e fuga de dados.
- Evitar multas e penalidades para as instituições.
- Aumentar a confiança dos clientes e parceiros.
- Cumprir com os requisitos regulatórios.