O site Redunicre utiliza Cookies para melhorar a sua experiência de navegação e para fins estatísticos.
Ao visitar-nos está a consentir a sua utilização. Para mais informações clique aqui.

 

O que é? Qual é o seu objetivo?


O PCI DSS (Payment Card Industry Data Security Standards) é um standard de segurança desenvolvido e gerido por uma entidade independente criada em 2006 pelos principais Sistemas de Pagamento Internacionais (Visa Inc., MasterCard, Discover Financial Services, JCB International e American Express). Tem como finalidade:

  • Proteger os titulares de cartões de pagamento, de forma a assegurar a confidencialidade e integridade dos dados sensíveis associados à utilização de cartões de pagamento, quer se tratem dos dados do cartão ou de autenticação;
  • Proteger os comerciantes de consequências financeiras e reputacionais adversas, que possam resultar da quebra dessa confidencialidade;
  • Uniformizar os requisitos de segurança a cumprir por todos os intervenientes na indústria de pagamentos, garantindo um controlo transversal do risco de compromisso de dados e um grau de confiança acrescido.

Quais são os dados sensíveis do cartão?

O PCI DSS visa proteger os dados do titular do cartão e de autenticação, considerando as seguintes restrições:
 

Dados sensíveis PCI

Elemento de dados

Armazenamento permitido

Tornar os dados armazenados ilegíveis, conforme requisito do PCI

Dados do titular de cartão

Nº de cartão (PAN)

Sim

Sim

Nome do Titular de cartão

Sim

Não

Código de serviço

SIm

Não

Data de validade

Sim

Não

Dados de autenticação confidenciais 1

Dados de banda magnética 2

Não

Não armazenável conforme requisito do PCI

CAV2/CVC2/CVV2/CID 3

Não

Não armazenável conforme requisito do PCI

PIN 4

Não

Não armazenável conforme requisito do PCI

 

 

  1. Os dados de autenticação confidenciais não devem ser armazenados após a autorização (mesmo se forem criptografados).
  2. Dados de rastreamento completo da tarja magnética, dados equivalentes no chip, ou em outro lugar
  3. O valor de três ou quatro dígitos impresso na frente ou atrás de um cartão de pagamento
  4. Número de identificação pessoal inserido pelo portador do cartão durante uma transação com cartão e/ou bloqueio de PIN criptografado dentro da mensagem da transação
     

Quem deve fazer certificação PCI?

Todos os comerciantes têm de cumprir com os requisitos de segurança PCI.
Para aferir qual o nível de certificação a realizar, cada comerciante deverá consultar no website www.pcisecuritystandards.org quais os requisitos de validação exigidos por categoria de comerciante.
A classificação de cada categoria cruza o número de transações anuais do comerciante, o canal de aceitação afeto à transação e o grau de risco do comerciante.
A distinção entre os requisitos de validação e o consequente comprovativo de cumprimento exigido varia consoante o nível de risco em que o comerciante se enquadra.
Nível Critério Comprovativo de cumprimento
1 Comerciantes que:
  • Processem mais de 6 milhões de transações por ano, independentemente do canal de aceitação;
  • Tenham sofrido um ataque aos seus sistemas informáticos que tenha resultado no compromisso dos dados dos cartões dos seus clientes.
Certificado de conformidade
(AOC Attestation of Compliance)
2 Comerciantes que processem entre 1 milhão e 6 milhões de transações por ano, independentemente do canal de aceitação;
3 Comerciantes que processem entre 20 mil e 1 milhão de transações e-commerce por ano;
  • Comprovar relação de negócio com prestador de serviços certificado (listado em www.visaeurope.com e MC), e
  • Apresentar um questionário de autoavaliação (SAQ Self Assessment Questionnaire)[1]
4 Comerciantes e-commerce que processem menos de 20 mil transações por ano;
 
 

Como obter a certificação PCI?

A certificação PCI poderá ser efetuada com o recurso a um consultor de segurança qualificado – QSA (Qualified Security Assessor), que esteja certificado pelos Sistemas de Pagamento Internacionais, ou por um auditor de segurança interno do próprio comerciante – ISA (Internal Security Assessor) que tenha concluído o programa de formação ISA, desenvolvido de acordo com os critérios do PCI Council:

https://www.pcisecuritystandards.org/training/isa_training.php
https://programs.pcissc.org/isaregistration.aspx
 
Para mais informações sobre o PCI DSS, sugere-se a consulta adicional aos sites das seguintes entidades:
PCI Security Standards Council -> https://www.pcisecuritystandards.org/
Visa Europe -> https://www.visaeurope.com/receiving-payments/security/
MasterCard -> https://www.mastercard.us/en-us/merchants/safety-security/security-recommendations/site-data-protection-PCI.html
Banco de Portugal - > https://www.bportugal.pt/pt-PT/pagamentos/BoasPraticas/Paginas/Cartoes-de-Pagamento-Comerciantes.aspx
 
[1] SAQ publicados em www.pcisecuritystandards.org