O que é? Qual é o seu objetivo?

O PCI DSS (Payment Card Industry Data Security Standards) é um standard de segurança desenvolvido e gerido por uma entidade independente criada em 2006 pelos principais Sistemas de Pagamento Internacionais (Visa Inc., MasterCard, Discover Financial Services, JCB International e American Express). Tem como finalidade:

Quais são os dados sensíveis do cartão?

O PCI DSS visa proteger os dados do titular do cartão e de autenticação, considerando as seguintes restrições:
 

Dados sensíveis PCI Elemento de dados Armazenamento permitido Tornar os dados armazenados ilegíveis, conforme requisito do PCI
Dados do titular de cartão Nº de cartão (PAN) Sim Sim
Nome do Titular de cartão Sim Não
Código de serviço SIm Não
Data de validade Sim Não
Dados de autenticação confidenciais 1 Dados de banda magnética 2 Não Não armazenável conforme requisito do PCI
CAV2/CVC2/CVV2/CID 3 Não Não armazenável conforme requisito do PCI
PIN 4 Não Não armazenável conforme requisito do PCI

 

 

  1. Os dados de autenticação confidenciais não devem ser armazenados após a autorização (mesmo se forem criptografados).
  2. Dados de rastreamento completo da tarja magnética, dados equivalentes no chip, ou em outro lugar
  3. O valor de três ou quatro dígitos impresso na frente ou atrás de um cartão de pagamento
  4. Número de identificação pessoal inserido pelo portador do cartão durante uma transação com cartão e/ou bloqueio de PIN criptografado dentro da mensagem da transação
     

Quem deve fazer certificação PCI?

Todos os comerciantes têm de cumprir com os requisitos de segurança PCI.
Para aferir qual o nível de certificação a realizar, cada comerciante deverá consultar no website www.pcisecuritystandards.org quais os requisitos de validação exigidos por categoria de comerciante.
A classificação de cada categoria cruza o número de transações anuais do comerciante, o canal de aceitação afeto à transação e o grau de risco do comerciante.
A distinção entre os requisitos de validação e o consequente comprovativo de cumprimento exigido varia consoante o nível de risco em que o comerciante se enquadra.

Nível Critério Requisitos de validação Comprovativo de cumprimento
1 Comerciantes que processem mais de 6 milhões de transações por ano, independentemente do canal de aceitação.
  • Relatório anual de Compliance (ROC) conduzido por Qualified Security Assessor QSA).
  • Certificado anual Self-Assessment Questionaire (SAQ).
  • Scans trimestrais à rede por um Approved Scan Vendor (ASV).
  • Attestation of Compliance (AOC).
  • Certificado Anual de conformidade
    (AOC Attestation of Compliance)
2 Comerciantes que processem entre 1 milhão e 6 milhões de transações por ano, independentemente do canal de aceitação;
  • Certificado anual Self-Assessment Questionnaire (SAQ).
  • Scans trimestrais à rede por um Approved Scan Vendor (ASV).
  • Attestation of Compliance (AOC).
3 Comerciantes que processem entre 20 mil e 1 milhão de transações e-commerce por ano;
4 Comerciantes que processem menos de 20 mil transações e-commerce por ano;
Todos os comerciantes que processem menos de 1 milhão de transações por ano.
  • Certificado anual Self Assessment Questionnaire (SAQ).
  • Scans trimestrais à rede por um Approved Scan Vendor (ASV).
  • Annual Self-Assessment Questionnaire (SAQ).

 

Importante!

Os Comerciantes que tenham sofrido um ataque aos seus sistemas informáticos que tenha resultado no compromisso dos dados dos cartões
dos seus Clientes requerem, automaticamente, os requisitos de validação de Nível 1.
A Unicre solicitará anualmente aos Comerciantes o comprovativo do cumprimento dos requisitos, podendo, consoante critérios por si definidos, prescindir desse comprovativo no caso de Comerciantes de Nível 4.

Como obter a certificação PCI?

A certificação PCI poderá ser efetuada com o recurso a um consultor de segurança qualificado – QSA (Qualified Security Assessor), que esteja certificado pelos Sistemas de Pagamento Internacionais, ou por um auditor de segurança interno do próprio comerciante – ISA (Internal Security Assessor) que tenha concluído o programa de formação ISA, desenvolvido de acordo com os critérios do PCI Council:

https://www.pcisecuritystandards.org/training/isa_training.php
https://programs.pcissc.org/isaregistration.aspx
 
Para mais informações sobre o PCI DSS, sugere-se a consulta adicional aos sites das seguintes entidades:
PCI Security Standards Council -> https://www.pcisecuritystandards.org/
Visa Europe -> https://www.visaeurope.com/receiving-payments/security/
MasterCard -> https://www.mastercard.us/en-us/merchants/safety-security/security-recommendations/site-data-protection-PCI.html
Banco de Portugal – > https://www.bportugal.pt/pt-PT/pagamentos/BoasPraticas/Paginas/Cartoes-de-Pagamento-Comerciantes.aspx

 


[1] SAQ publicados em www.pcisecuritystandards.org