O site Redunicre utiliza Cookies para melhorar a sua experiência de navegação e para fins estatísticos.
Ao visitar-nos está a consentir a sua utilização. Para mais informações clique aqui.

 

O que é? Qual é o seu objetivo?


O PCI DSS (Payment Card Industry Data Security Standards) é um standard de segurança desenvolvido e gerido por uma entidade independente criada em 2006 pelos principais Sistemas de Pagamento Internacionais (Visa Inc., MasterCard, Discover Financial Services, JCB International e American Express). Tem como finalidade:

  • Proteger os titulares de cartões de pagamento, de forma a assegurar a confidencialidade e integridade dos dados sensíveis associados à utilização de cartões de pagamento, quer se tratem dos dados do cartão ou de autenticação;
  • Proteger os comerciantes de consequências financeiras e reputacionais adversas, que possam resultar da quebra dessa confidencialidade;
  • Uniformizar os requisitos de segurança a cumprir por todos os intervenientes na indústria de pagamentos, garantindo um controlo transversal do risco de compromisso de dados e um grau de confiança acrescido.

Quais são os dados sensíveis do cartão?

O PCI DSS visa proteger os dados do titular do cartão e de autenticação, considerando as seguintes restrições:
 

Dados sensíveis PCI

Elemento de dados

Armazenamento permitido

Tornar os dados armazenados ilegíveis, conforme requisito do PCI

Dados do titular de cartão

Nº de cartão (PAN)

Sim

Sim

Nome do Titular de cartão

Sim

Não

Código de serviço

SIm

Não

Data de validade

Sim

Não

Dados de autenticação confidenciais 1

Dados de banda magnética 2

Não

Não armazenável conforme requisito do PCI

CAV2/CVC2/CVV2/CID 3

Não

Não armazenável conforme requisito do PCI

PIN 4

Não

Não armazenável conforme requisito do PCI

 

 

  1. Os dados de autenticação confidenciais não devem ser armazenados após a autorização (mesmo se forem criptografados).
  2. Dados de rastreamento completo da tarja magnética, dados equivalentes no chip, ou em outro lugar
  3. O valor de três ou quatro dígitos impresso na frente ou atrás de um cartão de pagamento
  4. Número de identificação pessoal inserido pelo portador do cartão durante uma transação com cartão e/ou bloqueio de PIN criptografado dentro da mensagem da transação
     

Quem deve fazer certificação PCI?

Todos os comerciantes têm de cumprir com os requisitos de segurança PCI.
Para aferir qual o nível de certificação a realizar, cada comerciante deverá consultar no website www.pcisecuritystandards.org quais os requisitos de validação exigidos por categoria de comerciante.
A classificação de cada categoria cruza o número de transações anuais do comerciante, o canal de aceitação afeto à transação e o grau de risco do comerciante.
A distinção entre os requisitos de validação e o consequente comprovativo de cumprimento exigido varia consoante o nível de risco em que o comerciante se enquadra.
Nível Critério Requisitos de validação Comprovativo de cumprimento
1 Comerciantes que processem mais de 6 milhões de transações por ano, independentemente do canal de aceitação.
  • Relatório anual de Compliance (ROC) conduzido por Qualified Security Assessor QSA).
  • Certificado anual Self-Assessment Questionaire (SAQ).
  • Scans trimestrais à rede por um Approved Scan Vendor (ASV).
  • Attestation of Compliance (AOC).
  • Certificado Anual de conformidade
    (AOC Attestation of Compliance)
2 Comerciantes que processem entre 1 milhão e 6 milhões de transações por ano, independentemente do canal de aceitação;
  • Certificado anual Self-Assessment Questionnaire (SAQ).
  • Scans trimestrais à rede por um Approved Scan Vendor (ASV).
  • Attestation of Compliance (AOC).
3 Comerciantes que processem entre 20 mil e 1 milhão de transações e-commerce por ano;
4 Comerciantes que processem menos de 20 mil transações e-commerce por ano;
Todos os comerciantes que processem menos de 1 milhão de transações por ano.
  • Certificado anual Self Assessment Questionnaire (SAQ).
  • Scans trimestrais à rede por um Approved Scan Vendor (ASV).
  • Annual Self-Assessment Questionnaire (SAQ).
 

Importante!

Os Comerciantes que tenham sofrido um ataque aos seus sistemas informáticos que tenha resultado no compromisso dos dados dos cartões dos seus Clientes requerem, automaticamente, os requisitos de validação de Nível 1. A Unicre solicitará anualmente aos Comerciantes o comprovativo do cumprimento dos requisitos, podendo, consoante critérios por si definidos, prescindir desse comprovativo no caso de Comerciantes de Nível 4.

Como obter a certificação PCI?

A certificação PCI poderá ser efetuada com o recurso a um consultor de segurança qualificado – QSA (Qualified Security Assessor), que esteja certificado pelos Sistemas de Pagamento Internacionais, ou por um auditor de segurança interno do próprio comerciante – ISA (Internal Security Assessor) que tenha concluído o programa de formação ISA, desenvolvido de acordo com os critérios do PCI Council:

https://www.pcisecuritystandards.org/training/isa_training.php
https://programs.pcissc.org/isaregistration.aspx
 
Para mais informações sobre o PCI DSS, sugere-se a consulta adicional aos sites das seguintes entidades:
PCI Security Standards Council -> https://www.pcisecuritystandards.org/
Visa Europe -> https://www.visaeurope.com/receiving-payments/security/
MasterCard -> https://www.mastercard.us/en-us/merchants/safety-security/security-recommendations/site-data-protection-PCI.html
Banco de Portugal - > https://www.bportugal.pt/pt-PT/pagamentos/BoasPraticas/Paginas/Cartoes-de-Pagamento-Comerciantes.aspx
 
[1] SAQ publicados em www.pcisecuritystandards.org