O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento ou PCI-DSS (Payment Card Industry Data Security Standard) foi criado a partir da união das principais bandeiras de cartão de crédito (American Express, Visa, Mastercard) para definir um padrão de segurança para o mercado.
O que é a certificação PCI DSS?
A certificação PCI DSS visa definir regras e requisitos rígidos para garantir a proteção de informações sobre cartões em todas as transações online.
Essa auditoria deve ser contratada anualmente pelas empresas que armazenam ou transmitem dados de cartão de crédito dos clientes. Dessa forma, um auditor irá realizar a auditoria em todo o ambiente para certificar-se que a empresa está segura. Caso a organização cumpra todos os pré requisitos, ela é aprovada pela certificação PCI DSS.
Todas a empresas precisam realizar essa certificação?
Empresas que utilizam de gateways de pagamento, como pagseguro ou mercadopago não precisam realizar essa auditoria, pois os dados sensíveis não são lidados diretamente por ela, mas sim por um terceiro, que muitas vezes já cumprem este requerimento.
Caso a empresa realize o armazenamento e processamento de pagamentos online em sua própria infraestrutura, deve ser realizada a certificação PCI DSS para garantir a segurança do ambiente e dos dados de seus clientes.
Quais são os requisitos para a certificação PCI DSS?
Para que uma empresa esteja apta a certificação PCI DSS, ela deve cumprir os seguintes requisitos:
- Realizar análises de vulnerabilidade trimensais ou sempre que ocorrer alguma mudança.
- Realizar pentest interno e externo
- Corrigir todas as vulnerabilidades de nível alto ou risco.
- Não deve existir nenhuma vulnerabilidade com o score 4, com base no CVSS (Common Vulnerability Scoring System)
Como posso certificar minha empresa?
Caso você não utilize um gateway terceirizado de pagamento que já atende todos os pré-requisitos solicitados pela PCI DSS, você deve seguir os procedimentos para certificação.
Top comments (0)