Comece a vender com a Shopify hoje mesmo

Inicie sua avaliação gratuita da Shopify agora mesmo e utilize esses recursos para saber como prosseguir durante o processo.

Comece gratuitamenteSaber mais
blog|Finanças e burocracia

O que é certificação PCI DSS? Requisitos e como estar em conformidade

Compreenda a certificação PCI DSS para garantir a segurança dos pagamentos. Saiba os níveis de conformidade, exigências e boas práticas para empresas.

de
Atualizado em
um ícone de verificação verde dentro de uma caixa, representando a certificação PCI DSS.

As compras online se tornaram uma prática comum para a maioria das pessoas. Elas clicam, compram e suas informações são processadas de forma ágil — tudo isso com a confiança de que os dados financeiros estão seguros. Mas você já parou para pensar no que acontece nos bastidores para garantir essa confiança?

A resposta está em um conjunto de padrões de segurança chamado PCI DSS. A seguir, você vai entender os requisitos por trás dessa sigla e o que isso significa tanto para os vendedores online quanto para os clientes.

O que é certificação PCI DSS?

PCI DSS significa Padrão de Segurança de Dados da Indústria de Cartões de Pagamento. Trata-se de um conjunto de requisitos de segurança estabelecidos pelas principais bandeiras de cartões de crédito (Visa, Mastercard, American Express, Discover e JCB) para garantir que as empresas que lidam com dados de titulares de cartões o façam de forma segura. Pense nisso como um manual para proteger informações de pagamento sigilosas dos clientes.

O PCI DSS é supervisionado por um grupo independente de especialistas, o PCI Security Standards Council (PCI SSC), fundado em 2006. Esses padrões se aplicam a qualquer organização que aceite, transmita ou armazene informações de cartões de crédito, independentemente do tamanho ou volume de transações.

Isso inclui empresas como lojas e prestadores de serviços, mas também se estende a organizações sem fins lucrativos e outras que possam lidar com pagamentos por cartão. É importante notar que mesmo que você terceirize o processamento de pagamentos, ainda é responsável por cumprir o PCI DSS para garantir que os dados do cartão de crédito dos clientes estejam protegidos.

Qual é o objetivo do PCI DSS?

O principal objetivo do PCI DSS é manter as informações sigilosas dos titulares de cartões seguras, incluindo números de cartões de débito e crédito, datas de validade e códigos de segurança. Ao exigir medidas de segurança de pagamento robustas, o PCI DSS ajuda as empresas a reduzir violações de dados, roubo de identidade e fraudes com cartões de crédito. Ele também estabelece expectativas claras sobre como as organizações devem lidar com informações sensíveis, criando um ambiente mais seguro para todos os envolvidos.

6 princípios do PCI DSS

O PCI DSS abrange 12 requisitos principais, organizados em seis grupos, conhecidos como objetivos de controle. Os objetivos de controle são:

  1. Construir e manter uma rede e sistemas seguros
  2. Proteger os dados dos titulares de cartões
  3. Manter um programa de gerenciamento de vulnerabilidades
  4. Implementar medidas de controle de acesso rigorosas
  5. Monitorar e testar redes regularmente
  6. Manter uma política de segurança da informação

12 requisitos do PCI DSS

A versão mais recente do padrão é o PCI DSS 4.0 (lançada em março de 2022), que inclui os seguintes 12 requisitos principais de conformidade:

  1. Instalar e manter uma configuração de firewall para proteger os dados dos titulares de cartões.
  2. Não usar padrões fornecidos pelo fornecedor para senhas de sistema e outros parâmetros de segurança.
  3. Proteger os dados dos titulares de cartões armazenados.
  4. Criptografar a transmissão de dados dos titulares de cartões em redes públicas abertas.
  5. Proteger todos os sistemas contra malware e atualizar regularmente softwares ou programas antivírus.
  6. Desenvolver e manter sistemas e aplicações seguras.
  7. Restringir o acesso aos dados dos titulares de cartões com base na necessidade de conhecimento.
  8. Identificar e autenticar o acesso aos componentes do sistema.
  9. Restringir o acesso físico aos dados dos titulares de cartões.
  10. Rastrear e monitorar todos os acessos aos recursos da rede e aos dados dos titulares de cartões.
  11. Testar regularmente os sistemas e processos de segurança.
  12. Manter uma política que aborde a segurança da informação para todo o pessoal.

Níveis de conformidade do PCI DSS

Como comerciante, você precisa da conformidade com o PCI DSS — como você prova que a possui depende do volume de transações e dos métodos de processamento. Existem quatro níveis principais de conformidade com o PCI DSS para empresas ou organizações.

Nível 1

Empresas de Nível 1 processam mais de seis milhões de transações de cartões por ano e lidam com os requisitos mais rigorosos. Megacomerciantes nesse nível devem:

  • Completar um relatório anual de conformidade (ROC) trabalhando com um avaliador de segurança qualificado de terceiros (QSA)
  • Submeter-se a varreduras trimestrais de vulnerabilidades da rede e testes de penetração anuais
  • Completar uma declaração de conformidade (AOC), que também é assinada pelo QSA

Nível 2

Comerciantes que processam entre um milhão e seis milhões de transações de cartões por ano se enquadram no Nível 2. Nesse nível, você precisa:

  • Completar um questionário de autoavaliação anual (SAQ)
  • Realizar varreduras trimestrais de vulnerabilidades da rede
  • Completar um AOC

Você pode ser obrigado a ter uma empresa QSA de terceiros atestando seu SAQ no Nível 2 do PCI. E pode também ter que enviar uma varredura trimestral de vulnerabilidades da rede.

Nível 3

Esse nível se aplica a todas as empresas e organizações que processam de 20.000 a um milhão de transações de cartões por ano, e a todos os comerciantes de e-commerce. O Nível 3 exige que você:

  • Complete um SAQ anual
  • Realize varreduras trimestrais da rede
  • Complete um AOC

Você também pode ter que enviar uma varredura trimestral de vulnerabilidades da rede.

Nível 4

O Nível 4 se aplica a pequenas empresas com menos de 20.000 transações por ano. No nível 4, você precisa:

  • Completar um SAQ anual
  • Realizar varreduras trimestrais da rede (relatório não é obrigatório)
  • Completar um AOC

Você também pode ter que enviar uma varredura trimestral de vulnerabilidades da rede.

Vantagens e desvantagens da conformidade com a certificação PCI DSS

Embora existam alguns custos para configurar e manter a conformidade com o PCI DSS, eles são muito menores do que os problemas que uma violação de dados pode causar. E a conformidade com o PCI DSS gera confiança com seus clientes, tornando o investimento muito válido. Veja o que você pode esperar:

Vantagens do PCI DSS

  • Menos dores de cabeça com segurança: Uma segurança de dados mais robusta dificulta que hackers roubem informações dos clientes, o que resulta em menos estresse e menos interrupções para o seu negócio.
  • Relacionamentos mais fortes com os clientes: Cumprir o PCI DSS mostra aos clientes que você está comprometido em proteger suas informações financeiras, o que gera confiança e lealdade.
  • Redução de custos a longo prazo: Evite multas pesadas, processos judiciais caros e danos à reputação associados a violações de dados, protegendo proativamente dados sensíveis.

Desvantagens do PCI DSS

  • Custos de configuração: A conformidade com o PCI DSS envolve custos iniciais para ferramentas de segurança e treinamento de funcionários.
  • Gestão contínua: Manter a conformidade com o PCI exige verificações regulares em seus sistemas, atualizações de proteções de segurança e garantir que os funcionários estejam atualizados.
  • Paisagem em mudança: A evolução das ameaças e os avanços tecnológicos significam que o setor está sempre mudando, e as empresas devem se adaptar para acompanhar.
  • Complexidade: Os detalhes do PCI DSS podem ser complicados. Dependendo do tamanho e tipo do seu negócio, você pode precisar de ajuda profissional para configurá-lo corretamente.

Melhores práticas de conformidade com o PCI DSS

Aqui estão algumas melhores práticas essenciais para ajudá-lo a manter a conformidade e lidar com informações de pagamento dos clientes de forma segura:

  1. Restrinja o acesso: Dados privados dos clientes devem ser acessados apenas por quem realmente precisa. Apenas funcionários que necessitam dessas informações para suas funções devem ter acesso aos dados dos titulares de cartões.
  2. Construa defesas robustas: Invista em ferramentas de segurança como firewalls e softwares antivírus para proteger seus sistemas e atualize-os regularmente.
  3. Mantenha tudo separado: Uma infraestrutura de rede segura envolve segmentar redes para separar os dados dos titulares de cartões de outras partes.
  4. Mantenha criptografado: Ao armazenar ou transmitir dados de clientes, use criptografia para embaralhar as informações, tornando-as ilegíveis para usuários não autorizados.
  5. Realize verificações regulares: Mantenha sistemas e softwares atualizados com patches de segurança.
  6. Treine suas equipes: Eduque e treine seus funcionários sobre as melhores práticas de segurança de dados para evitar violações acidentais.
  7. Implemente senhas fortes: Imponha requisitos de complexidade de senhas e mudanças regulares de senhas, e configure autenticação em duas etapas.
  8. Mantenha registros de auditoria: Mantenha registros de auditoria detalhados para monitorar a atividade do sistema.
  9. Tenha um plano: Desenvolva um plano para responder a incidentes de segurança de forma rápida e eficaz.
  10. Formalize: Estabeleça uma política de segurança da informação em toda a empresa que aborde como você lida e protege os dados dos titulares de cartões.

Lembre-se, a conformidade com o PCI DSS é um processo contínuo. Ao seguir essas melhores práticas, você pode reduzir significativamente o risco de violações de dados e proteger seu negócio e seus clientes.

Mantenha-se em conformidade com o Shopify Payments

Boas notícias para os vendedores da Shopify: o trabalho foi feito por você. A Shopify é PCI DSS compliant, e isso se estende por padrão a todas as lojas da Shopify.

Isso significa que a Shopify armazena com segurança as informações de cobrança e envio de seus clientes em servidores compatíveis com PCI. Ela valida a conformidade por meio de avaliações anuais e gerencia proativamente os riscos contínuos. Sua conformidade abrange todas as seis categorias padrão do PCI e se aplica a cada loja que utiliza a plataforma.

Em resumo, ao escolher a Shopify para impulsionar sua loja, você pode ficar tranquilo sabendo que tempo e dinheiro estão sendo investidos para manter a certificação PCI de Nível 1 e proteger cada transação. Sua loja, seu carrinho de compras e sua hospedagem na web estão todos cobertos.

Comece a aceitar pagamentos rapidamente com o Shopify Payments

Evite ativações longas de terceiros e vá da configuração à venda em um clique. O Shopify Payments vem com seu plano Shopify, tudo o que você precisa fazer é ativá-lo.

Descubra o Shopify Payments

Perguntas frequentes sobre a certificação PCI DSS

O que significa a certificação PCI DSS?

O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento, ou PCI DSS, é o padrão de segurança da informação usado para lidar com cartões de crédito de grandes bandeiras como Visa, Mastercard, American Express, Discover e JCB. O padrão ajuda a prevenir violações de dados, fraudes e roubo de identidade, estabelecendo melhores práticas para a segurança de pagamentos. Embora não seja legalmente obrigatório, as organizações que processam pagamentos com cartão são contratualmente obrigadas a atender aos requisitos.

Quais são as 4 áreas que o PCI DSS abrange?

O PCI DSS abrange quatro áreas principais:

  • Processamento de transações digitais e pagamentos usando cartões
  • Armazenamento de dados de cartões de pagamento
  • Transmissão de informações dos titulares de cartões
  • Segurança do ambiente de processamento de cartões, incluindo dispositivos PDV, provedores e adquirentes.

Para que é necessário o PCI DSS?

O PCI DSS se aplica a todas as organizações que processam, transmitem e/ou armazenam informações de cartões de pagamento, independentemente do tamanho ou número de transações. Ele também contém requisitos para o próprio ambiente de processamento de cartões, incluindo dispositivos de ponto de venda (PDV), servidores, redes, provedores de serviços e processadores de pagamento de terceiros.

S
de
Atualizado em
Compartilhar artigo
subscription banner
Fique por dentro do que está acontecendo na Shopify
Assine nosso blog e receba dicas, ideias e recursos gratuitos de e-commerce diretamente na sua caixa de entrada.

Cancele a assinatura a qualquer momento. Ao cadastrar o seu e-mail, você concorda em receber e-mails de marketing da Shopify.

Venda em qualquer lugar com a Shopify

Aprenda na prática. Experimente a Shopify de graça e explore todas as ferramentas necessárias para começar, administrar e expandir a sua empresa.

Comece gratuitamente

Comece a usar sem pagar nada por isso! Depois, continue usando por US$ 1/mês durante 3 meses