Stripe logo
Articles
0 Comments

Stripe logo

Since 2005, over 11 billion consumer records have been compromised from over 8.500 data breachs. Estes são os números mais recentes do Privacy Rights Clearinghouse, que relata violações de dados e violações de segurança que afetam os consumidores desde 2005.

para melhorar a segurança dos dados do consumidor e a confiança no ecossistema de pagamento, foi criado um padrão mínimo para a segurança dos dados. Visa, Mastercard, American Express, Discover e JCB formaram o Payment Card Industry Security Standards Council (PCI SSC) em 2006 para administrar e gerenciar padrões de segurança para empresas que lidam com dados de cartões de crédito. Antes do SSC PCI ser estabelecido, estas cinco empresas de cartões de crédito tinham todos os seus próprios programas de padrões de segurança—cada um com requisitos e objetivos mais ou menos semelhantes. Uniram-se através do CCD PCI para alinhar com uma política normalizada, as normas de segurança de dados PCI (conhecidas como DSS PCI), a fim de assegurar um nível de protecção de base para os consumidores e os bancos na era da Internet.

compreender o PCI DSS pode ser complexo e desafiador

se o seu modelo de negócio requer que manuseie dados de cartões, poderá ser-lhe exigido que cumpra cada um dos controlos de segurança de 300+ no PCI DSS. Existem mais de 1.800 páginas de documentação oficial, publicadas pelo Conselho do PCI, sobre DSS PCI, e mais de 300 páginas apenas para entender que Formulário(S) usar ao validar a conformidade. Isto levaria mais de 72 horas só para ler.

para aliviar este fardo, segue-se um guia passo a passo para a validação e manutenção da conformidade PCI.

Overview of PCI Data Security Standard (PCI DSS)

PCI DSS é o padrão de segurança global para todas as entidades que armazenam, processam ou transmitem dados do titular do cartão e/ou dados de autenticação sensíveis. ICP DSS estabelece um nível de proteção de base para os consumidores e ajuda a reduzir a fraude e a violação de dados em todo o ecossistema de pagamentos. É aplicável a qualquer organização que aceita ou processa cartões de pagamento.

IC a conformidade DSS envolve 3 coisas principais:

  1. Tratamento a entrada de dados do cartão de crédito de clientes, nomeadamente, que os detalhes do cartão são coletados e transmitidos de forma segura
  2. Armazenar dados de forma segura, o que está descrito em 12 de domínios de segurança do PCI padrão, tais como criptografia, monitoramento contínuo e testes de segurança de acesso aos dados de cartão de
  3. Validar anualmente que a controlos de segurança necessários estão no local, que podem incluir formulários, questionários, vulnerabilidade externa de serviços de digitalização e de auditorias de 3ª parte (consulte o guia passo a passo abaixo uma tabela com os quatro níveis de requisitos)

tratamento de dados de cartões

alguns modelos de negócio exigem o tratamento directo de dados sensíveis de cartões de crédito quando aceitam pagamentos, enquanto outros não. As empresas que necessitem de lidar com dados de cartão (por exemplo, aceitando PANs não kenkenized em uma página de pagamento) podem ser obrigadas a cumprir cada um dos controles de segurança de 300+ em PCI DSS. Mesmo que os dados do cartão apenas atravessem seus servidores por um curto momento, a empresa precisaria comprar, implementar e manter software e hardware de segurança.

se uma empresa não precisa de lidar com dados sensíveis do cartão de crédito, não deve. soluções de terceiros (por exemplo, elementos de listras) aceitam e armazenam os dados de forma segura, afastando considerável complexidade, custo e risco. Uma vez que os dados do cartão nunca tocam em seus servidores, a EMPRESA só precisaria confirmar 22 controles de segurança, a maioria dos quais são simples, como usar senhas fortes.

armazenar dados de forma segura

se uma organização lida ou armazena dados de cartão de crédito, ela precisa definir o âmbito do seu ambiente de dados do titular do cartão (CDE). PCI DSS define CDE como as pessoas, processos e tecnologias que armazenam, processam ou transmitem dados de cartão de crédito—ou qualquer sistema conectado a ele. Uma vez que todos os requisitos de segurança de 300+ no PCI DSS se aplicam ao CDE, é importante segmentar adequadamente o ambiente de pagamento do resto da empresa de modo a limitar o âmbito da validação do PCI. Se uma organização é incapaz de conter o escopo CDE com segmentação granular, os controles de segurança PCI aplicar-se-iam então a cada sistema, laptop, e dispositivo em sua rede corporativa. Caramba!

validação anual

independentemente da forma como os dados dos cartões são aceites, as organizações devem preencher anualmente um formulário de validação PCI. A forma como a conformidade com as ICP é validada depende de uma série de factores, que são descritos a seguir. Aqui estão 3 cenários em que uma organização poderia ser convidada a mostrar que é compatível com PCI:

  • processadores de Pagamento podem solicitar o como parte de seu relatório necessários para o pagamento do cartão de marcas
  • parceiros de Negócios podem pedir, como um pré-requisito para entrar em acordos comerciais
  • Para a plataforma empresas (aquelas cuja a tecnologia facilita as transações on-line entre vários conjuntos distintos de usuários), os clientes podem solicitar a ele para mostrar aos seus clientes que eles estão manipulando dados de forma segura

O mais recente conjunto de normas de segurança, O PCI-DSS, versão 3.2.1, inclui 12 requisitos principais com mais de 300 sub-requisitos que espelham as melhores práticas de segurança.

    Construir e manter uma rede segura e sistemas

  1. Instalar e manter uma configuração de firewall para proteger os dados de portador de cartão
  2. não use fornecido pelo fornecedor de padrões para senhas do sistema e outros parâmetros de segurança

    3. Proteger dados de portador de cartão

  3. Proteger armazenados dados de portador de cartão
  4. Criptografar a transmissão de dados de portador de cartão em aberto redes públicas ou

    5. Manter uma vulnerabilidade de gerenciamento do programa

  5. Proteger todos os sistemas contra malware e atualizar regularmente o software anti-vírus
  6. Desenvolver e manter seguras sistemas e aplicações

    7. Implementar fortes medidas de controle de acesso

  7. Restringir o acesso a dados de portador de cartão, por necessidade do negócio para saber
  8. Identificar e autenticar o acesso a componentes do sistema
  9. Restringir o acesso físico aos dados do portador de cartão

    10. Regularmente, monitorar e testar as redes

  10. Acompanhar e monitorar todo o acesso aos recursos da rede e dados do portador de cartão
  11. testar Regularmente os sistemas de segurança e processos de

    12. Manter uma política de segurança da informação

  12. Manter uma política que aborde a segurança da informação para todos pessoal

para tornar “mais fácil” para as novas empresas validar a conformidade com o ICP, o conselho do ICP criou nove formas diferentes ou questionários de auto-avaliação (SAQs) que constituem um subconjunto de toda a exigência do ICP DSS. O truque é descobrir o que é aplicável ou se é necessário contratar um auditor aprovado pelo Conselho do PCI para verificar se cada requisito de segurança DSS do PCI foi cumprido. Além disso, o conselho PCI revê as regras de três em três anos e publica actualizações incrementais ao longo do ano, acrescentando uma complexidade ainda mais dinâmica.

passo a passo guia do PCI DSS V3.2.1 conformidade

o primeiro passo para alcançar a conformidade PCI é saber quais os requisitos aplicáveis à sua organização. Existem quatro níveis de conformidade PCI diferentes, tipicamente baseados no volume de transações de cartão de crédito seus processos de negócio durante um período de 12 meses.

Aplica-se a Requisitos
Nível 1
  1. Organizações que, anualmente, o processo de mais de 6 milhões de transações dos cartões Visa ou MasterCard, ou mais do que 2.5 milhões para o American Express; ou
  2. sofreram uma violação de dados; ou
  3. São considerados “Nível 1” por qualquer associação de cartão (Visa, Mastercard, etc.)
  1. Relatório Anual sobre o seu Cumprimento (ROC) por um técnico de Segurança do Assessor (QSA)—também conhecido como Nível 1 no local de avaliação—ou do auditor interno, se assinada por um executivo da empresa
  2. Trimestral de verificação de rede Aprovados Fornecedor de Varredura (ASV)
  3. Atestado de Conformidade (AOC) para o Local de Avaliações–existem formas específicas para os comerciantes e prestadores de serviços
Nível 2 Organizações que processam entre De 1 a 6 milhões de transações anuais
  1. Anual do PCI DSS Questionário de Auto-Avaliação (SAQ)—há 9 SAQ tipos apresentada brevemente na tabela abaixo
  2. Trimestral de verificação de rede Aprovados Fornecedor de Varredura (ASV)
  3. Atestado de Conformidade (AOC)—cada um dos 9 SAQs tem uma respectivos AOC formulário
Nível 3
  1. Organizações que processam entre 20.000-1 milhão de transações on-line anualmente
  2. Organizações que o processo de menos de 1 milhão total de transações anuais
Nível 4
  1. as Organizações que o processo de menos de 20.000 transações on-line anualmente; ou
  2. Organizações que processam até 1 milhão o total de transações anuais

Para o Nível 2-4, existem diferentes SAQ tipos, dependendo do seu pagamento, método de integração. Aqui está uma breve mesa:

SAQ Descrição
Um

Cartão-presente comerciantes (e-commerce ou e-mail/telefone-ordem), que tem totalmente terceirizada todos os dados de portador de cartão funções para o PCI DSS compatível com terceiros, prestadores de serviços, sem armazenamento eletrônico de processamento, ou da transmissão de dados de portador de cartão no comerciante de sistemas ou instalações.

Não aplicável aos canais presenciais.
a-EP

comerciantes de comércio electrónico que subcontratam todo o processamento de pagamentos a terceiros validados PCI DSS, e que dispõem de um(s) website (s) que não recebe directamente dados do titular do cartão, mas que podem afectar a segurança da operação de pagamento. Ausência de armazenamento, tratamento ou transmissão electrónicos de dados do titular do cartão nos sistemas ou instalações do comerciante.

aplicável apenas aos canais de comércio electrónico.
B

Comerciantes utilizando apenas:Máquinas de Impressão Sem suporte electrónico de dados, e/ou

  • terminais autónomos, sem suporte electrónico de dados para o titular do cartão.

    • Não aplicável aos canais de comércio electrónico.
    B-IP

    Merchants using only standalone, PTS-approved payment terminals with an IP connection to the payment processor with no electronic cardholder data storage.

    Não aplicável aos canais de comércio electrónico.
    C-VT

    Comerciantes que inserir manualmente uma única transação no tempo através de um teclado em um baseado na Internet, virtual terminal de pagamento solução é fornecida e hospedado por uma placa PCI DSS validado provedor de serviços de terceiros. Sem armazenamento electrónico de dados do titular do cartão.

    Não aplicável aos canais de comércio electrónico.
    C

    Merchants with payment application systems connected to the Internet, no electronic cardholder data storage.

    Não aplicável aos canais de comércio electrónico.
    P2pe

    comerciantes que utilizam apenas terminais de pagamento por hardware incluídos e geridos através de uma solução de cifragem ponto-a-ponto (P2PE) validada, listada PCI SSC, sem armazenamento electrónico de dados do titular do cartão.

    Não aplicável aos comerciantes de comércio electrónico.
    D

    SAQ D para os Comerciantes: Todos os estabelecimentos não incluídos nas descrições acima SAQ tipos.

    SAQ D para prestadores de serviços: todos os prestadores de Serviços definidos por uma marca de pagamento como elegíveis para completar um SAQ.

    para selecionar os documentos SAQ e atestação que melhor se aplicam à sua organização, o fluxograma na página 18 deste PCI doc pode ajudar.

    os requisitos do PCI DSS mudam ao longo do tempo, por isso uma das melhores formas de obter actualizações sobre os novos ou os novos requisitos de certificação e como os cumprir é tornar-se uma organização participante do PCI (PO).

    mapeie os seus fluxos de dados

    Antes de poder proteger os dados sensíveis do cartão de crédito, precisa de saber onde vive e como lá chega. Você vai querer criar um mapa abrangente dos sistemas, conexões de rede e aplicativos que interagem com os dados do cartão de crédito em toda a sua organização. Dependendo do seu papel, você provavelmente precisará trabalhar com sua equipe de TI e segurança para fazer isso.

    • em primeiro lugar, identificar todas as áreas voltadas para o consumidor da empresa que envolvam operações de pagamento. Por exemplo, você pode aceitar pagamentos através de um carrinho de compras on-line, terminais de pagamento in-store, ou encomendas feitas por telefone.
    • em seguida, identifique as várias formas como os dados do titular do cartão são tratados em todo o negócio. É importante saber exatamente onde os dados são armazenados e quem tem acesso a eles.
    • depois, identificar os sistemas internos ou as tecnologias subjacentes que afectam as operações de pagamento. Isso inclui seus sistemas de rede, centros de dados e ambientes de nuvem.

    verifique os controlos de segurança e protocolos

    uma vez que mapeie todos os pontos de contacto potenciais para os dados do cartão de crédito em toda a sua organização, trabalhe com ele e equipas de segurança para garantir que as configurações e protocolos de segurança corretos estão em vigor (ver a lista de 12 requisitos de segurança para os DSS PCI acima). Estes protocolos são projetados para garantir a transmissão de dados, como a segurança da camada de transporte (TLS).

    os 12 requisitos de segurança para o ICD DSS V3.2.1 decorrem das melhores práticas de protecção de dados sensíveis para qualquer empresa. Várias sobreposições com aqueles necessários para atender GDPR, HIPAA, e outros mandatos de Privacidade, então alguns deles já podem estar no lugar em sua organização.

    monitorar e manter

    é importante notar que a conformidade com as ICP não é um evento único. É um processo contínuo para garantir que o seu negócio continua a ser compatível, mesmo à medida que os fluxos de dados e os pontos de contacto do cliente evoluem. Algumas marcas de cartões de crédito podem exigir que você envie relatórios trimestrais ou anuais, ou completar uma avaliação anual no local para validar a conformidade em curso, especialmente se você processar mais de 6 milhões de transações por ano.A gestão da Conformidade dos Pic ao longo do ano (e ao longo do ano) requer frequentemente apoio e colaboração interserviços. Se isso ainda não existir, pode valer a pena criar uma equipe dedicada internamente para manter corretamente a conformidade. Enquanto cada empresa é única, um bom ponto de partida para uma “PCI equipe” inclui a representação das seguintes:

    • Segurança: O Chief Security Officer (CSO), Chief Information Security Officer (CISO), e suas equipes de assegurar a organização é sempre corretamente investir no necessário de segurança de dados e recursos de privacidade e políticas.
    • tecnologia / pagamentos: o Chief Technology Officer( CTO), VP of Payments, e as suas equipas certificam-se de que as ferramentas principais, integrações e infra-estruturas permanecem conformes à medida que os sistemas da organização evoluem.
    • Finanças: O Director Financeiro (CFO) e a sua equipa asseguram que todos os fluxos de dados de pagamentos sejam contabilizados quando se trata de sistemas de pagamentos e parceiros.
    • Legal: Esta equipe pode ajudar a navegar as muitas nuances legais da conformidade PCI DSS.

    para mais informações sobre o complexo mundo da conformidade PCI, dirija-se ao sítio web do Conselho de normas de segurança PCI. Se você só ler este guia e alguns outros documentos PCI, recomendamos começar com estes: abordagem priorizada para DSS PCI, instruções e diretrizes SAQ, FAQ sobre o uso de critérios de elegibilidade SAQ para determinar os requisitos de avaliação no local, e FAQ sobre as obrigações para os comerciantes que desenvolvem aplicativos para dispositivos de consumo que aceitam dados de cartão de pagamento.

    como as riscas ajudam as organizações a alcançar e manter a conformidade PCI

    a risca simplifica significativamente a carga PCI para as empresas que integram com Checkout, Elements, SDKs móveis e SDKs terminais. Os elementos de listra e Listra usam um campo de pagamento hospedado para lidar com todos os dados do cartão de pagamento, de modo que o titular introduz todas as informações de pagamento sensíveis em um campo de pagamento que se origina diretamente de nossos servidores validados PCI DSS. O Stripe mobile and Terminal SDKs também permite ao Titular Do Cartão enviar informações de pagamento sensíveis diretamente para os nossos servidores validados PCI DSS.

    com métodos de aceitação de cartões mais seguros como estes, vamos povoar a forma PCI (SAQ) no painel de faixas, tornando a validação PCI tão fácil como clicar num botão. Para as organizações mais pequenas isso pode salvar centenas de horas de trabalho, para as maiores isso pode salvar milhares.

    para todos os nossos utilizadores, independentemente do tipo de integração, o Stripe actua como um defensor PCI E pode ajudar de algumas formas diferentes.

    • vamos analisar o seu método de integração e aconselhá-lo sobre qual o formulário PCI a usar e como reduzir a sua carga de Conformidade.
    • notificá-lo-emos antecipadamente se um volume de transacções em crescimento exigir uma alteração na forma como valida a conformidade.
    • para grandes comerciantes (Nível 1), fornecemos um pacote PCI que pode reduzir o tempo de validação PCI de meses a dias. Se você precisa trabalhar com um PCI QSA (porque você armazena dados de cartão de crédito ou tem um fluxo de pagamento mais complexo), existem mais de 350 empresas QSA em todo o mundo, e podemos conectá-lo com vários auditores que entendem profundamente os diferentes métodos de integração Stripe.
    Visto Mercante Nível > Média de tempo de auditoria (estimativa anual) > Média de tempo de auditoria com Listra Elementos, o google Checkout ou Mobile SDK (estimativas anuais)
    Nível 1 3-5 meses 2-5 dias
    Nível 2 de 1 a 3 meses 0 dias
    Nível 3 de 1 a 3 meses 0 dias
    Nível 4 de 1 a 3 meses 0 dias

    Para obter mais informações sobre como Listra ajuda você a proteger o seu os dados dos clientes e alcançar a conformidade PCI, confira nossos documentos sobre segurança de integração.

    conclusão

    avaliar e validar a conformidade com as ICP geralmente acontece uma vez por ano, mas a conformidade com as ICP não é um evento único-é um esforço contínuo e substancial de Avaliação e remediação. À medida que uma empresa cresce, também evoluirá a lógica e os processos principais do negócio, o que significa que os requisitos de Conformidade também evoluirão. Um negócio online, por exemplo, pode decidir abrir lojas físicas, entrar em novos mercados ou lançar um centro de suporte ao cliente. Se algo de novo envolve Dados de cartões de pagamento, é uma boa idéia para verificar proativamente se isso tem algum impacto no seu método de validação PCI, E re-validar a conformidade PCI, conforme necessário.

    a conformidade com as ICP ajuda. Não é suficiente.

    a adesão às diretrizes do PCI DSS é uma camada necessária de proteção para o seu negócio — mas não é suficiente. ICP DSS estabelece normas importantes para o tratamento e armazenamento de dados do titular do cartão, mas, por si só, não proporciona protecção suficiente para todos os meios de pagamento. Em vez disso, mudar para um método de aceitação de cartão mais seguro (como Checkout listra, elementos e SDKs móveis) é uma maneira muito mais eficaz de proteger a sua organização. O benefício de longa data que isso proporciona é que você não precisa confiar em padrões de base da indústria ou se preocupar com o potencial fracasso dos controles de segurança. Esta abordagem proporciona às empresas ágeis uma forma de mitigar uma potencial violação de dados e evitar a abordagem histórica emocional, morosa e dispendiosa da validação PCI. Sem mencionar que um método de integração mais seguro é confiável todos os dias do ano.

    voltar às guias

    Deixe uma resposta

    O seu endereço de email não será publicado.

    More: