
Dúvidas sobre o PCI-DSS? Como armazenar e proteger os dados pessoais do titular do cartão? – Requerimento 3
Quando um invasor tirou do ar os serviços da PlayStation Network PSN (rede online de jogos da Sony) e do portal de venda de música Qriocity, furtando dados dos cartões de créditos dos usuários cadastrados, os danos só não foram maiores porque as informações roubadas estavam criptografadas. Esse caso exemplifica que empresas de todos os portes e segmentos têm chances de sofrer algum incidente de segurança, mas que boas práticas, quando adotadas, podem minimizar significativamente os possíveis prejuízos.
Todo empresário que realiza transações financeiras eletrônicas e tem informações pessoais armazenadas corre inúmeros riscos de fraudes digitais. Ver os dados de clientes vazados, seja por alguma brecha de segurança, vulnerabilidade do sistema ou ataque cibernético, é um dos principais pesadelos dos donos de negócios atualmente, principalmente com a Lei Geral de Proteção de Dados prestes a entrar em vigor. Por essa razão, o requisito 3 do PCI dedica um capítulo especial para orientar os responsáveis pela segurança das organizações sobre como proteger dados armazenados do titular do cartão.
Pelo fato do PCI se aplicar a uma grande variedade de instituições, convém dizer que a regra de ouro é: “se não precisa, não armazene dados do titular do cartão”. Ainda é comum encontrar empresas que criptografam todas informações sensíveis e as armazenam em suas bases de dados sem nenhum tratamento adicional.
Mas mesmo em um cenário onde a maioria das empresas protege adequadamente suas informações, alguns dados não podem ser recolhidos de forma alguma, como por exemplo o código de verificação (CVV, CVV2, etc.). Geralmente, isso ocorre por falta de conhecimento das regras do PCI e boas práticas da indústria de Cartão de Crédito.
A LGPD certamente ajudará na conscientização por parte das empresas de que as informações não devem ser armazenadas somente para formar uma base massiva de dados e sim por um motivo válido de negócio. Além disso, as multas previstas em caso de descumprimento da legislação tendem a fazer com que as empresas se adequem.
Melhores práticas
Caso acumular tais informações seja necessário por alguma razão de negócio, as organizações devem se atentar em realizar a tokenização, ou seja, a substituição de parte do número por uma sequência aleatória do número do cartão. Fundamental ainda armazenar esses dados de modo criptografado.
Toda a infraestrutura por onde as informações de cartão de crédito trafega ou são armazenadas faz parte do escopo do PCI e estará sujeita às suas regras. Não há restrições quanto ao uso de nuvem, desde que sejam observados os mesmos princípios de segurança. Existe até um documento do PCI SSC referente a utilização de Cloud Computing (PCI SSC Cloud Computing Guidelines).
Embora existam diversos procedimentos aconselháveis para proteção desses dados, o PCI DSS não determina a utilização de um método específico. A entidade deixa para que cada empresa implemente o método mais factível com o seu modelo de negócio e infraestrutura, mas entre os mais indicados estão: one-way hashes baseados em criptografia forte; truncamento; index tokens e pads, sendo estes armazenados de forma segura; e uso de criptografia forte com processos e procedimentos definidos para gerenciamento de chaves.
Quando se fala em criptografia, é muito importante ter um programa de gestão dessas chaves, como um Hardware Security Modules (HSM). A utilização deste tende a ser o modo mais simples de realizar essa tarefa. Além disso, todos os processos devem ser muito bem documentados para que todas as etapas do ciclo de vida da chave possam ser realizadas por qualquer colaborador, mesmo quem não tenha tanto conhecimento do ambiente ou da utilização do HSM.
A AuditSafe consegue ajudar seus clientes por meio de serviços especializados, tornando as transações mais seguras e os dados dos titulares dos cartões mais protegidos. Entre alguns dos trabalhos prestados, estão: Gap Analysis, desenho de fluxo de dados do cartão de crédito, suporte à implementação das políticas necessárias, entre outras.
Ainda tem dúvidas? Entre em contato conosco.