O Payment Card Industry Data Security Standard 4.0.1 (PCI DSS 4.0.1) é um conjunto de requisitos de segurança para proteger os dados dos titulares de cartões (números de contas principais (PANs), nomes, datas de validade, códigos de serviço dos titulares de cartões) e outras informações confidenciais dos titulares de cartões durante todo o seu ciclo de vida.
O PCI DSS aplica-se a qualquer comerciante, prestador de serviços ou outra organização que armazene, processe ou transmita dados de titulares de cartão e a qualquer organização conectada a sistemas que armazenem, processem ou transmitam dados de titulares de cartão. (Esses sistemas são chamados de ambiente de dados do titular do cartão, ou CDE.) O PCI DSS descreve controles, processos e testes de segurança detalhados que as organizações devem implementar para proteger os dados do titular do cartão. Essas medidas de segurança abrangem uma ampla gama de áreas funcionais em todo o ambiente de dados do titular do cartão, incluindo transações de comércio eletrônico, sistemas de ponto de venda, hotspots sem fio, dispositivos móveis, computação em nuvem e sistemas de armazenamento baseados em papel.
A conformidade com o PCI DSS exige relatórios anuais de comerciantes e prestadores de serviços e relatórios adicionais após alterações significativas no CDE. A validação da conformidade também envolve a avaliação constante da postura de segurança de uma organização e remediação contínua para lidar com quaisquer lacunas na política, tecnologia ou procedimentos de segurança.
Organizações e prestadores de serviços podem ser avaliados por um Avaliador de Segurança Qualificado (QSA) que emite um Atestado de Conformidade (AOC) após a conclusão de uma avaliação bem-sucedida.
A primeira versão do PCI DSS foi lançada em 2004 pelas marcas de cartão de pagamento American Express, Discover, JCB International, MasterCard e Visa, que formaram coletivamente o Payment Card Industry Security Standards Council (PCI SSC) para gerenciar os requisitos técnicos do padrão . Em 2020, o PCI SSC adicionou a associação de cartão bancário UnionPay. O PCI DSS é atualizado periodicamente para lidar com as mais recentes ameaças de cibersegurança aos dados de cartões de pagamento, como roubo de identidade, fraude e violação de dados.
A IBM é a provedora de serviços de nível 1 para PCI DSS e os clientes podem criar ambientes e aplicativos compatíveis com PCI-DSS com o IBM Cloud.
Muitos serviços da plataforma IBM Cloud têm um Atestado de Conformidade (AOC) do PCI DSS emitido por um Avaliador de Segurança Qualificado (QSA).
Acelere sua conformidade com os serviços do IBM Cloud
A versão mais recente do PCI DSS (v4.0.1) foi lançada em junho de 2024. As organizações devem implementar esses 12 requisitos até 31 de março de 2025 para atender à conformidade.
O IBM Cloud oferece o seguinte conjunto de serviços que ajudarão você a atender aos requisitos específicos do PCI DSS e acelerar sua jornada de conformidade.
IBM Cloud Internet Services (CIS)
O IBM Cloud Internet Services traz segurança e desempenho líderes de mercado para seu conteúdo da web externo e aplicações da internet antes que eles cheguem à nuvem.
IBM Cloud Direct Link
A velocidade e a confiabilidade do IBM Cloud Direct Link ajudam a estender a rede do data center da sua organização sem contato com a internet pública.
Dispositivos IBM Cloud Gateway
Os dispositivos de gateway são dispositivos que oferecem controle aprimorado sobre o tráfego de rede, permitem acelerar o desempenho da rede e dar à rede um impulso de segurança.
IBM cloud transit gateway
O IBM Cloud Transit Gateway ajuda você a conectar e gerenciar suas redes IBM Cloud Virtual Private Cloud (VPC).
Dispositivo de segurança Fortigate
Implemente um par de dispositivos virtuais FortiGate em seu ambiente, o que pode ajudá-lo a reduzir o risco implementando controles de segurança críticos em sua infraestrutura virtual.
Firewall de hardware
Uma camada essencial de segurança provisionada on demand sem interrupções no serviço.
Dispositivo de segurança Fortigate
Implemente um par de dispositivos virtuais FortiGate em seu ambiente, o que pode ajudá-lo a reduzir o risco implementando controles de segurança críticos em sua infraestrutura virtual.
Firewall de hardware
Uma camada essencial de segurança provisionada on demand sem interrupções no serviço.
IBM Security and Compliance Center - Proteção contra carga de trabalho
Encontre e priorize vulnerabilidades de software, detecte e responda a ameaças e gerencie configurações, permissões e conformidade da origem à execução.
Suíte IBM QRadar
A IBM Security QRadar Suite é uma solução modernizada de detecção e resposta a ameaças projetada para unificar a experiência do analista de segurança e acelerar sua velocidade em todo o ciclo de vida do incidente.
IBM Key Protect for IBM Cloud
O serviço IBM Key Protect for IBM Cloud ajuda você a provisionar e armazenar chaves criptografadas para aplicativos nos serviços IBM Cloud, para que você possa ver e gerenciar a criptografia de dados e todo o ciclo de vida da chave em um único lugar.
IBM Security and Compliance Center - Data Security Broker - Manager
Uma solução de segurança no pacote Security and Compliance Center que fornece políticas de criptografia centralizadas e auditoria de dados em diferentes fontes de dados.
IBM Cloud Hyper Protect Virtual Servers
Tempo de execução de contêineres de computação confidencial totalmente gerenciado, que permite a implementação de cargas de trabalho confidenciais conteinerizadas em um ambiente altamente isolado com garantia técnica.
IBM Cloud Hardware Security Module
Protege a infraestrutura criptográfica gerenciando, processando e armazenando com mais segurança as chaves criptográficas dentro de um dispositivo de hardware inviolável.
IBM Security Guardium
Software de segurança de dados no portfólio IBM Security que descobre vulnerabilidades e protege dados confidenciais no local e na nuvem.
Serviços de armazenamento do IBM Cloud
Local escalável, rico em segurança e econômico para seus dados, além de oferecer suporte a cargas de trabalho tradicionais e nativas da nuvem. Provisione e implemente serviços como armazenamento de objetos de acesso, blocos e arquivos.
IBM Cloud Database Services
Liberte desenvolvedores e TI de tarefas complexas e demoradas, incluindo implantação, atualizações de software de infraestrutura e banco de dados, operações de infraestrutura e backup.
IBM Cloud Direct Link
A velocidade e a confiabilidade do IBM Cloud Direct Link ajudam a estender a rede do data center da sua organização sem contato com a internet pública.
IBM cloud transit gateway
O IBM Cloud Transit Gateway ajuda você a conectar e gerenciar suas redes IBM Cloud Virtual Private Cloud (VPC).
IBM Key Protect for IBM Cloud
O serviço IBM Key Protect for IBM Cloud ajuda você a provisionar e armazenar chaves criptografadas para aplicativos nos serviços IBM Cloud, para que você possa ver e gerenciar a criptografia de dados e todo o ciclo de vida da chave em um único lugar.
IBM Cloud Internet Services (CIS)
O IBM Cloud Internet Services traz segurança e desempenho líderes de mercado para seu conteúdo da web externo e aplicações da internet antes que eles cheguem à nuvem.
IBM Cloud Direct Link
A velocidade e a confiabilidade do IBM Cloud Direct Link ajudam a estender a rede do data center da sua organização sem contato com a internet pública.
Dispositivo de segurança Fortigate
Implemente um par de dispositivos virtuais FortiGate em seu ambiente, o que pode ajudá-lo a reduzir o risco implementando controles de segurança críticos em sua infraestrutura virtual.
Suíte IBM QRadar
A IBM Security QRadar Suite é uma solução modernizada de detecção e resposta a ameaças projetada para unificar a experiência do analista de segurança e acelerar sua velocidade em todo o ciclo de vida do incidente.
IBM Security Guardium
Software de segurança de dados no portfólio IBM Security que descobre vulnerabilidades e protege dados confidenciais no local e na nuvem.
IBM Cloud Internet Services (CIS)
O IBM Cloud Internet Services traz segurança e desempenho líderes de mercado para seu conteúdo da web externo e aplicações da internet antes que eles cheguem à nuvem.
IBM Security and Compliance Center - Proteção contra carga de trabalho
Encontre e priorize vulnerabilidades de software, detecte e responda a ameaças e gerencie configurações, permissões e conformidade da origem à execução.
IBM Security Guardium
Software de segurança de dados no portfólio IBM Security que descobre vulnerabilidades e protege dados confidenciais no local e na nuvem.
IBM Cloud Container Registry
Armazene e distribua imagens de contêineres em um registro privado totalmente gerenciado. Envie imagens privadas para executar convenientemente no IBM Cloud Kubernetes Service e em outros ambientes de tempo de execução.
IBM Cloud Continuous Delivery
Adote DevOps pronto para empresas. Crie cadeias de ferramentas seguras que suportam as tarefas de entrega do aplicativo. Automatize compilações, testes, implementações e muito mais.
IBM Cloud Kubernetes Service
Implemente clusters seguros e de alta disponibilidade em uma experiência nativa do Kubernetes.
IBM Cloud App ID
Adicione autenticação a aplicativos móveis e da web com facilidade. Aprimore seus aplicativos com recursos avançados de segurança, como autenticação multifator e logon único.
IBM Cloud Identity and Access Management (IAM)
O serviço IBM Cloud Identity and Access Management autentica com segurança os usuários e controla o acesso a todos os recursos de forma consistente no IBM Cloud Platform.
IBM Cloud App ID
Adicione autenticação a aplicativos móveis e da web com facilidade. Aprimore seus aplicativos com recursos avançados de segurança, como autenticação multifator e logon único.
IBM Cloud Secrets Manager
Crie segredos de forma dinâmica e alugue-os aos aplicativos enquanto controla o acesso a partir de um único local. Construído em código aberto HashiCorp Vault.
IBM Cloud Identity and Access Management (IAM)
O serviço IBM Cloud Identity and Access Management autentica com segurança os usuários e controla o acesso a todos os recursos de forma consistente no IBM Cloud Platform.
A IBM Cloud adota várias medidas para aumentar a segurança física:
- Segurança física do perímetro do data center
- Controles de acesso de entrada e saída e registro
- Proteja escritórios, salas e instalações
- Proteção contra ameaças externas e ambientais
- Redundância de energia e equipamentos de rede
- Descarte seguro de equipamentos durante o desprovisionamento
- Política de negócios de RH corporativo e segurança para integração, treinamento e desligamento
IBM Cloud Flow Logs for VPC
Permitir a coleta, o armazenamento e a apresentação de informações sobre o tráfego do Protocolo de Internet (IP) de ida e de volta das interfaces de rede em sua nuvem privada virtual (VPC).
Suíte IBM QRadar
A IBM Security QRadar Suite é uma solução modernizada de detecção e resposta a ameaças projetada para unificar a experiência do analista de segurança e acelerar sua velocidade em todo o ciclo de vida do incidente.
IBM Cloud Identity and Access Management (IAM)
O serviço IBM Cloud Identity and Access Management autentica com segurança os usuários e controla o acesso a todos os recursos de forma consistente no IBM Cloud Platform.
IBM Security Guardium
Software de segurança de dados no portfólio IBM Security que descobre vulnerabilidades e protege dados confidenciais no local e na nuvem.
IBM Cloud Logs
Tenha observabilidade de logs com o IBM Cloud Logs para ajudar a melhorar a infraestrutura e o desempenho do aplicativo
IBM Cloud Monitoring
Monitoramento e solução de problemas em nuvem para infraestrutura, serviços e aplicações em nuvem.
IBM Security and Compliance Center - Proteção contra carga de trabalho
Encontre e priorize vulnerabilidades de software, detecte e responda a ameaças e gerencie configurações, permissões e conformidade da origem à execução.
Suíte IBM QRadar
A IBM Security QRadar Suite é uma solução modernizada de detecção e resposta a ameaças projetada para unificar a experiência do analista de segurança e acelerar sua velocidade em todo o ciclo de vida do incidente.
IBM Security Guardium
Software de segurança de dados no portfólio IBM Security que descobre vulnerabilidades e protege dados confidenciais no local e na nuvem.
IBM Security and Compliance Center - Proteção contra carga de trabalho
Encontre e priorize vulnerabilidades de software, detecte e responda a ameaças e gerencie configurações, permissões e conformidade da origem à execução.
IBM Cloud Logs
Tenha observabilidade de logs com o IBM Cloud Logs para ajudar a melhorar a infraestrutura e o desempenho do aplicativo
IBM Cloud Monitoring
Monitoramento e solução de problemas em nuvem para infraestrutura, serviços e aplicações em nuvem.
Perguntas frequentes
A versão mais recente do PCI DSS 4.0.1 foi lançada em março de 2022. Ele lista esses 12 requisitos para proteger os dados do titular do cartão. As organizações devem implementar esses requisitos até 31 de março de 2025 para alcançar a conformidade.
Instalar e manter controles de segurança de rede
Os controles de segurança de rede (NSCs) podem incluir firewalls, dispositivos virtuais, sistemas de contêiner, sistemas de segurança na nuvem e outras tecnologias que controlam o acesso a sistemas e dados.
Aplicar configurações seguras a todos os componentes do sistema
Senhas padrão e outras configurações padrão do sistema oferecidas pelos fornecedores não devem ser usadas, pois são vulneráveis a ataques cibernéticos.
Proteja os dados armazenados do titular do cartão
A menos que seja necessário para as necessidades comerciais, as organizações não devem armazenar dados do titular do cartão. Se for armazenado, deve ser tornado ilegível por meio de criptografia, mascaramento ou outros meios.
Proteja os dados do titular do cartão com criptografia forte durante a transmissão em redes públicas abertas
Para evitar que hackers acessem informações confidenciais, como números de cartão e informação de identificação pessoal (PII), os dados devem ser criptografados antes e/ou durante as transmissões de rede pública.
Proteja todos os sistemas e redes contra software malicioso
Mantenha software antivírus e outras defesas contra malware, como spyware, keyloggers, ransomware, scripts e outros vírus.
Desenvolva e mantenha sistemas e software seguros
Ao aplicar as correções de segurança mais recentes e seguir práticas seguras ao desenvolver aplicativos, as organizações podem ajudar a minimizar o risco de violações de dados.
Restrinja o acesso a componentes de sistemas e dados de titulares de cartão de acordo com a necessidade da empresa
Medidas robustas de controle de acesso devem garantir que os usuários autorizados vejam somente as informações do titular do cartão necessárias para realizar seus trabalhos.
Identifique usuários e autentique o acesso aos componentes do sistema
Um ID exclusivo com dados de autenticação rastreáveis deve ser atribuído a cada pessoa com acesso por computador a sistemas e dados confidenciais.
Restringir o acesso físico aos dados do titular do cartão
Para evitar que pessoas não autorizadas removam hardware ou cópias impressas contendo dados do titular do cartão, o acesso físico aos sistemas deve ser restrito.
Registre e monitore todo o acesso aos componentes do sistema e aos dados do titular do cartão
A capacidade de automatizar o registro e o monitoramento de sistemas e dados confidenciais pode ajudar a detectar atividades suspeitas e dar suporte à análise forense após uma violação.
Teste a segurança de sistemas e redes regularmente
Como os cibercriminosos buscam constantemente novas vulnerabilidades em ambientes de TI em constante mudança, os testes de penetração e as verificações de vulnerabilidades devem ser realizados regularmente.
Apoie a segurança da informação com políticas e programas organizacionais
As organizações devem criar uma política abrangente de segurança da informação que descreva procedimentos para identificar e gerenciar riscos, educação contínua de consciência sobre segurança e conformidade com o PCI DSS.
As organizações regidas pelo PCI DSS 4.0.1 devem documentar a conformidade todos os anos. Organizações maiores devem enviar um Relatório detalhado de Conformidade (ROC) e um Atestado de Conformidade (AOC). Tanto os documentos do ROC quanto do AOC devem ser preenchidos e assinados por um Assessor de Segurança Qualificado (QSA) certificado pelo Conselho de Segurança Padrão do PCI. Organizações de pequeno e médio porte podem preencher um questionário de autoavaliação (SAQ) para validar a conformidade.
Se uma organização realizar a transmissão de dados de titulares de cartão pela internet, também poderá ser obrigada a implementar o gerenciamento de vulnerabilidades para manter uma rede segura. Para alcançar a conformidade, um Fornecedor de Varredura Aprovado (ASV) certificado pelo PCI SSC deve realizar uma varredura de vulnerabilidade trimestral para testar a segurança da rede.
Os requisitos de relatórios para o PCI DSS diferem de acordo com o número de transações processadas anualmente por uma organização. Há quatro níveis de conformidade.
Nível 1
Mais de 6 milhões de transações com cartão de pagamento anualmente. Deve enviar um relatório de conformidade preenchido por um avaliador de segurança qualificado. Deve ter um Fornecedor de Varredura Aprovado realizando uma varredura trimestral de vulnerabilidade de rede.
Nível 2
De 1 a 6 milhões de transações com cartão de pagamento anualmente. Deve preencher um questionário de autoavaliação e pode ter que realizar verificações trimestrais de vulnerabilidade de rede.
Nível 3
Vinte mil a 1 milhão de transações com cartão de pagamento anualmente. Deve preencher um questionário de autoavaliação e pode ter que realizar verificações trimestrais de vulnerabilidade de rede.
Nível 4
Menos de 20 mil transações anuais com cartões. Deve preencher um questionário de autoavaliação e pode ter que realizar verificações trimestrais de vulnerabilidade de rede.
Embora comerciantes e prestadores de serviços de pagamentos sejam obrigados a seguir o PCI DSS 4.0.1, sua conformidade não é imposta por lei, governos ou mesmo pelo PCI Security Standards Council. Em vez disso, a conformidade é gerenciada por empresas de cartões de crédito, como Visa ou MasterCard, e adquirentes, que são bancos ou instituições financeiras que processam pagamentos com cartões.
Uma vez por ano, as organizações que processam ou armazenam dados do titular do cartão devem validar sua adesão ao PCI DSS 4.0.1. Se uma organização terceirizar seu processamento de pagamentos, ainda deverá afirmar que as transações com cartão de crédito estão protegidas de acordo com os requisitos do padrão PCI DSS.
As multas por não conformidade com o PCI DSS são definidas pelas bandeiras de cartões de pagamento e negociadas entre as bandeiras, o comerciante ou o provedor de serviços e os bancos ou outras instituições financeiras afetadas. As bandeiras de cartões de pagamento não publicam tabelas de multas ou taxas e, normalmente, não disponibilizam informações sobre penalidades ao público.
Como regra geral, as multas por não conformidade podem variar de USD 5 mil a USD 10 mil durante os primeiros três meses de não conformidade, a USD 50 mil a USD 100 mil por mês após seis meses de não conformidade. No caso de uma violação de dados, os comerciantes ou prestadores de serviços que não estiverem em conformidade poderão ser multados em mais 50 a 90 USD por cliente , até um máximo de 500 mil USD.
As marcas de cartão de pagamento podem aplicar multas muito mais altas a seu critério, e a penalidade final negociada pela não conformidade com o PCI DSS de uma organização (particularmente a não conformidade que leva a uma violação de dados) pode aumentar para milhões ou centenas de milhões de dólares para cobrir o custo de investigações, reclamações governamentais, ações judiciais coletivas e outros.
Além de incorrer em multas, as organizações que não estiverem em conformidade podem ser proibidas de processar transações com cartões de pagamento.
Proteção de dados confidenciais
As consequências de uma violação de dados envolvendo dados de titulares de cartões são graves. Além de multas, penalidades legais e danos à reputação, as organizações podem sofrer a perda de clientes atuais e em potencial. Os requisitos do PCI DSS 4.0.1 ajudam a defender contra o roubo de dados confidenciais.
Aumento da confiança do cliente
Como a fraude e o roubo de identidade estão frequentemente nas manchetes, os consumidores podem relutar em entregar aos varejistas informações confidenciais de cartões de crédito. A conformidade com o PCI DSS ajuda os clientes a confiar que seus dados estão protegidos, possibilitando que eles tenham mais confiança ao fazer compras.
Apoio a uma conformidade regulatória mais ampla
Embora o PCI DSS não seja um mandato legal, os controles de segurança que implementa podem ajudar as organizações a alcançar a conformidade com as regulamentações governamentais. Partes do PCI DSS são complementares às leis de proteção de dados, como a Lei de portabilidade e responsabilidade de planos de saúde de 1996 (HIPAA), a Lei Sarbanes Oxley (SOX) e o Regulamento Geral de Proteção de Dados (GDPR).
Lide com a segurança unificada, a conformidade e a visibilidade de riscos em ambientes de multinuvem híbrida.
Crie uma infraestrutura escalável a um custo mais baixo, implemente novas aplicações instantaneamente e dimensione cargas de trabalho confidenciais e de missão crítica com base na demanda, tudo dentro de uma plataforma segura.
Esteja mais bem preparado para violações conhecendo suas causas e os fatores que aumentam ou reduzem custos. Aprenda com as experiências de mais de 550 organizações que tiveram seus dados violados.
PII é qualquer informação que possa ser usada para descobrir a identidade dessa pessoa, como número de contribuinte, nome completo ou endereço de e-mail.
A segurança de rede é o campo da segurança cibernética voltado para a proteção de redes de computadores contra ameaças cibernéticas.