Início

Nuvem

Conformidade

PCI

Padrões de segurança de dados do setor de cartões de pagamento (PCI DSS)
Ilustração mostrando uma pessoa interagindo com uma interface de computador, atrás da qual há vários documentos e um arranha-céu em miniatura
O que é o PCI DSS?

O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) é um conjunto de requisitos de segurança para proteger os dados do titular do cartão, números de conta principal (PANs) dos titulares do cartão, nomes, datas de validade, códigos de serviço e outras informações confidenciais do titular do cartão durante todo o seu ciclo de vida.

O PCI DSS aplica-se a qualquer comerciante, prestador de serviços ou outra organização que armazene, processe ou transmita dados de titulares de cartão e a qualquer organização conectada a sistemas que armazenem, processem ou transmitam dados de titulares de cartão. (Esses sistemas são chamados de ambiente de dados do titular do cartão, ou CDE.) O PCI DSS descreve controles, processos e testes de segurança detalhados que as organizações devem implementar para proteger os dados do titular do cartão. Essas medidas de segurança abrangem uma ampla gama de áreas funcionais em todo o ambiente de dados do titular do cartão, incluindo transações de comércio eletrônico, sistemas de ponto de venda, hotspots sem fio, dispositivos móveis, computação em nuvem e sistemas de armazenamento baseados em papel.

A conformidade com o PCI DSS exige relatórios anuais de comerciantes e prestadores de serviços e relatórios adicionais após alterações significativas no CDE. Validar a conformidade também envolve avaliação contínua da postura de segurança de uma organização e remediação contínua para lidar com quaisquer lacunas na política, tecnologia ou procedimentos de segurança.

Organizações e prestadores de serviços podem ser avaliados por um Avaliador de Segurança Qualificado (QSA) que emite um Atestado de Conformidade (AOC) após a conclusão de uma avaliação bem-sucedida. 

A primeira versão do PCI DSS foi lançada em 2004 pelas marcas de cartão de pagamento American Express, Discover, JCB International, MasterCard e Visa, que formaram coletivamente o Payment Card Industry Security Standards Council (PCI SSC) para gerenciar os requisitos técnicos do padrão . Em 2020, o PCI SSC adicionou a associação de cartão bancário UnionPay. O PCI DSS é atualizado periodicamente para lidar com as mais recentes ameaças de cibersegurança aos dados de cartões de pagamento, como roubo de identidade, fraude e violação de dados.

Orientação do IBM Cloud PCI DSS

Conheça os bastidores para saber como a conformidade com PCI DSS funciona no IBM Cloud.

IBM Cloud e PCI DSS

A IBM é a provedora de serviços de nível 1 para PCI DSS e os clientes podem criar ambientes e aplicativos compatíveis com PCI-DSS com o IBM Cloud.

Muitos serviços da plataforma IBM Cloud têm um Atestado de Conformidade (AOC) do PCI DSS emitido por um Avaliador de Segurança Qualificado (QSA).

Entre em contato com a IBM para solicitar um AOC do PCI DSS para qualquer serviço listado abaixo
Os serviços IBM Cloud com um PCI DSS AOC disponíveis são:
    1. IBM Cloud Activity Tracker (via Mezmo)
    2. IBM Cloud App ID
    3. IBM Cloud Backup
    4. IBM Cloud Backup for VPC
    5. IBM Cloud Bare Metal
    6. IBM Cloud Bare Metal Servers para VPC
    7. IBM Cloud Block Storage
    8. IBM Cloud Block Storage for Virtual Private Cloud
    9. IBM Cloud Block Storage Snapshots for VPC
    10. IBM Cloud Container Registry
    11. IBM Cloud Databases for DataStax
    12. IBM Cloud Databases for Elasticsearch
    13. IBM Cloud Databases for EnterpriseDB
    14. IBM Cloud Databases for etcd
    15. IBM Cloud Databases for MongoDB
    16. IBM Cloud Databases for MySQL
    17. IBM Cloud Databases for PostgreSQL
    18. IBM Cloud Databases for Redis
    19. IBM Cloud Direct Link
    20. IBM Cloud Direct Link Connect (2.0)
    21. IBM Cloud Direct Link Dedicated (2.0)
    22. IBM Cloud DNS Services
    23. IBM Cloud File Storage
    24. IBM Cloud File Storage for Virtual Private Cloud
    25. IBM Cloud Flow Logs for VPC
    26. IBM Cloud for VMware Solutions (Dedicated)
    27. IBM Cloud Hardware Security Module
    28. IBM Cloud Internet Services Enterprise Package (via Cloudflare)
    29. IBM Cloud Internet Services Enterprise Usage (via Cloudflare)
    30. IBM Cloud Internet Services Standard (via Cloudflare)
    31. IBM Cloud Kubernetes Service and Red Hat OpenShift on IBM Cloud
    32. IBM Cloud Load Balancer
    33. IBM Cloud Messages for RabbitMQ
    34. IBM Cloud Object Storage
    35. IBM Cloud Object Storage (IaaS)
    36. IBM Cloud Platform - Core Services - IBM Cloud Identity and Access Management
    37. IBM Cloud Secrets Manager
    38. IBM Cloud Transit Gateway
    39. IBM Cloud Virtual Private Cloud
    40. IBM Cloud Virtual Private Cloud - Load Balancer for VPC: Application Load Balancer and Network Load Balancer
    41. IBM Cloud Virtual Private Cloud – VPN for VPC – Gateway site-to-site e servidor Client-to-site
    42. IBM Cloud Virtual Private Endpoint for VPC
    43. IBM Cloud Virtual Servers
    44. IBM Cloud Virtual Server for VPC
    45. IBM Cloud Virtual Server for VPC - Auto Scale for VPC
    46. IBM Cloud Virtual Server for VPC - Dedicated Host for VPC
    47. IBM Cloudant for IBM Cloud
    48. IBM Event Streams for IBM Cloud Enterprise
    49. IBM Event Streams for IBM Cloud Standard
    50. IBM Key Protect for IBM Cloud
    51. IBM Log Analysis (via Mezmo)
    52. IBM Power Virtual Server na IBM Cloud
    53. IPSec VPN
    54. SAP-Certified Cloud Infrastructure
    Acelere sua conformidade com os serviços IBM Cloud

    A versão mais recente do PCI DSS (v4.0) foi lançada em março de 2022. As organizações devem implementar esses 12 requisitos até 31 de março de 2025 para atender à conformidade.

    O IBM Cloud oferece o seguinte conjunto de serviços que ajudarão você a atender aos requisitos específicos do PCI DSS e acelerar sua jornada de conformidade.

     

    1. Instale e mantenha controles de segurança de rede

    IBM Cloud Internet Services (CIS)

    Rede

    O IBM Cloud Internet Services traz segurança e desempenho líderes de mercado para seu conteúdo da web externo e aplicações da internet antes que eles cheguem à nuvem.

    Veja o serviço

    IBM Cloud Direct Link

    Rede

    A velocidade e a confiabilidade do IBM Cloud Direct Link ajudam a estender a rede do data center da sua organização sem contato com a internet pública.

    Veja o serviço

    Dispositivos IBM Cloud Gateway

    Rede

    Os dispositivos de gateway são dispositivos que oferecem controle aprimorado sobre o tráfego de rede, permitem acelerar o desempenho da rede e dar à rede um impulso de segurança.

    Veja o serviço

     IBM cloud transit gateway

    Rede

    O IBM Cloud Transit Gateway ajuda você a conectar e gerenciar suas redes IBM Cloud Virtual Private Cloud (VPC).

    Veja o serviço

    Dispositivo de segurança Fortigate

    Rede

    Implemente um par de dispositivos virtuais FortiGate em seu ambiente, o que pode ajudá-lo a reduzir o risco implementando controles de segurança críticos em sua infraestrutura virtual. 

    Veja o serviço

    Firewall de hardware

    Rede

    Uma camada essencial de segurança provisionada on demand sem interrupções no serviço.

    Veja o serviço

    2. Aplique configurações seguras a todos os componentes do sistema

    Dispositivo de segurança Fortigate

    Rede

    Implemente um par de dispositivos virtuais FortiGate em seu ambiente, o que pode ajudá-lo a reduzir o risco implementando controles de segurança críticos em sua infraestrutura virtual. 

    Veja o serviço

    Firewall de hardware

    Rede

    Uma camada essencial de segurança provisionada on demand sem interrupções no serviço.

    Veja o serviço

    IBM Security and Compliance Center

    Segurança

    Um pacote de soluções integradas para definir políticas como código, implementar controles para dados seguros e implementações de carga de trabalho e avaliar a postura de segurança e conformidade.

    Veja o serviço

    IBM Security and Compliance Center - Proteção contra carga de trabalho

    Segurança

    Encontre e priorize vulnerabilidades de software, detecte e responda a ameaças e gerencie configurações, permissões e conformidade da origem à execução.

    Veja o serviço

    Suíte IBM QRadar

    Segurança

    A IBM Security QRadar Suite é uma solução modernizada de detecção e resposta a ameaças projetada para unificar a experiência do analista de segurança e acelerar sua velocidade em todo o ciclo de vida do incidente.

    Veja o serviço

    3. Proteja dados armazenados do titular do cartão

    IBM Key Protect for IBM Cloud

    Segurança

    O serviço IBM Key Protect for IBM Cloud ajuda você a provisionar e armazenar chaves criptografadas para aplicativos nos serviços IBM Cloud, para que você possa ver e gerenciar a criptografia de dados e todo o ciclo de vida da chave em um único lugar.

    Veja o serviço

    IBM Security and Compliance Center - Data Security Broker - Manager

    Segurança

    Uma solução de segurança no pacote Security and Compliance Center que fornece políticas de criptografia centralizadas e auditoria de dados em diferentes fontes de dados.

    Veja o serviço

    IBM Cloud Hyper Protect Virtual Servers

    Contêineres

    Tempo de execução de contêineres de computação confidencial totalmente gerenciado, que permite a implementação de cargas de trabalho confidenciais conteinerizadas em um ambiente altamente isolado com garantia técnica.

    Veja o serviço

    IBM Cloud Hardware Security Module

    Segurança

    Protege a infraestrutura criptográfica gerenciando, processando e armazenando com mais segurança as chaves criptográficas dentro de um dispositivo de hardware inviolável.

    Veja o serviço

    IBM Security Guardium

    Segurança

    Software de segurança de dados no portfólio IBM Security que descobre vulnerabilidades e protege dados confidenciais no local e na nuvem.

    Veja o serviço

    Serviços de armazenamento do IBM Cloud

    Armazenamento

    Local escalável, rico em segurança e econômico para seus dados, além de oferecer suporte a cargas de trabalho tradicionais e nativas da nuvem. Provisione e implemente serviços como armazenamento de objetos de acesso, blocos e arquivos. 

    Veja o serviço

    IBM Cloud Database Services

    Bancos de dados

    Liberte desenvolvedores e TI de tarefas complexas e demoradas, incluindo implantação, atualizações de software de infraestrutura e banco de dados, operações de infraestrutura e backup. 

    Veja o serviço

    4. Proteja os dados do titular do cartão com criptografia forte durante a transmissão em redes públicas abertas

    IBM Cloud Direct Link

    Rede

    A velocidade e a confiabilidade do IBM Cloud Direct Link ajudam a estender a rede do data center da sua organização sem contato com a internet pública.

    Veja o serviço

     IBM cloud transit gateway

    Rede

    O IBM Cloud Transit Gateway ajuda você a conectar e gerenciar suas redes IBM Cloud Virtual Private Cloud (VPC).

    Veja o serviço

    IBM Key Protect for IBM Cloud

    Segurança

    O serviço IBM Key Protect for IBM Cloud ajuda você a provisionar e armazenar chaves criptografadas para aplicativos nos serviços IBM Cloud, para que você possa ver e gerenciar a criptografia de dados e todo o ciclo de vida da chave em um único lugar.

    Veja o serviço

    5. Proteja todos os sistemas e redes contra software malicioso

    IBM Cloud Internet Services (CIS)

    Rede

    O IBM Cloud Internet Services traz segurança e desempenho líderes de mercado para seu conteúdo da web externo e aplicações da internet antes que eles cheguem à nuvem.

    Veja o serviço

    IBM Cloud Direct Link

    Rede

    A velocidade e a confiabilidade do IBM Cloud Direct Link ajudam a estender a rede do data center da sua organização sem contato com a internet pública.

    Veja o serviço

    Dispositivo de segurança Fortigate

    Rede

    Implemente um par de dispositivos virtuais FortiGate em seu ambiente, o que pode ajudá-lo a reduzir o risco implementando controles de segurança críticos em sua infraestrutura virtual. 

    Veja o serviço

    Suíte IBM QRadar

    Segurança

    A IBM Security QRadar Suite é uma solução modernizada de detecção e resposta a ameaças projetada para unificar a experiência do analista de segurança e acelerar sua velocidade em todo o ciclo de vida do incidente.

    Veja o serviço

    IBM Security Guardium

    Segurança

    Software de segurança de dados no portfólio IBM Security que descobre vulnerabilidades e protege dados confidenciais no local e na nuvem.

    Veja o serviço

    6. Desenvolva e mantenha sistemas e software seguros

    IBM Cloud Internet Services (CIS)

    Rede

    O IBM Cloud Internet Services traz segurança e desempenho líderes de mercado para seu conteúdo da web externo e aplicações da internet antes que eles cheguem à nuvem.

    Veja o serviço

    IBM Security and Compliance Center - Proteção contra carga de trabalho

    Segurança

    Encontre e priorize vulnerabilidades de software, detecte e responda a ameaças e gerencie configurações, permissões e conformidade da origem à execução.

    Veja o serviço

    IBM Security Guardium

    Segurança

    Software de segurança de dados no portfólio IBM Security que descobre vulnerabilidades e protege dados confidenciais no local e na nuvem.

    Veja o serviço

    IBM Cloud Container Registry

    Contêineres

    Armazene e distribua imagens de contêineres em um registro privado totalmente gerenciado. Envie imagens privadas para executar convenientemente no IBM Cloud Kubernetes Service e em outros ambientes de tempo de execução.

    Veja o serviço

    IBM Cloud Continuous Delivery

    Developer Tools

    Adote DevOps pronto para empresas. Crie cadeias de ferramentas seguras que suportam as tarefas de entrega do aplicativo. Automatize compilações, testes, implementações e muito mais. 

    Veja o serviço

    IBM Cloud Kubernetes Service

    Contêineres

     Implemente clusters seguros e de alta disponibilidade em uma experiência nativa do Kubernetes.

    Veja o serviço

    7. Restrinja o acesso a componentes de sistemas e dados de titulares de cartão por necessidade comercial

    IBM Cloud App ID

    Segurança

    Adicione autenticação a aplicativos móveis e da web com facilidade. Aprimore seus aplicativos com recursos avançados de segurança, como autenticação multifator e logon único. 

    Veja o serviço

    IBM Cloud Identity and Access Management (IAM)

    Segurança

    O serviço IBM Cloud Identity and Access Management autentica com segurança os usuários e controla o acesso a todos os recursos de forma consistente no IBM Cloud Platform.

    Veja o serviço

    8. Identifique usuários e autentique o acesso aos componentes do sistema

    IBM Cloud App ID

    Segurança

    Adicione autenticação a aplicativos móveis e da web com facilidade. Aprimore seus aplicativos com recursos avançados de segurança, como autenticação multifator e logon único. 

    Veja o serviço

    IBM Cloud Secrets Manager

    Segurança

    Crie segredos de forma dinâmica e alugue-os aos aplicativos enquanto controla o acesso a partir de um único local. Construído em código aberto HashiCorp Vault.

    Veja o serviço

    IBM Cloud Identity and Access Management (IAM)

    Segurança

    O serviço IBM Cloud Identity and Access Management autentica com segurança os usuários e controla o acesso a todos os recursos de forma consistente no IBM Cloud Platform.

    Veja o serviço

    9. Restrinja o acesso físico aos dados do titular do cartão

    A IBM Cloud adota várias medidas para aumentar a segurança física:

    Segurança
    • Segurança física do perímetro do data center
    • Controles de acesso de entrada e saída e registro
    • Proteja escritórios, salas e instalações
    • Proteção contra ameaças externas e ambientais
    • Redundância de energia e equipamentos de rede
    • Descarte seguro de equipamentos durante o desprovisionamento
    • Política de negócios de RH corporativo e segurança para integração, treinamento e desligamento
    Veja o serviço

    10. Registre e monitore todo o acesso aos componentes do sistema e aos dados do titular do cartão

    IBM Cloud Flow Logs for VPC

    Rede

    Permitir a coleta, o armazenamento e a apresentação de informações sobre o tráfego do Protocolo de Internet (IP) de ida e de volta das interfaces de rede em sua nuvem privada virtual (VPC).

    Veja o serviço

    Suíte IBM QRadar

    Segurança

    A IBM Security QRadar Suite é uma solução modernizada de detecção e resposta a ameaças projetada para unificar a experiência do analista de segurança e acelerar sua velocidade em todo o ciclo de vida do incidente.

    Veja o serviço

    IBM Cloud Identity and Access Management (IAM)

    Segurança

    O serviço IBM Cloud Identity and Access Management autentica com segurança os usuários e controla o acesso a todos os recursos de forma consistente no IBM Cloud Platform.

    Veja o serviço

    IBM Security Guardium

    Segurança

    Software de segurança de dados no portfólio IBM Security que descobre vulnerabilidades e protege dados confidenciais no local e na nuvem.

    Veja o serviço

    Logs do IBM Cloud

    Registro e monitoramento

     Tenha observabilidade de logs com o IBM Cloud Logs para ajudar a melhorar a infraestrutura e o desempenho do aplicativo

    Veja o serviço

    IBM Cloud Monitoring

    Registro e monitoramento

     Monitoramento e solução de problemas em nuvem para infraestrutura, serviços e aplicações em nuvem.

    Veja o serviço

    11. Teste a segurança de sistemas e redes regularmente

    IBM Security and Compliance Center

    Segurança

    Um pacote de soluções integradas para definir políticas como código, implementar controles para dados seguros e implementações de carga de trabalho e avaliar a postura de segurança e conformidade.

    Veja o serviço

    IBM Security and Compliance Center - Proteção contra carga de trabalho

    Segurança

    Encontre e priorize vulnerabilidades de software, detecte e responda a ameaças e gerencie configurações, permissões e conformidade da origem à execução.

    Veja o serviço

    Suíte IBM QRadar

    Segurança

    A IBM Security QRadar Suite é uma solução modernizada de detecção e resposta a ameaças projetada para unificar a experiência do analista de segurança e acelerar sua velocidade em todo o ciclo de vida do incidente.

    Veja o serviço

    IBM Security Guardium

    Segurança

    Software de segurança de dados no portfólio IBM Security que descobre vulnerabilidades e protege dados confidenciais no local e na nuvem.

    Veja o serviço

    12. Apoie a segurança da informação com políticas e programas organizacionais

    IBM Security and Compliance Center

    Segurança

    Um pacote de soluções integradas para definir políticas como código, implementar controles para dados seguros e implementações de carga de trabalho e avaliar a postura de segurança e conformidade.

    Veja o serviço

    IBM Security and Compliance Center - Proteção contra carga de trabalho

    Segurança

    Encontre e priorize vulnerabilidades de software, detecte e responda a ameaças e gerencie configurações, permissões e conformidade da origem à execução.

    Veja o serviço

    Logs do IBM Cloud

    Registro e monitoramento

     Tenha observabilidade de logs com o IBM Cloud Logs para ajudar a melhorar a infraestrutura e o desempenho do aplicativo

    Veja o serviço

    IBM Cloud Monitoring

    Registro e monitoramento

     Monitoramento e solução de problemas em nuvem para infraestrutura, serviços e aplicações em nuvem.

    Veja o serviço

    Perguntas frequentes

    Quais são os requisitos de conformidade do PCI DSS?

    A versão mais recente do PCI DSS (v4.0) foi lançada em março de 2022. Ele lista esses 12 requisitos para proteger os dados do titular do cartão. As organizações devem implementar esses requisitos até 31 de março de 2025 para alcançar a conformidade.

    Instalar e manter controles de segurança de rede

    Os controles de segurança de rede (NSCs) podem incluir firewalls, dispositivos virtuais, sistemas de contêiner, sistemas de segurança na nuvem e outras tecnologias que controlam o acesso a sistemas e dados.

    Aplicar configurações seguras a todos os componentes do sistema

    Senhas padrão e outras configurações padrão do sistema oferecidas pelos fornecedores não devem ser usadas, pois são vulneráveis a ataques cibernéticos.

    Proteja os dados armazenados do titular do cartão

    A menos que seja necessário para as necessidades comerciais, as organizações não devem armazenar dados do titular do cartão. Se for armazenado, deve ser tornado ilegível por meio de criptografia, mascaramento ou outros meios.

    Proteja os dados do titular do cartão com criptografia forte durante a transmissão em redes públicas abertas

    Para evitar que hackers acessem informações confidenciais, como números de cartão e informação de identificação pessoal (PII), os dados devem ser criptografados antes e/ou durante as transmissões de rede pública.

    Proteja todos os sistemas e redes contra software malicioso

    Mantenha software antivírus e outras defesas contra malware, como spyware, keyloggers, ransomware, scripts e outros vírus.

    Desenvolva e mantenha sistemas e software seguros

    Ao aplicar as correções de segurança mais recentes e seguir práticas seguras ao desenvolver aplicativos, as organizações podem ajudar a minimizar o risco de violações de dados.

    Restrinja o acesso a componentes de sistemas e dados de titulares de cartão de acordo com a necessidade da empresa

    Medidas robustas de controle de acesso devem garantir que os usuários autorizados vejam somente as informações do titular do cartão necessárias para realizar seus trabalhos.

    Identifique usuários e autentique o acesso aos componentes do sistema

    Um ID exclusivo com dados de autenticação rastreáveis deve ser atribuído a cada pessoa com acesso por computador a sistemas e dados confidenciais.

    Restringir o acesso físico aos dados do titular do cartão

    Para evitar que pessoas não autorizadas removam hardware ou cópias impressas contendo dados do titular do cartão, o acesso físico aos sistemas deve ser restrito.

    Registre e monitore todo o acesso aos componentes do sistema e aos dados do titular do cartão

    A capacidade de automatizar o registro e o monitoramento de sistemas e dados confidenciais pode ajudar a detectar atividades suspeitas e dar suporte à análise forense após uma violação.

    Teste a segurança de sistemas e redes regularmente

    Como os cibercriminosos buscam constantemente novas vulnerabilidades em ambientes de TI em constante mudança, os testes de penetração e as verificações de vulnerabilidades devem ser realizados regularmente.

    Apoie a segurança da informação com políticas e programas organizacionais

    As organizações devem criar uma política abrangente de segurança da informação que descreva procedimentos para identificar e gerenciar riscos, educação contínua de conscientização sobre segurança e conformidade com o PCI DSS.

    Quais são os requisitos de relatórios e documentação do PCI DSS?

    As organizações regidas pelo PCI DSS devem documentar a conformidade todos os anos. Organizações maiores devem enviar um Relatório detalhado de Conformidade (ROC) e um Atestado de Conformidade (AOC). Tanto os documentos do ROC quanto do AOC devem ser preenchidos e assinados por um Assessor de Segurança Qualificado (QSA) certificado pelo Conselho de Segurança Padrão do PCI. Organizações de pequeno e médio porte podem preencher um questionário de autoavaliação (SAQ) para validar a conformidade.

    Se uma organização realizar a transmissão de dados de titulares de cartão pela internet, também poderá ser obrigada a implementar o gerenciamento de vulnerabilidades para manter uma rede segura. Para alcançar a conformidade, um Fornecedor de Varredura Aprovado (ASV) certificado pelo PCI SSC deve realizar uma varredura de vulnerabilidade trimestral para testar a segurança da rede.

    Os requisitos de relatórios para o PCI DSS diferem de acordo com o número de transações processadas anualmente por uma organização. Há quatro níveis de conformidade.

    Nível 1

    Mais de 6 milhões de transações com cartão de pagamento anualmente. Deve enviar um relatório de conformidade preenchido por um avaliador de segurança qualificado. Deve ter um Fornecedor de Varredura Aprovado realizando uma varredura trimestral de vulnerabilidade de rede.

    Nível 2

    De 1 a 6 milhões de transações com cartão de pagamento anualmente. Deve preencher um questionário de autoavaliação e pode ter que realizar verificações trimestrais de vulnerabilidade de rede.

    Nível 3

    Vinte mil a 1 milhão de transações com cartão de pagamento anualmente. Deve preencher um questionário de autoavaliação e pode ter que realizar verificações trimestrais de vulnerabilidade de rede.

    Nível 4

    Menos de 20 mil transações anuais com cartões. Deve preencher um questionário de autoavaliação e pode ter que realizar verificações trimestrais de vulnerabilidade de rede.

    Como o PCI DSS é aplicado?

    Embora os comerciantes e prestadores de serviços de pagamento sejam obrigados a seguir o PCI DSS, sua conformidade não é imposta por lei, governos ou mesmo pelo PCI Security Standards Council. Em vez disso, a conformidade é gerenciada por empresas de cartão de crédito, como Visa ou MasterCard, e adquirentes, que são bancos ou instituições financeiras que processam pagamentos com cartão.

    Uma vez por ano, as organizações que processam ou armazenam dados do titular do cartão devem validar sua adesão ao PCI DSS. Se uma organização terceirizar seu processamento de pagamentos, ainda deverá afirmar que as transações com cartão de crédito estão protegidas de acordo com os requisitos do padrão PCI DSS.

    Quais são as penalidades pelo descumprimento?

    As multas por não conformidade com o PCI DSS são definidas pelas bandeiras de cartões de pagamento e negociadas entre as bandeiras, o comerciante ou o provedor de serviços e os bancos ou outras instituições financeiras afetadas. As bandeiras de cartões de pagamento não publicam tabelas de multas ou taxas e, normalmente, não disponibilizam informações sobre penalidades ao público.

    Como regra geral, as multas por não conformidade podem variar de USD 5 mil a USD 10 mil durante os primeiros três meses de não conformidade, a USD 50 mil a USD 100 mil por mês após seis meses de não conformidade. No caso de uma violação de dados, os comerciantes ou prestadores de serviços que não estiverem em conformidade poderão ser multados em mais 50 a 90 USD por cliente , até um máximo de 500 mil USD.

    As marcas de cartão de pagamento podem aplicar multas muito mais altas a seu critério e a penalidade final negociada pela não conformidade com o PCI DSS de uma organização (particularmente a não conformidade que leva a uma violação de dados) pode aumentar para milhões ou centenas de milhões de dólares para cobrir o custo de investigações, reclamações governamentais, ações judiciais coletivas e outros.

    Além de incorrer em multas, as organizações que não estiverem em conformidade podem ser proibidas de processar transações com cartões de pagamento.

    Quais são os benefícios da conformidade com o PCI DSS?

    Proteção de dados confidenciais

    As consequências de uma violação de dados envolvendo dados do titular do cartão são graves. Além de multas, penalidades legais e danos à reputação, as organizações podem sofrer a perda de clientes atuais e em potencial. Os requisitos do PCI DSS ajudam a defender contra o roubo de dados confidenciais.

    Aumento da confiança do cliente

    Como a fraude e o roubo de identidade estão frequentemente nas manchetes, os consumidores podem relutar em entregar aos varejistas informações confidenciais de cartão de crédito. A conformidade com o PCI DSS ajuda os clientes a confiar que seus dados estão protegidos, possibilitando que eles tenham mais confiança ao fazer compras.

    Apoio a uma conformidade regulatória mais ampla

    Embora o PCI DSS não seja um mandato legal, os controles de segurança que implementa podem ajudar as organizações a alcançar a conformidade com as regulamentações governamentais. Partes do PCI DSS são complementares às leis de proteção de dados, como a Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA), a Lei Sarbanes Oxley (SOX) e o Regulamento Geral de Proteção de Dados (GDPR).

    Soluções relacionadas
    IBM Security and Compliance Center

    Lide com a segurança unificada, a conformidade e a visibilidade de riscos em ambientes de multinuvem híbrida.

    Explore o IBM Security and Compliance Center
    Soluções IBM Cloud

    Crie uma infraestrutura escalável a um custo mais baixo, implemente novas aplicações instantaneamente e dimensione cargas de trabalho confidenciais e de missão crítica com base na demanda, tudo dentro de uma plataforma segura.

    Conheça as soluções
    Recursos Custo das violações de dados 2023

    Prepare-se melhor para conter as violações entendendo as causas e os fatores que aumentam ou reduzem os custos que elas geram. Aprenda com as experiências de mais de 550 organizações que tiveram seus dados violados.

    O que são informações de identificação pessoal (IIP)?

    PII é qualquer informação que possa ser usada para descobrir a identidade dessa pessoa, como número de contribuinte, nome completo ou endereço de e-mail.

    O que é segurança de rede?

    A segurança de rede é o campo da segurança cibernética voltado para a proteção de redes de computadores contra ameaças cibernéticas.

    Dê o próximo passo

    Alguma dúvida sobre um programa de conformidade? Precisa de um relatório de conformidade protegido? Podemos ajudar.

    Veja outros programas de compliance