Nas últimas semanas tenho pesquisado com um pouco mais de profundidade o Payment Card Industry (PCI) Data Security Standard (DSS), e ao conversar com alguns colegas da área notei que não era o único que desconhecia este padrão, o que me levou a escrever este resumo sobre o assunto.

É um padrão de segurança adotado pelas empresas de cartão de crédito, criado e mantido pelo PCI Security Standards Council, uma organização criada pela American Express, Discover Financial Services, JCB, MasterCard e Visa. Para se ter uma idéia do tamanho deste mercado, o Brasil deve movimentar em 2008 mais de R$ 218 bilhões. E no rastro deste volume expressivo de dinheiro circulando, a quantidade de fraudes envolvendo cartões e dados de usuários aumenta na mesma proporção.

O PCI-DSS foi criado como um esforço conjunto destas empresas no incremento da proteção aplicada às informações sensíveis que são utilizadas nos processos relacionados. Não é um padrão obrigatório como o SOX ou HIPAA em alguns mercados, mas um conjunto de boas práticas que pode diferenciar uma empresa em relação a seus concorrentes ao estabelecer 12 regras:

1. Instale e mantenha uma configuração de firewall para proteger os dados do portador de cartão
2. Não use as senhas padrão de sistema e outros parâmetros de segurança fornecidos pelos prestadores de serviços.
3. Proteja os dados armazenados do portador de cartão
4. Codifique a transmissão dos dados do portador de cartão nas redes públicas e abertas
5. Use e atualize regularmente o software ou programas antivírus
6. Desenvolva e mantenha sistemas e aplicativos seguros
7. Restrinja o acesso aos dados do portador de cartão a apenas aqueles que os necessitam para a execução dos trabalhos
8. Atribua um ID único para cada pessoa que possua acesso ao computador
9. Restrinja o acesso físico aos dados do portador de cartão
10. Acompanhe e monitore todo o acesso aos recursos da rede e dados do portador de cartão
11. Teste regularmente os sistemas e processos de segurança
12. Mantenha uma política que atenda à segurança da informação para funcionários e prestadores de serviços

As regras podem parecer óbvias para quem trabalha com Segurança da Informação há algum tempo, mas a grande maioria das empresas simplesmente não as cumpre. O esforço que vem sendo liderado no Brasil pela VISA e Master Card tem gerado bons resultados, uma vez que todos ganham com a aderência a este padrão; as bandeiras passam a contar com uma maior confiança dos consumidores em usarem o cartão de crédito como forma de pagamento, os consumidores tem suas informações tratadas com maior cuidado e as empresas que adequam seus controles ganham a confiança das bandeiras e evitam as penalidades que poderão vigorar após 2009.

Como toda adoção mandatória, algumas empresas já reclamam da obrigatoriedade em adotar o padrão, dizendo que os controles são complicados, caros de serem implementados e que não trazem retorno ao cliente. Bem, eu acho que são muito simples quando comparados a outras normas, possivelmente caros para quem não tem nenhuma estrutura de segurança, mas … não trazem retorno sobre o investimento?

Eu uso cartão de crédito para aproximadamente 90% das minhas compras, e como consumidor, sempre irei escolher uma empresa que tenha um mínimo de cuidado com meus dados em detrimento de outra que não ligue para isto. Já deixei de comprar produtos em sites que tinham preços mais baratos porque não conhecia a empresa. Se isso não é retorno sobre o investimento, e consequentemente, lucro para o vendedor …

Para saber mais você pode acessar o web site do PCI Standards Council, ou ir direto aos documentos de suporte, onde versões em português do Glossário, Procedimentos de Auditoria e Procedimentos de Scanning, estão disponíveis.