Se sua empresa aceita pagamentos com cartão, é importante ter uma plataforma de segurança robusta para proteger seus clientes. O setor de pagamentos com cartão viu um aumento na fraude com pagamento com cartão e desenvolveu o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) para melhorar a segurança dos pagamentos com cartão.

Lançado em 2006, o PCI DSS aplica-se a todas as empresas que processam, armazenam ou transmitem informações sobre cartões de pagamento. Se sua empresa aceita pagamentos com MasterCard, Visa, American Express, Discover ou JCB, sua empresa deve ser totalmente compatível com PCI DSS.

Por que as pequenas empresas devem usar o sistema PCI DSS? O sistema PCI DSS é administrado pelo PCI Security Standards Council, que é um órgão independente criado pelos principais emissores de cartões de crédito que aconselha:

  • A conformidade com o PCI DSS significa que seus sistemas são seguros e os clientes podem confiar em você com as informações confidenciais do cartão de pagamento.
  • Confiança significa que seus clientes confiam em fazer negócios com você.
  • Clientes confiantes são mais propensos a serem clientes recorrentes e recomendá-lo a outras pessoas.
  • Conformidade é um processo contínuo, não um evento único. Ajuda a evitar violações de segurança e roubo de dados de cartões de pagamento, não apenas hoje, mas no futuro.

O PCI Security Standards Council diz: "Você trabalhou duro para construir o seu negócio - certifique-se de garantir seu sucesso protegendo os dados do cartão de pagamento de seus clientes. Seus clientes dependem de você para manter suas informações seguras - pague sua confiança com a conformidade os Padrões de Segurança PCI ".

Se sua empresa não suporta PCI DSS, o PCI Security Standards Council avisa:

  • Dados comprometidos afetam negativamente consumidores, comerciantes e instituições financeiras.
  • Apenas um incidente pode prejudicar gravemente sua reputação e sua capacidade de realizar negócios de maneira eficaz, no futuro distante.
  • As violações de dados da conta podem levar a uma perda catastrófica de vendas, relacionamentos e permanência em sua comunidade, e preço da ação deprimido se a sua empresa pública.
  • Possíveis conseqüências negativas também incluem: ações judiciais, sinistros de seguros, contas canceladas, multas de emitentes de cartões de pagamento e multas do governo..

O processo de conformidade com o PCI DSS

A maioria das empresas cairá na categoria Merchant Level 4, que é definida como o processamento de menos de 20.000 transações Visa por ano..

Você pode garantir que sua empresa esteja totalmente em conformidade seguindo estas etapas:

  1. Identifique qual Tipo de validação sua empresa deve usar no PCI DSS. Isso determinará qual Questionário de auto-avaliação (SAQ) sua empresa terá que concluir.
  2. Depois que o Questionário de autoavaliação for concluído, você precisará mostrar evidências de que sua empresa passou na varredura de vulnerabilidades de um dos fornecedores de varredura aprovados do PCI SSC. Isso é exigido por empresas na categoria Nível 4 que têm um site voltado para o cliente, como todas as empresas de e-commerce terão. Uma lista completa dos fornecedores de verificação aprovados está no site do PCI Security Standards Council:
  3. Preencha o Atestado de conformidade, localizado na ferramenta SAQ. Mais informações estão no site do PCI Security Standards Council:
  4. Envie seu SAQ e evidências de que sua empresa aprovou a varredura de vulnerabilidades e qualquer documentação adicional que seu adquirente tenha solicitado. Seu adquirente será a empresa que lida com o processamento do seu cartão de pagamento.

É importante entender que ter um sistema de segurança em seu site - geralmente SSL (Secure Sockets Layer) - faz não significa que sua empresa é compatível com o PCI DSS, pois os dois sistemas de segurança são diferentes. O SSL fornece aos visitantes do seu site uma camada de segurança que criptografa as informações que passam entre o computador e os servidores da sua empresa..

Isso inclui qualquer informação de cartão de crédito ou débito inserida no sistema de pagamento da sua empresa, mas não protege o pagamento que está sendo feito. É aí que entra a conformidade com o PCI DSS. Sua empresa deve garantir que possui um certificado SSL válido de um dos principais fornecedores, como Thawte ou VeriSign, e também tem conformidade com o PCI DSS..

Para empresas menores, obter conformidade total com o PCI DSS pode parecer um pouco assustador. Felizmente, há várias empresas que oferecem serviços e ferramentas de conformidade que sua empresa pode usar para facilitar todo o processo..

Uma ferramenta é o QualysGuard PCI Compliance. O sistema baseado em nuvem oferece um processo simplificado que também fornece a garantia de que sua rede é altamente segura. O aplicativo da web QualysGuard PCI orienta você pelo processo de conformidade com a PCI, com sua abordagem passo a passo e dicas de conformidade fáceis de seguir.

Depois que sua empresa obtiver seu certificado SSL e também estiver totalmente em conformidade com o PCI DSS, sua empresa ainda deve estar atenta à fraude baseada em cartão. À medida que mais iniciativas de segurança foram sendo desenvolvidas, como PCI DSS e Chip e PIN, os incidentes de fraude de cartão diminuíram, mas sua empresa deve ter um conhecimento detalhado de quais ações tomar se suspeitar de uma fraude. A Visa tem um documento útil "O que fazer se o seu site for comprometido", que analisa os tipos de fraude de cartão a serem observados e o que fazer se você acha que ocorreu uma fraude de cartão. Se sua empresa ainda não estiver em conformidade com o PCI DSS, coloque-a no topo de sua agenda.