Quem já passou pela experiência de ter o cartão de crédito clonado sabe a dor de cabeça que é. No Brasil, 3,6 milhões dos 52 milhões de usuários de cartão vivenciam essa dor por ano, segundo pesquisa de 2019 feita pelo Serviço de Proteção ao Crédito (SPC). É um número expressivo que apesar de estar relacionado ao aumento do comércio eletrônico e à educação das pessoas ao fazerem suas compras de maneira segura, também estimula os profissionais que lidam com segurança de dados a aperfeiçoarem cada vez mais o setor.
Nesse movimento frenético de mudanças e busca por melhorias, os olhares estão atualmente voltados para a nova versão do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (Payment Card Industry Data Security Standard – PCI DSS), que deve lançar em 2020 a versão 4.0.
O PCI DSS foi criado em 2004 pelas bandeiras Visa, Mastercard, American Express, JBC e Discover para criar um nível adicional de proteção aos emissores de cartões, garantindo que os comerciantes atendam aos níveis mínimos de segurança ao armazenar, processar e transmitir dados do titular do cartão e solucionar problemas de interoperabilidade existentes.
Os estabelecimentos que não estão em conformidade com esse padrão, além de oferecerem um risco maior aos clientes, podem acabar sendo descredenciados pelas bandeiras, ocasionando uma diminuição nas vendas, visto que o número de pessoas que fazem pagamento por meio de cartão só tem aumentado.
Quando o PCI DSS surgiu foi estabelecido um ciclo de atualização de três anos. Esse ciclo aconteceu nas três primeiras versões, até que foi verificado um nível de maturidade do padrão bom o suficiente para manter. A versão 3 do PCI DSS está atuando há seis anos, por isso a expectativa é de grandes mudanças.
Nessa nova versão, o que antes o PCI enxergava como controle compensatório, agora faz parte dos procedimentos de testes de maneira opcional, ou seja, a organização pode escolher não atender ao requisito da maneira como está descrito pelo PCI DSS sem necessitar de uma justificativa técnica ou justificativa de negócio documentada para conseguir o aval da implementação desse controle compensatório.
Entre as vantagens desse novo modelo está a facilidade para as empresas de segurança que fazem as auditorias. Ele torna o processo de avaliação mais intuitivo, mais simples de preencher os relatórios, mais fácil de documentar e de visualizar os resultados, o que é positivo principalmente para o cliente entender o que foi colocado lá.
O PCI SSC (Security Standards Council) demonstrou que não quer se comprometer com deadlines na publicação do 4.0 para não afetar a qualidade do padrão. Pelo cronograma publicado, o palpite é que o novo padrão será lançado no segundo semestre de 2020, passando a valer entre a metade e o final do primeiro semestre de 2021.
Enquanto isso, a comunidade de Qualified Security Assessor (QSAs) tem colaborado na construção dos melhores requisitos. Portanto, a recomendação para todos que são avaliados frente ao PCI DSS é a de participar ativamente das avaliações. Desta maneira iremos construindo caminhos mais seguros para o mercado de Pagamento de Cartões.
*Paulo Poi é diretor de GRC da Cipher
