Atualização do PCI DSS: o que esperar para sua organização.

A nova versão PCI DSS v4.0 foi lançada em 31 de março de 2022, pelo Padrão de Segurança de Dados da Indústria de Cartões de Pagamento.

As organizações que processam e operam esses pagamentos com cartão de crédito (TDCs) têm até o primeiro trimestre de 2025 para se adaptar e cumprir integralmente os 12 objetivos de controle definidos nesta nova versão do padrão PCI DSS v4.0. A versão atual permanecerá ativa até março de 2024, e os novos requisitos entrarão em vigor inicialmente a partir de 31 de março de 2025.

1. Otimize as técnicas de controle e validação para obter maior clareza nas informações de conformidade.
2. Promover o uso da segurança em todas as fases dos processos, enfatizando a importância da segurança. Pare de vê-lo como um produto e veja como uma necessidade.
3. Melhore as práticas de segurança no setor de pagamentos. Eles devem se transformar à medida que as ameaças mudam.
4. Proporcionar maior flexibilidade e integração com outras metodologias. Proponha rotas ou roteiros alternativos para atingir o mesmo padrão.

Esta nova versão do PCI DSS v4.0, que é obrigatória, traz maior clareza para a indústria e elimina a incerteza que existia nas versões anteriores.

Por outro lado, reestrutura seu formato de conteúdo de escrita, onde se observa uma definição clara dos termos; conseguindo assim uma maior orientação e compreensão dos mesmos.

Por sua vez, garante que a norma esteja atualizada com as tecnologias emergentes por meio de seus controles, protegendo contra riscos, ameaças, vulnerabilidades e mudanças que estão ocorrendo no setor e, assim, reforçando a segurança como um processo contínuo.

• Tem 64 novos requisitos, dos quais 11 se aplicam a prestadores de serviços, 53 a todas as entidades e 51 são considerados boas práticas.
• Funções e responsabilidades. Funções atribuídas claras para cada requisito, além de mostrar as responsabilidades do cliente.
• Gerenciamento de autenticação mais rigoroso. O gerenciamento de identidade e acesso (IAM) desempenha um papel fundamental na proteção dos dados do titular do cartão, e a nova versão do padrão reconhece isso. Usar a autenticação multifator (MFA) para todas as contas que têm acesso aos dados do titular do cartão, não apenas para administradores que acessam o ambiente de dados do titular do cartão. O número mínimo de dígitos será expandido de 7 para 12, enquanto o número de tentativas de bloqueio será expandido de 6 para 10. O PCI DSS requer que as senhas potenciais sejam comparadas com a lista de senhas incorretas conhecidas.
• Identifique os fluxos de dados por estágios de pagamento. Mantenha os diagramas atualizados e identifique todos os locais onde os dados são armazenados, processados e transmitidos. Identifique conexões com entidades de terceiros, etc.
• Avaliação e monitoramento de riscos. Baseia-se na identificação dos ativos que devem ser protegidos e no controle de ameaças por meio de processos automatizados de detecção de eventos.
• Testes, técnicas e verificação de vulnerabilidades. Talvez a mudança mais significativa, todas as verificações internas de vulnerabilidades devem ser autenticadas, revisões periódicas da tecnologia usada e correção automatizada implementada.

Os 12 requisitos do PCI DSS não mudaram fundamentalmente com a nova versão, eles continuam sendo o pilar fundamental para proteger os dados do cartão de pagamento.

No entanto, os requisitos foram reformulados para se concentrar nos objetivos de segurança, para orientar como os controles de segurança devem ser implementados.

Principais requisitos a cumprir:

1. Instale e mantenha controles de segurança de rede.
2. Aplique configurações seguras a todos os componentes do sistema.
3. Proteja os dados da conta armazenados.
4. Proteja os dados do titular do cartão com criptografia forte durante a transmissão em redes públicas abertas.
5. Proteja todos os sistemas e redes contra malware.
6. Desenvolva e mantenha sistemas e software seguros.
7. Restrinja o acesso aos componentes do sistema e aos dados do titular do cartão com base na necessidade de conhecimento.
8. Identifique usuários e autentique o acesso aos componentes do sistema.
9. Restrinja o acesso físico aos dados do titular do cartão.
10. Registre e monitore todo o acesso aos componentes do sistema e aos dados do titular do cartão.
11. Teste regularmente a segurança de sistemas e redes.
12. Apoie a segurança da informação com políticas e programas organizacionais.

Em conclusão, é um padrão inteiramente baseado na ideia ou mentalidade de Zero trust. Ele reflete uma evolução completa e ajuda as organizações do setor de pagamentos com a conformidade regulatória com as novas necessidades emergentes que enfrentam todos os dias.

O objetivo final da conformidade com o PCI DSS v4.0 é garantir que o padrão continue a atender às necessidades de segurança em constante mudança do setor de serviços financeiros.

Da nossa empresa ajudamos você na migração ou implementação do padrão de segurança PCI DSS v4.0 através da ferramenta GlobalSuite que permite, entre outras vantagens:

• Para acompanhar a conformidade com cada um dos requisitos
• Gerencie as evidências correspondentes
• Economia de tempo em todos os processos de até 40%
• Relatórios integrados para tomada de decisão.

Comece o caminho para o sucesso agora. Solicite mais informações aqui