PCI endurece regras e e-commerces precisam de um nível maior de segurança

A segurança digital acaba de ganhar novas regras e as empresas que processam dados de cartão precisam se adaptar. Com a chegada da versão 4.0 do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), estabelecido pelo PCI Security Standards Council (PCI SSC), as mudanças são importantes e impactam diretamente na proteção dos dados dos clientes e como os dados de pagamento são armazenados, processados e transmitidos. Mas, afinal, o que realmente muda?

A principal mudança é a necessidade de um nível ainda mais alto de segurança digital. As empresas terão que investir em tecnologias avançadas, como criptografia robusta e autenticação multifatorial. Esse método exige pelo menos dois fatores de verificação para confirmar a identidade do usuário antes de conceder acesso a sistemas, aplicativos ou transações, dificultando invasões, mesmo que criminosos tenham acesso a senhas ou dados pessoais.

Entre os fatores de autenticação utilizados estão:

• Algo que o usuário sabe: senhas, PINs ou respostas a perguntas de segurança.
• Algo que o usuário possui: tokens físicos, SMS com códigos de verificação, aplicativos autenticadores (como o Google Authenticator) ou certificados digitais.
• Algo que o usuário é: biometria digital, facial, reconhecimento de voz ou íris.

“Essas camadas de proteção tornam o acesso não autorizado muito mais difícil e garantem maior segurança para dados sensíveis”, explica.

“Resumidamente, é preciso reforçar a proteção dos dados dos clientes, implementando medidas adicionais para prevenir acessos não autorizados”, explica Wagner Elias, CEO da Conviso, desenvolvedora de solução para segurança de aplicações. “Não é mais uma questão de “se adaptar quando for necessário”, mas de agir preventivamente”, destaca.

Conforme as novas regras, a implementação ocorre em duas fases: a primeira, com 13 novos requisitos, teve o prazo final em março de 2024. Já a segunda fase, mais exigente, inclui 51 requisitos adicionais e deveria ser cumprida até 31 de março de 2025. Ou seja, quem não se prepararou pode enfrentar penalidades severas.

Para se adequar às novas exigências, algumas das principais ações incluem: implementar firewalls e sistemas de proteção robustos; utilizar criptografia na transmissão e armazenamento de dados; monitorar e rastrear continuamente acessos e atividades suspeitas; testar processos e sistemas constantemente para identificar vulnerabilidades; criar e manter uma política rigorosa de segurança da informação.

Wagner ressalta que, na prática, isso significa que qualquer empresa que lide com pagamentos via cartão precisará revisar toda a sua estrutura de segurança digital. Isso envolve atualizar sistemas, reforçar políticas internas e treinar equipes para minimizar riscos. “Por exemplo, um e-commerce precisará garantir que os dados dos clientes sejam criptografados de ponta a ponta e que apenas usuários autorizados tenham acesso às informações sensíveis. Já uma rede varejista terá que implementar mecanismos para monitorar continuamente possíveis tentativas de fraudes e vazamentos de dados”, exemplifica.

Os bancos e fintechs também precisarão reforçar seus mecanismos de autenticação, ampliando o uso de tecnologias como biometria e autenticação multifator. “O objetivo é tornar as transações mais seguras sem comprometer a experiência do cliente. Isso exige um equilíbrio entre proteção e usabilidade, algo que o setor financeiro já vem aprimorando nos últimos anos”, destaca.

Mas, por que essa mudança é tão importante? Não é exagero dizer que fraudes digitais estão cada vez mais sofisticadas. Vazamentos de dados podem resultar em prejuízos milionários e danos irreparáveis à confiança dos clientes. 

Wagner Elias alerta: “muitas empresas ainda adotam uma postura reativa, só se preocupando com segurança depois que um ataque acontece. Esse comportamento é preocupante, pois falhas de segurança podem acarretar prejuízos financeiros expressivos e danos irreparáveis à reputação da organização, que poderiam ser evitados com medidas preventivas”.

Ele ainda destaca que para evitar esses riscos, o grande diferencial é adotar práticas de Application Security (Segurança de Aplicações) desde o início do desenvolvimento do novo aplicativo, garantindo que cada fase do ciclo de desenvolvimento do software já tenha medidas de proteção. Isso garante a inserção de medidas de proteção em todas as fases do ciclo de vida do software, sendo muito mais econômico do que remediar os danos após um incidente”.

Vale lembrar que essa é uma tendência que vem crescendo em todo o mundo. O mercado de segurança de aplicações, que movimenta US$ 11,62 bilhões em 2024, deve chegar a US$ 25,92 bilhões até 2029, segundo a Mordor Intelligence.

Wagner explica que soluções como DevOps, permitem que cada linha de código seja desenvolvida com práticas de proteção, além de serviços como testes de invasão e mitigação de vulnerabilidades. “Realizar análises contínuas de segurança e automação de testes permite que as empresas atendam às normas sem comprometer a eficiência”, destaca.

Além disso, consultorias especializadas são importantes nesse processo, auxiliando as empresas a se adaptarem às novas exigências do PCI DSS 4.0. “Entre os serviços mais buscados estão Penetration Testing, Red Team e avaliações de segurança de terceiros, que ajudam a identificar e corrigir vulnerabilidades antes que possam ser exploradas por criminosos”, conta.

Com fraudes digitais cada vez mais sofisticadas, ignorar a segurança dos dados não é mais uma opção. “Empresas que investem em medidas preventivas garantem a proteção dos seus clientes e fortalecem sua posição no mercado. Implementar as novas diretrizes é, antes de tudo, um passo essencial para construir um ambiente de pagamentos mais seguro e confiável”, conclui.