O Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) é um conjunto de padrões de segurança da informação que protegem os dados de cartões de pagamento das principais bandeiras (Visa, MasterCard, Discover Financial Services, JCB e American Express). À medida que a tecnologia passa por constantes evoluções e as ameaças cibernéticas se tornam mais sofisticadas, as organizações precisam se manter atualizadas com a versão mais recente do PCI DSS. O PCI DSS 4.0 é a versão mais recente do padrão, desenvolvido pela Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento (PCI SSC). Ele se baseia em versões anteriores e incorpora feedback e insights de partes interessadas do setor, especialistas em segurança e agências reguladoras.
Quem precisa estar em conformidade com o PCI DSS 4.0
À medida que os ambientes de nuvem evoluem com a expansão do e-commerce, também aumenta a pegada de dados sensíveis — especialmente dados sensíveis do titular do cartão, da conta ou de autenticação. Se a sua organização aceita pagamentos com cartão de crédito, débito ou digital, é essencial se preparar para o PCI DSS 4.0 imediatamente.
Vamos explorar a nova reformulação e aprender tudo o que você precisa saber sobre PCI v4.0, a mais recente iteração do PCI DSS.
Datas de conformidade importantes
A principal atualização do PCI Data Security Standard é a primeira desde 2018 (versão 3.2.1). O novo padrão de segurança promove um ambiente mais seguro para pagamentos com cartão, ao mesmo tempo em que aborda ameaças emergentes e permite abordagens exclusivas para combater novas ameaças.
O prazo para conformidade com a primeira fase do PCI DSS 4.0 é 31 de março de 2024Esta fase inclui 13 novos requisitos envolvendo planejamento, avaliações e designação de responsabilidades. A segunda fase, composta por 51 requisitos profundamente técnicos, deve ser implementada por Março de 2025.
Mudanças de implementação imediata
O PCI DSS 4.0 introduz mudanças e atualizações fundamentais para fortalecer as medidas de segurança e enfrentar ameaças emergentes. Os 13 requisitos da Fase 1 concentram-se na construção de uma estrutura de responsabilização em torno das políticas operacionais.
Definindo a responsabilidade
Atualmente, 10 dos 13 requisitos (2.1.2, 3.1.2, 4.1.2, 5.1.2, 6.1.2, 7.1.2, 8.1.2, 9.1.2, 10.1.2 e 11.1.2) dizem respeito à identificação e atribuição de funções e responsabilidades nas equipes de segurança e TI responsáveis pela conformidade com o PCI e remediação de incidentes de segurança. Esses requisitos entram em vigor imediatamente para todas as avaliações da versão 4.0 e devem ser atendidos até o prazo final de 31 de março de 2024.
Ao formalizar essas políticas, as organizações terão documentação sobre os responsáveis por abordar aspectos específicos de sua conformidade com o PCI. Isso ajudará a criar uma cultura de melhores práticas de segurança para implementação completa em março de 2025.
Requisito 12.3.2: Abordagens personalizadas
A versão 4.0 apresenta a opção muito solicitada de uma “abordagem personalizada”, que permite que as organizações aproveitem métodos alternativos para atender aos requisitos do PCI DSS e atingir os resultados desejados.
Isto é particularmente importante para organizações que devem cumprir outras estruturas regulatórias, como GDPR ou HIPAA, cujos requisitos tendem a se sobrepor. No entanto, o requisito 12.3.2 garante que cada abordagem personalizada seja analisada e bem documentada para determinar a eficácia da implementação de controles específicos.
Requisito 12.5.2: Escopo do PCI DSS
O requisito 12.5.2 exige que as organizações definam seus CDEs e o escopo do PCI DSS, que devem ser documentados e confirmados pelo menos uma vez a cada 12 meses. Isso inclui os CDEs, os processos, as partes interessadas e a tecnologia que armazenam, processam ou transmitem dados de autenticação do titular do cartão ou dados confidenciais.
Requisito 12.9.2: Aviso para prestadores de serviços
Outro requisito, o 12.9.2, aplica-se apenas a provedores de serviços terceirizados (TPSPs). Este requisito diferencia as funções e responsabilidades relacionadas à forma como o TPSP gerencia o CDE do cliente. O TPSP também deve fornecer o status de sua conformidade com o PCI DSS e detalhes sobre os requisitos do PCI DSS mediante solicitação do cliente.
Melhores práticas para PCI DSS 4.0
Há mais de 50 novos requisitos no PCI DSS v4.0 – é importante entender quais requisitos se aplicam à sua empresa e o que é necessário para atender à conformidade. Para obter a lista completa de requisitos, incluindo os que estão em vigor atualmente e os que entrarão em vigor em 31 de março de 2025, é altamente recomendável consultar o resumo das mudanças.
O conselho do PCI deu ênfase a vários novos padrões, que incluem documentação de requisitos de responsabilidade, proteção de firewalls de comércio eletrônico, proteção de páginas de pagamento, rotação de senhas, direcionamento de requisitos de risco do PCI, verificação de vulnerabilidades, uso de autenticação multifator, automação de alertas de gerenciamento de eventos e informações de segurança (SIEM), governança de dados e resposta a incidentes.
Como a BigID aborda o PCI DSS 4.0 para proteger dados de pagamento com cartão
O PCI DSS 4.0 representa um marco significativo no esforço contínuo para proteger dados de cartões de pagamento e combater ameaças cibernéticas. Ao compreender as mudanças e atualizações fundamentais introduzidas no PCI DSS 4.0, as organizações podem fortalecer suas defesas de segurança e garantir a conformidade com os padrões mais recentes do setor.
BigID pode ajudá-lo a alcançar a conformidade com os requisitos do PCI DSS 4.0. A conformidade com o PCI DSS começa com o estabelecimento de uma base sólida de descoberta e classificação de dados da conta, incluindo dados do titular do cartão e dados de autenticação confidenciais. Além disso, o BigID oferece suporte à maioria dos tipos de fontes de dados listados na estrutura do PCI DSS.
Com o BigID, as organizações podem:
- Descobrir e classificar todos os tipos de dados confidenciais e de conta com precisão e em escala.
- Identificar automaticamente e obter contexto granular sobre dados confidenciais.
- Personalizar classificadores para identificar com precisão dados relacionados a pagamentos exclusivos da sua organização.
- Conecte-se a mais de 300 tipos de fontes de dados na nuvem e no local – estruturado, não estruturado ou semiestruturado.
- Definir políticas em torno de tipos específicos de dados de conta que exigem criptografia, mascaramento, retenção, minimização e muito mais.
- Obtenha insights sobre problemas de acesso a dados em torno de dados de pagamento de alto risco, sensíveis ou críticos em seus ambientes.
- Identificar, sinalizar, avaliar, e priorizar o risco de acesso a arquivos para dados confidenciais relacionados a pagamentos.
- Mapear as identidades dos titulares do cartão aos seus dados pessoais e confidenciais e manter uma visão central da exposição a violações e resposta a incidentes.
- Reduza os riscos com fluxos de trabalho de remediação, delegando totalmente aos proprietários dos dados a tarefa de reduzir a superfície de ataque e proteger os dados do titular do cartão.
Comece a atender à conformidade com o PCI DSS e reduza o risco de dados hoje mesmo. Obtenha uma demonstração 1:1 com nossos especialistas em segurança para ver o BigID em ação.
Autor
