Para qualquer empresa que lide com transações de cartões de crédito ou outros cartões de pagamento, compreender a conformidade PCI é essencial para manter um ambiente seguro que proteja não só os seus clientes, mas toda a sua operação.

Em resumo, a conformidade com a PCI exige que as empresas protejam os dados dos titulares de cartões seguindo uma lista de precauções de segurança técnicas e operacionais. Quer a sua empresa já esteja estabelecida ou esteja agora a começar, o básico da conformidade com a PCI não é tão complicado como poderia pensar.

Este guia fácil de seguir oferecerá uma visão geral da conformidade PCI, quem é obrigado a cumprir e como proteger as suas comunicações por e-mail que contenham dados de titulares de cartões.

O que é a conformidade PCI?

PCI significa Payment Card Industry (Indústria de Cartões de Pagamento) e PCI DSS significa Payment Card Industry Data Security Standard (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento).

O PCI DSS é um conjunto de normas de segurança globais criadas para garantir que todas as empresas que aceitam, processam, armazenam ou transmitem informações de cartões de crédito mantêm essas informações seguras.

Estas normas são administradas pelo PCI Security Standards Council — um grupo fundado pela American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc.

Embora a conformidade PCI não seja uma lei, é um requisito obrigatório imposto pelas principais empresas de cartões de crédito nos seus contratos com os comerciantes.

Porque é que a conformidade PCI é importante?

A conformidade PCI é crucial para proteger o seu negócio e os seus clientes de incidentes de dados e fraudes. O incumprimento pode levar a sanções severas, repercussões legais e perda de confiança dos clientes.

Garantir que cumpre os requisitos do PCI DSS ajuda a proteger dados sensíveis e melhora a sua reputação como uma entidade de confiança.

Quem precisa de estar em conformidade com o PCI?

Qualquer empresa em todo o mundo que lide com transações de cartões de pagamento precisa de estar em conformidade com o PCI. Isto inclui retalhistas online, lojas físicas e qualquer organização que processe pagamentos com cartão de crédito. Se a sua empresa aceita, transmite ou armazena quaisquer dados de titulares de cartões, deve cumprir os requisitos do PCI DSS(nova janela).

As pequenas empresas são obrigadas a estar elas próprias em conformidade com o PCI — mesmo que utilizem um processador de pagamentos como o Stripe. Embora a utilização de um processador de pagamentos em conformidade com o PCI possa ajudar a cumprir alguns dos requisitos, as empresas continuam a ser responsáveis por garantir que os seus próprios sistemas e práticas cumprem as normas PCI DSS.

Lista de verificação de conformidade PCI

Para se tornarem conformes com o PCI, as empresas devem seguir os 12 requisitos delineados pelo PCI DS(nova janela)S(nova janela).

  1. Instalar e manter uma firewall para proteger os dados dos titulares de cartões.
  2. Não utilizar as predefinições fornecidas pelo fornecedor para palavras-passe do sistema e outros parâmetros de segurança.
  3. Proteger os dados armazenados dos titulares de cartões através de encriptação e métodos de armazenamento seguros.
  4. Encriptar a transmissão de dados dos titulares de cartões em redes públicas e abertas.
  5. Proteger todos os sistemas contra malware e atualizar regularmente o software ou programas antivírus.
  6. Desenvolver e manter sistemas e aplicações seguros.
  7. Restringir o acesso a dados de titulares de cartões com base na necessidade de conhecimento para o negócio.
  8. Identificar e autenticar o acesso aos componentes do sistema.
  9. Restringir o acesso físico aos dados de titulares de cartões.
  10. Rastrear e monitorizar todo o acesso a recursos de rede e dados de titulares de cartões.
  11. Testar regularmente sistemas e processos de segurança.
  12. Manter uma política que aborde a segurança da informação para todo o pessoal. 

No entanto, é importante notar que cada um destes requisitos é subdividido em vários sub-requisitos. A conformidade com cada um deles é essencial.

Embora a segurança do e-mail não seja mencionada explicitamente, a norma exige a encriptação de dados de titulares de cartões durante a transmissão em redes públicas, o que inclui o e-mail.

Um e-mail seguro é crucial para a conformidade com a PCI

Um aspeto crítico da conformidade com a PCI é garantir que as comunicações por e-mail que contêm dados de cartões de crédito de clientes estão devidamente encriptadas e protegidas. Uma falha na segurança desta informação valiosa pode levar a incidentes de dados, o que não só pode prejudicar a reputação do seu negócio, mas também levar a perdas financeiras devastadoras.

Aqui estão alguns passos que pode dar para garantir que as suas comunicações por e-mail são seguras:

Utilize encriptação ponto a ponto

A encriptação ponto a ponto garante que os dados são encriptados no dispositivo do remetente e apenas desencriptados no dispositivo do destinatário. O Proton Mail, por exemplo, oferece este nível de segurança, garantindo que nem mesmo a Proton pode aceder ao conteúdo dos seus e-mails.

Utilize a autenticação de vários fatores

A autenticação de vários fatores, como a autenticação de dois fatores (2FA), adiciona uma camada extra de segurança além das simples palavras-passe e pode reforçar significativamente as suas defesas contra o acesso não autorizado. Com um plano Proton for Business, pode tornar obrigatória a utilização de 2FA na sua organização para reforçar e garantir a segurança.

Auditorias de segurança regulares

Realize auditorias de segurança regulares para garantir que as suas comunicações por e-mail e outros sistemas estão em conformidade com os requisitos da PCI DSS. Estas auditorias podem revelar vulnerabilidades em configurações de firewall desatualizadas e controlos de acesso inadequados. Isto ajuda a identificar e a resolver potenciais vulnerabilidades antes que possam ser exploradas.

Mantenha a conformidade com a PCI com a Proton

Quando utiliza a Proton, protege os dados do seu negócio para que ninguém, nem mesmo a Proton, possa aceder aos mesmos. As chaves da sua informação mais valiosa permanecem na sua posse em todos os momentos. Este compromisso com a privacidade e a segurança faz da Proton uma solução ideal para empresas que se esforçam por atingir e manter a conformidade com a PCI.

A Proton começou como um projeto liderado por cientistas que se conheceram no CERN (Organização Europeia para a Investigação Nuclear). O nosso objetivo é moldar a internet para que as pessoas e as organizações tenham o controlo dos seus dados.

Mudar para o Proton Mail é simples com a nossa funcionalidade Easy Switch, que lhe permite transitar sem problemas todos os e-mails, contactos e calendários da sua organização de outros serviços, sem necessidade de formação para a sua equipa. A nossa equipa de apoio ao cliente também está disponível 24 horas por dia, 7 dias por semana, para prestar apoio em direto se precisar de ajuda adicional. O Proton Mail, o nosso e-mail encriptado de ponto a ponto, e o Proton Drive, o nosso serviço de armazenamento na nuvem encriptado de ponto a ponto, facilitam o cumprimento dos requisitos de proteção de dados e privacidade.

Utilizar o Proton for Business oferece benefícios adicionais, incluindo:

  • Proton Mail: proteja as comunicações da sua empresa com e-mail encriptado de ponto a ponto, garantindo que apenas o utilizador e os destinatários pretendidos podem ler as suas mensagens.
  • Proton VPN: proteja a sua ligação à Internet e a sua atividade online com um acesso VPN de alta velocidade.
  • Proton Calendar: gira a sua agenda com um calendário encriptado que mantém os eventos da sua empresa privados.
  • Proton Pass: armazene e gira as suas palavras-passe de forma segura com o nosso gestor de palavras-passe encriptado.
  • Proton Drive: armazene e partilhe ficheiros de forma segura com encriptação ponto a ponto, garantindo que os seus dados permanecem privados e protegidos.

Descubra como a Proton pode simplificar a conformidade para a sua organização ao registar-se no Proton for Business ou entre em contacto com a nossa equipa de vendas para obter soluções mais personalizadas.

Ao mudar o seu negócio para o ecossistema da Proton, está simultaneamente a proteger-se a si e aos dados dos seus clientes, a manter a conformidade e a ajudar a construir um futuro onde a privacidade é a predefinição.