No início do século XXI, as bandeiras de cartões desenvolveram seus próprios programas de segurança para conter os altos índices de fraude que ocorriam na indústria de cartões de pagamento (Payment Card Industry). A falta de homogeneidade neles resultou em usuários desconfiados e empresas frustradas diante de métodos de controle ineficientes. Em 2006, cinco grandes empresas – VISA, MasterCard, American Express, Discover Financial Services e JCB International – decidiram formar o conselho que elaboraria um decálogo de regras de segurança para esse tipo de pagamento. Nasceu o que hoje conhecemos como PCI Security Standards Council, o fórum global que contribui para o desenvolvimento, divulgação e compreensão dos padrões de segurança de dados de pagamento.
Nos quase 14 anos de vigência, nenhum lojista em conformidade com o PCI DSS viu seus dados comprometidos. Esta foi uma das conclusões mais relevantes apresentadas no décimo segundo encontro da Comunidade Européia realizado em Dublin, evento que participei em nome da Necomplus e que aborda anualmente os aspectos mais relevantes do presente e do futuro da segurança de pagamentos no mundo. Especificamente, os especialistas aprofundaram as ameaças que aguardam pagamentos, mas também as novas soluções tecnológicas e as regulamentações aplicáveis para combatê-las. Este artigo expõe as causas que motivam as falhas de segurança nas empresas, com especial ênfase nas que derivam das novas tecnologias.
Mais canais de pagamento versus mais vulnerabilidade
Não há dúvida de que as novas tecnologias estão mudando as regras do jogo: e-commerce, serviços em nuvem, pagamentos móveis oferecem novas oportunidades de crescimento, mas não é menos verdade que trouxeram consigo riscos de segurança. Imagine uma longa fila de bandidos tentando forçar a porta da nossa casa. Esse é justamente o cenário do mundo digital, onde nos expomos a ataques cibernéticos contínuos sem saber. É nesse ponto que o PCI faz sentido e se torna um aliado insubstituível. O que os comerciantes podem fazer para minimizar os riscos? Bem, embora pareçam óbvios, cumpra as medidas básicas descritas abaixo.
Três dicas simples que nos ajudarão a estar mais protegidos.
- Em primeiro lugar, algo tão simples como uma atualização de software. Manter sistemas operacionais e antivírus atualizados nos protege contra ataques direcionados a vulnerabilidades em nosso ambiente.
- Em seguida, outra das medidas essenciais é realizar um controle de acesso exaustivo. Para fazer isso, evitaremos replicar o mesmo nome de usuário e senha para fazer login, tanto em dispositivos quanto em aplicativos diferentes. Só desta forma iremos monitorizar o acesso individualizado ao nosso sistema. Da mesma forma, e muito atual no setor de pagamentos graças ao PSD2, recomenda-se adicionar uma segunda autenticação nos sistemas mais sensíveis de nossa empresa. A verdade é que já normalizamos ter que inserir algum tipo de código ou PIN para continuar um procedimento.
- Por fim, é tão importante garantir o acesso quanto monitorar quem está usando e o que está usando. Deve ser uma prática padrão gerar um log com detalhes de cada acesso, incluindo tentativas malsucedidas. Só então obteremos o fluxo comportamental do que está acontecendo no coração do nosso sistema.
Um padrão de segurança para o presente e o futuro
O PCI cobre muito mais do que essas três regras básicas de proteção. É o padrão que reduz o risco de dados de transações e garante que os lojistas não sejam vítimas de situações de comprometimento. Os gerentes de PCI precisam ajudar a alcançar a conformidade em um ambiente digital muito dinâmico, o que significa ficar de olho nas novas tendências. A nova versão 4.0 do PCI DSS deverá ser publicada no final de 2020, que será o fio condutor da reunião do Conselho em Nice. Novos desafios tecnológicos e de segurança estão à frente, por isso todos os envolvidos devem ser parte ativa desta comunidade, cujo objetivo é alcançar o cenário mais seguro possível.
Vector de Abstracto creado por katemangostar – www.freepik.es