Braspag renova Certificado PCI-DSS 2.0

Segurança no e-commerce

A Braspag, empresa responsável por checar dados e autorizar a realização de mais de 60% dos pagamentos no e-commerce brasileiro, acaba de renovar o certificado de adesão às normas de segurança mais rígidas para proteção de informações, junto a QSA Trustwave do Brasil, empresa autorizada pelo PCI Security Standards Council.

Após um intenso processo de auditoria em seus sistemas realizados tanto nas sedes operacionais no Brasil, quanto em seus centros de dados nos Estados Unidos, a empresa conquistou o direito à versão mais atualizada do padrão de segurança, o Certificado PCI Nível 1, versão 2.0 (a mais exigente das certificações PCI) para as suas plataformas Gateway Pagador, Cartão Protegido, o novo sistema de Prevenção contra Fraudes e o Conciliador de Recebimentos via cartões de crédito.

O padrão PCI-DSS (Payment Card Industry Data Security Standard) de conformidade de segurança e integridade das informações é obrigatório e foi definido em comum acordo entre as principais bandeiras de pagamentos globais (Visa, MasterCard, American Express, Discovery e JCB) na primeira metade da década passada. Entendendo a importância deste padrão e o desafio por sua adoção e manutenção em escala global pelos diversos agentes atuantes no processo de autorização e pagamento com cartões eletrônicos (débito e crédito), estas empresas criaram no ano de 2006 o PCI Security Standards Council (PCI SSC). Este Conselho é mantido de forma independente pelas empresas que o criaram, e tem como atribuições, a difusão dos padrões de segurança PCI, bem como sua manutenção e permanente atualização.

“O padrão PCI DSS é aplicável a todos os agentes relacionados a cadeia de valor da autorização de pagamentos através de cartões eletrônicos, como comercios, bancos, desenvolvedores de equipamentos (hardwares) e aplicativos (softwares) usados no processo de autorização, redes adquirentes, processadores entre outros” destaca o CEO da Braspag, Gastão Mattos. “Embora ainda não regulado por leis domésticas ou internacionais de forma abrangente, o PCI DSS é um requerimento obrigatório das bandeiras de cartão internacionais, para toda a cadeia de valor em pagamentos eletrônicos. Sua difusão e obrigatóriedade obedece calendário estipulado região a região do globo, permitindo que sua adoção seja planejada e implementada com todo rigor técnico necessário”.

No Brasil, as principais redes adquirentes têm a certificação PCI, bem como alguns outros agentes da cadeia de valor na autorização de cartões, como processadoras. No segmento do comércio eletrônico, a Braspag foi um dos primeiros gateways de pagamento a obter a certificação PCI DSS (2010). O certificado é renovado a cada ano e para 2012, a renovação foi feita de forma mais abrangente, incluindo alem do gateway de pagamento, novas plataformas de serviços, o Anti Fraude, Cartão Protegido (“Just Click”) e Conciliação, transformando-se na certificação mais completa do mercado.

Entenda mais sobre a importância da segurança no e-commerce com o padrão PCI DSS

O crescente desenvolvimento do comércio eletrônico no mundo é resultado da sensação de segurança que os consumidores percebem quando teclam seus dados pessoais para efetuar a compra. Este importante – e mais sensível – momento do e-commerce tem exigido esforços globais dos principais impulsionadores do varejo virtual para a garantia da segurança de dados. O elemento chave nesta ação é o gateway de pagamento, que conecta lojista, banco ou processadora com as empresas dos cartões de crédito e débito. São chamadas gateways (pontes em inglês) porque recebem inputs de diferentes aplicações e as colocam na rota apropriada para serem tecnicamente compreendidas pelos sistemas dos bancos e das processadoras, por exemplo, utilizando conexões dial-up, em web ou linhas de comunicação dedicadas.

A norma de mais alto padrão para garantia da segurança do comércio eletronico é o Payment Card Industry Data Security Standard (PCI DSS), que emite a certificação PCI Compliance, abrangendo 12 rígidos itens para garantia de todo o processo de pagamentos pela Internet com cartões de crédito e débito.

Assim, no que diz respeito ao processo de autorização de pagamentos pelo comércio eletrônico, os requerimentos de segurança do PCI DSS podem ser assim resumidos:

1. Segurança das informações sobre o cartão – Possuir e manter sistemas de proteção da informação (Firewall), trafegadas por redes abertas ou privadas. Este requiremento precisa ser validado e testado, a cada mudança de arquitetura ou de aplicativo, e revisto, pelo menos a cada 6 meses.

2. Uso de senhas de proteção fortes, com exigencias de mudancas periódicas para acesso à informação, por todos aqueles que de alguma forma podem interagir com processos e dados do sistema de pagamento.

3. Proteção das informações armazenadas – a rigor o padrão PCI proibe o armazenamento de dados sensíveis de pagamento (número do cartão, data de validade, código de segurança). Em caso de necessidade de armazenamento, existe padrão ainda mais rigoroso de adequação envolvendo criptografias sofisticadas, tokens de validação, truncagens de dados, mascaramentos de informações. O príncipio é tornar impossível o acesso às informações por sistemas e pessoas não autorizadas.

4. Transitar informações sensíveis (numero de cartão, por exemplo) em redes publicas (Internet) somente com dados cryptografados. A cryptografia a ser usada, precisa ser do tipo “forte”, ou seja, de elevado grau de elaboração, com chaves complexas (por exemplo, no padrão SSL/ TLS).

5. Uso obrigatório de softwares de proteção ou anti-vírus, com atualização permanente – a aplicação de anti vírus deve ser abrangente, envolvendo todo o processo, onde se trafegam informações sensíveis. A verificação permanente deve ser monitorada e deixar evidencias concretas (“logs”) de seu uso, para comprovação em auditorias periódicas.

6. Desenvolvimento e manutenção de sistemas e aplicativos – Qualquer aplicativo adquirido de empresa externa, que de alguma forma estiver associado ao processo de pagamento precisa ser homologado, ou adquirido junto a empresa reconhecida pelo PCI SSC. Se desenvolvido internamente, o aplicativo precisa observar todos os requerimentos de adequação do PCI DSS em seu processo de construção, testes, validação e operação. Outras obrigações se referem a obrigatoriedade na instalação de atualizações consideradas críticas, provenientes das bendeiras de cartões, no máximo, 1 mês após sua publicação.

7. Restrição de acesso interno a informação (Segregação de Acesso) – empregados e prestadores de serviços precisam ter acesso segregado e restrito à informações sensíveis de pagamento. A restrição de acesso precisa ser permanentemente monitorada e controlada.

8. Estabelecer identificadores únicos (login) para todos os empregados, de forma a garantir rastreabilidade de todos os acessos a qualquer tipo de informação. Este requirimento exige padrões específicos para acesso remoto aos dados, a autenticação de 2 fatores (senha + outra informação de conhecimento restrito)

9. Restrição ao acesso físico nas instalações de armazenamento de dados e processamento. Todo o acesso, mesmo que autorizado precisa ser controlado, monitorado e validado.

10. Monitoramento – monitorar com registro de logs, todos acessos, transações, alterações, consultas ao sistema. Possiur “audit trails” ou trilhas de auditoria, que permitam investigar qualquer tipo de acesso ou transação

11. Teste – teste de todo o processo de pagamento, de forma periódica, buscando vulnerabilidades, inconsistencias ou outras disfunções. O escopo dos testes, inclui, mas não é não é limitado, ao ambiente de rede (fisica e WIFI), servidores, componentes, sisitemas e programas. A periodicidade máxima para aplicação de testes completos é de 90 dias.

12. Manter Politica de Segurança da Informação abrangendo todos os funcionários – esta política precisa ser publicada para conhecimento de todos os funcionários, bem como, feita a ser cumprida por controles e validações permanentes. São atributos da Política de Segurança:

o Formalização compreensível para todos os níveis de hierárquicos

o Procedimentos diários

o Procedimentos de aplicação para cada tipo de interação com dados e processos

o Responsabilidades claras por cada obrigação estabelecida na Política

o Designicação das responsabilidades

o Conhecimento das implicações e riscos sobre o uso de dados de segurança

o Qualificação e validação de novos funcionários

o Aplicação de critérios de validação de segurança para empresas terceirizadas

o Plano de Ação em caso de falha de Segurança – formalização de plano para aplicação imedita, em caso de alguma quebra de segurança.

Para ser certificado PCI, uma empresa precisa ser auditada por empresa previamente autorizada pelo PCI SSC, que verificará a aderência com todos os requerimentos aqui sumarizados. O certificado tem validade máxima de 1 ano.

Saiba mais sobre a Braspag

Constituída em 2005 e adquirida pela Cielo em 2011, a Braspag estima deter um market share de 60% do mercado de Gateway de Pagamentos, atuando nas principais lojas de e-commerce e call center da América Latina. Responsável por checar dados e autorizar a realização dos pagamentos no e-commerce brasileiro, a empresa processou 42 milhões de transações no ano passado e prevê 65 milhoes para 2012. A plataforma da empresa integra todos os meios de pagamento e consolida o processo de contas a receber das principais lojas virtuais do Brasil. Fornece a empresas de todos os portes uma solução consolidada para processamento de transações no Brasil e também para México, Colômbia, Argentina e Chile.

O Gateway de Pagamento é uma solução que checa todos os dados de uma operação de compra feito por meio eletrônico e autoriza a sua realização.

A plataforma de Gateway de Pagamentos da Braspag interliga o comerciante aos mais diversos meios de pagamento online, como Cartão de Crédito (todas as bandeiras), Débito, Boleto Bancário, Financiamento e outros. Possui também solução de Conciliação, Prevenção a Fraude, Pagamentos Recorrentes , Reembolso e Cartão Protegido, além de ser certificada pelo padrão internacional de segurança estabelecido pela Indústria de Cartões, em seu mais auto nível de certificação (PCI-DSS 2.0 Nível 1) . Mais informações em www.braspag.com.br