Quatro práticas recomendadas de PCI DSS para melhorar a conformidade

A conformidade com o PCI DSS caiu drasticamente. A Verizon relatou, em seu relatório de segurança de pagamentos, uma queda pelo segundo ano consecutivo, de 52,5% em 2018 para 36,7% em 2019.

As organizações devem priorizar sua política de conformidade com o PCI para evitar uma violação de dados. Simplificando, isso significa que descartar as práticas recomendadas de proteção de dados na esperança de que nenhum incidente de segurança ocorra, é um risco que nenhuma empresa deve assumir.

A queda na conformidade tem muitas causas potenciais, mas as implicações de segurança da não conformidade com o PCI DSS são mais do que claras.

Aqui estão compilados quatro artigos para munir os líderes de negócios de contexto e recomendações de especialistas sobre como melhor abordar a proteção de dados de pagamentos e atender aos requisitos da política de conformidade do PCI DSS.

Evite penalidades por não-conformidade com uma lista de verificação PCI DSS

Cumprir as regulamentações de proteção de dados é um desafio constante para as organizações, mesmo para as grandes, que possuem especialistas de conformidade ou privacidade e outros profissionais designados da equipe de conformidade. Para as pequenas e médias empresas (PMEs), a conformidade é um obstáculo ainda maior. Orçamentos e pessoal limitado de TI, características das PMEs, são os principais obstáculos ao cumprimento.

Desde a implementação da GDPR, a conscientização pública e as conversas sobre proteção de dados e conformidade aumentaram. O cenário de conformidade é complicado e confuso para muitas organizações, especialmente com tantos requisitos regulamentares sobrepostos. Em reconhecimento aos desafios que as PMEs enfrentam para atender a esses requisitos, o governo do Reino Unido publicou listas de verificação que abrangem os principais componentes de conformidade.

Neste artigo, as listas de verificação e as principais estruturas específicas do setor mostram como as PMEs podem evitar pesadas penalidades por violações regulamentares das leis de proteção de dados, incluindo PCI DSS.

Sobreposições entre GDPR e política de conformidade PCI DSS

Companhias com práticas recomendadas e corretas do PCI DSS também estão no caminho certo para cumprir a GDPR. Por um lado, limitar a quantidade de dados de clientes e funcionários pode beneficiar organizações de todos os tamanhos. Um dos princípios da GDPR é: se uma empresa não precisa dos dados, não deve armazená-los. Isso se sobrepõe a outros princípios de regulamentação de proteção de dados. Deve parecer familiar aos requisitos do PCI DSS. Uma das etapas preliminares em uma avaliação do PCI DSS é conhecida como escopo.

Obtenha mais informações sobre as melhores práticas específicas do PCI DSS que podem ajudar a atender às regras da GDPR.

Abordar a não-conformidade do PCI DSS com confiança zero

Vale a pena examinar as taxas decrescentes de conformidade do PCI DSS. De acordo com especialistas, uma maneira de chamar a atenção dos líderes de negócios é afastar-se e enquadrar a conformidade como uma vantagem competitiva em vez de um obstáculo financeiro.

Aqui, a confiança zero pode entrar em jogo. Um novo padrão de ouro para mitigar incidentes de segurança e riscos de violação de dados, a confiança zero (zero trust) inclui muitos princípios PCI DSS, como criptografia, gerenciamento de acesso, segmentação e isolamento. A diferença é que a confiança zero se estende a todas as informações confidenciais, não apenas aos detalhes do cartão de pagamento

Descubra por que os especialistas afirmam que a confiança zero pode ser a solução lógica para reduzir as taxas de conformidade do PCI DSS.

Como os requisitos do PCI DSS podem afetar os call centers

Qualquer pessoa que tenha contatado uma central de atendimento está familiarizada com a isenção de responsabilidade: "Esta ligação está sendo gravada para controle da qualidade". Muitas empresas que terceirizam seus call centers podem se perguntar como lidar com as gravações, que podem conter vários dados pessoais. Como qualquer outra forma de informação do cliente, as gravações de chamadas devem ser tratadas com atenção cuidadosa de segurança.

Desde 2011, os sistemas de registro que coletam dados de cartão de pagamento são considerados no escopo do PCI DSS e podem enfrentar penalidades por não conformidade. Aprenda a lidar com os dados do call center com segurança e de acordo com as práticas recomendadas do PCI DSS.