Consequências de não cumprir com PCI DSS

Quando o padrão PCI DSS (Payment Card Industry Data Security Standard) foi lançado em 2006, sua missão era clara: unificar os requisitos que as entidades financeiras exigiam das empresas para o uso de cartões de crédito e débito como meios de pagamento. Assim, empresas como Visa, MasterCard, American Express, Discover e JCB uniram esforços para criar um padrão pelo qual a indústria deveria se guiar dali em diante.

Sem dúvida, isso foi uma ótima notícia para muitos negócios que utilizavam pagamentos com diferentes tipos de cartões, já que passaram a atender a parâmetros comuns para cumprir com as medidas de segurança exigidas por cada companhia.

Além da certificação pontual, muitas organizações reforçam sua postura de segurança por meio de serviços de monitoramento contínuo alinhados à conformidade com PCI DSS, permitindo a detecção de incidentes em tempo real e reduzindo o risco de sanções ou violações de dados antes que se tornem críticas.

As sanções das entidades financeiras

Não há dúvida de que o uso de cartões de pagamento envolve riscos – como qualquer outra transação econômica. Muitos criminosos ficam à espera do menor descuido para atacar e obter um bom lucro, especialmente quando as operações são feitas online. Por isso, as entidades financeiras emissoras de cartões podem penalizar empresas que não cumprem o padrão de segurança, ou seja, o PCI DSS. Em alguns casos, as multas podem chegar a valores bastante elevados. Vale lembrar que, embora todas as empresas sigam o PCI DSS, cada instituição tem sua própria tabela de sanções, a qual é importante consultar ao utilizar seus cartões como meio de pagamento.

Consequências de não cumprir com PCI DSS

Dito isso, se no seu negócio você permite o uso de cartões de crédito e débito como métodos de pagamento, é obrigatório cumprir os requisitos do padrão PCI DSS. Para isso, é necessário obter a certificação, o que comprova que você adotou as medidas de segurança necessárias para evitar possíveis ataques.

No entanto, existem empresas que decidem não obter a certificação. As razões podem ser variadas, mas as consequências em caso de incidente de segurança são muito claras:

Sanções econômicas. Como mencionamos, as multas por não cumprir o PCI DSS e sofrer um ataque – com a consequente perda econômica e de dados críticos – variam conforme a gravidade do incidente. O valor mínimo costuma ser de 5.000 euros e pode chegar a até um milhão de euros em casos extremos – as multas são progressivas se o problema não for resolvido. Sem dúvida, isso pode comprometer seriamente a saúde financeira da empresa, podendo até levá-la ao fechamento.
Sanções não econômicas. Além das multas, as entidades financeiras podem adotar outras medidas, como cancelar o contrato ou retirar os terminais de pagamento (TPV). Isso deixa o negócio sem um método de pagamento essencial, especialmente para e-commerce.
Má reputação e perda de clientes. Sofrer um ataque por não cumprir as medidas de segurança resulta em uma péssima imagem para o negócio. Isso leva à perda de clientes, seja pela impossibilidade de realizar compras com cartão, seja por medo de sofrer outro ataque.
Violação da lei. Quando ocorre um ataque, os dados dos clientes ficam expostos, o que significa uma violação do Regulamento Geral de Proteção de Dados (RGPD). Portanto, ações legais podem ser iniciadas contra a empresa.

PCI DSS e a proteção de dados

Em relação a essa última consequência, é importante destacar que o cumprimento do PCI DSS está profundamente relacionado com a proteção de dados pessoais e, portanto, com o RGPD e com a Lei Orgânica de Proteção de Dados Pessoais e Garantia dos Direitos Digitais (LOPDGDD).

Lembre-se de que as informações dos cartões de crédito e débito incluem dados pessoais de seus titulares. Portanto, se ocorrer uma violação desses dados, o negócio estará sujeito não apenas a ações legais por parte dos clientes, mas também a sanções por descumprir a LOPDGDD.

As sanções variam conforme o nível de gravidade: leves (até 40.000 euros), graves (de 40.001 a 300.000 euros) e muito graves (de 300.001 a 20.000.000 de euros ou 4% do faturamento anual). Em resumo, cumprir com os requisitos exigidos pelas entidades financeiras e certificar-se em PCI DSS não é opcional — é essencial para garantir a segurança das transações realizadas com cartões de pagamento e evitar penalidades que podem destruir seu negócio.

Se você tiver dúvidas ou quiser saber mais sobre o processo de certificação PCI DSS, não hesite em entrar em contato conosco. Na BOTECH, esclareceremos suas dúvidas e ajudaremos em cada etapa necessária para garantir a máxima segurança ao seu negócio.