PCI DSS 4.0 já está chegando

Mesmo sendo uma norma setorial (cartões de pagamento), devido ao aumento contínuo no uso desse meio de pagamento, o PCI DSS tornou-se um padrão amplamente conhecido.

É indiscutível que, nos últimos meses, e especialmente após a pandemia, nossos hábitos de pagamento mudaram. Não apenas vimos mudanças nas transações online, mas também nas presenciais, onde o dinheiro — ainda sendo o método preferido nas compras presenciais — vem perdendo espaço gradualmente para o pagamento com cartão. Uma mudança que começou com a chegada da COVID pelo receio de manusear dinheiro físico e que permaneceu nos hábitos dos consumidores no mundo todo, onde o pagamento com cartão cresce rapidamente.

Mas, o que é a certificação PCI DSS e quem ela afeta?

Caso ainda exista alguma dúvida sobre a norma, PCI DSS é uma certificação de segurança cujo objetivo é reduzir fraudes relacionadas a cartões de crédito e aumentar a segurança dos dados envolvidos nas transações online.

Cumprir PCI DSS é complexo e custoso sem o parceiro adequado, mas é necessário para proteger o usuário, assegurar a transação e estabelecer um selo de qualidade. Essa norma, desenvolvida pelas principais bandeiras de cartão (VISA, MasterCard, Discover, JCB e AMEX), busca garantir a proteção dos dados e a segurança das transações online. Não importa a atividade ou o tamanho da sua organização — se você processa, armazena ou transmite dados de cartão, deve cumprir a norma ou corre o risco de perder a permissão para processar cartões, enfrentar auditorias rigorosas ou ser penalizado com multas elevadas.

PCI DSS 4.0 prestes a ser lançado

Atualmente, o PCI DSS está na versão 3.2.1, lançada há quase 4 anos, em maio de 2018. Devido à ampliação do período para envio de comentários e sugestões sobre os documentos de validação do PCI DSS (templates do Report on Compliance (ROC), Self-Assessment Questionnaires (SAQs) e Attestation of Compliance (AOC)), o PCI Security Standards Council (PCI SSC) anunciou formalmente que a publicação da versão 4.0 ocorrerá nas próximas semanas, após um longo período de revisão.

Não são esperadas mudanças significativas nos atuais 12 requisitos, pois eles continuam sendo a base fundamental para proteger os dados dos cartões. Porém, a norma deve evoluir para se adaptar às mudanças tecnológicas, às técnicas de mitigação de riscos e ao cenário de ameaças. Também haverá maior flexibilidade nos métodos para cumprir os objetivos de segurança.

Principais objetivos do PCI DSS 4.0

Segundo o próprio PCI SSC, os principais objetivos seguidos para a elaboração da versão 4 são:

Garantir que a norma continue atendendo às necessidades de segurança do setor de pagamentos.
Adicionar flexibilidade e suporte para metodologias adicionais de segurança.
Promover a segurança como um processo contínuo.
Melhorar os métodos e procedimentos de validação.

Aprofundando um pouco mais no que sabemos sobre as mudanças da versão 4, podemos destacar as mais significativas:

Maior flexibilidade na implementação: até agora, a norma explicava passo a passo o “o quê” e também o “como”. Na nova versão, será possível realizar uma implementação personalizada, permitindo maior flexibilidade na forma como as empresas atendem certos requisitos, criando seus próprios controles. No entanto, a eficácia desses controles personalizados deverá ser devidamente justificada para o requisito correspondente. Portanto, cada empresa poderá escolher entre a implementação prescritiva ou a nova implementação personalizada. Controles compensatórios deixarão de ser uma opção.
Novos requisitos mais rigorosos: apesar da maior flexibilidade, a nova versão trará uma reestruturação dos requisitos, tornando-os mais rígidos, especialmente os relacionados à transmissão, processamento e armazenamento de dados de titulares de cartão.
Autenticação multifator (MFA): o PCI SSC e o consórcio formado por Europay, MC e Visa trabalharam juntos para criar padrões melhores, tanto para processos de acesso quanto para processos de pagamento. Por isso, alguns controles da versão 4.0 devem estar muito alinhados com requisitos do PCI 3DS.
Maior adoção de criptografia de dados: devido ao aumento de incidentes de vazamento de dados e à constante aparição de novas vulnerabilidades, a criptografia deixou de ser uma recomendação e se tornou uma obrigação em todos os ambientes. A nova norma aumentará o foco nisso, fornecendo novas medidas para reforçar a segurança na transmissão dos dados.
Expansão do DESV (Designated Entities Supplemental Validation): até agora, apenas certas entidades que haviam sofrido algum incidente ou que o Council considerasse relevante precisavam cumprir requisitos adicionais. Espera-se que alguns desses requisitos passem a ser aplicados a todas as entidades na versão 4.0, especialmente aqueles relacionados à revisão periódica de controles críticos.

Agora que já temos uma aproximação das mudanças esperadas na nova versão, resta saber o “quando”.

No último cronograma publicado pelo PCI SSC, há um período de transição para a migração do PCI DSS v3.2.1 para o v4.0, que vai de abril de 2022 até o primeiro trimestre de 2024. No entanto, como a data final ainda não foi publicada, essas datas podem variar.

Enquanto isso, se você precisa garantir proteção de dados e segurança nas transações econômicas online, minimizar fraudes e transmitir confiança, pergunte-nos como. Teremos prazer em ajudar e tornar o processo ágil e simples.