PCI-DSS
Como garantir que suas transações estejam em conformidade de segurança?
O que é PCI-DSS?
PCI-DSS é a sigla para "Payment Card Industry Data Security Standard", ou "Padrão de Segurança de Dados da Indústria de Cartões de Pagamento".
Trata-se de um conjunto de normas e regras que gateways de pagamento, emissores de cartão, lojistas, merchants, ou qualquer agente que faça processamento, transmissão ou armazenamento de dados de cartão de crédito ou débito devem respeitar para garantir a proteção destes dados. O objetivo é claro: garantir que os dados de cartão dos clientes estejam sempre seguros.
Entre os padrões determinados no PCI-DSS, estão definidas algumas regras de boas práticas e requisitos para algumas áreas, como:
- Armazenamento de dados do titular do cartão
- Criptografia durante transmissão de dados
- Controle de acesso restrito
- Monitoramento contínuo de aplicações
Segundo a NordVPN, o Brasil é o segundo país mais afetado com o roubo de cartões de pagamento. O impacto desses ataques pode ser grande como: multa, danos à reputação e até mesmo a interrupção na operação da empresa. Por isso, é extremamente importante estar de acordo com os padrões estabelecidos para proteção e garantir a segurança de sua empresa.
Esse documento deve ser usado apenas como um guia. O Asaas não realizará consultorias ou informativos sobre certificações PCI-DSS.
A quem se aplica o PCI-DSS?
Como vimos, quando uma empresa processa, armazena e transmite dados ela está lidando com dados confidenciais, desta forma qualquer empresa independente do tamanho que opere dados de cartão precisa seguir as diretrizes do PCI DSS.
O que é o SAQ e quais são os seus níveis e tipos?
O SAQ (Self-Assessment Questionnaire) é um questionário de autoavaliação do PCI DSS. Ele é usado por empresas que não fazem ou não possuem uma auditoria formal com um QSA (Qualified Security Assessor), mas que por transacionar operações com cartão de crédito, ainda precisam demonstrar conformidade com os requisitos de segurança para lidar com esse tipo de informação.
Como o nome indica, o SAQ é um questionário de auto-preenchimento, ou seja, é de inteira responsabilidade do cliente em responder e manter o SAQ armazenado em segurança, uma vez que em casos de auditoria externa (por emissores, bandeiras ou até pelo próprio gateway), esse documento poderá ser solicitado.
O PCI DSS definine quatro níveis de segurança com base na quantidade de transações de cartões, permitindo que, independente do porte, a empresa consiga manter um compromisso com a segurança e validar sua conformidade.
| Nível | Critério | Validação de conformidade |
|---|---|---|
| Nível 1 | Acima de 6 milhões de transações por ano | Auditoria anual por uma empresa de Avaliadora de Segurança Qualificada (QSA) e scan trimestral de vulnerabilidades |
| Nível 2 | Entre 1 milhão e 6 milhões de transações por ano | Questionário de autoavaliação (SAQ) e scan trimestral de vulnerabilidades |
| Nível 3 | Entre 20 mil e 1 milhão de transações por ano | Questionário de autoavaliação (SAQ) e scan trimestral de vulnerabilidades |
| Nível 4 | Até 20 mil transações por ano | Questionário de autoavaliação (SAQ) |
Com base no histórico de segurança, o PCI DSS pode exigir que os níveis 2 e 3 passem por uma auditoria formal, igualmente exigida para quem se encaixa no nível 1.
Veja a relação dos tipos de SAQ mais comuns em operações online:
| Tipo de SAQ | Indicado para | Descrição breve |
|---|---|---|
| A | E-commerce que terceiriza totalmente o processamento de pagamentos (dados de cartão não são trafegados em back-end) | Não armazena, processa ou transmite dados de cartão |
| A-EP | E-commerce que não armazena dados, mas tem controle sobre a página de pagamento | Requer mais controles que o SAQ A |
| D | Qualquer entidade que não se encaixa nos critérios acima | Mais completo e rigoroso |
Os questionários SAQ - Self Assessment Questionnaire, estão disponíveis para consulta na biblioteca de documentos do PCI.
O PCI-DSS no Asaas
O Asaas está certificado no Nível 1 do PCI-DSS.
Anualmente, o Asaas passa por uma auditoria externa para garantir que estejamos dentro do escopo de segurança necessário, uma vez que, como gateway de pagamento, precisamos zelar com segurança de todo e qualquer dado pessoal ou sensível transitado pela nossa plataforma.
Além do Asaas, a sua aplicação que se integrará conosco também precisa estar adequada de acordo com o tipo de transação que você realiza em nossa plataforma, seguindo a tabela abaixo:
| Formato de Transação | Tratamento de dados de Cartão | Adequação PCI-DSS |
|---|---|---|
| Checkout Asaas | Não aplicável | ❎ |
| Fatura Asaas | Não aplicável | ❎ |
| Link de Pagamento | Não aplicável | R |
| API Asaas | Dados transmitidos via back-end | ✅ SAQ-D |
| Tokenização Server-Side | Dados transmitidos via back-end | ✅ SAQ-D |
| Tokenização Client-Side | Cartão tokenizado via front-end, enviado no back-end | ✅ SAQ-A |
Atenção
O Asaas não fornece a opção de "Tokenização Client-Side", via front-end. Desta forma, recomendamos que sua aplicação esteja certificada no SAQ-D, garantindo o tráfego seguro das informações de cartão de crédito entre a sua aplicação e o Asaas.
As adequações citadas no quadro acima destacam exclusivamente as operações realizadas no Asaas. Se a sua empresa realiza operações de cartão também fora do Asaas, confira com o seu gateway de pagamento sobre as necessidades de adequação ao PCI-DSS necessárias nesta outra operação.
Responsabilidades
A escolha do fornecedor pode impactar diretamente a segurança dos dados dos seus clientes, por isso, aqui no Asaas, nos preocupamos em construir um ambiente seguro que siga os requisitos do PCI DSS.
Somos certificados no PCI DSS. Isso significa mais segurança para os dados dos seus clientes e uma gestão financeira ainda mais confiável para o seu negócio.
O Asaas e a responsabilidade compartilhada
O Asaas oferece alguns produtos para gestão financeira que opera dados de cartão, desta forma é importante compreender as responsabilidades a serem compartilhadas:
| Produto Asaas | Responsabilidade do Asaas | Responsabilidade da Sua Empresa | SAQ Indicado para Sua Empresa |
|---|---|---|---|
| Checkout Asaas | Operação completa da página de pagamento, recepção, transmissão, operação e armazenamento dos dados do cartão. | Sua empresa não manipula diretamente os dados do cartão. Responsável pela segurança geral do ambiente e correto direcionamento ao checkout. | SAQ-A: Geralmente o mais indicado, pois o Asaas gerencia toda a interação com os dados do cartão. |
| Fatura Asaas | Operação e armazenamento dos dados do cartão. A interface de pagamento é gerenciada pelo Asaas. | Sua empresa não manipula diretamente os dados do cartão. Responsável por como a fatura é gerada e apresentada. | SAQ-A: Entrada dos dados do cartão ocorre em ambiente totalmente controlado pelo Asaas. |
| Link de Pagamento | Operação e armazenamento dos dados do cartão. O cliente interage diretamente com a página de pagamento do Asaas. | Sua empresa não manipula diretamente os dados do cartão. Responsável por gerar e compartilhar o link de forma segura. | SAQ-A: Dados do cartão inseridos em ambiente seguro e externo à sua empresa. |
| API Asaas | Operação e armazenamento dos dados do cartão após o recebimento seguro. | Responsável pela segurança na recepção e transmissão dos dados do cartão até o Asaas. Inclui proteção de servidor e comunicação. | SAQ-D (se transmitir dados de cartão via back-end) ou SAQ-A (se usar tokenização client-side e não houver dados passando pelo seu servidor). |
| Tokenização Server-Side | Operação e armazenamento dos tokens e dados do cartão após o recebimento. | Responsável pela segurança na transmissão dos dados do cartão do seu servidor para o Asaas para tokenização. | SAQ-D: Dados do cartão trafegam pelo back-end, mesmo que brevemente, antes de serem tokenizados. |
| Tokenização Client-Side | Operação e armazenamento dos tokens e dados do cartão após o recebimento. | O cartão é tokenizado no navegador do cliente (front-end) antes de chegar ao back-end. Responsável por garantir a segurança do front-end e que apenas o token seja enviado. | SAQ-A: Ideal para minimizar o escopo, pois os dados sensíveis do cartão não tocam os seus servidores. |
Os dados de autenticação confidenciais (CVV, Trilha Completa, PIN/bloco de PIN) não podem ser armazenados após a autorização, mesmo se criptografados.
No Asaas, estar conforme o PCI DSS vai muito além de atender requisitos técnicos. É um compromisso diário com a segurança, sem abdicar da eficiência.
Automatizamos processos, aumentamos a produtividade e reduzimos burocracias. Tudo isso com uma base sólida: segurança que protege, sem atrapalhar o ritmo do seu negócio.
Com o PCI DSS, garantimos que cada transação, cada integração e cada etapa da cobrança estejam protegidas.
Dúvidas?
Caso tenha dúvidas sobre a necessidade de adequação de sua empresa no PCI-DSS, recomendamos que busque uma Consultoria PCI compliance para lhe auxiliar no processo.
Updated about 21 hours ago