FIS se prepara para a terceira certificação do PCI DSS– Payment Card Industry Data Security Standard

Obrigatoriedade de conformidade total está marcada para setembro e a FIS já está totalmente adequada. O PCI se aplica a toda e qualquer empresa que coleta, processa, armazena ou transmite dados dos cartões de crédito.

A FIS, primeira a ser PCI Compliant no Brasil e apontada como a empresa com o melhor índice de prevenção a fraudes pelas próprias bandeiras de cartões de crédito, anuncia que está pronta para receber os auditores da PCI Council e já está trabalhando a todo o vapor para a terceira certificação, que deverá ser finalizada em maio de 2011.

Criado em 2004, como resultado de esforço conjunto entre a Visa, Mastercard, American Express e endossado pelo Diners, JCB e Discover, o PCI DSS é um conjunto de normas para a criação de requerimentos de segurança comuns para a indústria de cartões de crédito. O PCI foi desenhado para proteger as informações contidas nos processos relacionados a cartões de crédito em toda a cadeia de participantes destes processos.

O PCI não permite, por exemplo, que se armazenem dados sensíveis de autorização na base de dados das empresas, como a senha e o código de segurança que é utilizado para as compras com cartão não-presente.

Segundo o gerente-executivo de gestão de Risco e Compliance da FIS, Eduardo Cabral, “originalmente, cada bandeira desenvolvia seus critérios de proteção, de forma independente. Agora, todas têm um padrão único para a segurança da informação”, explica ele.

Ao aderir ao PCI, todas as áreas da FIS que manipulam informações dos cartões bandeirados, bem como as empresas parceiras encarregadas de prover infraestrutura e serviços de TI, tiveram de se adequar aos novos padrões de controles baseados nos requerimentos do PCI DSS.

“Tivemos que adequar toda a infraestrutura, os sistemas e as aplicações que armazenam, processam e transmitem as informações dos cartões. Exemplo disso foram as adequações feitas nos softwares, dispositivos de redes como roteadores, firewall, bem como no banco de dados”, explica Cabral.

Ainda segundo o executivo, para se adequar na totalidade, a FIS contratou uma série de consultorias especializadas no assunto.

“Acredito que, ao aderir ao PCI, estaremos contribuindo para diminuir ainda mais o número de fraudes praticadas, uma vez que estamos atacando o problema em duas frentes: na educação do usuário e nos controles dos estabelecimentos que aceitam cartão de crédito”, comenta o executivo.

As empresas que não estiverem em conformidade com o PCI DSS podem receber multa de até US$ 500 mil por incidente, passar por investigação criminal, descredenciamento permanente dos estabelecimentos comerciais, sem contar os danos à reputação das empresas envolvidas.

Os 12 requerimentos da PCI DSS são:Instalar e manter um firewall para proteger dados de cartão de crédito. | Não utilizar senhas padrão ou outras configurações de segurança dos softwares utilizados. | Proteger dados de cartões de crédito armazenados. Utilizar criptografia na transmissão de dados de cartões de crédito, manter um programa de Gerenciamento de Vulnerabilidades.| Utilizar regularmente programas antivírus. | Desenvolver e manter sistemas e aplicações seguras, implementar um forte controle de acesso. | Restringir acesso a dados de cartões de crédito por negócio e por pessoas que realmente precisam acessá-los. | Designar um único ID para cada usuário da rede e sistemas. | Restringir acesso físico aos dados de cartão de crédito, testar e monitorar a rede regularmente. | Rastrear e monitorar todos os acessos à rede e dados de cartões de crédito| Testar a segurança de sistemas e processos regularmente, manter um programa de Gerenciamento de Vulnerabilidades. | Manter uma política que enderece informações de segurança.