Normas PCI DSS

12 requisitos para garantir a segurança dos dados dos cartões de pagamento

O que são as normas PCI DSS?

As normas PCI DDS são um conjunto de requisitos de segurança criados para garantir a confidencialidade dos dados dos cartões bancários usados pelos sistemas de pagamento. Estas normas são geridas e mantidas pelo PCI Council (Payment Card Industry Security Standards Council), uma associação composta pelas marcas: VISA, Mastercard, American Express, JCB e Discovery.

Agentes do sistema de transações eletrónicas

  • Portador do cartão: titular do cartão e da conta associada ao mesmo (cliente).
  • Emitente: banco do titular do cartão
  • Comerciante: entidade que aceita o cartão como forma de pagamento
  • Adquirente: entidade bancária que processa as transações do comerciante
  • Marca do cartão: marca do serviço de pagamento que permite as transações entre os vários agentes.
  • Prestadores de serviços de pagamento (PSP): restantes intervenientes na cadeia de transações financeiras. Esta categoria abrange a OVH, enquanto prestador de Infrastructure as a Service (Iaas).

As entidades bancárias têm várias funções: emitem cartões de pagamento para serem usados pelos clientes detentores de contas bancárias e processam as transações dos comerciantes. As entidades bancárias definem ainda, contratualmente, os requisitos de segurança que deverão ser respeitados pelos outros agentes. As normas PCI DSS consistem em padrões mínimos de segurança definidas pelas marcas dos sistemas de pagamento. Estas regras, impostas por via contratual, são válidas para todos os sistemas de pagamento e respetivos intervenientes. Os fornecedores de alojamento para os sistemas de pagamento são responsáveis pela implementação de parte das regras PCI DSS que contribuem para a segurança global da plataforma.

Em concreto, as normas PCI DSS incluem mais de 250 requisitos para garantir o processamento seguro dos dados dos cartões de pagamento. Estas requisitos estão organizados em 6 categorias:

  • Requisitos para a criação e gestão de redes e sistemas seguros

    Requisito 1: instalar e manter uma firewall para proteger os dados do titular
    Requisito 2: não usar palavras-passe predefinidas pelo fornecedor para aceder ou gerir o sistema ou certas configurações
  • Proteção dos dados do titular

    Requisito 3: garantir a segurança dos dados do titular
    Requisito 4: encriptar as transferências dos dados dos titulares nas redes públicas
  • Usar um programa de controlo de vulnerabilidades

    Requisito 5: garantir a proteção do sistema contra programas maliciosos; manter os anti-vírus e o software do sistema sempre atualizados.
    Requisito 6: desenvolver e gerir sistemas e aplicações seguras
  • Adoção de medidas rigorosas para controlar o acesso ao sistema

    Requisito 7: acesso aos dados do titular limitado aos indivíduos que, inevitavelmente, precisam de aceder aos mesmos
    Requisito 8: individualizar e autenticar o acesso aos componentes do sistema
    Requisito 9: limitar o acesso físico aos dados do titular do cartão
  • Vigilância permanente e testes regulares à rede

    Requisito 10: vigiar e controlar todos os acessos aos recursos de rede e aos dados do titular.
    Requisito 11: testar regularmente os processos e os sistemas de segurança
  • Gestão das normas de segurança das informações

    Requisito 12: definir e garantir o cumprimento das normas de segurança por parte do pessoal envolvido no tratamento dos dados.

Estar em conformidade com norma PCI DSS

Os requisitos PCI DSS abrangem todas as dimensões da plataforma de pagamento. O comerciante deverá usar soluções de operadores web ou cloud (ou outros) que cumprem a normativa PCI DSS. Resumindo, todos os intervenientes associados à plataforma de pagamento têm de respeitar as exigências relacionadas com a sua atividade e fazer prova dessa conformidade aos clientes.

A conformidade da infraestrutura Private Cloud e da plataforma de pagamento com a normativa PCI DSS depende de um esforço conjunto repartido ente a OVH e os seus clientes. Ao nível da OVH Payment Infrastructure, a nossa empresa assume a responsabilidade pela segurança da infraestrutura, e os nossos clientes garantem a segurança das máquinas virtuais, das redes virtuais e das aplicações que usam a infraestrutura OVH.

A conformidade PCI DSS pode ser obtida através da obtenção da Certificação de Conformidade, designada em inglês Attestation of Complicance (AoC). Esta certificação é concedida por um consultor ou auditor de segurança qualificado (Qualified Security Acessor / QSA). A certificação inclui a realização de uma auditoria ou de um questionário de autoavaliação por parte de um ou vários agentes QSA.

A conformidade da sua plataforma com as normas PCI DSS depende de um processo formal, cujos requisitos e obrigações dependem de vários fatores:

  • Número de transações realizadas anualmente
  • Tipos de cartões de pagamento aceites
  • Banco(s) adquirente(s)
  • Complexidade da infraestrutura de pagamento

A conformidade com as normas PCI DSS exige o diálogo com algumas entidades intervenientes. A OVH recomenda a consulta do banco adquirente e de um agente QSA, que poderão dar as orientações necessárias ao cumprimento dos procedimentos.

Requisitos de validação VISA

Nível Descrição Requisitos
1 mais de 6 milhões de transações/ano Auditoria efetuada por consultor ou auditor qualificado (QSA)
Teste trimestral de segurança efetuado por um Approved Scanning Vendor (ASV)
Certificação de conformidade (AoC)
2 Entre 1 e 6 milhões de transações/ano Questionário de autoavaliação
Teste trimestral de segurança efetuado por um Approved Scanning Vendor (ASV)
Certificação de conformidade (AoC)
3/4 menos de 1 milhão de transações/ano Definido e controlado por cada entidade bancária

Fonte: https://www.visaeurope.com/receiving-payments/security/merchants
Estes dados têm um caráter meramente informativo. Só o banco adquirente poderá fornecer as informações adequadas ao contexto da sua atividade.

A plataforma da OVH é auditada anualmente por agentes QSA. Os relatórios da OVH estão disponíveis para consulta, permitindo:

  • Compreender as exigências abrangidas pela certificação dos nossos serviços:
  • Conhecer os requisitos previstos para a sua atividade
  • Demonstrar ao agente QSA que a OVH cumpre a totalidade das exigências PCI DSS.

Para que possa obter a conformidade PCI DSS de forma fácil, a OVH coloca à sua disposição uma equipa de especialistas e documentação útil:

  • Partilha de responsabilidades PCI DSS
  • Condições particulares que especificam as responsabilidades da OVH
  • Modelo do caderno de encargos para testar os riscos de intrusão (testes obrigatórios)

Matriz de partilha de responsabilidades

A matriz descreve as responsabilidades da OVH e do cliente relativamente aos requisitos PCI DSS. Esta informação permite antecipar o esforço de adequação do seu serviço às normas de segurança, mas não substitui uma análise pormenorizada dos requisitos exigidos pela Certificação de Conformidade, disponibilizados aquando da contratação de um serviço de pagamento.

Requisitos para a criação e gestão de redes e sistemas seguros
Requisito 1: instalar e gerir uma firewall para proteger os dados do titular Responsabilidade OVH: rede física
Responsabilidade do cliente: redes virtuais no seio de um datacenter virtual
Requisito 2: não usar palavras-passe predefinidas pelo fornecedor para aceder ou gerir o sistema ou certas configurações Responsabilidade do cliente: máquinas virtuais e aplicações
Proteção dos dados do titular
Requisito 3: garantir a segurança dos dados do titular Responsabilidades exclusivas do cliente relativamente à sua plataforma
Requisito 4: encriptar as transferências dos dados dos titulares nas redes públicas Responsabilidades exclusivas do cliente relativamente à sua plataforma
Usar um programa de controlo de vulnerabilidades
Requisito 5: garantir a proteção do sistema contra programas maliciosos; manter os anti-vírus e o software do sistema sempre atualizados Responsabilidade OVH: equipamentos das infraestruturas
Responsabilidade do cliente: máquinas virtuais e aplicações
Requisito 6: desenvolver e gerir sistemas e aplicações seguras Responsabilidade OVH: equipamentos das infraestruturas
Responsabilidade do cliente: máquinas virtuais e aplicações
Adoção de medidas rigorosas para controlar o acesso ao sistema
Requisito 7: acesso aos dados do titular limitado aos indivíduos que, inevitavelmente, precisam de aceder aos mesmos Responsabilidade OVH: equipamentos das infraestruturas
Responsabilidade do cliente: máquinas virtuais e aplicações
Requisito 8: individualizar e autenticar o acesso aos componentes do sistema. Responsabilidade OVH: equipamentos das infraestruturas
Responsabilidade do cliente: máquinas virtuais e aplicações
Requisito 9: limitar o acesso físico aos dados do titular do cartão Responsabilidade exclusiva da OVH relativamente ao alojamento físico da plataforma
Vigilância permanente e testes regulares à rede
Requisito 10: vigiar e controlar todos os acessos aos recursos de rede e aos dados do titular. Responsabilidade OVH: equipamentos das infraestruturas
Responsabilidade do cliente: máquinas virtuais e aplicações
Requisito 11: testar regularmente os processos e os sistemas de segurança Responsabilidade OVH: equipamentos das infraestruturas
Responsabilidade do cliente: máquinas virtuais e aplicações
Gestão das normas de segurança das informações
Requisito 12: definir e garantir o cumprimento das normas de segurança por parte do pessoal com acesso ao sistema Responsabilidade OVH: equipamentos das infraestruturas
Responsabilidade do cliente: máquinas virtuais e aplicações

Ficha técnica da OVH Payment infrastructure

  • Prestador do serviço de pagamento (PSP) de Nível 1
  • PCI DSS V3.2
  • QSA Provadys
  • Opção PCI DSS disponível na OVH Payment Infrastruture. Possibilidade de upgrade a partir de qualquer infraestrutura SDDC
  • Responsabilidade da OVH (ver matriz de partilha de responsabilidades)

Visão geral do processo

Para explicar as relações contratuais e os relatórios de conformidade, são apresentados abaixo dois exemplos de alojamento de sistemas de pagamento. Estes exemplos abrangem a maioria das situações mas não dispensam a análise rigorosa dos requisitos associados a cada caso particular.

Comerciante que aloja a plataforma numa infraestrutura OVH PCI DSS:

Empresa prestadora de serviços de pagamento a comerciantes que funcionam a partir de uma infraestrutura OVH PCI DSS.