Há quase dez anos publico opiniões relacionadas à gestão de riscos, continuidade de negócios, governança e inteligência competitiva, e desde então, me vejo às voltas com novas normas, padrões e conseqüentemente, com o esforço do mercado em identificar os impactos diretos e indiretos de cada um deles em seus negócios, bem como em tangibilizar os valores que adicionam e convertê-los em resultado.

O mais recente alvo do compliance tem sido o mercado financeiro de pagamentos, mais especificamente de cartões de crédito, através do PCI DSS ou Payment Card Industry Data Security Standard. Não é por menos. Há décadas se vê o crescimento do dinheiro de plástico até se tornar uma das principais formas de pagamento nos mais fortes mercados mundiais.

Acompanhando o ritmo de crescimento do e-commerce, vêm os indicadores de fraude. De acordo com os organismos internacionais, o custo das fraudes com cartão de crédito ultrapassa os bilhões de dólares anualmente, sendo que em 2007, só no Reino Unido, o volume foi estimado em 800 milhões de dólares, indicando uma média de crescimento de 350%. No Brasil, de acordo com os dados da Febraban, os prejuízos somaram mais de 150 milhões de dólares em fraudes praticadas apenas em meios de pagamento eletrônico no mesmo ano.

Diante de números tão alarmantes, julguei conveniente escrever desta vez sobre a importância do PCI, sua história, suas implicações e assim, ajudar as empresas, mesmo que introdutoriamente, a compreender o valor do compliance e a conhecer os melhores caminhos para alcançá-lo, aproveitando as experiências que venho colecionando no mercado Europeu desde 2005.

O que é o PCI DSS?

Payment Card Industry Data Security Standard é um padrão de segurança para proteção de dados de cartão de crédito introduzido em 2001 pela VISA dos Estados Unidos. O principal objetivo do padrão foi reduzir as fraudes em larga escala com cartão de crédito em ambientes de pagamento eletrônico, tanto via Internet quanto em estabelecimentos comerciais tradicionais.

O DSS é dividido em seis principais áreas, que por sua vez, se desdobram em doze requerimentos. O documento contém padrões de segurança que cobrem os seguintes temas: segregação e segurança de redes; criptografia para proteção de dados de cartão; gerenciamento de atualizações e auditoria de vulnerabilidades em sistemas; medidas de controle de acesso e integridade de arquivos; teste e monitoramento de redes, e ainda gestão de incidentes e manutenção da política de segurança da informação.

Como surgiu?

Em 2001 a Mastercard introduziu seu programa chamado Site Data Protection que define a necessidade de uma varredura externa periódica de vulnerabilidades, além de definir padrões para patching de sistemas; segurança de bancos de dados e firewall de rede.

Finalmente, em 2004, a Visa uniu forças com a Mastercard para consolidar o PCI DSS. Em 2006 o controle sobre o programa de conformidade PCI, foi transferido para uma nova organização chamada PCI Security Council - no site é possível encontrar todo tipo de documentação de suporte.