A segurança dos pagamentos digitais está em constante evolução, enfrentando ameaças cada vez mais sofisticadas no ecossistema financeiro. Nesse contexto, a versão 4.0 do PCI DSS (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento) representa um avanço significativo na proteção dos dados de pagamento, incorporando requisitos mais rigorosos, maior flexibilidade em sua implementação e um foco em segurança contínua.
Desenvolvido pelo PCI Security Standards Council (PCI SSC), esse novo padrão foi atualizado com a colaboração da indústria global para garantir sua eficácia diante das novas ameaças cibernéticas. Lançada em 2022, a versão 4.0 traz mudanças importantes se comparada à versão anterior (v3.2.1), que permanecerá ativa até 31 de março de 2024, permitindo que as organizações adotem os novos requisitos. A partir de 31 de março de 2025, alguns destes requisitos se tornarão obrigatórios.
Os principais destaques da versão 4.0 incluem:
Maior segurança contra ameaças emergentes: A obrigatoriedade da autenticação multifator (MFA) foi ampliada para todos os acessos a ambientes com dados de pagamento. Novos requisitos visam proteger o comércio eletrônico e prevenir ataques de phishing, além de exigências mais rigorosas sobre a gestão de senhas.
Enfoque contínuo em segurança: O padrão estabelece funções e responsabilidades específicas para cada requisito e enfatiza a segurança como um processo contínuo. Revisões de riscos personalizadas permitirão às organizações ajustar a frequência das atividades de segurança conforme seu perfil de risco.
Maior flexibilidade na implementação: O uso de abordagens personalizadas para atender aos requisitos será permitido, desde que assegure os mesmos níveis de segurança. Em certos casos, contas compartilhadas e genéricas poderão ser utilizadas, sob medidas de controle específicas.
- Validação e conformidade aprimoradas: Haverá maior clareza nos métodos de validação e na documentação exigida nos Relatórios de Conformidade (ROC) e Questionários de Autoavaliação (SAQ), promovendo maior alinhamento entre as informações relatadas e a Declaração de Conformidade (AOC).
Com 12 requisitos principais distribuídos em seis objetivos de segurança, o PCI DSS v4.0 visa que todas as organizações que lidam com dados de cartões de pagamento realizem avaliações e atualizações em seus sistemas de segurança. Medidas como a implementação de autenticação multifator, auditorias de segurança regulares e adaptações contínuas nos processos de gestão de riscos são essenciais.
Empresas que não cumprirem com estas normativas poderão enfrentar multas de até 100.000 dólares mensais, além da perda de confiança dos clientes e maior vulnerabilidade a fraudes financeiras.
A transição para o PCI DSS v4.0 traz desafios, mas também oferece oportunidades para fortalecer a segurança dos dados de pagamento em um ambiente digital cada vez mais complexo. O cumprimento dessas normas deve ser encarado não apenas como uma obrigação, mas como uma estratégia fundamental para minimizar riscos e garantir a segurança nas transações financeiras.
Para mais informações e acesso à documentação oficial, os interessados podem visitar o site do PCI Security Standards Council.
