Junte-se a mais de 14.000 usando o WP Simple Pay para aceitar pagamentos facilmente!  

Começar

Ver todos os recursos

Blog WP Simple Pay

Tutoriais, Dicas e Recursos da Stripe para WordPress para Aceitar Pagamentos

Tudo o que Você Precisa Saber Sobre Conformidade PCI

Última atualização em

Written By: imagem do autor Dennis
LinkedIn

Aceitar pagamentos online envolve alguns riscos. Sempre haverá fraudadores que tentarão roubar informações de pagamento de redes inseguras, e é por isso que a conformidade PCI é mais importante do que nunca.

Se você aceita pagamentos através do seu site, é importante que você entenda a conformidade PCI e o que ela significa para o seu negócio. Se você não a levar a sério, poderá expor seus clientes e seu negócio a riscos desnecessários.

Um Relatório de Incidentes de Violação de Dados da Verizon de 2017 descobriu que houve quase 42.068 incidentes de segurança de dados naquele ano. Não deixe que seu negócio seja um deles.

Você provavelmente já ouviu falar sobre conformidade PCI antes, mas talvez não saiba o que é e por que é relevante. Neste post, gostaríamos de detalhar tudo para você.

O que é PCI DSS?

PCI DSS significa Payment Card Industry Data Security Standard (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento). É um conjunto de padrões estabelecidos pelo PCI Security Standards Council (PCI SSC) sobre como as empresas processam pagamentos com cartão de crédito.

Conformidade PCI

O PCI SSC foi criado pelas principais empresas de cartão de crédito: Visa, MasterCard, American Express, Discover e JCB. Originalmente, todas tinham padrões de segurança exclusivos, mas se uniram em 2006 para padronizar tudo.

O objetivo da iniciativa é proteger informações confidenciais do consumidor, incluindo números de cartão de crédito. Isso é bom para o consumidor porque reduz a chance de empresas usarem indevidamente suas informações pessoais ou de hackers e golpistas as roubarem. Também é bom para a indústria de processamento de pagamentos porque reduz a probabilidade de chargebacks e dívidas não pagas.

Embora a conformidade PCI não seja uma lei, você terá que cumprir os padrões se quiser trabalhar com qualquer uma dessas empresas (e você praticamente terá que fazê-lo se quiser processar cartões de crédito).

O que conta como informação confidencial? O número principal da conta, nome do titular do cartão, data de validade, código de serviço, dados da tarja magnética, chip, CAV2, CVC2, CVV2, CID, PINs, blocos de PIN e qualquer outra coisa que você use para processar uma transação.

Conformidade PCI

O PCI DSS estabelece 12 requisitos que você precisa cumprir para aceitar, armazenar, processar e transmitir dados do titular do cartão de forma segura. Se você falhar em cumprir um único, você não está em conformidade. Cada requisito aborda um componente importante da segurança da informação.

Conformidade PCI

  1. Instale e mantenha uma configuração de firewall para proteger os dados do titular do cartão.
  2. Não use padrões fornecidos pelo fornecedor para senhas de sistema e outros parâmetros de segurança.
  3. Proteja os dados armazenados do titular do cartão.
  4. Criptografe a transmissão de dados do titular do cartão em redes abertas e públicas.
  5. Proteja todos os sistemas contra malware e atualize regularmente o software ou programas antivírus.
  6. Desenvolva e mantenha sistemas e aplicativos seguros.
  7. Restrinja o acesso aos dados do titular do cartão por necessidade de conhecimento do negócio.
  8. Identifique e autentique o acesso aos componentes do sistema.
  9. Restrinja o acesso físico aos dados do titular do cartão.
  10. Rastreie e monitore todo o acesso aos recursos de rede e dados do titular do cartão.
  11. Teste regularmente os sistemas e processos de segurança.
  12. Mantenha uma política que aborde a segurança da informação para todo o pessoal.

Se você fizer qualquer tipo de transação financeira, é sua responsabilidade ser compatível com a PCI. Isso inclui aceitar cartões de crédito por telefone.

Além disso, é seu trabalho garantir que qualquer fornecedor que lhe forneça software ou serviços, ou qualquer empresa ou pessoa que você contrate, também seja compatível com a PCI.

Por exemplo, se você usar o Stripe para processar seus pagamentos com cartão de crédito, você pode ser responsabilizado se o serviço deles for considerado não compatível. (Felizmente, esse não é um grande risco com o Stripe, que é por isso que os recomendamos.)

Espera-se que você seja compatível com a PCI, independentemente do tamanho do seu negócio, mesmo que processe apenas uma transação por ano. Caso contrário, você poderá enfrentar sérias penalidades.

Para obter as informações mais atualizadas, é sempre melhor visitar o site do PCI SSC. Seus padrões mudam regularmente e mudam dependendo do seu negócio, então você vai querer se manter atualizado. Conheça o conteúdo da página Comerciantes deles.

Níveis de Comerciantes PCI

O tipo de segurança de que você precisa depende do número de pagamentos que você processa anualmente. Quanto mais transações você processar, mais atraente você será para hackers e partes maliciosas, então a conformidade com a PCI é dividida em quatro níveis:

Nível 1 é para comerciantes que processam mais de seis milhões de transações anualmente. Eles são obrigados a se submeter a varreduras trimestrais de rede por um Fornecedor de Varredura Aprovado e a um relatório anual de conformidade por um Avaliador de Segurança Qualificado. Eles também devem passar por testes de penetração.

Nível 2 é para comerciantes que processam de um milhão a seis milhões de transações anuais. Eles devem se submeter a um Questionário de Autoavaliação (SAQ) anual, uma avaliação no local conduzida por um Avaliador de Segurança Qualificado (QSA), uma varredura trimestral de rede e testes de penetração.

Nível 3 é para empresas que processam de 20.000 a um milhão de transações anuais. Nível 4 é para empresas que processam menos de 20.000 transações anuais. Ambos são obrigados a realizar um Questionário de Autoavaliação anual, uma varredura trimestral de rede e alguns outros requisitos. A maioria das empresas se enquadra no nível quatro, a categoria mais baixa.

Em alguns casos, o PCI SSC eleva certos comerciantes a classificações mais altas dependendo do tipo de negócio (alguns apresentam maior risco do que outros) ou se eles sofreram uma violação de dados no passado.

Penalidades por Não Conformidade

Se você não estiver em conformidade com os padrões PCI, corre o risco de sofrer violações de dados. Se uma pessoa mal-intencionada obtiver as informações de pagamento de seus clientes e criar cobranças indevidas, as empresas de cartão de crédito são forçadas a incorrer em despesas ilegítimas, por isso levam a não conformidade muito a sério.

As bandeiras de pagamento (Visa, MasterCard, American Express, Discover e JCB) podem multar comerciantes, bancos ou outros fornecedores de processamento de pagamentos por não conformidade, a seu critério. Essas multas geralmente variam entre US$ 5.000 e US$ 10.000 por mês.

Você também pode ser obrigado a pagar pelos custos de substituição de cartões (quando os usuários de cartão de crédito precisam ter suas contas ou cartões alterados porque foram comprometidos) e por auditorias forenses dispendiosas em seu negócio.

Pior ainda, você pode ser civilmente responsabilizado por danos monetários que seus clientes experimentam devido ao processamento descuidado. Isso significa que as pessoas podem processá-lo por dinheiro que perdem se sua falta de conformidade comprometeu suas informações pessoais.

Além disso, as bandeiras de pagamento têm o direito de aumentar suas taxas para o seu negócio. Se decidirem que você representa muito risco, elas podem encerrar completamente os negócios com você. As bandeiras de cartão de crédito não são públicas quanto aos seus métodos de atribuição de taxas, mas sua justiça pode ser bastante prejudicial para pequenas empresas. É por isso que é tão importante que você entenda o que significa ser compatível com PCI e se você é.

Gateways de Pagamento

A maioria dos comerciantes processa transações através de gateways de pagamento. Você provavelmente reconhece nomes como Stripe, PayPal, Authorize.net, etc. Gateways são plataformas front-end que se conectam aos bancos de cartão de crédito.

Conformidade PCI
Imagem de duecom

Isso significa que você não precisa ter acordos individuais com os bancos de cartão de crédito. Quando você trabalha com um gateway, ele recebe as informações que você fornece (as informações de pagamento dos clientes) e roteia esses dados para o banco apropriado. Eles também fornecem uma série de ferramentas de detecção de fraudes que protegem a todos.

Aqui estão algumas boas notícias: Se você usa um gateway de pagamento, você provavelmente já está em conformidade com PCI porque o gateway garante isso. Todo o modelo de negócios deles depende de um bom relacionamento com as bandeiras de cartão de crédito, então eles não correm *nenhum* risco. Por exemplo, a Stripe proíbe categoricamente certos negócios de usar sua plataforma porque esses negócios apresentam um alto risco.

Além disso, usar um gateway significa que você pode alavancar a reputação deles. Se você tentasse estabelecer um acordo diretamente com a Mastercard, por exemplo, seria caro porque a Mastercard não teria muitos motivos para confiar em você.

Mas se você usar um gateway como a Stripe, você não é o cliente da Mastercard. A Stripe é o cliente da Mastercard, e a Mastercard confia na Stripe porque processaram milhões de transações bem-sucedidas juntas. Isso significa que a Stripe obtém uma taxa melhor do que você jamais conseguiria.

Usar um gateway de pagamento significa que você pode ignorar a conformidade com PCI? Absolutamente não.

Existem muitas maneiras de violar a conformidade com a PCI que não têm nada a ver com o gateway. Por exemplo, se você anotasse as informações do cartão de crédito de seus clientes em um pedaço de papel e o colasse na parede, estaria violando os padrões da PCI, mas não haveria como o gateway protegê-lo.

Padrões de Conformidade PCI Mudam

Infelizmente, ladrões de dados, hackers e partes maliciosas são criativos e sofisticados. Eles adaptam seus métodos a novas tecnologias de segurança tão rapidamente quanto nós podemos nos proteger.

Portanto, a última coisa que você precisa saber sobre a conformidade com a PCI é isto: os padrões mudam o tempo todo. O que é aceitável hoje pode não funcionar amanhã. Se você gerencia seu próprio processamento de pagamentos, é crucial que você se mantenha atualizado sobre as mudanças para não se deixar vulnerável.

Se você usa um processador de pagamentos (como Stripe, PayPal, Authorize.net, etc.), o processador o manterá em conformidade (se esse for um dos recursos deles), mas ainda é bom entender o cenário em mudança.

Divulgação: Nosso conteúdo é apoiado pelo leitor. Isso significa que, se você clicar em alguns de nossos links, poderemos ganhar uma comissão. Recomendamos apenas produtos que acreditamos que agregarão valor aos nossos leitores.

WP Simple Pay
Economize 50%!

SOCIAL

Vamos nos Conectar

Leia Mais

Posts Populares

Como Usar Smart Tags para Personalizar E-mails de Confirmação de Pagamento

Desbloqueando a Personalização: Como Permitir que Clientes Adicionem Notas a Formulários de Pagamento no WordPress

O Stripe Atlas Vale a Pena em 2024 [Atualização]

Turbine Suas Vendas: Como Habilitar Facilmente Compras de Múltiplos Itens em Uma Única Transação

Como Melhorar a Comunicação com o Cliente com um Recibo de E-mail Detalhado

Como Criar um Formulário de Inscrição para Eventos com Múltiplas Opções de Preço e Quantidade

Comece a Aceitar Pagamentos Hoje

Comece a aceitar pagamentos únicos e recorrentes ou doações em seu site WordPress.

Obtenha o WP Simple Pay Agora →