PCI DSS (Payment Card Industry Data Security Standard, padrão de segurança de dados da indústria de cartões de pagamento) é uma certificação emitida pelo PCI Security Standards Council (Conselho de Normas de Segurança da PCI). Ela define os requisitos internacionais de segurança necessários para que as empresas do setor de cartões de pagamento e seus provedores de serviços operem de forma confiável, protegendo adequadamente seus sistemas de tecnologia, bem como os dados e operações dos seus clientes.
É fundamental que provedores de serviços de tecnologia que atendam a esses tipos de empresas, como a Plataforma de Edge Computing da Azion, obtenham essa certificação. A Azion já operava com uma versão anterior, a 3.2.1 Nível 1, mas agora temos o prazer de anunciar que obtivemos sua última versão: PCI DSS v4.0.
A v4.0 não é apenas mais uma versão da PCI DSS
Esta atualização da certificação é a mais importante desde a sua criação, 18 anos atrás[1], uma vez que a sua configuração se adapta à dinâmica de mudanças que o mercado tem vivido nos últimos cinco anos.
Desde 2018, a digitalização das empresas passa por um processo de crescimento e sofisticação sem precedentes e em uma velocidade jamais registrada. Isso se deu a fatores como a pandemia, a expansão abrupta de novas tecnologias como a IA e, de forma especialmente intensa no setor financeiro, à migração do atendimento presencial para o online.
Em relação à velocidade de crescimento e inovação do cibercrime, acontece exatamente o mesmo fenômeno, e é por isso que o PCI Security Standards Council observou a necessidade de criar um novo modelo de certificado que responda adequadamente a essas circunstâncias.
Quais novos recursos importantes a PCI DSS v4.0 apresenta?
A certificação v4.0 fornece um refinamento significativo no cumprimento dos requisitos para todas as áreas de sistemas de segurança[2].
Exemplos disso podem ser a exigência de maiores controles para sistemas de autenticação multifator, maior sofisticação dos códigos de acesso ou o aumento da frequência com a qual o POI (Point of Interaction, em inglês) das empresas certificadas deve ser inspecionado.
No entanto, podemos dizer que a atualização mais importante é que a certificação adiciona uma nova abordagem para a execução e testagem dos controles PCI, além da abordagem tradicional.
Abordagem Definida e Abordagem Personalizada
A Abordagem Definida
As versões anteriores à 4.0 seguiram o que é chamado de Abordagem Definida, segundo a qual as empresas que solicitam a certificação devem atender a uma lista específica de mais de 250 requisitos de segurança.
A Abordagem Personalizada
Como já dissemos, esta seria a maior novidade da versão 4.0, ao introduzir a possibilidade de cada empresa criar processos de segurança fora da lista específica de requisitos da Abordagem Definida, adaptando-se à sua realidade individual[3].
As empresas podem propor medidas de segurança que devem ser analisadas e validadas pelo PCI Security Standards Council, o que permitirá desenvolver grande flexibilidade para adaptar sua infraestrutura às condições de mercado em constante mudança, como o constante surgimento de novas tecnologias.
Uma mesma empresa pode implementar as duas abordagens, podendo aplicar uma ou outra a elementos específicos de seu ambiente, conforme necessário.
Benefícios de operar em uma plataforma de edge computing com certificação PCI DSS v4.0
A compliance com a PCI DSS v4.0 se estende a todas as nossas soluções de edge e aos dados do cliente processados e armazenados em cada uma das nossas edge locations.
O fato de os dados estarem em nossa rede de edge significa que eles estarão próximos do usuário final da sua empresa, o que garante que:
- Serão processados com latência ultrabaixa, pois não precisarão ir até seu servidor de origem, mantendo os processos de pagamento altamente eficientes e melhorando assim a experiência do cliente, evitando sobrecargas;
- Ao manter seus dados no edge, você reduz os altos custos associados a serviços de cloud;
- No caso de um ataque cibernético, a edge location mais próxima do ponto de partida do ataque é responsável por interceptá-lo, de modo que as ameaças cibernéticas são sempre neutralizadas longe de sua infraestrutura de origem. Essa é uma característica básica de uma plataforma de edge computing, mas no caso da Azion, você também dispõe de um stack completo de cibersegurança criado especificamente para o edge que protege contra as ameaças mais avançadas;
- Processar os dados perto do usuário final também significa que você pode facilmente adaptar seu serviço às normas de compliance de cada região do planeta em que você operar.
Conclusão
Em suma, a Plataforma de Edge Computing da Azion garante que o processamento e armazenamento dos dados dos cartões bancários seja extremamente ágil e seguro, tanto para nossos clientes diretos quanto para qualquer pessoa que tiver contato com os serviços da Azion.
Quer saber mais detalhes sobre a certificação PCI DCC 4.0 da Azion e sobre como ela pode beneficiar a sua empresa? Fale diretamente com um dos nossos experts.
Referências
[1] Business Leaders, Here’s What You Need To Know About PCI DSS 4.0 | Forbes
[2] First Look at PCI DSS v4.0 | PCI Security Standards Council
[3] Guia de Referência Rápida do PCI DSS v4.0 | PCI Security Standards Council
