A Shoplazza, uma das principais plataformas globais de comércio eletrônico, anuncia sua recente certificação para o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) v4.0.1, a mais recente estrutura de segurança obrigatória que rege a proteção de dados de cartões de pagamento. Essa certificação ocorre quando o PCI DSS v3.2.1 é formalmente retirado em 31 de março de 2024, deixando a v4.0.1 como o único padrão válido para organizações que lidam com informações de cartões de pagamento.
A Shoplazza estabelece um padrão de referência em conformidade com a segurança de pagamentos
Com a conformidade total com o PCI DSS v4.0.1, a Shoplazza confirma que sua infraestrutura e seus processos atendem aos mais altos padrões globais de proteção de dados de titulares de cartões. A certificação é fundamental para manter uma integração perfeita com provedores de pagamento como o PayPal, já que a não conformidade com os mandatos do PCI DSS resulta em restrições ou no cancelamento dos privilégios de processamento de pagamento.
"A adoção do PCI DSS v4.0.1 não é opcional, mas uma necessidade comercial no cenário digital atual", disse Alyson, COO da Shoplazza. "Ao incorporar os mais recentes controles de segurança, permitimos que os comerciantes operem sem interrupções, sabendo que seus sistemas de pagamento estão em conformidade com os requisitos rigorosos das principais redes de cartões e provedores de pagamento."
O que é o PCI DSS v4.0.1?
Desenvolvido pelo Conselho de Padrões de Segurança do Setor de Cartões de Pagamento (PCI SSC), o PCI DSS é uma estrutura reconhecida mundialmente e projetada para evitar fraudes com cartões de pagamento, violações de dados e roubo de identidade. A atualização v4.0.1, lançada em junho de 2024, apresenta os principais objetivos e aprimoramentos, incluindo:
-
Continuar a atender às necessidades de segurança do setor de pagamentos
-
Promover a segurança como um processo contínuo
-
Aumentar a flexibilidade para organizações que usam diversas abordagens de segurança
-
Aprimorar os métodos de validação e os procedimentos de suporte
Além disso, ele também responde aos desafios técnicos e de segurança
-
Ambientes de nuvem e segurança de API: Novos requisitos introduzem controles específicos para proteger a infraestrutura baseada em nuvem e fortalecer as medidas de segurança da API.
-
Phishing avançado e malware: Foram incluídas proteções aprimoradas para combater esquemas de phishing e ataques de software malicioso cada vez mais sofisticados.
-
Criptografia e gerenciamento de chaves: O padrão agora impõe protocolos de criptografia mais fortes e práticas de gerenciamento de chaves mais rigorosas para proteger dados de pagamento confidenciais.
Principais atualizações: PCI DSS v4.0 vs. v3.2.1
Para se preparar melhor, o gráfico a seguir destaca três diferenças importantes entre o PCI DSS v3.2.1 e a versão atualizada v4.0.1.
|
Aspecto
|
PCI DSS v3.2.1
(totalmente aposentado até 31 de março de 2024)
|
PCI DSS v4.0 ( totalmente em vigor até 31 de março de 2025)
|
|
Estrutura de conformidade
|
Abordagem definida: É o método padrão, exigindo que as organizações sigam controles detalhados e procedimentos de teste definidos pelo PCI SSC, permitindo controles de compensação somente quando justificados.
|
Abordagem personalizada: Permite que as organizações aproveitem tecnologias inovadoras (por exemplo, criptografia dinâmica, segurança nativa da nuvem) para atender aos objetivos de segurança. No entanto, é necessária uma análise de risco direcionada para cada controle personalizado e o envio da documentação de avaliação.
|
|
Política de senhas
|
Mínimo de 7 caracteres e necessidade de alteração em 90 dias
|
Comprimento mínimo aumentado para 12 caracteres (8 se houver restrições do sistema). Introduz um mecanismo dinâmico de análise de segurança de contas e não há necessidade de alterar senhas/frases-senha pelo menos uma vez a cada 90 dias.
|
|
Autenticação multifatorial (MFA)
|
Especificamente, o Requisito 8.3 exige a MFA para acesso remoto à rede (por usuários, administradores ou terceiros) originado de fora da rede corporativa.
|
A MFA é obrigatória para todas as contas que acessam os ambientes de dados do titular do cartão (CDE), inclusive contas administrativas e de sistema, aumentando a segurança da autenticação.
|
Riscos da não conformidade: por que a conformidade é importante
A não adoção do PCI DSS v4.0.1 expõe as empresas a riscos graves:
-
Violações de segurança: Sistemas desatualizados são vulneráveis a ameaças modernas, como e-skimming e phishing, que custam às empresas globais trilhões em perdas anualmente. Por exemplo, o Market Insights da Statista projeta que os custos globais do crime cibernético aumentem de US$ 9,22 trilhões em 2024 para US$ 13,82 trilhões em 2028.
-
Penalidades regulatórias: As entidades que não estão em conformidade enfrentam restrições de processamento de transações, multas ou até mesmo a perda de privilégios de processamento de pagamentos.
-
Interrupção dos negócios: A incapacidade de atender aos padrões do PCI DSS pode prejudicar as parcerias com provedores e adquirentes de pagamentos globais, limitando a expansão do mercado.
Como a Shoplazza simplifica a conformidade para os comerciantes?
A conformidade com o PCI DSS v4.0.1 da Shoplazza alivia os comerciantes do ônus da certificação independente. Ao aproveitar a plataforma, os vendedores podem:
-
Concentrar-se no crescimento dos negócios enquanto a Shoplazza gerencia a segurança de pagamentos de ponta a ponta.
-
Integrar-se perfeitamente a provedores de pagamento como o PayPal, sabendo que todo o fluxo de transações está em conformidade com a PCI.
-
Acessar recursos de segurança robustos, incluindo transmissão de dados criptografados, monitoramento de fraudes em tempo real e gerenciamento automatizado de vulnerabilidades.
Próximas etapas para os comerciantes
Como o PCI DSS v3.2.1 será descontinuado em 31 de março de 2024 e a v4.0.1 se tornará totalmente obrigatória em 31 de março de 2025, os comerciantes devem priorizar a conformidade. A plataforma certificada da Shoplazza oferece uma solução pronta para empresas que buscam um processamento de pagamentos seguro e em conformidade sem a complexidade de uma implementação independente.
