PCI DDS se tornará padrão de segurança e um diferencial para turismo brasileiro
O PCI DDS será o novo padrão do turismo brasileiro. Muitos já conhecem, outros ainda não têm tanto contato, mas a tendência de investir na segurança das transações online se tornará uma realidade quase obrigatória. As iniciais PCI DDS vêm do inglês Payment Card Industry Data Security Standard, ou seja, é o Padrão de Segurança de Dados da Indústria de Pagamento com Cartão. O certificado é composto por um conjunto de normas de segurança cujo objetivo é proteger informações pessoais dos titulares de cartão e, portanto, reduzir o risco de fraudes.
Confira abaixo as 12 normas exigidas pela IATA e que se tornarão tendência do turismo
Hoje, o mundo sofre com os roubos através dos cartões de crédito. E, neste caso, não há concorrência porque toda a cadeia sai perdendo. Por conta disso, o PCI DDS foi criado pelas próprias bandeiras de cartão de crédito lá em 2004, mas só agora desembarca oficialmente no Brasil. Isto porque, a partir do dia 01 de março, todas as empresas de turismo certificadas pela IATA serão obrigadas a ter este certificado. Muitas já têm, ainda mais quando falamos de empresas fora do setor de turismo, mas outras terão que investir e se adequar.
São exatas 12 normas que passarão a ser seguidas por estas empresas credenciadas, criando portanto uma tendência nacional. Quem não tiver PCI DDS daqui há dois ou três anos, já saíra atrás numa negociação.
O ME conversou com o CEO DA CNT Consolidadora, André Khoury, que deu maiores detalhes sobre a prática que mudará o jeito de fazer turismo no Brasil. “Está é uma prática mundial para as empresas que realizam transações com cartões de crédito. São 12 normas de segurança que serão exigidas para evitar o vazamento dos números dos cartões, dos códigos de segurança, entre outras informações que terceiros possam usar de má fé. A partir de março, todas as empresas que tenham certificado IATA serão obrigadas a se adequar”, disse André.
O CEO da CNT lembra que o PCI DDS não é só para quem é IATA, e sim para todos os estabelecimentos que realizem transação com cartões de crédito. Logo, isso com o passar do tempo, não se tornará uma exigência, mas sim um sistema de segurança padrão para qualquer tipo de empresa ou setor. “Será uma tendência natural, porque a agência que não investir neste certificado, acabará sendo menos competitiva. O PCI é como um cinto de segurança: quando virou lei era chato, hoje é um hábito. Será algo normal dentro do mercado, porque não são só as agências, e sim toda a cadeia que deve passar a investir na segurança de suas transações”, disse.
Empresas de diversos setores já trabalham com o certificado PCI DDS de segurança no Brasil, principalmente aquelas que vivem de transações comerciais eletrônicas. No entanto, isto para o turismo nacional acaba sendo uma novidade, visto que as agências e outras empresas precisarão investir e se adequar, por vezes, rapidamente. Por exemplo: existem níveis de certificação do PCI que são divididos em nível 01, 02, 03 e 04. As empresas que tem mais de 300.000 transações por ano de cartão de crédito, precisarão ter o certificado nível 01. As que tem menos de 300.000 transações/ano, poderão ser nível 02, o que também exigirá uma série de medidas.
É o caso das agências de viagens e consolidadoras que, a partir de agora, terão que ter uma sala cofre, emissores dentro de salas com acesso restrito, câmeras em funcionamento, entre outras medidas para diminuir as fraudes. Abaixo é possível conferir cada uma das 12 medidas. “Para ter a certificação nível 02 do PCI DDS, por exemplo, que deve englobar grande parte das agências, não é preciso realizar um investimento pesado para montar uma estrutura. É claro que o investimento existe, principalmente para aquelas de pequeno e médio porte, como ter um firewall, um sistema de segurança no servidor, que varia de R$ 1.000 a R$ 3.000. O importante é se adequar às 12 normas com a filosofia: guarde bem os dados dos cartões, porém nunca guarde o código de segurança”.
NORMAS DE SEGURANÇA PCI DDS
- Utilizar um firewall suficientemente forte para ser efetivo, mas sem provocar excessivos inconvenientes para os vendedores e titulares de cartões.
- Não utilizar senhas e configurações padrão fornecidas pelos vendedores.
- Proteger a informação guardada do titular (data de nascimento, número de documento, telefone e e-mail)
- Usar criptografia na transmissão de dados dos titulares quando realizada através de redes públicas
- Utilizar software de proteção antivírus, antispyware e malware e que eles estejam frequentemente atualizados
- Desenvolver e manter sistemas e aplicações seguras
- Restringir acesso aos dados de cartões de crédito segundo o cargo de cada empregado da empresa
- Designar dados de login únicos e confidenciais para cada usuário da rede e sistema
- Restringir o acesso físico e eletrônico aos dados do cartão
- Rastrear e monitorar todos os acessos à rede e dados de cartões de crédito
- Testar a segurança de sistemas e processos regularmente
- Definir uma política de segurança que seja seguida e mantida por todos