Entender o que é (e o que não é) considerado dados de cartão de pagamento é uma primeira etapa importante para entender como estar em conformidade com o PCI DSS. Geralmente, o regulamento se aplica apenas ao número de conta principal (PAN) de um cartão de pagamento. Se outros elementos de dados, como o nome do titular do cartão, a data de validade e/ou o código de segurança estiverem presentes sem nenhum PAN, o PCI DSS não se aplica. No entanto, se esses outros elementos de dados forem armazenados, processados ou transmitidos com o PAN, ou estiverem presentes no ambiente de dados do titular do cartão (CDE), eles devem ser protegidos de acordo com os requisitos aplicáveis do PCI DSS, de acordo com o site do PCI Security Standards Council. 

Quando o PAN está sendo armazenado, os regulamentos do PCI exigem que ele seja ilegível (PCI FAQ 1222) por criptografia, truncamento, tokenização ou hash unidirecional. Independentemente de o cartão ser criptografado ou tokenizado, os requisitos de PCI ainda se aplicam ao sistema que contém o número, pois o PAN pode ser revertido se a chave de criptografia ou a tabela de pesquisa de token for comprometida. No entanto, se o número for truncado (não mascarado) de modo que o sistema armazene no máximo os 6 primeiros dígitos ou apenas os 4 últimos dígitos do PAN, o número não será mais considerado PAN (PCI FAQ 1091), eliminando a necessidade para que esse sistema esteja em conformidade com os requisitos do PCI. 

Como o Zendesk me ajuda a cumprir a conformidade com PCI?

O Zendesk tem um recurso chamado Campo de ticket em conformidade com PCI. Ele permite que você insira um número de conta principal (PAN) em um campo de ticket personalizado na interface do agente do Zendesk. Esse número é então suprimido para os últimos 4 dígitos antes de os dados serem enviados para a interface do usuário. Isso atende ao requisito de proteção do cartão de pagamento para conformidade com PCI. Lembre-se de que esse recurso em conformidade com PCI DSS se aplica apenas ao produto Support. Para saber mais sobre os controles de segurança e privacidade que o Zendesk emprega, incluindo aqueles que ajudam a oferecer suporte à conformidade com PCI, consulte “É compatível com PCI do Zendesk”. 

Solicitar uma cópia do Atestado de Conformidade (AoC) (em "Artefatos")

E se eu não quiser que os usuários finais coloquem o PAN completo na minha instância do Zendesk? 

Embora seja altamente recomendável inserir o PAN apenas pelo campo de ticket em conformidade com PCI para garantir a conformidade com os padrões PCI, há mitigações que você pode implementar para reduzir a exposição desses dados caso eles sejam inseridos fora desse campo dedicado. 

Supressão automática de informações

O Zendesk tem um recurso chamado “supressão automática”. Depois de ativá-lo em sua Central de administração, você poderá usá-lo para suprimir novos dados relacionados a cartões de pagamento a partir do momento em que for ativado. Isso permitirá que o sistema pesquise números entre 12 e 16 caracteres e os suprima para os 6 primeiros dígitos e os 4 últimos dígitos. Reduzindo assim as chances de dados confidenciais serem compartilhados em excesso ou mal utilizados. Ele também oferece suporte a tickets de mensagens. Observe que a supressão automática não se aplica à Central de Ajuda, ao Zendesk Chat ou a outros produtos Zendesk. 

Supressão manual (com ferramentas de API)

Para usar as ferramentas de Prevenção de perda de dados (DLP) e API, você precisa exportar os dados de seus tickets do Zendesk para um local seguro. Para saber como fazer isso, consulte Exportar dados de ticket por documento CSV ou XML. Em seguida, você pode usar a API Incremental para obter tickets de um intervalo específico de datas ou o AP I de comentários da listapara obter comentários de tickets. Depois que os dados necessários do cartão de pagamento forem isolados, você poderá aplicar uma das muitas ferramentas de software livre disponíveis para identificar dados confidenciais, como PAN. Com a APIde supressão, você pode remover essas informações dos comentários do ticket. 

Controles de uso e armazenamento

Você também pode minimizar a exposição de dados confidenciais do titular da conta armazenando dados de cartão de pagamento apenas quando absolutamente necessário e como parte de uma necessidade comercial legítima. O compartilhamento de PAN desprotegido por e-mail, mensagem instantânea, chat ou outro comunicado também deve ser evitado para manter a conformidade com o PCI DSS. 

Da mesma forma, o PAN deve estar sempre ilegível quando estiver sendo armazenado, inclusive em locais de backup, registros e dispositivos portáteis. Criptografia com hash unidirecional, truncamento que mostra apenas os quatro últimos dígitos de um PIN e métodos de controle de armazenamento semelhantes de criptografia, mascaramento e/ou truncamento também podem ser usados. 

Como prática recomendada geral de segurança, você também deve treinar os funcionários para que reconheçam e relatem qualquer exposição, uso ou distribuição não conforme de dados de cartões de pagamento em seu sistema ou operações diárias. 

Como determino se um aplicativo ou sistema está no escopo de conformidade com o PCI?

O sistema armazena, transmite ou processa dados de cartão de pagamento? Em caso afirmativo, está no escopo do PCI. Cada empresa é responsável por identificar os sistemas em seu ambiente aos quais os requisitos do PCI DSS se aplicam. Ao fazer essa avaliação, é importante lembrar que o PCI não requer apenas que todos os sistemas de linha de base que armazenam, transmitem ou processam dados de cartões de pagamento estejam no escopo do PCI, mas também quaisquer sistemas conectados diretamente a esses sistemas de linha de base. O escopo pode ser explorado usando as seguintes etapas:

1. Primeiro, reconheça e documente todos os fluxos de dados e sistemas conhecidos que devem transmitir, processar e/ou armazenar dados de cartões de pagamento. Esses sistemas compõem seu CDE de linha de base.
2. Em segundo lugar, documente todos os componentes do sistema conectados diretamente ao ambiente de linha de base. Esses sistemas também são considerados parte do seu CDE.
3. Em terceiro lugar, explore os sistemas fora do CDE que você tem motivos para acreditar que podem estar transmitindo, processando e/ou armazenando dados de cartões de pagamento. Documente todos os que você encontrar e rastreie seu caminho de volta ao CDE. Alguns dos exemplos mais comuns podem incluir sistemas de e-mail, centrais de suporte, repositórios de RH, sistemas de relatórios financeiros, planilhas de empresas etc.

Como posso tornar a conformidade com o PCI DSS mais gerenciável?  

Para tornar a conformidade com o PCI DSS mais gerenciável, você precisa reduzir seu escopo geral do PCI. Revise seu CDE e examine cuidadosamente qualquer interface que transmita, processe ou armazene dados de cartão de pagamento. Siga as práticas recomendadas de proteção de dados que exigem que você adquira e consuma apenas dados confidenciais essenciais para suas operações. Pergunte a si mesmo:

• Nossos processos de negócios exigem o uso de um cartão de pagamento? Como estamos usando o PAN?
• Estamos armazenando o PAN completo como um número de referência ou ele é usado para oferecer suporte a outros processos comerciais (por exemplo, cobrança automática ou estornos)? Se estivermos usando o PAN completo como número de referência, podemos limitar o uso e o armazenamento truncando-o?
• Temos controle sobre a entrada ou não de um número de cartão em um sistema específico? Por exemplo, o sistema está associado a um formulário web, e-mail, central de suporteou alguma outra interface voltada para o cliente? Em caso afirmativo, podemos desenvolver uma maneira de remover ou suprimir os dados conforme eles são inseridos no sistema?
• Existem sistemas auxiliares que se conectam ao CDE que realmente não precisamos? Podemos segmentar esses sistemas por meio de regras de firewall ou até mesmo remover totalmente as interfaces?
• Nossos processos de negócios críticos têm uma arquitetura sólida? Podemos simplificar alguns de nossos processos e remover sistemas do escopo do PCI?
• Estamos armazenando os dados do cartão de pagamento por conveniência? O caso de uso de armazenamento foi claramente acordado e compreendido pelas partes interessadas internas ou está sendo armazenado como preparação para alguma necessidade futura que pode ou não se apresentar?
• O acesso ao PAN completo é um caso extremo ou uma prática comum? Nossa arquitetura acomoda demais esses casos extremos?

Reduzir o escopo do PCI tem a vantagem de reduzir o número de sistemas aos quais os requisitos do PCI se aplicam, diminuindo o custo do processo de auditoria e limitando o número de superfícies de ataque em seu ambiente. Dependendo de sua experiência, recursos e tempo disponível, pode fazer sentido contratar um especialista em PCI para ajudar a orientá-lo em seus esforços de definição do escopo.

 

Aviso legal

 

Glossário de termos

Adquirente – Também conhecido como “banco comercial”, “banco adquirente” ou “instituição financeira adquirente”. Entidade que inicia e mantém relacionamentos com comerciantes para a aceitação de cartões de pagamento. O adquirente normalmente é responsável por monitorar a conformidade com o PCI com a conta de seus comerciantes.

AoC – Acrônimo de Atestado de Conformidade. Este é o relatório de auditoria que mostra se e como uma organização está em conformidade com o PCI.

Dados do titular do cartão – No mínimo, os dados do titular do cartão consistem no PAN (número principal da conta) completo. Os dados do titular do cartão também podem aparecer na forma do PAN completo, além de qualquer um dos seguintes: nome do titular do cartão, data de validade e/ou código de serviço.

CDE – Ambiente de dados do titular do cartão.As pessoas, os processos e a tecnologia que armazenam, processam ou transmitem dados do titular do cartão ou dados de autenticação confidenciais.

DLP – Prevenção de perda de dados. O software de prevenção de perda de dados foi projetado para detectar possíveis eventos de violação ou perda de dados.

Criptografia – Processo de conversão de informações em um formato ininteligível, exceto para os detentores de uma chave criptográfica específica. O uso de criptografia protege as informações entre o processo de criptografia e o processo de descriptografia (o inverso da criptografia) contra divulgação não autorizada.

Verificação de Luhn – Também conhecido como algoritmo “Mod 10”, é uma fórmula de soma de verificação simples usada para validar uma variedade de números de identificação, como números de cartão de crédito. A maioria dos cartões de crédito usa o algoritmo como um método simples de distinguir números válidos de números digitados incorretamente ou incorretos.

Mascaramento – Um método de ocultar um segmento de dados quando exibido ou impresso. O mascaramento é usado quando não há requisitos de negócios para visualizar o PAN inteiro. O mascaramento está relacionado à proteção do PAN quando exibido ou impresso.

Campo de ticket em conformidade com PCI – Esse campo foi projetado para aceitar números de cartão de crédito de agentes, onde ele suprimirá automaticamente o número do cartão de crédito com os últimos 4 dígitos antes de os dados serem enviados para a plataforma do Zendesk. Este campo deve estar ativado para se beneficiar do AoC do Zendesk.

PCI-SSC – Acrônimo para Conselho de padrões de segurança do setor de cartões de pagamento. Esse conselho foi criado em 2006 pelas cinco bandeiras de cartão de crédito (Visa, MasterCard, American Express, Discover, JCB).

PCI-DSS – O padrão de segurança de dados do setor de cartões de pagamento. O PCI SSC criou um padrão unificado ao qual todos os comerciantes e provedores de serviços estariam sujeitos.

PAN – Número principal da conta. Também chamado de "número da conta". Número de cartão de pagamento exclusivo (normalmente para cartões de crédito ou débito) que identifica o emissor e o titular do cartão específico.

Provedor de serviços – Entidade comercial (não um emissor de cartão de pagamento) que está diretamente envolvida no processamento, armazenamento ou transmissão dos dados do titular do cartão em nome de outra entidade. Isso também inclui empresas que fornecem serviços que controlam ou podem afetar a segurança dos dados do titular do cartão. Os exemplos incluem provedores de serviços gerenciados que fornecem firewalls gerenciados, IDS e outros serviços, além de provedores de hospedagem e outras entidades.

QSA – Assessor de segurança qualificado. O PCI SSC tem empresas certificadas para realizar avaliações de PCI e ajudar na validação de PCI; a designação é uma empresa de QSA ou, da mesma forma, um indivíduo em uma empresa de QSA pode ser certificado como um QSA individual.

Suprimir – O processo de remoção de informações confidenciais, como PAN, onde elas não são necessárias.

SAQ – Questionário de autoavaliação. Uma entidade que valida a conformidade com o PCI passará por uma avaliação externa por um QSA ou preencherá um SAQ e o enviará para as bandeiras de cartão ou seu banco comercial.

Tokenizar – O processo de dividir um fluxo de texto significativo, como o número do cartão de crédito, em elementos de dados chamados tokens que representam os dados reais, mas que sozinhos não têm sentido. A tokenização é um método para remover dados de cartão de crédito de sistemas ou bancos de dados, reduzindo assim o escopo do CDE.

Truncamento – Método de tornar o PAN completo ilegível removendo permanentemente um segmento de dados do PAN. O truncamento está relacionado à proteção do PAN quando armazenado em arquivos, bancos de dados etc.