O varejista que não obedecer às regras será multado ou descredenciado. As duas bandeiras têm 3 milhões de clientes.
As empresas de cartão e emissoras estão comprometidas em divulgar no Brasil a adoção de práticas e tecnologias de segurança mais eficientes, como forma de diminuir fraudes. Afetado por casos amplos de vazamentos de informações dos clientes nos Estados Unidos, um grupo composto por American Express, Discover Financial Services, JCB International, MasterCard Worldwid e Visa criou o Conselho de Padrões de Segurança PCI (sigla para indústria de cartões de pagamento) para promover a prevenção e unificou asmelhores práticas de cada uma delas para impor um padrão único ao mercado.
Segundo o vice-presidente da área de relação com os adquirentes da Mastercard, Horst Müller, toda a cadeia precisa seguir os padrões de segurança de dados PCI, que considera quais informações podem ser armazenadas e como elas deve ser protegidas. São duas classes de franqueados, os emissores (no casoda bandeira, é aRedecard) e os estabelecimentos. As empresas de cartões tratam com os primeiros, que são os responsáveis pela relação formal com os segundos e por cobrar deles a aderência ao PCI. Juntas, Cielo, a ex-Visanet, e Redecard possuem cerca de 3 milhões de estabelecimentos credenciados.
“É muito importante que os executivos dos varejistas elevem a prioridade desses projetos, devido aos impactos que podem ter com as informações que coletam nos pontos de venda. Eles depois ainda manipulam esses dados internamente”, diz.
Para as empresas que não atingirem a conformidade, pode caber multa ou até o descredenciamento. Havia uma data limite para este ano, que foi adiada para setembro de 2010.
Dois níveis de exigências de práticas foram estabelecidos para as empresas de acordo com o volume de transações. Quem processamais de 6 milhões de transações ao ano precisa se adequar no nívelmais alto.Osegundo patamar fica para as empresas com total entre 1 milhão e 6 milhões. Há ainda requisições para as que processam menos do que isso. Mas muitas das empresas que entramem um nível inferior devem prever o crescimento das operações. Apenas dentre as 180 grandes redes credenciadas pela Redecard, 100 delas vão mudar do nível 2 para o 1 no próximo ano, diz o diretor de risco e controle da redecard, Douglas Oliveira.
“As empresas viram as fraudes aumentando e as tentativas de repasse dos custos não foram bem-sucedidas”, afirma o executivo- chefe da Future Security, Antonio Leal Faoro. As fornecedoras de serviços de segurança da informação, como a Future, estão entre as mais beneficiadas pelos projetos. O mínimo que as empresas precisam fazer para estarem adequadas é realizar auditoria e uma análise de diferença entre o estado atual e o qual precisa atingir. Depois disso, pode pedir uma revisão de processos ou mesmo adquirir novas tecnologias de proteção de dados.
REQUISIÇÕES DE SEGURANÇA DE PADRÃO DA INDÚSTRIA
1.Construir e manter uma rede segura
Proteção dos dados dos donos de cartões Há duas exigências básicas de proteção contra a invasão das redes, por onde trafegam os números de cartões. A primeira é de ter instalado um firewall, bloqueio contra acessos externos, nos computadores. O conjunto de práticas também pede que senhas padrões fornecidas pelos fabricantes dos equipamentos não sejam usadas.
2.As empresas que desejam seguir o padrão do conselho
PCI (indústria de cartões de pagamentos) precisam proteger os dados que são armazenados após as transações. Além disso, deve haver criptografia na transmissão dos dados do dono do cartão que ocorra por meio de redes abertas ou públicas, como a internet.
3.Programa de gestão de vulnerabilidades
A ameaça de hackers e quadrilhas especializadas em ataques pela internet faz com que a organização peça o uso e atualização regular de programas antivírus. Outra proteção ocorre quando os sistemas e aplicativos internos são desenvolvidos desde o início considerando questões de segurança, preocupação que deve continuar com manutenções.
4.Implementar medidas de controle de acesso
Os acessos internos na empresa são uma preocupação. Há exigências de restrição para visualizar os dados dos detentores de cartões, identificação própria de cada pessoa com acesso aos sistemas, para que seja possível saber quem observou cada informação, e controlar a possibilidade de manipulação física dos dados.
5.Monitorar e testar as redes regularmente
As empresas necessitam rastrear e monitorar todos os acessos a equipamentos ligados à rede de computadores e aos dados de cartões dos clientes. Também, para estarem de acordo com a padronização, devem testar com regularidade todos os sistemas e processos corporativos responsáveis pela segurança da informação.
6.Política de segurança da informação
Por último e o que pode exigir mais trabalho interno em grandes redes varejistas é a manutenção de uma política de controle dos dados que contemple a seguran ça contra brechas. Nas empresas com grande volume de dados, é preciso hierarquizar as informações e adotar diferentes abordagens de acordo com a sua relevância e risco.
Veículo: Brasil Econômico