O padrão PCI é um conselho de fórum aberto composto pelas empresas American Express, Discover Financial Services, JCB International, MasterCard e Visa.
No ano de 2006, este conselho criou as regras e normas para garantir a segurança durante o manuseio dos dados se cartões de crédito durante as transações eletrônicas.
Atualmente, o conselho é responsável por desenvolver, gerenciar, educar e conscientizar sobre os Padrões de Segurança do PCI. E isso inclui:
– Os requisitos do Padrão de Segurança de Dados (DSS);
– O Padrão de Segurança de Dados de Aplicativo de Pagamento (PA-DSS)
– Dispositivo de Entrada de Pin (PED).
Logo, toda empresa que aceita pagamentos via cartão de crédito precisa operar em conformidade com o PCI. E, mesmo se o padrão não for exigido pela lei local, ele será requerido ao redor do mundo.
Entendendo os meios de fluxo de pagamento do padrão PCI
Para compreende o fluxo dos meios de pagamento é necessário conhecer primeiro os termos existentes.
Adquirente: responsável por realizar o papel de liquidar as transações financeiras por meio de cartões se comunicam com as bandeiras de cartão e com as agências bancárias emissoras para processar as transações, basicamente são as ‘maquininhas de cartão’;
Bandeiras: estes são na verdade os órgãos reguladores que determinam e dão padrão as regas do mercado de cartões de crédito. Além disso, são elas que definem, entre outras coisas, o número de parcelas permitidas, se é
internacional ou nacional, etc.
Embora uma transação ocorra em questão de segundos, são várias as etapas durante este processo.
Ao inserir o cartão na máquina uma mensagem criptografada é enviada à bandeira, pela adquirente, com um pedido de autorização para que aquela transação seja efetuada.
A bandeira, então, entra em contato com o Banco que vai emitir a compra a fim de verificar se aquela movimentação pode ou não ser aprovada.
Sendo positiva a resposta, o banco, então, envia uma mensagem autorizando a bandeira a realizar a operação. Apesar de a compra ser efetivada este ainda não é o último passo.
Como o valor da compra tem que ser pago pelo cliente, o adquirente envia para a bandeira os dados daquela venda que passam por uma validação e, em seguida, voltam para o Banco emissor que conclui a ação.
Ou seja, qualquer instituição que armazena, processa ou transmite os dados dos portadores de cartões precisa seguir os padrões do PCI.
Por que as empresas precisam implementar o padrão PCI-DSS?
A certificação PCI-DSS conta com elementos que buscam garantir mais segurança para as transações online, e, com isso, podem diminuir consideravelmente as chances de algum incidente relacionado a vazamento, roubo de dados ou fraudes ocorrerem.
Caso isso aconteça, a instituição poderia ser processada judicialmente o que causaria prejuízos financeiros e de imagem ocasionando inclusive a sua falência.
Portanto, contar com esta certificação além de valorizar a empresa também transmitiria mais confiança e credibilidade para o cliente, além de garantir de possibilitar que a Segurança da Informação se torne uma estratégia de negócio.