O que é o PCI e qual a sua importância para o mercado de pagamentos?

Por Maurício Okuyama, Gerente de Pré Vendas na Kryptus

PCI (do inglês, Payment Card Industry) ou PCI SSC (PCI Security Standards Council) é uma organização global que une stakeholders da indústria de pagamentos com o objetivo de desenvolver e fomentar a adoção de altos padrões e recursos de segurança da informação para o setor de pagamentos. Para garantir que tal adoção ocorra de forma consistente, o PCI mantém uma base de padrões e requisitos, entre eles o PCI PIN Security, que são revisados e atualizados periodicamente, abrangendo os mais diversos segmentos da indústria: provedores de serviços de pagamentos, provedores de soluções de software, provedores de soluções de hardware etc.

Para fins de exemplificação, todas as empresas que, de alguma forma, atuam dentro da cadeia de fornecimento de serviços ou recursos tecnológicos para pagamentos através de cartão com as “bandeiras clássicas” (American Express, Discover, Mastercard, Visa) seguem algum padrão específico do PCI. Existem requisitos para a empresa que processa pagamentos através da “maquininha” de cartão, para o datacenter ou a empresa que hospeda softwares ou APIs de pagamentos e, inclusive, para a empresa que fabrica hardwares criptográficos utilizados no setor.

Por que o PCI é importante?

As bandeiras de cartão possuem requisitos técnico-operacionais próprios, que precisam se desdobrar para as entidades que fornecem produtos e serviços para a indústria de pagamentos. Em determinados aspectos, relacionados à área de segurança ou a outras áreas, as exigências e os requisitos de uma bandeira diferem dos de outra(s). Dessa forma, um provedor de produtos e/ou serviços que quer abranger todas as bandeiras com seu portfólio precisa de uma base clara de requisitos que, se devidamente atendida, permitirá ao provedor contemplar tanto os pontos em comum quanto as especificidades de cada bandeira de cartão.

Considerando as necessidades, os interesses e as exigências das bandeiras, o PCI realiza uma intermediação entre elas e os demais stakeholders da indústria de pagamentos, estabelecendo uma base comum de padrões a serem seguidos pelos provedores de produtos e serviços do setor. Portanto, a partir da união dos mais diversos stakeholders relevantes para a indústria de pagamentos e da manutenção e evolução dos padrões de segurança, o PCI contribui para o desenvolvimento sustentável e global do setor.

No fim das contas, quem ganha com isso são os consumidores e a sociedade, que acabam usufruindo de um sistema de pagamentos universal, confiável e, através das evoluções tecnológicas atreladas aos requisitos de segurança, cada vez mais conveniente.

Quais os benefícios dos padrões exigidos pelo PCI para o mercado e para o usuário final de pagamentos?

O PCI propicia a utilização de uma base comum de padrões e requisitos de segurança a serem seguidos pelos mais diversos stakeholders do setor de pagamentos. Se essa base unificada não existisse, provavelmente nós não conseguiríamos usufruir da facilidade de realizar pagamentos com nossos cartões em quase qualquer lugar do mundo ou em qualquer website de compras. Portanto, a atividade do PCI é essencial para o mercado e para o usuário final, que se beneficia com um sistema de pagamentos universal, confiável e, através das evoluções tecnológicas atreladas aos requisitos de segurança, cada vez mais conveniente.

Sobre o PCI Pin Security

O PCI PIN Security é um dos padrões do PCI e deve ser adotado por todas as empresas que fazem o gerenciamento, processamento e transmissão dos dados do número de identificação pessoal (PIN) durante o processamento de transações de cartão de pagamento online e offline em caixas eletrônicos e terminais de ponto de venda (PoS).

Os requisitos exigidos pelo padrão PCI PIN Security definem que todos os PINs inseridos pelo titular do cartão devem ser processados em equipamentos que estejam em conformidade com os requisitos para dispositivos criptográficos seguros (SCD – Secure Cryptographic Device), como por exemplo o HSM (Hardware Security Module). Os PINs nunca devem ser expostos “em claro” fora de um módulo criptográfico.

Certificação FIPS 140-2 e o PCI

A publicação 140-2 do FIPS (Federal Information Processing Standard) trata de um padrão que define requisitos mínimos de segurança para módulos de segurança criptográficos. Ter uma certificação FIPS 140-2 significa que o seu equipamento foi validado pelo Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) e pelo Centro Canadense de Segurança Cibernética (CCCS). Resumidamente, o padrão garante que um produto utilize práticas de segurança robustas, como métodos de proteção física e lógica, bem como mecanismos criptográficos aprovados em um dos quatro níveis de segurança do FIPS 140-2.

Para uma instituição financeira estar em conformidade com as normas do PCI PIN Security e garantir a certificação, é necessário que os HSMs (Hardware Security Modules), ou módulos de segurança criptográficos, utilizados para guarda de chaves criptográficas nas transações de pagamentos, atendam aos requisitos exigidos pela certificação FIPS 140-2 level 3. Dois exemplos de empresas que adquiriram a certificação PCI PIN Security com a implementação de HSMs da Kryptus, os quais possuem certificação FIPS 140-2 level 3, são a Perto S.A e o Grupo Seven. Ambos precisavam estar em conformidade com o PCI e garantir a robustez da infraestrutura de segurança por trás das transações financeiras.