A manutenção da conformidade com as regras do PCI DSS 4.0 pode parecer assustadora a princípio. Neste artigo, detalharemos algumas das mudanças mais relevantes introduzidas pelo novo framework e compartilharemos melhores práticas para tornar isso o mais fácil possível para você.
Isenção de responsabilidade
Este documento deve ser usado apenas para fins de orientação e não deve ser considerado como um conselho definitivo. Convidamos você a consultar um Avaliador de Segurança Qualificado (QSA) para esclarecimentos.
Pagamentos online
Como recomendação geral, você pode manter a conformidade com o PCI utilizando:
- Usar uma das integrações de pagamento recomendadas pela Mollie para transmitir informações de pagamento de forma segura diretamente para a Mollie.
- Assegurando que suas páginas de pagamento estão protegidas com Segurança da Camada de Transporte (TLS) e usando HTTPS.
Existem muitos outros requisitos que fazem parte do framework do PCI DSS.
Por favor, note que a Mollie não pode fornecer nenhum tipo de conselho definitivo sobre sua própria conformidade com o PCI, uma vez que não temos todos os detalhes sobre sua configuração. Como não existe uma única orientação para a conformidade com o PCI, se você estiver armazenando/processando dados de cartão, pode haver requisitos de PCI que se aplicam a você. Dependendo de sua integração e configuração, você seria responsável por cumprir os requisitos aplicáveis do PCI DSS.
Pagamentos offline
Os clientes da Mollie que utilizam dispositivos POS também têm algumas responsabilidades em garantir a segurança de seus sistemas e proteger tanto o hardware do terminal quanto os dados sensíveis processados.
Aceitar e instalar Atualizações de Software Enviadas para os Terminais
A Mollie espera que os Comerciantes aceitem atualizações de software e correções de vulnerabilidades quando são enviadas para os terminais e que não posterguem desnecessariamente essas atualizações.
Segurança de Rede
Você deve garantir que a sua infraestrutura de rede está segura com firewalls e sistemas de detecção de intrusões (se aplicável). Além disso, você é responsável por proteger seus sistemas de integração com a Mollie para protegê-los de adulterações.
Medidas de Segurança Física
Você deve implementar medidas de segurança física para proteger os dispositivos POS contra roubo, manipulação ou acesso não autorizado. Isso pode incluir a instalação de câmeras de segurança, o uso de armários, e a restrição de acesso a áreas onde os dispositivos POS estão localizados.
Treinamento de Funcionários
Você deve fornecer treinamento de segurança regular para seus funcionários que lidam e usam dispositivos POS. O treinamento deve cobrir tópicos como phishing, skimming e conscientização sobre substituições, conforme descrito nas diretrizes vinculadas abaixo.
Verifique a Identidade de Pessoas de Terceiros ou Solicitações de Conexão Remota
Antes de conceder acesso para modificar ou solucionar problemas de seus dispositivos, você deve primeiro verificar a identidade de qualquer pessoa de terceiros (que alegue ser pessoal de reparo ou manutenção) que se apresente pessoalmente em seu local de negócios ou tente se conectar remotamente com você ou seu terminal online.
Mantenha uma Lista Atualizada de Dispositivos
Quando você receber seu dispositivo POS da Mollie, verifique seu painel de comerciante ou fatura para validar se recebeu o dispositivo correto antes de usá-lo. Você pode acompanhar seus dispositivos em seu próprio inventário, como uma planilha, ou usar o painel de comerciante da Mollie.
Inspeção Periódica de Dispositivos
Como exigido pelo PCI DSS, você deve inspecionar periodicamente seus dispositivos POS para garantir que eles estejam protegidos contra adulterações e substituições não autorizadas.
Preparamos uma lista de verificação de amostra para inspeção de dispositivos para facilitar a inspeção periódica de dispositivos. Fique à vontade para baixar este documento usando o link abaixo: