À medida que a pandemia do COVID-19 continua se espalhando por todo o mundo, as empresas que desejam manter as operações comerciais e cumprir as novas regulamentações do governo relativas ao movimento de indivíduos adotaram amplamente modelos de home office.
Embora para certos tipos de trabalhos e setores isso não represente grandes problemas, outros enfrentam o perigo de não conformidade com os regulamentos de proteção de dados e os padrões do setor.]
O PCI DSS (sigla em inglês para Padrão de segurança de dados da indústria de cartões de pagamento) é considerado um obstáculo ao trabalho remoto, pois é difícil alcançar a conformidade em um ambiente não controlado, como a casa de um funcionário.
O que é o PCI DSS
O PCI DSS é um conjunto de 12 requisitos de segurança que ajudam as empresas a proteger seus sistemas de pagamento contra violações, fraudes e roubo de dados do titular do cartão.
Eles incluem, entre outros, a necessidade de implementar fortes medidas de controle de acesso, proteger os dados do titular do cartão e manter uma política de segurança da informação.
Embora não seja juridicamente vinculativo, o PCI DSS foi adotado globalmente como padrão geral pelas instituições financeiras, principalmente os bancos, e é necessário para todas as empresas que processam, armazenam ou transmitem informações de cartão de crédito dos maiores esquemas de cartões do mundo: American Express, Discover, JCB, MasterCard e Visa.
O descumprimento tem um preço alto: as organizações enfrentam multas de até US$ 100.000 ao mês, aumentam as taxas de transação e correm o risco de encerrar seu relacionamento com o banco.
Pior ainda, eles podem se encontrar na temida lista MATCH (Alerta do comerciante para controlar o alto risco), que garantirá que eles nunca mais poderão processar pagamentos com cartão novamente.
Práticas para conformidade com PCI DSS durante a pandemia do COVID-19
O PCI Security Standards Council reconheceu as circunstâncias extraordinárias que as empresas em todo o mundo enfrentam atualmente e emitiu orientações para o home office, enfatizando a necessidade de manter práticas de segurança para proteger os dados dos cartões de pagamento no momento.
Essas práticas recomendadas, no entanto, não substituem os requisitos do PCI DSS, mas destinam-se a apoiar as empresas a cumprirem a conformidade enquanto seus funcionários trabalham em casa.
De acordo com as orientações, uma das melhores maneiras de garantir a conformidade contínua é criar e manter uma cultura de segurança dentro da organização.
Isso pode ser alcançado por meio de um programa de conscientização de segurança que informa os funcionários sobre as políticas e procedimentos de uma empresa e os ajuda a entender sua importância, tanto para segurança quanto para a conformidade dos dados.
Se as empresas eram compatíveis com o PCI DSS antes da crise de saúde em andamento, elas já deveriam ter um programa em vigor, pois faz parte do Requisito 12.6 do PCI DSS.
No caso do trabalho remoto, aumenta a necessidade de informar e educar os funcionários: eles devem estar cientes dos riscos decorrentes do trabalho em casa com a conformidade com o PCI DSS e o que precisam fazer para garantir a segurança contínua dos sistemas, processos e equipamento de suporte ao processamento de dados do cartão de pagamento.
Embora isso possa ser um desafio fora do escritório, os funcionários devem saber que o requisito mais essencial é que qualquer sistema usado para processar os dados da conta seja mantido com segurança e não seja acessível a qualquer indivíduo não autorizado.
Isso significa proteção contra interferências externas e qualquer descuido por parte dos próprios funcionários e bloqueio ao acesso físico no local onde o trabalho é realizado. Os funcionários devem, portanto, manter um espaço de escritório em casa onde outros membros da família não possam entrar.
Proteger processos
O espaço físico em que um funcionário trabalha remotamente e processa os pagamentos com cartão deve ser efetivamente monitorado e o acesso a ele controlado o tempo todo.
Bloquear um espaço de escritório em casa é uma maneira pelos quais os funcionários podem impedir o acesso físico a qualquer sistema que processe dados da conta.
No entanto, também é essencial que processos de autenticação multifatorial sejam implementados para garantir que, se alguém obtiver acesso físico ao espaço do escritório em casa, ele ainda não conseguirá acessar os dados da conta.
A transferência de dados também pode ser controlada por meio das ferramentas de prevenção contra perda de dados (DLP), que permitem às empresas monitorar transferências de informações de cartão de crédito por meio de políticas predefinidas e bloquear sua transferência por pontos de saída inseguros, como serviços de compartilhamento de arquivos ou aplicativos de mensagens instantâneas, para os quais os funcionários podem ficar tentados use enquanto trabalha remotamente.
Todos os dados da conta impressa também devem ser armazenados com segurança, de preferência com fechadura e chave e fragmentados ou destruídos quando não forem mais necessários.
Limitar a exposição de dados
Os funcionários devem usar apenas hardware aprovado pela empresa: laptops, telefones ou dispositivos removíveis.
Desta forma, as empresas podem manter o controle dos sistemas e da tecnologia que suporta o processamento de pagamentos.
As organizações podem garantir que nenhum dispositivo não autorizado esteja conectado aos computadores de trabalho pela aplicação de políticas de controle de dispositivo DLP no terminal que limita ou bloqueia totalmente as portas USB e periféricas, independentemente de um dispositivo estar online ou não.
Também é recomendável que todos os computadores da empresa usados remotamente tenham firewalls atualizados, soluções antivírus corporativas e patches de segurança instalados. Esses controles de segurança precisam ser configurados de forma que os usuários não possam desativá-los.
Gostou deste conteúdo? Leia mais artigos relacionados em nosso blog.