Segurança de dados para empresas de cartões de crédito e de processamento de pagamentos
As empresas de cartões de crédito e processamento de pagamentos, como seu próprio nome sugere, trabalham diariamente com informações sensíveis do titular do cartão de crédito e, como consequência, estão sujeitas a rigorosas exigências de conformidade de segurança de dados. A principal delas é o Padrão de Segurança de Dados da Indústria de Pagamento com Cartão (PCI DSS), que foi adotado por instituições financeiras em todo o mundo como um padrão geral para ajudar a proteger os sistemas de pagamento contra violações, fraudes e roubo de dados do titular do cartão.
Requisitos de conformidade de dados
O PCI DSS é um padrão internacional de segurança de informação proprietário desenvolvido pelo PCI Security Standards Council para organizações que lidam com informações dos titulares de cartões para os maiores esquemas de cartões do mundo: American Express, Discover, JCB, MasterCard, e Visa. Todas as empresas que desejam aceitar pagamentos com cartão por telefone, pessoalmente ou on-line devem estar em conformidade com o PCI DSS.
As organizações consideradas não-conformes com os requisitos do PCI DSS enfrentam multas de até $100.000/mês e taxas de transação aumentadas. Elas também podem ter sua relação com seu banco permanentemente encerrada e acabar na lista de Merchant Alert to Control High-Risk (MATCH), o que significa que nunca mais teriam permissão para processar pagamentos com cartão novamente.
Como tal, o cumprimento do PCI DSS é fundamental para empresas de cartões de crédito e processamento de pagamentos, mas não é o único padrão que elas precisam cumprir. Juntamente com as informações do titular do cartão, elas também coletam grandes quantidades de Informações de Identificação Pessoal (PII), incluindo nomes, endereços e números de telefone, que são protegidas pelas leis de proteção de dados, tais como o Regulamento Geral de Proteção de Dados da UE (GDPR), LGPD no Brasil, e a Lei de Privacidade do Consumidor da Califórnia (CCPA).
Portanto, a segurança dos dados não é apenas uma preocupação passageira para as empresas de cartões de crédito e processamento de pagamentos, mas um aspecto vital de seus negócios. De acordo com a IBM e o Relatório de Quebra de Dados 2021 do Ponemon Institute, o setor financeiro ao qual pertencem as empresas de cartões de crédito e processamento de pagamentos, tem o segundo maior custo de quebra de dados de qualquer indústria: US$ 5,72 milhões por violação de dados, sendo a perda de negócios o maior fator de custo contribuinte. Então, como as empresas de cartões de crédito e processamento de pagamentos podem proteger melhor seus dados e evitar tais perdas? Vamos dar uma olhada mais de perto.
Enfrentar as ameaças internas
A cibersegurança é constantemente equiparada à necessidade de proteger as redes da empresa contra ameaças externas. Entretanto, embora a proteção de dados e sistemas contra ciberataques seja uma parte importante de qualquer esforço de segurança cibernética, as empresas de cartões de crédito e processamento de pagamentos não devem negligenciar o segundo fator que mais contribui para as violações de dados: os próprios funcionários. Seja por negligência ou intenção maliciosa, as ameaças internas são uma das maiores causas de vazamento de dados.
As empresas de cartões de crédito e processamento de pagamentos podem usar soluções de prevenção contra perda de dados (DLP) para proteger os dados contra ameaças internas sem afetar negativamente a produtividade dos funcionários. Usando perfis pré-definidos para dados protegidos por leis e normas como PCI DSS e GDPR, mas também permitindo definições personalizadas, as soluções DLP identificam, monitoram e controlam dados sensíveis.
Usando varredura contextual e inspeção de conteúdo, elas podem identificar informações do titular do cartão, PII e qualquer outro tipo de dados definidos como sensíveis em centenas de tipos de arquivos, monitorá-los e bloquear ou limitar sua transferência. Soluções DLP com alto nível de granularidade, como o Endpoint Protector, permitem que as políticas DLP sejam aplicadas a determinados departamentos, grupos, indivíduos ou computadores, dependendo de seu nível de acesso às informações sensíveis.
Restringir o acesso a dados sensíveis
As empresas que precisam cumprir com o PCI DSS devem restringir o acesso a dados sensíveis com base na necessidade de conhecimento. Isto significa que somente funcionários autorizados devem ter acesso a informações sensíveis e, mesmo assim, só devem acessá-las quando for necessário para completar tarefas.
As varreduras de descoberta de conteúdo DLP podem ajudar as empresas de cartões de crédito e processamento de pagamentos a garantir que esta exigência seja atendida. As organizações podem usar ferramentas de DLP para procurar dados sensíveis armazenados localmente nos computadores de seus funcionários em toda a rede da empresa e apagá-los ou encriptá-los quando encontrados em locais não autorizados.
Bloquear ou limitar o uso de dispositivos removíveis
Os dispositivos removíveis são outro ponto comum de saída de dados. Quando se trata de empresas de cartões de crédito e processamento de pagamentos que coletam, processam e arquivam grandes quantidades de dados sensíveis, o uso de dispositivos removíveis pelos funcionários pode ser um risco de alta segurança.
As empresas podem usar soluções DLP para bloquear o uso de portas USB e periféricas, assim como conexões Bluetooth ou limitar seu uso a dispositivos aprovados. Desta forma, as organizações podem controlar o nível de segurança dos dispositivos conectados aos computadores de trabalho, mas também identificar facilmente qual funcionário usou um dispositivo removível em que momento. Assim, as empresas podem identificar quaisquer tentativas potenciais de roubo de dados por funcionários maliciosos.
