
Quais as vantagens de estar em conformidade com o PCI-DSS?
Por Alexandre Ramos*
Embora as principais respostas para o questionamento do título sejam bastante óbvias, tais como: exigência de entidade reguladora, diferencial competitivo de mercado, ou maior proteção dos dados de cartão. A verdade é que o padrão busca muito mais do que somente proteger o ecossistema de cartões de pagamento e sim, através de boas práticas desenvolver a maturidade de segurança de todos os atores envolvidos.
Para demonstrar essas vantagens, vamos apenas relembrar os 6 objetivos do padrão:

Como pode-se notar, todos os objetivos estão intrinsicamente ligados e se auto complementam, mas também aparentam tratar apenas de Segurança da Informação, porém ao olhar em profundidade para os requisitos identificamos outras disciplinas que podem se beneficiar quando os controles para atender ao requisito são implantados.
Continuidade de negócios.
O padrão exige que seja implantado um plano de resposta a Incidentes, com a definição, entre outros controles, de procedimentos de resposta para os principais incidentes, que, embora não sejam baseados em uma avaliação de impacto nos negócios, ou BIA da sigla em inglês, devem levar em consideração os riscos identificados no exercício anual avaliação de riscos.
Gestão de Riscos.
Embora tenha apenas dois requisitos tratando diretamente de riscos, o padrão é muito voltado para o tema. Não precisa dos dados? Não armazene! Expos um servidor? Teste e monitore-o! Essas e diversas outras premissas do padrão fazem dele uma verdadeira aula de gestão de riscos.
Privacidade.
Existem requisitos que exigem: uma política de retenção mínima e de descarte de dados do cartão que podem ser facilmente abstraídas para dados pessoais no contexto corporativo, assim como tornar ilegíveis os dados de cartão estão para a anonimização ou pseudonimização para a LGPD/GDPR; a aplicação do conceito de Kneed to Know, ou seja, somente deve ter acesso quem realmente o necessita.
Conformidade.
Os requisitos de gestão de provedores de serviço, realização de atividade por provedores autorizados, e avaliações periódicas independentes são pilares importantes nos programas de conformidade com quaisquer padrões ou regulamentações.
Estes exemplos mostram que o PCI-DSS é muito mais do que meramente uma sigla da moda que “pegou” ou mais um regulamento que se implementa “para inglês ver”, demonstrando que ele além de ser uma exigência para todos os envolvidos com pagamentos em cartão, pode ser um catalisador de várias iniciativas da Alta Gestão.
(*) Alexandre Ramos é consultor da AuditSafe especializado em Segurança Cibernética, Gestão de Riscos e Privacidade.