Pagamentos com cartão: empresas devem reforçar segurança digital contra acessos e vazamentos.
Com R$ 4,1 trilhões movimentados em 2024, o setor de cartões e pagamentos eletrônicos no Brasil terá novas regras de segurança a partir de 1º de abril para proteger dados de 45,7 bilhões de transações.
Anunciado em 2022, o PCI DSS 4.0 traz 63 novos requisitos de segurança, com prazos de implementação de 13 requisitos em março de 2024 e 51 requisitos em março de 2025. Com o prazo final do PCI DSS 4.0 em 31 de março se aproximando, empresas de cartão precisam urgentemente revisar sua segurança digital para evitar acessos indevidos e proteger dados sensíveis, o que inclui atualização de sistemas, políticas e treinamento de equipes.
Desenvolvido há 25 anos pelo PCI Council, uma organização global sem fins lucrativos, este padrão de segurança realiza avaliações para aprimorar as normas estabelecidas por Visa, Mastercard, American Express, Discover e JCB. Essa governança independente define os requisitos de cada nova versão do padrão, com o objetivo de identificar e neutralizar fragilidades que possam facilitar fraudes e golpes.
A Abecs (Associação Brasileira das Empresas de Cartões de Crédito e Serviços) informa que está acompanhando de perto a implementação dos novos requisitos de segurança (PCI DSS 4.0, com prazo final em 31 de março de 2025) por meio do seu Fórum de Segurança e Prevenção a Fraudes. A principal mudança nesse cenário impacta as instituições de pagamento, com foco em questões relacionadas à segurança da informação.
Isso implica que a necessidade de cumprir os novos padrões de segurança (PCI DSS 4.0) se estende a todas as entidades que armazenam, processam ou transmitem informações de cartão. A lista inclui desde empresas de serviços financeiros tradicionais, como bancos emissores e adquirentes, até os diversos fornecedores de soluções que compõem o ecossistema de pagamentos, como sub-credenciadoras (facilitadoras, marketplaces, operadores de carteiras digitais) e processadores de cartão.
Embora complexo, algumas grandes empresas varejistas buscam a certificação PCI DSS 4.0 para ter controle direto sobre dados sensíveis. Outras, porém, optam por armazenar essas informações em “cofres” seguros oferecidos por adquirentes como a Adyen. A fintech holandesa, que atende grandes nomes como Arcos Dourados, Amazon, C&A, iFood, Renner, Uber, 99 e Magazine Luiza, afirma ter sido uma das primeiras a alcançar a compatibilidade com o PCI DSS v4.0 ainda em 2024, antecipando o prazo final de 31 de março de 2025.
O que muda a partir de abril
As mudanças que entram em vigor em abril visam aprimorar a segurança de pagamentos online. Uma das principais é a proteção dos scripts (códigos) das páginas de pagamento que rodam no navegador do cliente. Além disso, conforme explica Umeda da Visa do Brasil, haverá uma evolução nos requisitos de autenticação, tanto para senhas quanto para os múltiplos fatores (token ou biometria) usados para acessar informações de cartão.
Wagner Elias, CEO da Conviso, empresa especializada em segurança de aplicações, destaca que as novas regras de segurança, a serem implementadas a partir de abril, trarão como novidades importantes a criptografia na transmissão e no armazenamento de dados, bem como o monitoramento constante para detectar acessos e atividades incomuns. “Por exemplo, um e-commerce precisará garantir que os dados dos clientes sejam criptografados de ponta a ponta e que apenas usuários autorizados tenham acesso às informações sensíveis”, complementa Elias.
As regras de segurança que entram em vigor em abril também focam no processamento de transações em nuvem, realizado por terceiros como a AWS, a plataforma de nuvem da Amazon. Nesse sentido, o novo padrão exigirá que essas empresas implementem medidas de proteção contra ataques cibernéticos comuns, como phishing e ransomware, software malicioso que sequestra dados e exige pagamento para sua liberação.
Wagner Elias, da Conviso, observa que muitas empresas ainda adotam uma abordagem reativa em relação à segurança, preocupando-se apenas após a ocorrência de um ataque, o que pode gerar prejuízos financeiros e danos à reputação da organização. Em sua análise, com a proximidade das novas regras (a partir de abril), “não é mais uma questão de “se adaptar quando for necessário”, mas de agir preventivamente para construir um ambiente de pagamentos mais seguro e confiável”.
