O Conselho de Padrões de Segurança PCI, órgão que administra o padrão de segurança de dados da indústria de cartões de pagamento (PCI-DSS), anunciou nesta quarta-feira (7/11) que está acrescentando um novo padrão para aplicativos de pagamento. O novo padrão, chamado Payment Application Data Security Standard (PA-DSS, na sigla em inglês, ou padrão de segurança de dados para aplicativos de pagamento) baseia-se nos melhores aplicativos de pagamento da Visa (PABP).
Uma versão preliminar do padrão foi distribuída ao conselho consultor do PCI, às empresas participantes, aos avaliadores de segurança qualificados e aos fornecedores de digitalização para que forneçam um feedback sobre o padrão. O conselho vai incorporar as sugestões que forem aceitas e divulgar uma versão final do PA-DSS, prevista para o primeiro trimestre de 2008.
A Visa criou o PABP para que os fornecedores de software e desenvolvedores de aplicativos de pagamento seguro não armazenem dados proibidos, tais como tarja magnética completa, dados do número de identificação pessoal (PIN) e o número de três dígitos localizado no final do número do cartão (CVV2), impresso no verso. Aplicativos criados internamente por estabelecimentos, porém, não estão sujeitos ao PA-DSS.
Cerca de 200 produtos usados por um grande número de estabelecimentos em todo o mundo já foram validados com o PABP da Visa, número que deve continuar aumentando quando o conselho adotar o PA-DSS. Os aplicativos de pagamento que aderirem ao PA-DSS, segundo o órgão, reduzirão as possibilidades de quebra de segurança e, consequentemente, de fraude.
"Tendo o PA-DSS gerenciado pelo conselho, vamos garantir que os provedores de aplicativos de pagamento e seus produtos estejam em conformidade com os requisitos de segurança de dados do PA-DSS ", disse Bob Russo, gerente-geral do Conselho de Padrões de Segurança PCI. "Como os criminosos estão se tornando mais sofisticados e como nossos membros estão conscientes das vulnerabilidades do aplicativo de pagamento, precisamos garantir que todos os componentes do processo de pagamento estejam sujeitos a padrões rigorosos que têm o suporte de todas as marcas de cartão de pagamento globais com um único objetivo em mente: proteger os dados do portador do cartão e combater a fraude."
Os fornecedores de aplicativos de pagamento são estimulados a se unir ao PCI como organizações participantes e fornecer feedback sobre o PA-DSS, que tem o endosso de todas as cinco marcas de cartão de pagamento globais: American Express, Discover Financial Services, JCB, MasterCard Worldwide e Visa.
