As fraudes com cartões de crédito e de débito em 2006 geraram prejuízo de US$ 7,9 bilhões em todo o mundo e a previsão para 2009 é que alcance US$ 15,5 bilhões, de acordo com estudo da Frost & Sullivan. No mesmo ano no Brasil, segundo a Febraban, o prejuízo com crimes virtuais chegou a R$ 300 milhões. Mas esse cenário deve começar a mudar com a implantação do PCI/ DSS (Payment Card Industry/Data Security Standard), padrão mundial que estabelece regras de segurança para pagamentos eletrônicos desenvolvido pelas principais bandeiras de cartão de crédito (Amex, Visa, Mastercard, JCB e Discover).
De acordo com Massillon Araujo, gerente de novos negócios da Unicert, especializada em segurança da informação, através de um documento estruturado e dinâmico, o PCI orienta as empresas como proceder para reduzir as vulnerabilidades na infra-estrutura, sistemas e processos para a comercialização de produtos e serviços que utilizam o cartão de crédito como meio de pagamento.
Ao todo, segundo ele, são 12 regras com o objetivo de desenvolver e manter uma rede segura, proteger dados de titulares de cartão, manter um programa de gerenciamento de vulnerabilidades, implementar medidas sólidas de controle de acesso, monitorar e testar regularmente as redes, e manter uma política de segurança das informações.
?O número do cartão, código de segurança (CVC2) e trilhas magnéticas precisam estar seguras em todos os níveis de pagamento: adquirentes, estabelecimentos, bancos e as próprias bandeiras. Ao estar protegido contra as ameaças, o estabelecimento minimiza perdas comerciais e maximiza retorno, aumentando a sua confiabilidade. Uma pesquisa da Javelin Research mostra que três quartos dos consumidores não continuariam a comprar com um comerciante que teve falha de segurança?, afirma Araujo,.
Ele cita como exemplo o caso das lojas de roupas e artigos de decoração americana TJX, proprietária da TK Maxx, que, devido a uma falha de segurança, teve roubados os dados de 45 milhões de cartões de crédito. Os fraudadores entraram no sistema de vários pontos dos EUA e Grã-Bretanha, durante 17 meses, e copiaram os dados dos clientes da TJX.
?O que aconteceu com a TJX, pode se repetir em qualquer outro estabelecimento no mundo que não tenha o seu sistema protegido e isso vale para ameaças externas quanto internas. Os requisitos são simples de serem aplicados e sua implementação no Brasil tem sido gradativa, tendo iniciado em 2006. Já a obrigatoriedade está prevista para a partir de 1 de janeiro de 2009 para todas as empresas que tem acesso aos dados de cartão de crédito do usuário?, afirma Araújo.
Segundo o especialista, é fundamental que as empresas verifiquem quais as não conformidades presentes em seus sistemas para que os ajustes sejam feitos. Os principais tópicos de não conformidade, explica Araújo, são guardar e transmitir informações sem criptografia, descartar mídias eletrônicas, controle interno ineficiente, falta de um plano de contingência, de testes e backup.
