A partir de 30 de abril, os dispositivos para transações eletrônicas, como teclados para digitação de senhas, leitores de cartões com chip em caixas eletrônicos e terminais ponto de venda (PoS), ganharão um novo padrão de segurança de dados do Payment Card Industry (PCI). Trata-se do Transaction Security Pin (PTS) DSS, número de identificação pessoal baseado em um conjunto de requisitos de segurança que deve obrigatoriamente ser seguido por toda organização que manipula informações de cartões de pagamento (crédito ou débito).
A informação foi dada pelo gerente geral do PCI Security Standards Council, Bob Russo, durante coletiva de imprensa, realizada nesta quarta-feira, em São Paulo, para falar sobre o padrão PCI. No encontro, ele adiantou também que o Brasil foi um dos países escolhidos pelo conselho para sediar um dos dois novos laboratórios de análise de fraudes em dispositivos financeiros, que a entidade pretende certificar até o fim deste ano – embora nenhuma empresa ou entidade do país tenham manifestado até agora interesse em montar o laboratório.
Segundo Russo, após a finalização do padrão, as empresas que manipulam informações de cartões por meio de dispositivos eletrônicos terão o período de um ano para se adequar às novas normas. Além disso, ele adiantou que até o fim de outubro o PCI lançará a nova versão do padrão de segurança para transações financeiras, o PCI DSS 1.3.
O executivo observou que esses padrões são necessários para aumentar a segurança no mercado de meios de pagamento, uma vez que as organizações criminosas estão cada vez mais eficazes na quebra da segurança dos dispositivos. Ele adnitiu que ainda existem brechas que devem ser fechadas.
Russo explicou que a principal barreira para adoção de padrões de segurança da PCI são os custos envolvidos. Segundo ele, as empresas ainda veem os investimentos em segurança de dados como uma despesa. "Não percebem o retorno sobre o que foi investido", observou. Ele disse que os custos que as empresas podem ter para se adaptar às normas de segurança podem ficar na casa dos milhões de dólares, no caso de sistemas complexos ou ultrapassados.
Entretanto, salientou que no caso de ocorrer uma brecha na segurança, os gastos podem chegar até 20 vezes o valor para obter a conformidade com o padrão.
Unidade brasileira
Atualmente, a PCI Security Standards conta com oito laboratórios de testes de segurança espalhados pelo mundo, mas pretende ampliar este número com mais duas novas unidades ainda neste ano, sendo uma no Brasil. "Estamos procurando oportunidades no país. Não é certeza que será concretizada, mas a ideia é conseguir obter um laboratório de testes no Brasil ainda neste ano", disse Russo.
Ele frisou que o Brasil é um dos cinco mercados-alvo para a PCI Security Standards e que está nos planos da entidade há dois anos. Ao observar que o país tem bons sistemas de segurança de dados no segmento financeiro, Russo disse que no Brasil 50% das companhias classificadas como nível 1 – que realizam mais de 6 milhões de transações de cartão de crédito por ano com uma bandeira – já estão em fase avançada de adoção do PCI DSS.
- Meio de pagamento