Comemorando um ano de existência no Brasil, a PCI Secutity Standard Council realizou o primeiro evento da entidade na região da América Latina, no último dia 9, em São Paulo, onde foi debatida as perspectivas para a região, o cenário atual da perícia forense e a troca de informações sobre crimes na região envolvendo a indústria de cartões de pagamento.
Para Carlos Caetano, líder da PCI Brasil, objetivo foi levar informações sobre para as empresas, além do sistema financeiro que já adota o padrão, como o segmento de comércio eletrônico e fintechs, mercados de crescimento exponencial. Também estimular os profissionais na obtenção das certificações para atuar no setor.
O Brasil é um dos mais importantes mercados do mundo para uso do padrão PCI-DSS (Payment Card Industry – Data Security Standard), com 12,3 bilhões de transações em 2016 (débito e crédito) e, recentemente, atingiu o segundo lugar em ciberataques.
A certificação PCI é que um conjunto de regras para gerar mais proteção nas transações via internet e também em lojas físicas. Elas devem sempre ser realizadas em ambiente totalmente seguro, acompanhadas por certificados digitais, como TLS 1.1 ou superior. Hoje, a versão atual é PCI-DSS 3.2, que é periodicamente revisada. "A próxima versão prevista para 2018 deverá entrar em discussão daqui a algumas semanas", explica Caetano.
Outra novidade que está impulsionando o mercado consultoria e implementação do PCI é a determinação da IATA, órgão regulador da indústria de viagens e turismo, que começou em 1.° de junho de 2017, como condição obrigatória para as agências de viagens obterem e manterem o credenciamento como um agente IATA, em todas as lojas que processam transações de cartões de crédito. As agências de viagens terão 3 anos de prazo para se enquadrarem nas normas, abrindo um mercado para prestadores de serviços e treinamento exigidos para certificação.
André Uchôa, Chief Enterprise Architect da VTEX, empresa brasileira de cloud commerce, aposta no PCI Compliance como uma boa opção. "É preciso elaborar um plano de análise para determinar a eficiência dessas ferramentas e propor melhorias constantes para estar sempre à frente das ameaças. Além disso, adotar soluções como firewall, proteção anti-DDos e TLS/SSL para os tipos mais comuns de fraudes."
A Kroll, umas das gigantes do setor risco e investigação corporativa, criou no Brasil um área para investir no mercado latino-americano de PCI, com dois especialistas homologados e outros dois em processo de certificação, para oferecer serviços de auditorias anuais de QSA (qualidied security assessor) preparando as empresas para se qualificarem ao padrão PCI. Também oferece serviços forenses para realizar investigações determinadas pelo Conselho de Normas de Segurança PCI em casos de violações de dados ou antes de uma ação judicial; e serviços de treinamento e consultoria, para que as empresas possam reforçar a segurança, sistemas e práticas de processamento de pagamentos.
A HPE Security também esteve no evento para apresentar suas soluções de Data Security da Voltage, empresa adquirida em 2015, que fornece criptografia e tokenização de dados estruturados e desestruturados e permite uma conformidade PCI de modo econômico, redução de escopo e análises seguras.