A RSA, divisão de segurança da EMC, fornecedora de soluções de gerenciamento e armazenamento de informação, divulgou nesta quarta-feira (28/5) os resultados de uma pesquisa sobre o estado da segurança dos dados de cartões de crédito na América Latina ? e os planos das empresas envolvidas com transações de pagamentos no que diz respeito às medidas de proteção de novos dados.
Ao contrário da pesquisa conduzida pela RSA nos Estados Unidos no ano passado, um número significativo de empresas ainda está por implementar os mecanismos básicos de segurança de informação. O dado animador é que, embora apenas metade das companhias pesquisadas tenha conhecimento do PCI DSS, o padrão de segurança de dados de cartões, a maioria delas já tomou medidas para alcançar os requerimentos do Conselho de Padrões de Segurança PCI, órgão independente que administra o padrão de segurança de dados da indústria de cartões de pagamento. Muitas, inclusive, dizem estar preparadas para cumpri-los inteiramente até o fim deste ano.
O armazenamento de todos os dados encontrados no cartão de crédito cria um nível elevado de risco, já que essas informações, em sua totalidade, podem ser usadas para criar cartões de credito falsos. Uma vez que uma transação é autorizada, o PCI DSS proíbe a armazenagem dos dados-chave de autenticação, inclusive dos dados completos da fita magnética, do número de identificação pessoal (PIN) e o número de três dígitos localizado no final do número do cartão (CVV), impresso no verso do cartão.
De acordo com a RSA, a maioria das empresas entrevistadas (81%) segue o padrão PCI e não armazena os dados completos de fita magnética, e um pouco mais (83%) nunca armazenou códigos CVV. Isso contrasta com os resultados de um estudo similar conduzido nos Estados Unidos em 2007, que revelou resultados completamente diferentes.
As empresas na América Latina identificaram quais sistemas dentro de suas redes armazenam, processam ou transmitem dados de cartão de crédito. Os resultados mostraram uma extensão dos dados de cartão de crédito através de muitas camadas da infra-estrutura da informação, criando o potencial para desvios e perda de dados. Elas declararam que os locais mais comuns para o arquivamento de dados de cartão de crédito são, pela ordem, base de dados (37%), aplicações internas (34%), sistemas de ponto-de-venda (24%), sistemas de armazenamento (21%), arquivos e pastas nos servidores (12%), documentos não estruturados, tais como planilhas eletrônicas (12%) e email (9%).
O levantamento mostra, ainda, que apenas a metade das empresas implementou tecnologias básicas de segurança para cartão de crédito. Apenas 46% codificaram os dados armazenados de cartão de crédito e 49% não codificaram de maneira alguma. Quando perguntadas se rastreiam ou monitoram todos os acessos aos sistemas dentro de seu ambiente, as respostas se dividiram (48% em cada caso), indicando que quase a metade das organizações representada no estudo tem conhecimento limitado sobre quem tem acesso a essa informação crítica.
A pesquisa mostrou também que a maioria das empresas (60%) segue as melhores práticas ao permitir acesso a informação de cartão de crédito apenas entre uma e dez pessoas no total. Outros 20% relatam que suas organizações permitem tais acessos entre 10 e 100 empregados ? e 15% indicaram que esse acesso é fornecido para mais de 100 indivíduos. Apesar das melhores práticas mostrarem que os dados de cartão de crédito são mais seguros quanto menos pessoas tenham acesso a eles, algumas empresas requerem que mais pessoas tenham acesso de acordo com o tamanho de suas operações.
Ao mesmo tempo em que o estudo indica que cerca da metade (47%) das empresas entrevistadas tem em funcionamento essa política de dados de cartão de crédito, mostrou também que mesma quantidade não tem qualquer tipo de política.
Enquanto os prazos finais para o cumprimento do PCI ? e multas pelo não cumprimento ? ainda não foram amplamente reforçados na América Latina, os prazos finais passaram em outras partes do mundo, onde empresas latino-americanas realizam negócios. Somente metade das empresas na América Latina (47%) tinha conhecimento do padrão e um pouco mais (48%) não o conhecia de forma alguma.
Daquelas que têm conhecimento do PCI DSS, a grande maioria (74%) respondeu que tomaram precauções para cumprir os requerimentos, mas algumas (18%) ainda não tinham tomado nenhuma providência. Mais de um terço (35%) estavam na frente na curva, ou seja, já cumpriram ou esperam cumprir dentro dos seis meses. Um quarto (25%) antecipou o cumprimento em 6 e 12 meses e um número um pouco menor (17%) espera cumprir dentro dos próximos um ou dois anos. Um pequeno grupo de companhias entrevistadas (16%) não tem previsão em curso.
