Início Para trás New search Date Min Max Aeronáutica Setor Automóvel Corporativo Cibersegurança Defesa e Segurança Financeiro Saúde Indústria Sistemas inteligentes de transporte Serviços públicos digitais Serviços Espaço Blog Turismo e destinos inteligentes Devo cumprir a PCI DSS e PSD2? 19/08/2022 Imprimir Partilhar Se o seu negócio, Hotel, OTA, restaurante, agência de viagem... armazena, trata ou transmite dados críticos de cartões de pagamento, então deve cumprir a PCI DSS/PSD2, independentemente do tamanho da sua empresa. Se não tratar nem armazenar dados de cartões, mas utilizar passarelas de pagamentos de terceiros, também é muito provável que deva aderir ao cumprimento desta norma. O que é a PCI DSS? A Payment Card Industry Data Security Standard (PCI DSS) é a norma global de proteção de dados em indústrias que lidam com cartões de pagamento de crédito ou débito e o seu objetivo principal é assegurar que todas as empresas possuem um nível básico mínimo de segurança que protege os dados dos titulares dos cartões. Consideram-se dados críticos a proteger: PAN, nome do titular do cartão, data de expiração, código de serviço, dados de banda magnética ou o seu equivalente em chip, CAV2, CVC2, CVV2, CID, número de identificação pessoal e blocos de PIN. O que é a PSD2? Os regulamentos de PCI DSS foram descritos em 2006 e embora, na atualidade, já vão na versão 4 (primeiro trimestre de 2022), era necessário adaptá-los a novos sistemas de segurança. Assim em 2019, entrou em vigor a Diretiva de serviços de pagamento 2 (PSD2) que se aplica a qualquer empresa que possa interagir com clientes europeus. A PSD2 inclui pautas melhoradas para pagamentos online e a gestão de dados confidenciais para reduzir o risco de roubo, fraude e infrações de segurança. A principal alteração é o requisito de autenticação forte de clientes (SCA) para transações online. Com a SCA, é necessário que os clientes proporcionem um segundo fator de autenticação, que pode ser um código PIN ou um código de verificação de SMS, antes de que se possa realizar o pagamento. O que implica a PSD2 para o seu negócio hoteleiro? Basicamente, significa que as transações iniciadas pelo hotel num momento em que o hóspede não está presente não cumprem os requisitos de PSD2. Os hóspedes devem poder concluir um passo de verificação de dois fatores para cada pagamento, como quando fazem a reserva ou quando realizam check-out, pelo que é possível que os hoteleiros devam modificar ou adaptar os seus processos de pagamento. Requisitos e Soluções A norma PCI DSS conta com mais de 290 controlos de segurança física, lógica e administrativa esquematizados em 6 metas ou objetivos que, por sua vez, se subdividem em 12 requisitos, da seguinte maneira: Níveis Além disso, existem diferentes níveis para estes requisitos dependendo da quantidade de transações anuais da empresa, agrupando-se em quatro níveis: Nível 1: mais de seis milhões de transações anuais Nível 2: entre um e seis milhões de transações anuais Nível 3: entre 20 000 e um milhão de transações anuais Nível 4: menos de 20 000 transações anuais Para os níveis 2, 3 e 4 existe uma ferramenta de autoavaliação: SAQ ou Self-Assessment Questionnaire para avaliar o cumprimento das empresas dos requisitos da norma PCI DSS. No entanto, para o nível 1, além de preencher este SAQ, é necessária uma "Avaliação Formal de Cumprimento" que evidencie de forma mais exaustiva cada requisito. A GMV é um Approved Scanning Vendor para realizar estas avaliações oficiais. Não hesite em contactar-nos se precisar de mais informação. Autor: Joan Antoni Malonda Imprimir Partilhar Comentários O seu nome Assunto Comente Sobre os formatos de texto HTML Restrito Etiquetas de HTML permitidas: <a href hreflang target> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id> As linhas e os parágrafos quebram automaticamente. Endereços de páginas Web e de e-mail transformam-se automaticamente em ligações.
