Segurança
Medo das conseqüências de perda de dados gera adoção do PCI
Responsável pelo conselho do padrão de segurança exigido pelas operadoras de cartões de crédito falou sobre os desafios da norma.
Por Vinicius Cherobino, do COMPUTERWORLD
O PCI DSS é um padrão de segurança idealizado pelas operadoras
de cartões de pagamento (crédito e débito).
Na prática, ele define 12 passos que querem garantir que os dados bancários dos clientes fiquem protegidos em todo o ecossistema de empresas - de pequenas farmácias até complexas redes varejistas -, mas também durante a sua transmissão através das várias áreas de tecnologia envolvidas.
Os passos vão de modificações simples como a adoção de firewalls e criptografia, mas também envolvem mudanças culturais e melhoria de equipamentos.
Desde a sua criação - o PCI teve um conselho oficial estabelecido em 2006 - ele causou polêmica. Por ser uma demanda das operadoras, vários países reclamaram, em especial nos Estados Unidos, por conta dos custos de implementação e das mudanças estruturais.
Bob Russo, gerente geral do conselho mundial sobre PCI DSS, conversou com o COMPUTERWORLD por e-mail. Ele falou sobre as dificuldades na iimplementação do padrão, as mudanças da nova versão e sobre o futuro da proteção dos dados financeiros. Confira!
1) O PCI gerou muita controvérsia e diversas empresas se posicionaram contra o padrão. O debate contra o PCI acabou?
Agora, em 2008, estamos aumentando a segurança em cartões de pagamentos com a introdução de novos padrões de proteção relacionados e de uma versão atualizada do PCI DSS 1.2 (que está previsto para sair em outubro).
Durante todo este período, vimos um crescimento global na adoção do padrão. Várias organizações começaram a usar as melhores práticas e as políticas de segurança de dados como uma postura que vai além de atender obrigações contratuais.
2) Além do aumento em segurança, qual é a maior conseqüência trazida pelo PCI?
Acho que as organizações estão começando a mudar a maneira que
olham a segurança. A conscientização e a responsabilidade deixaram de ser
apenas do departamento de TI para chegar ao time executivo. Os CEOs e os
conselhos estão, agora, assumindo o compromisso de proteger os dados dos
clientes contra vazamentos.
