Por Vinicius Cherobino, do COMPUTERWORLD

3) Como está a adoção do PCI em outros países além dos EUA? Aqui, no Brasil, a segurança nas redes de varejo está em situação ainda pior do que nos EUA. Existe alguma forma para encorajar a adoção do padrão?

Estamos recebendo um apoio impressionante de todas as partes do globo, tanto para o conselho quanto para o nosso objetivo de aumentar a conscientização e adoção do PCI.

Diariamente, temos novas empresas de várias partes do mundo se cadastrando no conselho.

Ainda que a possibilidade de multas paire sobre as empresas que não atendem ao padrão, estamos vendo cada vez mais a adoção do PCI ser motivada pelo risco. A marca da organização, processos legais ou queda da confiança dos clientes na empresa podem ocorrer no caso de roubo dos dados.

Além disso, clientes continuar a associar as fraudes com cartões de pagamentos com o roubo de identidade. Ainda que não seja a mesma coisa, o fato dos clientes não diferenciarem os dois crimes pode ter um efeito punitivo nos comerciantes que não atenderem ao padrão. Eles podem deixar de comprar nessas empresas, seja pela internet ou mesmo indo até a loja pessoalmente.

4) Qual das fases do PCI DSS (Segurança de redes, proteção aos dados do cliente, gestão das vulnerabilidades, reforçar o controle de acesso, teste e monitoramento de redes e manutenção da política de segurança) está causando mais dificuldades para os clientes?

O nosso objetivo é minimizar os desafios em qualquer um desses momentos. No ano passado, lançamos ferramentas que as empresas podem usar para simplificar a adoção do PCI:

• O questionário de auto-avaliação (self assessment) ajuda as empresas a entenderem os riscos de uma maneira mais clara; para que empresas menores que não tenham a necessidade de ter análise de terceiros para proteger os dados de pagamentos por cartões.
• Nós formalizamos as listas de aprovação e os documentos para os requerimentos de segurança dos PIN entry device (PED - dispositivos que recebem o número pessoal de identificação). Com isso, os fornecedores e comerciantes vão reduzir os custos e apoiar a proliferação de um grupo maior de produtos PED, melhorando a segurança da organização.
• O conselho está desenvolvendo um programa para garantir a qualidade dos consultores e das consultorias que ajudam as empresas a tentar a certificação.  Este programa de qualidade é crítico para garantir que os usuários finais serão tratados de maneira justa e consistente, além de provar que os consultores estão reforçando os programas de treinamento do conselho.
• Nós anunciamos recentemente a primeira versão do payment application data security standards (PA-DSS).  Este programa é essencial para empresas de todos os tamanho que confiam em softwares de terceiros para processar e transmitir os dados de pagamentos via cartões.

Todas estas ferramentas representam a nossa tentativa sincera de facilitar o processo de adoção e validação do PCI. Isso tudo é parte do esforço de aumentar a segurança dos dados no mundo inteiro.