Certificação PCI-DSS

Certificação PCI-DSS

Para uma melhor organização e foco, o PCI Council determinou níveis (Tiers) entre estas empresas, assim os categorizando:

Tier 1 – Adquirentes e empresas que processam acima de 6 milhões de transações por ano;

Tier 2 – Empresas que processam entre 1 milhão e 6 milhões de transações por ano;

Tier 3 – Gateways e arranjadores de pagamento que cumpram a regra de 300 mil transações de Mastercard ou 1 milhão de transações VISA por ano;

Tier 4 – Empresas que transacionam menos de 1 milhão de transações por ano.


Para as Tier 1 é exigida a certificação; para as Tier 2, a certificação é recomendada e monitorada; e para as Tier 3, acima dos limites mencionados, também, a certificação é exigida; e às Tier 4, monitoram-se as transações a partir do volume trafegado nos gateways e Adquirentes, para que realizem as exigências conforme seu tamanho.

O foco desta ação é a padronização mundial dos players, dedicando-se à segurança tanto quanto se dedicam à venda dos seus negócios, não permitindo que sua empresa se torne uma ofensora de toda a rede por fraude.


Para as Tiers 2 e 3, que se encontram abaixo dos limites da certificação, as bandeiras exigem a apresentação do SAQ (Self Assessment Questionnaire) que é tratado em “como fazer” específico.


Qual a importância desta certificação?

Sem esta certificação, para quem ela é exigida, as transações fraudulentas não contam com a solidariedade da bandeira. Os Adquirentes que a possuem contam com substancial ajuda de retorno financeiro quando da ocorrência de fraude.


Se a empresa for um Gateway ou Arranjador/Facilitador de Pagamentos, estiver acima dos limites previstos e não possuir o certificado, o Adquirente a quem se conecta pode não lhe fornecer o identificador necessário para o processamento de transações com cartões, inviabilizando o negócio. Dessa forma, a importância de tal padrão é vital para todos que recebem através de cartões em seus negócios (praticamente todo o comércio hoje em dia).


Quando a empresa precisa disso?

Desde a criação do negócio, sua empresa é monitorada quanto às transações que realiza diariamente e, assim, os adquirentes a informarão quando ela necessitar desse processo. É importante, entretanto, já se preparar com o SAQ, que é um padrão menor, mas focado nas necessidades da indústria de cartões. No SAQ, a empresa responde e demonstra qualidade em aproximadamente 100 questões; no PCI, são 300.


Fundamental é saber que não se trata de uma mera formalidade, mas da sobrevivência do negócio. Com a realidade da existência de demanda recorrente para e da internet, saber viver e trafegar nesse mundo é vital. O entendimento de que se pode passar por suas “ruas” e “guetos” incólume, quando não se sabe o que fazer é, no mínimo, excesso de confiança e, em geral, mera ingenuidade.


Compare essa afirmação às ruas da cidade onde sabidamente existem malfeitores, traficantes de drogas e outros males do mundo atual (e físico). Quantos se aventuram por suas ruas sem o devido preparo? Ou em qualquer horário? Quem as visita com joias ou com muito dinheiro no bolso? Todos sabemos que a resposta é ninguém ou quase ninguém. Assim é com o trânsito pelas ruas da internet e é para isto que foi criado o padrão: levar consciência e segurança para o mundo de cartões, talvez o mais próximo da vida física e cotidiana que existe em termos de mundo e vida eletrônica.


Desafios e tempo de execução

Um projeto adequado de PCI não se faz sozinho, até porque, se a empresa tiver de se certificar precisará da presença de uma empresa QSA (Qualified Security Assessor) e, também, da presença de um Profissional QSA dessa empresa. Isto mesmo: empresa e profissional precisam ter uma certificação específica (QSA) fornecida pelo PCI Council.


O QSA não é necessário em todos os momentos do projeto. Em geral, tais trabalhos são realizados em quatro fases, a saber:

Gap Analysis (onde um especialista em Segurança fará os questionamentos e pedirá evidências para identificar o nível de aderência ao plano).


Plano de ação (sabendo o que não está aderente é criado um Plano para o atingimento da total conformidade).


Remediação (ou conserto) dos pontos não conformes levantados na Gap Analysis e planejados no Plano).


Certificação PCI (o Profissional QSA repete a Gap Analysis com o objetivo de firmar todos os itens em conformidade e outorgar a certificação, a partir da comunicação oficial ao PCI Council, com quem ele interage no momento desta etapa do projeto).


O tempo é relativo. A primeira, segunda e quarta fases se realizam em não mais que 2 semanas cada, ou seja, em seis semanas ao todo. Já a terceira fase (remediação), pode levar o tempo que for necessário já que, para o cumprimento de todos os requisitos exigidos pelo PCI-DSS, os mesmos precisam estar implantados e evidenciados, sem o que a certificação não é obtida. A remediação pode ser realizada de 2 a 3 meses, se a empresa já vinha realizando um processo de segurança com o SAQ e estava próxima de realizar as atividades faltantes; outras, entretanto, podem precisar de 12 meses, se as suas implementações de segurança forem muito precárias.