Quando os portadores de cartão realizam compras no ponto de venda, na internet, por telefone ou pelo correio, esperam que as informações de suas contas sejam administradas de maneira segura. Por esta razão, a Visa América Latina e Caribe criou o Programa de Segurança da Informação (AIS).
O objetivo do programa AIS é o de proteger a informação dos portadores de cartão, não importando onde a mesma se encontre, assegurando que os bancos membros, estabelecimentos e prestadores de serviços mantenham as mais altas normas de segurança da informação.
Se tiver perguntas referentes às entidades fora da América Latina, consulte Visa International Account Information Security (AIS) ou entre em contato com: [email protected].
Em quê consiste o Programa AIS?
O Programa de Segurança da Informação (AIS) foi introduzido na Visa para a América Latina e Caribe no ano de 2000. Ele estabelece que todos os membros (emissores ou adquirentes), agentes, estabelecimentos e prestadores de serviços que armazenam, processam ou transmitem a informação e as transações dos portadores de cartão devam cumprir com as Normas de Segurança da Informação.
O Programa AIS, em resumo, proporciona:- Normas de Segurança da Informação.- Um critério para a validação do cumprimento.- Guias e ferramentas de ajuda.
Normas de Segurança
Em 2004, o Programa AIS incorporou as Normas de Segurança da Informação da Indústria de Meios de Pagamento (PCI DSS), resultado da colaboração entre Visa e MasterCard, para criar requisitos comuns de segurança para a indústria.
Em 7 de setembro de 2006 foi criado o Conselho de Normas de Segurança da Indústria de Meios de Pagamento (PCI SSC), que é responsável pelo desenvolvimento, administração e instrução sobre as Normas de Segurança PCI. O Conselho foi fundado pelas 5 principais empresas de Meios de Pagamento. Entretanto, a Visa Inc. continua administrando todas as iniciativas de validação e cumprimento das normas de segurança.
As Normas de Segurança PCI oferecem um enfoque da Indústria para a proteção da informação confidencial. Consistem de 12 requerimentos básicos agrupados em 6 categorias:
As Normas de Segurança da Informação e outros documentos do PCI estão disponíveis na www.PCISecurityStandards.org.
Benefícios do AIS
Ao cumprir com os requerimentos do programa AIS e as Normas de Segurança PCI, a sua organização não apenas cumpre as suas obrigações com o sistema de pagamento da Visa, mas também recebe os benefícios relacionados à proteção da informação dos seus clientes.
Além da proteção da informação dos portadores de cartão, os controles adequados de segurança da informação lhe permitirão limitar a sua exposição ao risco e minimizar as perdas e custos operacionais decorrentes dos comprometimentos da informação dos portadores de cartão.
O custo e recursos necessários para cumprir com os requerimentos de segurança do PCI são mínimos se comparados com o impacto financeiro que um comprometimento de informação poderia representar. Normalmente estes custos incluem:
- Contratação de especialistas nas áreas de segurança da informação, legal, relações públicas e marketing;
- Impacto financeiro associado à fraude, penalidades, processos judiciais e sansões de reguladores;
- Outros custos relacionados à perda de receitas resultantes da desconfiança dos consumidores, danos à imagem da marca e interrupções dos processos normais.
O Programa AIS pode ajudar:
- Promovendo a integridade da sua marca e aumentando a confiança dos consumidores no seu negócio;
- Incrementando as vendas como conseqüência do aumento da confiança dos consumidores;
- Protegendo a sua organização contra possíveis perdas de receitas, investigações não desejadas e custos legais;
- Reduzindo o risco da atenção não desejada da imprensa como resultado de um comprometimento;
- Provendo maior conscientização dos controles e medidas preventivas de segurança disponíveis para a sua organização;
- Reduzindo as disputas dos portadores de cartão e custos associados com as transações fraudulentas resultantes de um comprometimento da informação.
Validação do cumprimento
Independentemente do mandato de conformidade com as Normas de Segurança PCI, existe também a validação do cumprimento com a conformidade mediante a qual as entidades verificam e demonstram o seu cumprimento. Este importante passo permite identificar e corrigir vulnerabilidades e proteger os clientes, assegurando que serão mantidos os níveis apropriados de segurança.
A Visa estabeleceu prioridades e definiu níveis de validação da conformidade com base no volume de transações, no risco potencial e na exposição que introduzem no sistema de pagamento, estabelecimentos e prestadores de serviços.
Critérios de validação do cumprimento para estabelecimentos
Os credenciadores são responsáveis pelo fato de que todos os seus estabelecimentos cumpram com os requisitos das Normas de Segurança PCI, entretanto, para a validação de conformidade, foram estabelecidas prioridades baseadas no volume de transações e outros fatores de risco.
Todos os estabelecimentos comerciais serão identificados em um dos quatro níveis globais com base no volume de transações Visa durante um período de 12 meses. O volume de transações é o resultado do total de transações (incluindo crédito, débito e pré-pago) de um estabelecimento que opera sob o mesmo nome comercial (DBA).
| Nível¹ | Critério para estabelecimentos | Requisitos de validação |
|---|---|---|
| 1 | • Estabelecimentos comerciais que processam mais de 6 milhões de transações Visa por ano (todos os canais); ou • Estabelecimentos Globais identificados como Nível 1 em qualquer região Visa². |
• Relatório Anual de Cumprimento (ROC) emitido por um Assessor de Segurança Qualificado (QSA). • Prova de vulnerabilidade da rede (Scan) trimestral emitido por um prestador de serviço aprovado (ASV). • Formulário de Atestado de Cumprimento. |
| 2 | • Estabelecimentos comerciais que processam entre 1 a 6 milhões de transações Visa por ano (todos os canais). | • Questionário de auto-avaliação anual (SAQ). • Prova de vulnerabilidade da rede (scan) trimestral emitido por um prestador de serviço aprovado (ASV). • Formulário de Atestado de Cumprimento. |
| 3 | • Estabelecimentos comerciais que processam anualmente entre 20.000 a 1 milhão de transações Visa de comércio eletrônico. | • Questionário de auto-avaliação Anual (SAQ). • Prova de vulnerabilidade de rede (Scan) trimestral emitido por um prestador de serviço aprovado (ASV). • Formulário de Atestado de Cumprimento. |
| 4 | • Questionário de auto-avaliação Anual (SAQ) • Prova de vulnerabilidade de rede (Scan) trimestral emitido por um prestador de serviço aprovado (ASV). • Formulário de Atestado de Cumprimento. |
• Validação de conformidade estabelecida por Adquirente, recomendação: SAQ anual e prova de vulnerabilidade de rede trimestral. |
¹ Qualquer estabelecimento que sofra um ataque que resulte em compromisso das contas pode ser classificado em um nível mais alto de validação.
² Um estabelecimento que cumpra com o critério do Nível 1 em qualquer região/país Visa que opere em mais de um país/região Visa é considerado um estabelecimento global de Nível 1, exceto nos casos em que não existam infra-estruturas comuns e os dados não sejam centralizados; nestes casos, o estabelecimento é validado de acordo com o volume do país/região.
Critérios de Validação para Prestadores de Serviços
Um prestador de serviços é definido como qualquer organização que armazene, processe ou transmita informação em nome de um banco, estabelecimento ou outro prestador de serviços.
Tanto os bancos emissores, como os credenciadores, devem usar prestadores de serviços certificados sob as Normas de Segurança PCI e, adicionalmente, são responsáveis pelo fato de que seus estabelecimentos também utilizem prestadores de serviços certificados. Para identificar os Prestadores de Serviços certificados pela PCI, favor consultar a Lista Global de Prestadores de Serviço PCI DSS.
Todos os prestadores de serviços serão identificados em um dos dois níveis globais para a validação da conformidade:
| Nível | Critério | Requisitos de validação | Resultado |
|---|---|---|---|
| 1 | Processador ou qualquer prestador de serviço que armazene, processe e/ou transmita mais de 300.000 transações Visa por ano. | • Relatório Anual de Cumprimento (ROC) por QSA. • Prova de vulnerabilidade de rede (Scan) trimestral emitido por um prestador de serviço aprovado (ASV). • Formulário de Atestado de Cumprimento. |
É incluído na lista global da Visa para prestadores de serviços em conformidade. |
| 2 | Qualquer prestador de serviço que armazene, processe e/ou transmita menos de 300.000 transações Visa por ano. | • Questionário de Auto-avaliação anual (SAQ). • Prova de vulnerabilidade de rede (Scan) trimestral emitido por um prestador de serviço aprovado (ASV). • Formulário de Atestado de Cumprimento. |
Não é incluído na lista global da Visa¹. |
¹ Pode escolher validar a conformidade como prestador de serviços de Nível 1 para ser incluído na lista Visa de prestadores de serviços em conformidade.
Ferramenta para a segmentação da carteira
A Visa ALC oferece uma ferramenta para ajudar os membros credenciadores a fazerem a segmentação da sua carteira de estabelecimentos de acordo com o critério descrito anteriormente. Ela contém instruções precisas sobre a informação requerida para realizar esta análise e como operá-la.
Cada membro credenciador deve realizar uma análise da sua carteira utilizando a Ferramenta de Segmentação para entender o alcance do Programa AIS. Posteriormente este arquivo deverá ser enviado à Visa ALC como parte do processo de registro do AIS.
Se houver alguma dúvida sobre este processo, favor nos contatar no [email protected] ou comunique-se com a área de Administração de Risco.
Data limite para cumprimento
A seguinte tabela mostra os requisitos e as datas de conformidade relacionados com as Normas de Segurança PCI para as entidades que participam do sistema Visa:
| Entidade | Requisito | Data limite |
|---|---|---|
| Estabelecimentos de Nível 1 e 2 | • Prover confirmação de que não armazena informação confidencial de autenticação (Ex.: conteúdo da tarja magnética, CVV2 ou dados do PIN). | 30 de setembro de 2009 |
| Estabelecimentos de Nível 1 | • Confirmação de conformidade total com as Normas de Segurança PCI. | 30 de setembro de 2010 |
| Processadores | • Confirmação de conformidade total com as Normas de Segurança PCI. | 30 de setembro de 2010 |
Quais são os passos a seguir?
1) Familiarize-se com as Normas de Segurança da PCI
A Visa recomenda a todas as organizações que participam do seu sistema que se familiarizem com as Normas de Segurança do PCI. O cumprimento destas normas é uma obrigação de todas as entidades que processam, transmitem ou armazenam informações ou transações dos portadores de cartão. Na seção de downloads encontra-se toda a documentação relacionada, incluindo um questionário de auto-avaliação.
2) Entre em contato com o seu banco adquirente (Visanet)
As entidades que mantêm uma relação direta com a Visa (tipicamente bancos e processadores) receberam instruções precisas sobre os requisitos do programa AIS. Os estabelecimentos e prestadores de serviços devem entrar em contato com os mesmos para receber instruções relacionadas a:
- Quais são os requisitos para a validação do cumprimento da sua organização de acordo com o critério de risco estabelecido pelo Programa AIS da ALC?
- Quais são as datas estabelecidas pela Visa ALC para cumprir com os requisitos do Programa AIS?
- Quais são os benefícios e as penalidades do Programa AIS?
3) Quando lhe for solicitado, demonstre o seu cumprimento
Como resultado dos requisitos de validação do cumprimento estabelecidos pelo Programa AIS e o nível de risco que a sua organização representa, é possível que a instituição credenciadora entre em contato com os estabelecimentos e prestadores de serviços para lhes solicitar uma "Prova de Cumprimento" das Normas de Segurança do PCI. Os requisitos de validação de cumprimento podem incluir:
- Auditorias no local por parte dos Assessores de Segurança Independentes (QSA).
- Testes trimestrais da vulnerabilidade das redes (network scans).
- Preenchimento de um questionário de auto-avaliação.
4) Faça a validação do cumprimento quando solicitado
Visa enviará uma comunicação a cada membro adquirente do país, indicando os requisitos do Programa e as datas para serem completados.
Os requisitos da validação de cumprimento podem incluir:
- Auditorias in loco por parte dos Assessores de Segurança Independentes (QSA).
- Provas trimestrais de vulnerabilidade das redes (network scans).
- Preenchimento de um questionário de auto-avaliação.
Além da validação do cumprimento, a Visa ALC estabelece os seguintes requisitos como parte do Programa AIS:
- Estabelecimento de um programa de certificação dos Aplicativos: os membros adquirentes deverão estabelecer processos que permitam assegurar que os novos aplicativos comerciais que sejam introduzidos em seus mercados através dos estabelecimentos afiliados cumpram as Normas de Segurança da PCI (PA DSS).
- Atualização dos contratos de afiliação: os membros adquirentes deverão atualizar os contratos de afiliação dos seus estabelecimentos para assegurar que estes incluam as exigências da Visa relacionadas com a segurança da informação e as penalidades por não cumprimento.
O quê fazer em caso de um comprometimento?
O risco de um comprometimento da informação sempre está presente, por isto é necessário estabelecer um plano de resposta a incidentes de segurança adaptado ao seu ambiente de negócio. Desta maneira é possível minimizar o impacto à operação e as perdas se um incidente chegar a ocorrer.
Um comprometimento da informação em um processador, estabelecimento ou provedor de serviço deve ser notificado imediatamente à Visa e ações imediatas devem ser tomadas para conter e limitar a exposição.
Se um membro Visa falhar em notificar imediatamente a Visa ALC sobre a suspeita ou confirmação de roubo ou extravio de qualquer informação referente às transações, estará sujeito a penalidades.
O Guia de Resposta a Incidentes de Comprometimento é uma ferramenta útil que contém informações sobre os passos que devem ser seguidos para a implementação de procedimentos de respostas a incidentes de segurança.
Mediante a implementação das Normas de Segurança estabelecidas pelo Programa AIS da Visa, é possível minimizar o risco de incidentes de segurança.
Para contatar a Visa com relação aos comprometimentos de informação, referir-se a [email protected].
Penalidades pelo Não Cumprimento do AIS
Não cumprir com os requisitos do programa AIS ou não corrigir as vulnerabilidades de segurança podem resultar em:
- Multas a critério da Visa
- Restrições ao estabelecimento; ou
- Proibição permanente do estabelecimento ou provedor de serviço de participar do sistema Visa
Recursos disponíveis
Documentos e Guias Disponíveis
Os seguintes documentos proporcionam ajuda sobre o programa de Segurança da Informação da Visa ALC e as Normas de Segurança do PCI.
- Normas de Segurança de Dados da Indústria de Meios de Pagamento (PCI)
- Procedimentos de Auditoria da Segurança da Indústria de Meios de Pagamento (PCI)
- Procedimentos de Scanning da Segurança da Indústria de Meios de Pagamento (PCI)
- Questionário de Auto-Avaliação da Segurança da Indústria de Meios de Pagamento (PCI)
- Lista de Assessores de Segurança (Qualified Security Assessors - QSAs)
- Lista de Prestadores de Serviços Certificados (QSA)
- Lista de Aplicativos Certificados
- Procedimentos em Caso de Comprometimento
Se necessitar de alguma informação adicional ou tiver alguma pergunta, entre em contato conosco através [email protected].
