Seginfocast #47 – PCI-DSS – Segurança da Informação na Indústria de Pagamentos II

SegInfocast #47 – Faça o download aqui. (29:46 min, 20,4 MB)seginfocast-150x150

Willian Caprino, Diretor Comercial da Clavis Segurança da Informação, recebe Carlos Caetano, Diretor regional do PCI Council no Brasil e América Latina, para uma conversa sobre o PCI-DSS, tema também abordado no SegInfocast #38.  Ao longo da conversa foi possível discutir diversos aspectos dos padrões de Segurança da Indústria de Pagamentos no mercado brasileiro.

O que é o PCI Security Standards e quando foi criado?

Carlos explica que não existia nenhum padrão de segurança para a indústria de meios de pagamento. Cada bandeira possuía as suas próprias regras, muito semelhantes umas com as outras. Então em 2006, Visa, Mastercard, American Express, JCB e Discover decidiram fundar o PCI Council, criando o padrão único de segurança para meios de pagamento, conhecido popularmente como PCI-DSS.

Como o PCI Council pode ajudar o mercado brasileiro de cartões de pagamentos ?

O PCI Council vem trabalhando com o objetivo de promover treinamento e certificações de segurança para que possa ajudar as empresas de cartões nacionais na luta constante contra o crime nos meios de pagamento. Carlos reitera a importância do mercado de cartões brasileiros em padronizar as suas regras de segurança conforme os requisitos estabelecidos pelo PCI.

E as pequenas e médias empresas, como o PCI pode auxiliá-las ?

Carlos relata que os atacantes têm tido como alvo não só as grandes empresas mas também os pequenos e médios negócios e, da mesma forma, o PCI se preocupa em assessorar essa grande fatia do mercado, trazendo uma linguagem simples que permita o fácil entendimento para o empreendedor, de modo a alertá-lo sobre os riscos de segurança que envolvem o seu negócio em relação aos meios de pagamento.

Para ajudar as empresas a atenderem os requisitos do PCI, a Clavis oferece uma série de serviços e produtos como o Octopus, que acompanha e monitora os acessos aos recursos de rede; o BART, que trata de gerenciamento contínuo de vulnerabilidades; Testes de Invasão; Treinamentos, Análise de Gap, Análise de Riscos, Construção de documentos e outros serviços, que atendem a diversos requerimentos do PCI.