Devo cumprir a PCI DSS e PSD2?
Se o seu negócio, Hotel, OTA, restaurante, agência de viagem... armazena, trata ou transmite dados críticos de cartões de pagamento, então deve cumprir a PCI DSS/PSD2, independentemente do tamanho da sua empresa. Se não tratar nem armazenar dados de cartões, mas utilizar passarelas de pagamentos de terceiros, também é muito provável que deva aderir ao cumprimento desta norma.
O que é a PCI DSS?
A Payment Card Industry Data Security Standard (PCI DSS) é a norma global de proteção de dados em indústrias que lidam com cartões de pagamento de crédito ou débito e o seu objetivo principal é assegurar que todas as empresas possuem um nível básico mínimo de segurança que protege os dados dos titulares dos cartões.
Consideram-se dados críticos a proteger: PAN, nome do titular do cartão, data de expiração, código de serviço, dados de banda magnética ou o seu equivalente em chip, CAV2, CVC2, CVV2, CID, número de identificação pessoal e blocos de PIN.
O que é a PSD2?
Os regulamentos de PCI DSS foram descritos em 2006 e embora, na atualidade, já vão na versão 4 (primeiro trimestre de 2022), era necessário adaptá-los a novos sistemas de segurança. Assim em 2019, entrou em vigor a Diretiva de serviços de pagamento 2 (PSD2) que se aplica a qualquer empresa que possa interagir com clientes europeus.
A PSD2 inclui pautas melhoradas para pagamentos online e a gestão de dados confidenciais para reduzir o risco de roubo, fraude e infrações de segurança. A principal alteração é o requisito de autenticação forte de clientes (SCA) para transações online. Com a SCA, é necessário que os clientes proporcionem um segundo fator de autenticação, que pode ser um código PIN ou um código de verificação de SMS, antes de que se possa realizar o pagamento.
O que implica a PSD2 para o seu negócio hoteleiro?
Basicamente, significa que as transações iniciadas pelo hotel num momento em que o hóspede não está presente não cumprem os requisitos de PSD2. Os hóspedes devem poder concluir um passo de verificação de dois fatores para cada pagamento, como quando fazem a reserva ou quando realizam check-out, pelo que é possível que os hoteleiros devam modificar ou adaptar os seus processos de pagamento.
Requisitos e Soluções
A norma PCI DSS conta com mais de 290 controlos de segurança física, lógica e administrativa esquematizados em 6 metas ou objetivos que, por sua vez, se subdividem em 12 requisitos, da seguinte maneira:
Níveis
Além disso, existem diferentes níveis para estes requisitos dependendo da quantidade de transações anuais da empresa, agrupando-se em quatro níveis:
- Nível 1: mais de seis milhões de transações anuais
- Nível 2: entre um e seis milhões de transações anuais
- Nível 3: entre 20 000 e um milhão de transações anuais
- Nível 4: menos de 20 000 transações anuais
Para os níveis 2, 3 e 4 existe uma ferramenta de autoavaliação: SAQ ou Self-Assessment Questionnaire para avaliar o cumprimento das empresas dos requisitos da norma PCI DSS. No entanto, para o nível 1, além de preencher este SAQ, é necessária uma "Avaliação Formal de Cumprimento" que evidencie de forma mais exaustiva cada requisito. A GMV é um Approved Scanning Vendor para realizar estas avaliações oficiais. Não hesite em contactar-nos se precisar de mais informação.
Autor: Joan Antoni Malonda