O que é PCI-DSS?
O PCI-DSS (Payment Card Industry Data Security Standard) é um conjunto de requisitos de segurança estabelecidos pelo PCI Security Standards Council para proteger os dados dos portadores de cartões e garantir que todas as organizações que processam, armazenam ou transmitem informações de cartões de crédito mantenham um ambiente seguro.
Também conhecido como: PCI DSS, Payment Card Industry Data Security Standard, PCI compliance
O PCI-DSS define 12 requisitos básicos organizados em seis categorias: construir e manter uma rede segura, proteger os dados dos portadores de cartões, manter um programa de gerenciamento de vulnerabilidades, implementar medidas sólidas de controle de acesso, monitorar e testar as redes com regularidade, e manter uma política de segurança da informação. O padrão se aplica a toda entidade envolvida no processamento de cartões de pagamento: comerciantes, processadores, adquirentes, emissores e provedores de serviços.
Os requisitos 3 e 4 são especialmente relevantes para a criptografia: o Requisito 3 obriga a proteger os dados armazenados dos portadores de cartões (com métodos específicos de criptografia, hashing e truncamento), enquanto o Requisito 4 exige criptografar os dados dos portadores de cartões durante sua transmissão por redes abertas e públicas. O Requisito 7 impõe o acesso de menor privilégio, e o Requisito 8 obriga à identificação única e à autenticação sólida para todo acesso aos sistemas. A conformidade é validada por meio de questionários de autoavaliação ou auditorias presenciais, conforme o volume de transações.
A conformidade com o PCI-DSS se estende além do próprio ambiente de dados dos portadores de cartões (CDE) para qualquer sistema que possa afetar a segurança do CDE. Isso inclui como as credenciais dos sistemas de pagamento são gerenciadas e compartilhadas. Compartilhar senhas de bancos de dados ou chaves de API para sistemas de processamento de pagamentos por e-mail ou canais sem criptografia viola o espírito — e muitas vezes a letra — dos requisitos do PCI-DSS sobre controles de acesso sólidos e criptografia.
Como o Vaulted usa PCI-DSS
O Vaulted respalda a conformidade com o PCI-DSS oferecendo um canal criptografado e efêmero para compartilhar credenciais relacionadas aos sistemas de pagamento e aos ambientes de dados dos portadores de cartões. Quando as equipes precisam compartilhar credenciais de bancos de dados, chaves de API de gateways de pagamento ou tokens de acesso para sistemas dentro do escopo do PCI, o Vaulted garante que os dados sejam criptografados no lado do cliente com AES-256-GCM antes da transmissão e excluídos automaticamente após o uso. Isso se alinha ao Requisito 4 do PCI-DSS (criptografar os dados em trânsito) e ao Requisito 7 (restringir o acesso conforme a necessidade de conhecer) ao substituir os segredos persistentes em texto simples do e-mail por links autodestrutivos e zero-knowledge.