*Por Kleber Bacili

A segurança de dados é um tema que está sendo amplamente debatido. Notícias sobre roubos e vazamentos de informações financeiras e pessoais de clientes têm crescido e, o valor milionário das multas preocupa as companhias. Uma das modalidades mais comuns dos ciberataques é justamente através de fraudes e golpes que exploram vulnerabilidades no uso dos cartões de débito e crédito, físicos e virtuais. O crescimento do uso desses métodos de pagamento é acompanhado do aumento no número de ataques que capturam informações pessoais, como senhas, contas bancárias, CPFs e números de cartões de crédito. Segundo o relatório IBM Cost of a Data Breach 2019, cada violação de dados causou um prejuízo médio de US$3,92 milhões de dólares no último ano.

Nesse cenário, leis como a GDPR (General Data Protection Regulation), na Europa e a LGPD (Lei Geral de Proteção de Dados), regulamentação que entrará em vigor no Brasil ainda em 2020, estimulam a adoção de medidas de segurança de tratamento de dados pelas empresas. Essas novas medidas visam cobrar mais responsabilidade das empresas, durante a coleta e processamento dos dados de clientes.

Portanto, certificações e tecnologias que garantem a segurança e proteção dos dados dos clientes estão sendo requeridas, especialmente para ecossistemas de empresas que gravam ou processam dados de cartões de crédito e débito. A PCI DSS (Payment Card Industry – Data Security Standard) é uma dessas certificações, atestando um padrão de segurança de alto nível, que cobre desde dispositivos eletrônicos até aplicativos e infraestruturas.

Essa certificação foi criada pelo PCI Security Standards Council (PCI SSC), um órgão que reúne grandes bandeiras de cartões, com a finalidade de tornar o ecossistema de pagamentos eletrônicos mais seguro e garantir a adesão e confiança dos clientes. Com a certificação PCI, as empresas tem maior facilidade para fazer negócios dentro do ecossistema de pagamentos, uma vez que obter a certificação PCI significa que práticas fundamentais em segurança de dados estão sendo aplicadas.

Como as minhas APIs podem se tornar PCI Compliant?

O certificado PCI e parceiros PCI Compliant indicam que existem mecanismos de segurança implementados para proteger os dados dos clientes, além de reduzir os riscos em transações, aumentar a confiança dos consumidores e sair na frente em relação à preparação para as regulações de privacidade como a GDPR, LGPD e até mesmo, Open Banking. Essas leis promovem uma série de direitos que garantem a propriedade, a finalidade, o consentimento, a transparência e a privacidade dos indivíduos sobre os dados relacionados a eles.

Qualquer empresa que aceita pagamentos com cartão de crédito/débito, que processa ou armazena dados de cartões, precisa se preocupar em obter a certificação PCI DSS, especialmente empresas de setores como varejo, serviços financeiros e provedores de tecnologia. No caso de APIs que trafegam informações relacionadas à cartões de pagamentos, é muito importante que os parceiros técnicos envolvidos na sustentação dessas APIs atendam aos requerimentos e possuam a certificação PCI.

Algumas Plataformas de Gerenciamento de APIs, como a da Sensedia, são PCI Compliant e proveem mecanismos avançados de segurança e governança por padrão, que podem acelerar o processo de Certificação.

No Brasil, 6 em cada 10 brasileiros já tiveram dados vazados

Em 2019, a IBM realizou um estudo global sobre privacidade e entrevistou mais de 11 mil pessoas, em 11 países, incluindo o Brasil. O estudo mostrou que, 96% dos consumidores estão insatisfeitos com a maneira que as empresas lidam com suas informações. Além disso, seis em cada dez brasileiros afirmaram que já sofreram com o vazamento de dados ou conhecem alguém que já teve os dados vazados.

As novas leis de proteção preveem um cenário em que as violações na segurança dos dados causarão perdas financeiras milionárias e afetarão a reputação das companhias, em razão das multas regulatórias, custos de correção, etc. Na Europa, por exemplo, a GDPR prevê multas de 20 milhões de euros, ou de até 4% do faturamento global para todas as empresas que operam no espaço econômico Europeu e, até mesmo, a suspensão das atividades na EU.

Essas regulações trarão, com certeza, desafios técnicos e de negócios, no entanto, é preciso olhar para as oportunidades que se abrem. Estar PCI Compliant significa que a empresa está atenta e madura em relação às práticas de proteção de dados, além de estar um passo à frente na adequação da GDPR, LGPD e Open Banking.

*Kleber Bacili é CEO da Sensedia