Protegendo o futuro dos pagamentos: PCI SSC publica o PCI Data Security Standard v4.0

O PCI Security Standards Council (PCI SSC), um fórum global de segurança de pagamentos, publicou a versão 4.0 do PCI Data Security Standard (PCI DSS). O PCI DSS é um padrão global que fornece uma base de requisitos técnicos e operacionais projetados para proteger os dados da conta. O PCI DSS v4.0 substitui a versão 3.2.1 para lidar com ameaças e tecnologias emergentes e possibilitar métodos inovadores para combater novas ameaças. O padrão atualizado e o documento Resumo das Alterações já estão disponíveis no site do PCI SSC.

Para fornecer às organizações tempo para entender as alterações na versão 4.0 e implementar as atualizações necessárias, a versão atual do PCI DSS, v3.2.1, permanecerá ativa por dois anos até ser desativada em 31 de março de 2024. Depois que os assessores concluírem o treinamento no PCI DSS v4.0, as organizações podem avaliar no PCI DSS v4.0 ou PCI DSS v3.2.1. O padrão também fornece tempo adicional para as organizações implementarem muitos dos novos requisitos. Mais informações sobre o cronograma de implementação podem ser encontradas no Blog PCI Perspectives.

O feedback da indústria global de pagamentos levou a mudanças no padrão. Ao longo de três anos, mais de 200 organizações forneceram mais de 6.000 itens de feedback para garantir que o padrão continue atendendo ao cenário complexo e em constante mudança da segurança de pagamentos.

“A indústria teve visibilidade e impacto sem precedentes no desenvolvimento do PCI DSS v4.0”, diz Lance Johnson, Diretor Executivo do PCI SSC. “Nossas partes interessadas forneceram contribuições substanciais, perspicazes e diversificadas que ajudaram o PCI Council a avançar efetivamente no desenvolvimento desta versão do PCI Data Security Standard.”

As atualizações do padrão se concentram em atender às crescentes necessidades de segurança da indústria de pagamentos, promovendo a segurança como um processo contínuo, aumentando a flexibilidade para organizações que usam diferentes métodos para atingir objetivos de segurança e aprimorando métodos e procedimentos de validação. Detalhes sobre as atualizações podem ser encontrados no documento Resumo das Alterações do PCI DSS v4.0 no site do PCI SSC.

Exemplos das alterações no PCI DSS v4.0 incluem:

Terminologia de firewall atualizada para controles de segurança de rede para oferecer suporte a uma gama mais ampla de tecnologias usadas para atender aos objetivos de segurança tradicionalmente atendidos por firewalls.
Expansão do Requisito 8 para implementar a autenticação multifator (MFA) para todos os acessos ao ambiente de dados do titular do cartão.
Maior flexibilidade para as organizações demonstrarem como estão usando métodos diferentes para atingir os objetivos de segurança.
Adição de análises de risco direcionadas para permitir às entidades a flexibilidade de definir a frequência com que realizam determinadas atividades, conforme mais adequado às suas necessidades de negócios e exposição ao risco.

“Um dos principais desafios das organizações no Brasil é equilibrar a constante evolução e lançamento de novas tecnologias com a segurança e conformidade”, afirma Carlos Caetano, Diretor Regional Associado para o Brasil do PCI Security Standards Council. “O PCI DSS v4.0 ajudará as organizações a resolver esses desafios, introduzindo mais flexibilidade por meio de requisitos atualizados, análise de risco direcionada e a opção de abordagem personalizada para que as organizações demonstrem como elas atendem à intenção dos requisitos do PCI DSS.”

ESCUTE: Coffee with The Council: A Preview of the PCI DSS v4.0 and Transition Training um podcast com representantes do PCI Council discutindo o que esperar do PCI DSS v4.0 e informações sobre treinamento de assessores.

Além do padrão atualizado, os documentos de suporte publicados na biblioteca de documentos do PCI SSC incluem o Resumo das Alterações do PCI DSS v3.2.1 para v4.0, o modelo de Relatório de Conformidade (ROC) para v4.0, Atestados de Conformidade do ROC (AOC) e as Perguntas Frequentes sobre o ROC. Questionários de Autoavaliação (SAQs) serão publicados nas próximas semanas.

Para dar suporte à adoção global do PCI DSS, o padrão e o Resumo das Alterações serão traduzidos em vários idiomas. Essas traduções serão publicadas nos próximos meses, entre março e junho de 2022.

O PCI Council fornecerá informações adicionais ao longo do ano para ajudar a comunidade a entender as mudanças feitas no padrão. Isso inclui o PCI DSS Symposium, um evento de educação online disponível em 21 de junho de 2022 para membros da comunidade do PCI SSC. O treinamento para assessores estará disponível em junho. Para obter um cronograma de sessões de treinamento de assessores, consulte a página de recursos de treinamento do PCI SSC.

VEJA: “PCI DSS v4.0 At a Glance”

Assine o Blog PCI Perspectives para obter recursos adicionais, incluindo podcasts, vídeos e postagens no blog criados para ajudar as organizações a navegar na transição para o PCI DSS v4.0.

Sobre o PCI Security Standards Council

O PCI Security Standards Council (PCI SSC) lidera um esforço global da indústria para aumentar a segurança de pagamentos, fornecendo padrões e programas de segurança de dados, flexíveis e eficazes, que ajudam as empresas a detectar, mitigar e prevenir ataques cibernéticos e violações. Conecte-se com o PCI SSC no LinkedIn. Junte-se à conversa no Twitter. Assine o Blog PCI Perspectives.