Empresas de cartão vão exigir mais segurança em transações

Chega ao Brasil uma política de proteção às transações com cartões de pagamento, de débito ou crédito, com o potencial de gerar negócios para as empresas que vendem produtos ou serviços de segurança das informações. Criado em 2004 e implementado primeiramente nos Estados Unidos e Grã-Bretanha, o PCI DSS (sigla para Padrão de Segurança de Dados para Indústria de Cartões de Pagamentos), ou simplesmente abreviado para PCI, vai requisitar a implementação de recursos de segurança (ver tabela ao lado) para cada organização que armazena, transmite ou processa informações sobre cartões, o que envolve de pequenos a grandes varejistas.

Para obrigar essas empresas a cumprirem aos requisitos do padrão, as bandeiras de cartões deram dois anos para as americanas e inglesas chegarem à conformidade, sob risco de multas e até retirada de terminais de cartões. Agora, discutem como promover o conceito no Brasil. Na última semana, representantes da Visa e MasterCard se reuniram para tratar do assunto em evento realizado em São Paulo pela fabricante de sistemas de segurança da informação RSA, comprada pela EMC.

Algumas das obrigações do PCI são de simples realização, outras devem exigir mais investimentos. Segundo estudo do Gartner, o investimento para ter conformidade com o PCI deve ficar entre US$ 6 e US$ 16. No caso de um vazamento de informações o prejuízo deve ser de US$ 300 por cartão afetado.

O objetivo é dar mais confiabilidade às transações com cartões e responder a uma série de casos nos Estados Unidos de perca de informações que afetaram milhões de pessoas. Em 2004, a CardSystems Solutions, que faz processamento de transações, teve seus sistemas invadidos por hackers que roubaram dados de 40 milhões cartões de créditos de americanos. No ano passado, dados de 94 milhões cartões Visa e MasterCard foram vazados da varejista TJX.

“Esses grandes casos tiveram muita repercussão, então as empresas do setor se anteciparam e criaram exigências de segurança, para que não tivessem uma Sarbanes-Oxley [regra de conformidade para as empresas operarem no mercado de capitais americano, criada depois dos casos Enron e Worldcom], que foi muita dolorida para o mercado”, afirma o diretor de gestão de produtos da RSA, Sean Kline.

Para evitar os grandes gastos com uma possível imposição governamental, resolveram fortalecer o PCI e criaram o Conselho de Padrões de Segurança PCI em setembro de 2006, formado por American Express, Discover Financial Services, a japonesa JCB, MasterCard e Visa.