Nossa maior preocupação é com a segurança dos dados de nossos clientes. Por isso nossa
infraestrtura foi pensada para se adequar as exigências dos padrões de segurança da
indústria de cartão de creditos.
No início dos anos 2000, essas exigências foram criadas pelas maiores empresas de cartões de
pagamento como guia para orientar as entidades que processam pagamentos através de cartão a
prevenirem seus ambientes de fraudes de cartão, ataques de hackers e varias outras ameaças.
Desta maneira, empresas que processam, armazenam ou transmitem dados de cartões de pagamento
precisam estar em conformidade com o PCI DSS.
PCI DSS é um acrônimo para Payment Card Industry Data Security Standard, em português Padrão
de Segurança de Dados da Industria de Cartões de Pagamento
Instalar e manter uma configuração de firewall para proteger os dados - Nosso ambiente possuí apenas uma máquina centralizadora de acessos onde permitimos que apenas IPs conhecidos possam trafegar. Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança - Nossas senhas usam padrões elaborados e são alteradas periodicamente.
Proteger os dados armazenados do titular do cartão - Não mantemos os números de cartão nem código de segurança em nosso ambiente eles são direcionados diretamente para as adquirentes de cartão, que nos retornam um token, que é uma chave única que identifica o cartão em nosso sistema. Além disso todos os logs de sistema e banco de dados são filtrados para não conterem os dados dos cartões. Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas - Usamos criptografia de 2048 bits, veja o cadeado em nossa página. (canto superior esquedo da tela, onde está escrito https)
Usar e atualizar regularmente o software ou programas antivírus - Utilizamos a solução segurança PCI-DSS completa da COMODO, incluindo seus softwares antivírus. Desenvolver e manter sistemas e aplicativos seguros - Nossa plataforma de pagamento e todas as nossas soluções são desenvolvidas de modo a não permitir nenhum tipo de ataque hacker tais como SQL Injection, Cross Site Request Forgery (CSRF) e Cross Site Scripting (XSS).
Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio - Nossos processos de distribuição da aplicação é automatizado, fazendo com o que a necessidade de acesso ao ambiente seja mínimo. Atribuimos uma identidade exclusiva para cada colaborador com acesso ao computador - Todo acesso é controlado por chaves únicas de acesso, ou seja, cada usuário tem uma chave única relacionada a sua identificação. Restringir o acesso físico aos dados do titular do cartão - Todo nosso ambiente roda em nuvem. Isso torna impossível o acesso físico a nossas informações.
Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão - Extraímos relatórios SEMANAIS de acesso ao sistema e verificamos o que cada um dos integrantes da equipe fez dentro dos sistemas operacionais do ambiente seguro. Testar regularmente os sistemas e processos de segurança - O PCI-DSS exige relatórios trimestrais de scans de vulnerabilidade do amibiente. Como utilizamos a solução segurança PCI-DSS completa da COMODO, rodamos esses relatórios SEMANALMENTE.
Manter uma política que aborde a segurança das informações para todas as equipes - Mantemos documentação de nossos processos e requisitos das exigências PCI-DSS ao alcance de todos os colaboradores, parceiros e auditores.