À medida que a pandemia do COVID-19 continua se espalhando por todo o mundo, as empresas que desejam manter as operações comerciais e cumprir as novas regulamentações do governo relativas ao movimento de indivÃduos adotaram amplamente modelos de home office. E, embora para certos tipos de trabalhos e setores isso não represente grandes problemas, outros enfrentam o perigo de não conformidade com os regulamentos de proteção de dados e os padrões do setor.
O PCI DSS ( Padrão de segurança de dados da indústria de cartões de pagamento ) é considerado um obstáculo ao trabalho remoto, pois é difÃcil alcançar a conformidade em um ambiente não controlado, como a casa de um funcionário. O PCI DSS é um conjunto de 12 requisitos de segurança que ajudam as empresas a proteger seus sistemas de pagamento contra violações, fraudes e roubo de dados do titular do cartão. Eles incluem, entre outros, a necessidade de implementar fortes medidas de controle de acesso, proteger os dados do titular do cartão e manter uma polÃtica de segurança da informação.
Embora não seja juridicamente vinculativo, o PCI DSS foi adotado globalmente como padrão geral pelas instituições financeiras, principalmente os bancos, e é necessário para todas as empresas que processam, armazenam ou transmitem informações de cartão de crédito dos maiores esquemas de cartões do mundo: American Express, Discover, JCB , MasterCard e Visa.
O descumprimento tem um preço alto: as organizações enfrentam multas de até US $ 100.000 / mês e aumentam as taxas de transação e correm o risco de encerrar seu relacionamento com o banco. Pior ainda, eles podem se encontrar na temida lista MATCH (Alerta do comerciante para controlar o alto risco), que garantirá que eles nunca mais poderão processar pagamentos com cartão novamente.
Conformidade com PCI DSS durante a pandemia de COVID-19
O PCI Security Standards Council reconheceu as circunstâncias extraordinárias que as empresas em todo o mundo enfrentam atualmente e emitiu orientações para o home office, enfatizando a necessidade de manter práticas de segurança para proteger os dados dos cartões de pagamento no momento. Essas práticas recomendadas, no entanto, não substituem os requisitos do PCI DSS, mas destinam-se a apoiar as empresas a cumprirem a conformidade enquanto seus funcionários trabalham em casa.
De acordo com as orientações, uma das melhores maneiras de garantir a conformidade contÃnua é criar e manter uma cultura de segurança dentro da organização. Isso pode ser alcançado por meio de um programa de conscientização de segurança que informa os funcionários sobre as polÃticas e procedimentos de segurança de uma empresa e os ajuda a entender sua importância, tanto para segurança quanto conformidade dos dados. Se as empresas eram compatÃveis com o PCI DSS antes da crise de saúde em andamento, elas já deveriam ter um programa em vigor, pois faz parte do Requisito 12.6 do PCI DSS.
No caso do trabalho remoto, aumenta a necessidade de informar e educar os funcionários: eles devem estar cientes dos riscos decorrentes do trabalho em casa com a conformidade com o PCI DSS e o que precisam fazer para garantir a segurança contÃnua dos sistemas, processos e equipamento de suporte ao processamento de dados do cartão de pagamento.
Embora isso possa ser um desafio fora do escritório, os funcionários devem saber que o requisito mais essencial é que qualquer sistema usado para processar os dados da conta seja mantido com segurança e não seja acessÃvel a qualquer indivÃduo não autorizado. Isso significa proteção contra interferências externas e qualquer descuido por parte dos próprios funcionários e bloqueando o acesso fÃsico ao local onde o trabalho é realizado. Os funcionários devem, portanto, manter um espaço de escritório em casa onde outros membros da famÃlia não possam entrar.
Protegendo processos
O espaço fÃsico em que um funcionário trabalha remotamente e processa os pagamentos com cartão deve ser efetivamente monitorado e o acesso a ele controlado o tempo todo. Bloquear um espaço de escritório em casa é uma maneira pelos quais os funcionários podem impedir o acesso fÃsico a qualquer sistema que processe dados da conta. No entanto, também é essencial que processos de autenticação multifatorial sejam implementados para garantir que, se alguém obtiver acesso fÃsico ao espaço do escritório em casa, ele ainda não conseguirá acessar os dados da conta.
A transferência de dados também pode ser controlada por meio das ferramentas de prevenção contra perda de dados (DLP), que permitem à s empresas monitorar transferências de informações de cartão de crédito por meio de polÃticas predefinidas e bloquear sua transferência por pontos de saÃda inseguros, como serviços de compartilhamento de arquivos ou aplicativos de mensagens instantâneas, para os quais os funcionários podem ficar tentados use enquanto trabalha remotamente.
Todos os dados da conta impressa também devem ser armazenados com segurança, de preferência com fechadura e chave, fragmentados ou destruÃdos quando não forem mais necessários.
Limitando a exposição de dados
Os funcionários devem usar apenas hardware aprovado pela empresa: laptops, telefones ou dispositivos removÃveis. Desta forma, as empresas podem manter o controle dos sistemas e da tecnologia que suporta o processamento de pagamentos. As organizações podem garantir que nenhum dispositivo não autorizado esteja conectado aos computadores de trabalho pela aplicação de polÃticas de controle de dispositivo DLP no terminal que limita ou bloqueia totalmente as portas USB e periféricas, independentemente de um dispositivo estar online ou não.
Também é recomendável que todos os computadores da empresa usados ​​remotamente tenham firewalls atualizados, soluções antivÃrus corporativas e patches de segurança instalados. Esses controles de segurança precisam ser configurados de forma que os usuários não possam desativá-los.