Insights > Blog

Como a aderência ao PCI DSS acelera a adequação LGPD

 

Para quem ainda não ouviu falar da sigla PCI DSS (Payment Card Industry – Data Security Standard), é um conjunto de protocolos de segurança que protegem os dados de usuários de cartão de crédito, ou seja, é um conjunto de regras e regulamentos definidos para reduzir as fraudes com cartões de crédito e padronizar a segurança de dados do setor de cartões de pagamento. 

A certificação do PCI DSS pode ser utilizada por qualquer tipo de comércio que processe, armazene, transmita ou guarde os dados dos usuários e dos cartões de crédito, desde que possua uma estrutura básica para garantir a segurança de maneira efetiva. Cumpridos estes requisitos, o negócio pode receber um certificado, a recomendação de conformidade com o PCI DSS. 

A empresa que possui a certificação do PCI DSS garante que em seu escopo encontre-se:  

  • Proteção das informações, mantendo uma política de segurança da informação, detendo e mantendo uma rede segura, protegendo as informações dos portadores e do cartão de crédito, 
  • Implementação de medidas fortes de controle de acesso lógicos e físicos, 
  • Implementação de um programa de gerenciamento de vulnerabilidades, 
  • Monitoramento e testes frequentes de sua rede. 

Neste contexto, as empresas que já trabalham com o PCI DSS, em específico a versão 3.2.1, estão adiantadas para atender às conformidades da Lei Geral de Proteção de Dados Pessoais (LEI Nº 13.709, DE 14 DE AGOSTO DE 2018), porém, com algumas pequenas alterações: 

  • a ampliação do escopo que hoje é focado especificamente com dados dos cartões, precisaria ser ampliada para dados pessoais. 

Com este ajuste, a empresa consegue garantir 40% de conformidade com a LGPD. 

Para entender melhor na prática, os esforços maiores estão: 

  • em localizar os dados pessoais, processo denominado de Data Discovery; 
  • classificar os processos que utilizam dados pessoais com a sua hipótese* de tratamento para uso, processados e armazenados pela empresa; 
  • execução dos dois pontos destacados acima, com seus fornecedores (parceiros) e clientes. 

Os processos que envolvem TI nestes casos, já estão em andamento, necessitando apenas de pequenas alterações específicas dos processos, porém, com as mesmas ferramentas em uso. 

Olhando de uma forma geral, entendemos que o PCI DSS suporta em alguns níveis, uma adequação da LGPD, pois para proteger os dados de cartão o PCI DSS aplica segurança em camadas, sendo elas: Proteção pelas Leis e Documentos, Monitoramento e testes, Proteção da Rede e Sistemas, Proteção no Acesso Lógico e Físico, Proteção de Chaves de Criptografia e por fim, a criptografia do dado de cartão. 

Com a definição do escopo correto é recomendado possuir o inventário de dados pessoais, com a localização onde são armazenadas, processadas ou transmitidas, desde que com as justificativas de negócio a cada dado a ser tratado.  

Para iniciar a adequação é necessário verificar os processos existentes e os novos, da necessidade de manipulação de dados pessoais (DP) os quais são necessários proteger de forma adequada. 

Para completar a adequação de compliance à lei, recomendamos a aderência às normas ou frameworks internacionais. Podemos citar como normas a ISO 27701 (específica para requisitos e fornece orientações para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Informações de Privacidade (PIMS) na forma de uma extensão da ISO / IEC 27001 e ISO / IEC 27002 para gerenciamento de privacidade) e os frameworks como CIS, Cobit, que hoje atendem até 90% da lei.  

A adequação à lei não se faz de um dia para o outro e leva um certo tempo, mesmo que a empresa já tenha a cultura implementada.  

A agência de proteção de dados, ANPD, tem ciência das dificuldades a serem vencidas, por este motivo vem trabalhando de forma a orientar as empresas a se adequarem de forma mais condizentes e que garantam a segurança dos dados pessoais em seus tratamentos. 

*As hipóteses de tratamento não têm dependência ou preponderância entre si e são 10 bases legais da LGPD: 

  • Consentimento do titular (art. 5 º, XII); 
  • Legítimo interesse (art. 7 º, IX e o art. 10 º); 
  • Cumprimento de obrigação legal ou regulatória; (art. 7º, II) 
  • Tratamento pela administração pública; (art. 7º, III) 
  • Realização de estudos e de pesquisa; (art. 7º, IV) 
  • Execução ou preparação contratual; (art. 7º, V) 
  • Exercício regular de direitos; (art. 7º, VI) 
  • Proteção da vida e da incolumidade física; (art. 7º, VII) 
  • Tutela de saúde do titular; (art. 7º, VIII) 
  • Proteção de crédito. (art. 7º x) 

Referência do texto: 

NBR ISO 27701(https://www.abntcolecao.com.br), PCI Security Standards Council (https://pt.pcisecuritystandards.org/minisite/env2/), ANPD (https://www.gov.br/anpd/pt-br) 

Cipher Marketing Latam

 

 

0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *

RECEBA NOSSAS NOTÍCIAS!

Information Security Maturity Self-Assessment Survey

Saiba mais

•  Whitepapers
•  E-books
•  Checklists
•  Self-Assessments
•  Webcasts
•  Infographics