PCI DSS e segurança de pagamentos

1. Visão geral do PCI DSS

O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) é um conjunto de requisitos de segurança concebidos para proteger dados de cartões de pagamento e garantir transações com cartão seguras.

O PCI DSS aplica-se a organizações que processam, armazenam ou transmitem informações de cartões de pagamento. O padrão inclui requisitos para:

• Padrões de segurança de cartões de pagamento
• Proteção de dados do titular do cartão
• Controlos de segurança em ambientes de pagamento
• Testes de segurança e monitorização regular

A CartDNA apoia a consciencialização sobre segurança de pagamentos fornecendo informações e orientações sobre métodos de pagamento, integrações e melhores práticas comerciais.

2. Abordagem de segurança da CartDNA

A CartDNA fornece ferramentas, orientações e recursos relacionados com pagamentos para ajudar os comerciantes a compreender as integrações de pagamento e a otimização do checkout. Fornecedores de pagamento licenciados gerem o processamento de transações e ambientes de dados de cartões.

O papel da CartDNA centra-se em fornecer informações, recursos educacionais e ferramentas para ajudar os comerciantes a tomar decisões informadas sobre a sua infraestrutura de pagamentos.

3. Papel dos fornecedores de pagamento

Os fornecedores de pagamento são responsáveis por lidar com transações de pagamento, processar dados de cartões e manter a conformidade com o PCI DSS para os seus ambientes de pagamento.

As responsabilidades típicas dos fornecedores de pagamento incluem:

• Infraestrutura de processamento de pagamentos
• Gestão e armazenamento de dados de cartões
• Encriptação e tokenização de dados sensíveis
• Operações seguras de gateway de pagamento
• Certificação e auditorias de PCI DSS

Os comerciantes devem rever as políticas de segurança e a documentação de conformidade dos seus fornecedores de pagamento escolhidos para compreender como os dados dos cartões são protegidos.

4. Responsabilidades dos comerciantes

Os comerciantes que utilizam serviços de pagamento através do Shopify ou outras plataformas de comércio eletrónico têm as suas próprias responsabilidades de segurança.

As práticas de segurança recomendadas para comerciantes incluem:

• Utilizar fornecedores de pagamento confiáveis e certificados
• Proteger as credenciais da loja e o acesso administrativo
• Manter os sistemas de comércio eletrónico e plugins atualizados
• Seguir as orientações e recomendações de segurança do Shopify
• Monitorizar a atividade da loja em busca de comportamentos suspeitos
• Implementar políticas de palavra-passe robustas
• Utilizar autenticação de dois fatores quando disponível

Os comerciantes devem consultar o seu fornecedor de pagamento e plataforma de comércio eletrónico sobre requisitos de segurança específicos e obrigações de conformidade.

5. Práticas de segurança

A CartDNA mantém medidas de segurança técnicas e organizacionais razoáveis para proteger o seu website, serviços e infraestrutura operacional.

As práticas de segurança podem incluir:

• Infraestrutura de alojamento segura
• Controlos de acesso e gestão de permissões
• Monitorização de atividades suspeitas e ameaças de segurança
• Atualizações regulares de software e infraestrutura
• Testes de segurança e avaliações de vulnerabilidade
• Registo de incidentes e processos de revisão

6. Princípios de proteção de dados

A CartDNA aplica princípios de proteção de dados ao lidar com informações pessoais e dados operacionais.

Os princípios-chave incluem:

• Minimização de dados – recolha apenas de informações necessárias para os fins declarados
• Processamento transparente – comunicação clara sobre a utilização de dados
• Proteção de informações pessoais – medidas de segurança razoáveis para dados sensíveis
• Práticas operacionais responsáveis – revisão contínua de medidas de segurança e privacidade

Informações adicionais sobre o processamento de dados podem ser encontradas na política de privacidade da CartDNA e nas páginas de informações do RGPD.

7. Resposta a incidentes

No caso de um incidente de segurança, violação de dados ou comprometimento suspeito, a CartDNA segue práticas responsáveis de resposta a incidentes.

Os procedimentos de resposta a incidentes podem incluir:

• Investigar problemas relatados prontamente
• Rever registos do sistema e registos de acesso
• Aplicar atualizações de segurança e mitigações
• Comunicar com as partes afetadas quando apropriado
• Relatar incidentes às autoridades relevantes quando exigido por lei

Os utilizadores que suspeitam de um problema de segurança ou desejam relatar uma preocupação devem contactar a CartDNA através da página de contacto.

8. Atualizações de política

A CartDNA pode atualizar esta página periodicamente para refletir mudanças nas práticas de segurança, padrões da indústria ou requisitos regulatórios.

Os utilizadores são incentivados a rever esta página ocasionalmente para se manterem informados sobre a abordagem de segurança da CartDNA e práticas relacionadas com pagamentos.

9. Contacto sobre assuntos de segurança

Se tiver perguntas sobre conformidade com PCI DSS, segurança de pagamentos ou práticas de segurança da CartDNA, contacte: