Cobranças recorrentes no cartão de crédito: por que ter certificação PCI é primordial?

Quando sua empresa, que é baseada em cobranças recorrentes, contrata um parceiro tecnológico para lidar com transações de cartão de crédito, o que você leva em consideração? Você se preocupa se ele está de acordo com o padrão de segurança adotado globalmente para o uso, manuseio e armazenagem de dados?

Sua resposta deve ser sim. Isso porque no momento de contratar um fornecedor, você precisa compreender a necessidade de manter a integridade dos dados que irão trafegar por sua empresa.

E, claro, você precisa ter a dimensão das possíveis ameaças, de caráter acidental ou intencional, que podem incorrer sobre as informações pessoais de seus clientes como: dados de identificação pessoal e financeiro, além de segredos comerciais, entre outros.

A boa notícia é que existem normas e requisitos preconizados pela indústria de pagamentos, cujo principal objetivo é a proteção de cartões de crédito: o PCI-DSS (Payment Card Industry – Data Security Standard).

PCI-DSS: o que é na prática?

O PCI Security Standards Council é um fórum global cujo principal objetivo é desenvolver e aprimorar continuamente padrões de segurança para o armazenamento e para a proteção de dados de contas.

Ele é formado por operadoras de cartões de crédito, que juntas, trabalham na detecção de ameaças e na otimização das práticas deste mercado. Para isso oferece formação aos profissionais de segurança e certificado às empresas, que atuam diretamente ou que oferecem soluções em pagamento.

E por que tudo isso é importante para a sua empresa? Se você tem um negócio recorrente, baseado em assinaturas, ou mensalidades, já sabe que é fundamental estabelecer uma relação de confiança com o seu cliente.

Para cobranças recorrentes com cartão de crédito, qualquer situação de vulnerabilidade de dados, acarreta danos de dimensões catastróficas aos negócios de uma empresa. Portanto, combater, mitigar e eliminar qualquer intercorrência desta natureza é a premissa do PCI e das empresas que recebem o certificado para operarem de acordo com esses padrões.

Como uma empresa pode receber o certificado PCI-DSS?

Para operar de acordo com as normas e requisitos estabelecidos pelo PCI-DSS e estar apto a receber o certificado de PCI Compliance, uma empresa precisa realizar esforços e investimentos para a adequação de seus sistemas nos seguintes aspectos:

• Manutenção da segurança da rede de dados;
• Proteção das informações dos portadores dos cartões;
• Manutenção de um programa de gerenciamento de vulnerabilidades;
• Controle de acessos;
• Manutenção de uma política de segurança de informações.

Mas não é só isso: é preciso também monitorar constantemente os riscos, por meio de auditorias, conduzidas por empresas que também estejam em conformidade com os padrões PCI.

Como saber se o seu fornecedor é certificado pelo PCI-DSS?

Agora que você já sabe quais são alguns dos requisitos mínimos preconizados pelo PCI-DSS, pode ficar mais tranquilo na hora de contratar um fornecedor que irá se encarregar de seus pagamentos recorrentes.

O próprio PCI Council dá algumas orientações para que uma empresa contratante possa se certificar de que um fornecedor está em conformidade com seus padrões de segurança.

O primeiro passo é solicitar o atestado de conformidade do PCI-DSS do prestador de serviços para verificar se ele está aplicado ao serviço que será contratado.

Você também pode fazer questionamentos para compreender como funcionam os processos do fornecedor acerca de:

• Captura e transmissão seguras dos dados do portador do cartão;
• Obtenção de garantias de que o fornecedor se manterá em conformidade e/ou que será validado de acordo com o PCI-DSS;
• Necessidades de armazenagem de informações do cartão;
• Proteção das informações de pagamento com criptografia forte;
• Definição sobre a prestação de suporte e proteção em caso de violação de dados;
• Manutenção do monitoramento para evitar violações de dados e atividades suspeitas.

E o mais importante: o PCI Council orienta que a melhor maneira de se proteger contra violações é não armazenar dados de cartões de nenhuma forma. Para isso, a entidade recomenda a terceirização do processamento de cartões para um prestador de serviços em conformidade com o PCI DSS.

O que é o PJBank?

O PJBank é uma Conta digital para empresas, que segue todas as exigências do PCI-DSS.

A conta digital foi criada para diminuir as burocracias bancárias e automatizar processos que demandam tempo, como a conciliação bancária. O PJBank funciona totalmente integrado ao sistema de gestão do Superlógica Assinaturas.

Isso significa que juntos, Superlógica Assinaturas e PJBank oferecem o máximo de desempenho nos pagamentos recorrentes e avulsos, simplificando a comunicação entre os adquirentes.

O cliente que utiliza o PJBank em conjunto com o Superlógica Assinaturas tem a garantia de que os dados de seus clientes estão trafegando em um sistema seguro, que ainda oferece a vantagem de fazer re-tentativas de cobrança.

E para lhe ajudar de forma global na gestão dos seus pagamentos recorrentes, o gateway próprio do Superlógica está integrado também ao Cielo, Stone, Global Payments e Pagar.me.

Fique sempre seguro: PJBank é certificado pelo PCI-DSS

Como vimos, uma das recomendações do PCI para se proteger contra violações é não armazenar dados de cartões de nenhuma forma.

Por isso, o PJBank adota medidas rigorosas de controle de dados de cartões e transações, usando criptografia para garantir a segurança e a proteção do titular do cartão, dessa forma, nem mesmo o PJBank tem acesso a essas informações.

O ambiente é monitorado anualmente, conforme preconiza o PCI, para identificar e gerenciar vulnerabilidades. Além disso, recebe auditorias de segurança complementares bimestralmente.

Superlógica Assinaturas + PJBank: soluções seguras

Os clientes do Superlógica Assinaturas não precisam se preocupar com acessibilidade, integridade e disponibilidade de dados, pois a plataforma é robusta e eficaz, alinhada às boas práticas do mercado.

A tecnologia de armazenagem de dados nas nuvens do Superlógica é o Amazon AWS, fornecedor certificado pelo PCI Compliance. A empresa também é escaneada e avaliada mensalmente pela Qualys Inc, uma empresa americana.

A Superlógica acompanha todas as requisições, erros, tentativas de invasão ou problemas de performance de perto usando o NewRelic, uma ferramenta que auxilia no diagnóstico de possíveis problemas de performance.

O resultado é a garantia de funcionamento em 99,9% do tempo, com recuperação e proteção de dados diante de qualquer tipo de falha operacional.

As demandas de pagamentos trafegam de forma segura dentro do Superlógica, que junto com o PJBank como uma das opções de facilitadores, presta serviço certificado dentro dos padrões internacionais PCI-DSS.

Você já é um cliente Superlógica Assinaturas?

Com a segurança de dados dos seus clientes não se brinca. Fique sempre seguro para lidar com suas cobranças recorrentes.

Se você ainda não conhece o Superlógica saiba tudo o que você precisa levar em conta antes de contratar uma plataforma de pagamentos recorrentes.

Veja também as 7 boas práticas em gestão de assinaturas que você deve adotar hoje.

Sua empresa está escalando? Entenda porque como uma solução de pagamento ideal pode tornar sua empresa mais eficiente e competitiva.