A não conformidade com o PCI DSS afeta os negócios de várias maneiras e leva a uma variedade de consequências. O PCI DSS é um conjunto de padrões de segurança da informação para empresas que ajudam a proteger os dados do cartão de pagamento contra perda de dados, roubo ou outros acidentes. Isso ajuda a garantir transações confiáveis de seus comerciantes ou de seus clientes.
O PCI DSS não é apenas conformidade, mas também uma boa prática comercial. É por isso que, se sua organização não estiver em conformidade com esse padrão do setor, correrá riscos cruciais. Portanto, pode enfrentar consequências estritas se os dados do cartão de pagamento atenuarem qualquer ataque ou acidente, digamos se os dados foram violados ou roubados por um invasor.
O que é não conformidade?
A não conformidade é uma prática de negar ou não cumprir com a regulamentação ou regra que leva a várias consequências e riscos prováveis, especialmente no setor de pagamentos associado ao PCI DSS. Isso ajudará você a entender a importância de cumprir o PCI DSS. Mas, antes de tudo, vamos conhecer o PCI DSS.
O que é o PCI DSS?
O PCI DSS – Padrão de segurança de dados do setor de cartões de pagamento – é um conjunto de padrões de segurança para empresas que processam e armazenam dados de cartão de crédito. A conformidade com o PCI DSS ajuda a proteger os dados confidenciais contra vários tipos de ameaças, incluindo ataques cibernéticos e roubos internos. Isso ajuda a aumentar a confiança do cliente no setor de cartões de pagamento – especialmente sua organização e seus comerciantes.
O PCI DSS foi lançado pela primeira vez em dezembro de 2014 como um esforço combinado de cinco maiores empresas de cartões: American Express, Discover, JCB, MasterCard e VISA. Foi desenvolvido para aprimorar a segurança dos dados do titular do cartão, fornecendo um conjunto de requisitos operacionais e técnicos compilados para proteger os dados do cartão.
A conformidade se aplica a todas as entidades do setor de cartões de pagamento, incluindo emissores, comerciantes e prestadores de serviços, juntamente com as entidades que processam, armazenam ou transmitem dados do titular do cartão ou do cartão ou dados confidenciais de autenticação. Aplica-se a empresas de terceiros que lidam com o trabalho de terceirização também.
O PCI DSS é muito significativo para qualquer organização porque “a violação ou roubo de dados do titular do cartão afeta todo o ecossistema do cartão de pagamento. De repente, os clientes perdem a confiança em comerciantes ou instituições financeiras; seu crédito pode ser afetado negativamente – há enormes consequências pessoais. Comerciantes e instituições financeiras perdem credibilidade (e, por sua vez, negócios), eles também estão sujeitos a numerosos passivos financeiros,”De acordo com o PCI Security Standards Council.
O PCI DSS ajuda a proteger os dados de seus clientes. Se sua empresa é compatível com o PCI DSS, isso mostra que você está fazendo o melhor para manter os dados de seus clientes ou deles em segurança enquanto são processados, armazenados ou transmitidos na sua organização. Se sua empresa não estiver em conformidade, isso mostra que você é apático e não está fazendo o suficiente para proteger os dados do cartão e do titular do cartão.
Além disso, “os benefícios de segurança associados à manutenção da conformidade com o PCI são vitais para o sucesso a longo prazo de todos os comerciantes que processam pagamentos com cartão. Isso inclui a identificação contínua de ameaças e vulnerabilidades que podem potencialmente impactar a organização. A maioria das organizações nunca se recupera totalmente de violações de dados porque a perda é maior que os próprios dados,”Disse a Revista QSR.
Riscos e consequências da não conformidade
Se você é um negócio que não processa muitas transações, pode se perguntar sobre essa conformidade – por que estar em conformidade com o PCI DSS? Bem, primeiro de tudo, você deve ler a importância do PCI DSS; é fornecido acima neste artigo.
Portanto, não é difícil ficar em conformidade com o PCI DSS, especialmente se você é um pequeno comerciante ou organização. Pequenos comerciantes – que processam menos de 20.000 transações de cartão de crédito por ano – conhecido como “nível 4 comerciantes “têm os mais baixos requisitos de conformidade. Contudo, “60% das pequenas empresas sofreram uma violação cibernética“E”71% dos hackers atacam empresas com menos de 100 funcionários,”De acordo com um infográfico do PCI Security Standards Council.
Informou ainda que “uma pesquisa de 1, 015 pequenas e médias empresas encontraram 60% das pessoas que foram violadas em seis meses.”Isso significa que, se você é uma pequena empresa, é fácil obter conformidade com o PCI DSS e também é fácil ficar comprometido. Então, isso nos leva à pergunta: o que você quer escolher entre os dois?
Aposto que você optará pelo cumprimento, certo? Se você escolher o outro, vamos discutir os riscos e as consequências associadas à não conformidade do PCI DSS. Isso o ajudará a entender sua importância e tomar a decisão certa.
Sanções monetárias
Sua empresa pode ser cobrada com multas monetárias dos processadores de pagamento ou das empresas de cartão de crédito devido à não conformidade do PCI DSS. As multas chamadas “taxas de não conformidade” variam de US $5, 000 a $ 100.000 por mês.
Além disso, se houver uma violação ou vazamento de dados que leve a compras fraudulentas nos cartões de crédito de seus clientes, sua organização poderá ser responsável pelas cobranças de reversão bancária, que podem ser significativas pelo número de registros vazados.
Consequências legais
Os clientes prejudicados pela violação de dados podem optar por uma ação legal contra sua empresa usando ações judiciais – elas são principalmente caras. Então, você também pode obter ações de empresas de cartão de crédito ou do governo nos piores casos.
Por exemplo, a Target Corp. – uma gigante do varejo – sofreu uma enorme violação de dados no final de 2013. Custou à empresa US $ 202 milhões para lidar com a violação, que incluía US $ 18.5 milhões de acordos com 47 procuradores-gerais do estado, por Fortune.
Reputação danificada
Além dos clientes insatisfeitos gritando suas vozes em fóruns on-line e plataformas de mídia social, a imprensa também pode escolher e divulgar as notícias. No geral, uma violação ou vazamento de dados geralmente acaba com muita imprensa negativa, que é uma das piores coisas que podem acontecer a uma organização. Você não concorda?
Perda de Clientes
Você acha que um cliente pode confiar em sua organização se sofrer uma violação de dados? Muitos clientes não confiarão em você novamente. Em seguida, processadores de cartão ou empresas de cartão de crédito também podem restringir sua organização de manipular dados do cartão.
Auditorias Forenses
Embora as empresas geralmente sejam monitoradas pelas empresas de cartão de crédito e pelo PCI Security Standards Council, a Federal Trade Commission monitora as organizações maiores que lidam com uma grande quantidade de transações com cartão de pagamento.
A FTC pode auditar seus negócios se não estiver em conformidade com o PCI DSS, e uma auditoria da FTC nunca é uma boa notícia. Afinal, você não quer um órgão do governo auditando sua organização e espiando por cima do ombro, certo?
Ler: 10 componentes importantes da lista de verificação de conformidade com PCI