A conformidade PCI DSS não é opcional para qualquer empresa que aceite, processe, armazene ou transmita dados de titulares de cartão. Mas o âmbito do seu programa de conformidade, ou seja, o número de sistemas, processos e pessoas sujeitos aos requisitos PCI, é muito controlável. A forma mais eficaz de reduzir esse âmbito, e consequentemente reduzir custos, complexidade e risco de conformidade, é a tokenização.
Este artigo analisa a mecânica prática da redução do âmbito PCI DSS: o que significa realmente o âmbito, como a tokenização o reduz, o processo passo a passo para implementar a redução de âmbito, como se simplificam os Questionários de Autoavaliação (SAQ) com a tokenização, as poupanças reais em custos e os erros que surpreendem as organizações.
- O âmbito PCI propaga-se em cascata: proteger um sistema arrasta para o âmbito os sistemas adjacentes ligados, expandindo rapidamente os custos de conformidade.
- A tokenização elimina completamente os dados de cartão do seu ambiente: os tokens não são dados de titulares segundo o PCI DSS, pelo que os sistemas que apenas armazenam tokens ficam fora do âmbito.
- Uma plataforma típica de tamanho médio passa de 30-50 sistemas no âmbito para apenas 2-5 após implementar um PCI Proxy, reduzindo a carga de conformidade até 90%.
Compreender o Âmbito PCI DSS
O âmbito PCI DSS refere-se ao conjunto de sistemas, redes e processos envolvidos ou ligados à gestão de dados de titulares de cartão. Qualquer sistema que armazene, processe ou transmita dados de cartão está no âmbito. Mas o âmbito não se fica por aí: qualquer sistema ligado a um que esteja no âmbito, ainda que não trate diretamente dados de cartão, pode ser arrastado para o âmbito. A isto chama-se âmbito "ligado" ou "adjacente", e é a principal razão pela qual a conformidade PCI se torna tão dispendiosa.
Considere uma arquitetura de e-commerce típica: o servidor web que aloja a página de checkout processa dados de cartão, pelo que está no âmbito. O servidor de aplicações que gere a lógica transacional está no âmbito. O servidor de base de dados que armazena os registos de transações, se esses registos incluírem algum elemento de dados de titulares, está no âmbito. O balanceador de carga, a firewall, o servidor DNS, a infraestrutura de logging, as ferramentas de monitorização: tudo o que se encontre no mesmo segmento de rede que os sistemas no âmbito poderá estar também, dependendo da sua arquitetura.
O resultado é um efeito em cascata. O que começa como "só precisamos de proteger a página de checkout" expande-se rapidamente para "precisamos de proteger, monitorizar, verificar e documentar dezenas de sistemas interligados". Cada sistema no âmbito deve cumprir o conjunto completo de controlos PCI DSS. O custo da conformidade cresce aproximadamente de forma linear com o número de sistemas no âmbito.
Como a Tokenização Reduz o Âmbito
A tokenização interrompe a cascata de âmbito ao eliminar completamente os dados de titulares de cartão do seu ambiente. Quando encaminha os dados de cartão através de um PCI Proxy, um serviço de tokenização gerido por um fornecedor certificado PCI DSS Level 1, o número do cartão é intercetado, encriptado e armazenado no vault do fornecedor antes de chegar aos seus servidores. Os seus sistemas recebem apenas um token: um valor de referência não sensível que não pode ser usado para recuperar o número do cartão original.
Uma vez que os tokens não são dados de titulares de cartão segundo as definições do PCI DSS, os sistemas que armazenam, processam e transmitem tokens não estão no âmbito. O seu servidor de aplicações, base de dados, logs, backups e infraestrutura de analítica trabalham exclusivamente com tokens. Não têm acesso aos números reais de cartão. E porque não têm esse acesso, estão fora do âmbito do PCI DSS.
Redução de Âmbito em Números
Uma plataforma de e-commerce de tamanho médio tem tipicamente 30-50 sistemas no seu âmbito PCI sem tokenização. Após implementar um PCI Proxy, os sistemas no âmbito reduzem-se para 2-5 (os pontos de integração do proxy e a captura do cartão do lado do cliente). Isto traduz-se em aproximadamente 90% menos controlos PCI a implementar e manter, e numa redução proporcional do esforço de auditoria, testes e custos.
Processo de Redução de Âmbito Passo a Passo
Reduzir o âmbito PCI com tokenização não é uma operação com um clique: exige planeamento e execução cuidadosos. Este é o processo que as empresas europeias seguem tipicamente, com base na nossa experiência a trabalhar com comerciantes, PSP e call centers em todo o continente.
Mapeie os Fluxos Atuais de Dados de Titulares
Identifique cada ponto onde os dados de cartão entram, transitam e são armazenados no seu ambiente. Isto inclui formulários web, SDK móveis, endpoints API, ecrãs de agentes telefónicos, ficheiros batch, backups e ficheiros de log. Muitas organizações descobrem dados de cartão em locais inesperados durante este exercício, especialmente em ficheiros de log e relatórios de erros.
Identifique os Pontos de Inserção da Tokenização
Para cada fluxo de dados, determine o primeiro ponto possível onde os dados de cartão podem ser intercetados e substituídos por um token. Quanto mais cedo tokenizar, menor será o seu âmbito. Para o checkout web, isto significa tipicamente um SDK JavaScript do lado do cliente. Para pagamentos telefónicos, é o mascaramento DTMF ou o IVR seguro ao nível da telefonia. Para integrações API-to-API, é um proxy de reencaminhamento que interceta os dados de cartão no corpo do pedido.
Implemente e Teste a Integração PCI Proxy
Implemente o SDK ou a integração API do PCI Proxy para cada ponto de inserção. Use o ambiente sandbox do fornecedor para validar que os dados de cartão são intercetados corretamente, que os tokens são gerados e que os seus sistemas downstream funcionam corretamente com tokens em vez de PAN. Teste casos limite: cartões expirados, transações recusadas, reembolsos, chargebacks e operações do ciclo de vida dos tokens.
Elimine os Dados de Cartão Históricos
Depois de ativar a tokenização, deve eliminar quaisquer dados de cartão históricos do seu ambiente. Isto inclui registos de base de dados, ficheiros de log, backups, ambientes de teste, ficheiros de email e qualquer outra localização onde os dados de cartão possam ter sido armazenados historicamente. Se precisar de manter referências a transações, re-tokenize os dados históricos antes da sua eliminação.
Requalifique o Âmbito e Valide com o seu QSA
Envolva o seu Qualified Security Assessor para reavaliar o seu âmbito PCI DSS. Com a tokenização em funcionamento e os dados históricos eliminados, o seu ambiente no âmbito deverá ser drasticamente mais pequeno. O QSA confirmará a sua elegibilidade para um SAQ simplificado (tipicamente SAQ A ou SAQ A-EP) e documentará o âmbito reduzido no seu relatório de conformidade.
Simplificação do SAQ Explicada
Um dos benefícios mais tangíveis da redução de âmbito é a simplificação do SAQ. Os Questionários de Autoavaliação PCI DSS estão disponíveis em vários tipos, cada um correspondente a um nível diferente de exposição a dados de cartão. O questionário que tem de preencher determina o número de controlos de segurança a implementar e validar.
SAQ D é o questionário mais completo, com mais de 300 requisitos individuais. Aplica-se a qualquer comerciante ou fornecedor de serviços que armazene, processe ou transmita dados de titulares na sua própria infraestrutura. Para a maioria das empresas de tamanho médio, o SAQ D significa um projeto de conformidade de 6-12 meses e entre 100.000 e 250.000 € de custos anuais.
SAQ A-EP aplica-se aos comerciantes de e-commerce que não processam diretamente os dados de cartão mas cujo site controla como os dados são redirecionados para um processador terceiro. Tem aproximadamente 140 requisitos, menos de metade do SAQ D. Esta é a zona de aterragem típica para as empresas que usam um PCI Proxy com tokenização do lado do cliente.
SAQ A é o questionário mais simples, com aproximadamente 22 requisitos. Aplica-se aos comerciantes que externalizaram completamente todo o processamento de pagamentos e a gestão de dados de cartão a um terceiro em conformidade com o PCI. Se a sua integração PCI Proxy utilizar uma abordagem de iframe ou campo alojado, poderá qualificar-se para o SAQ A. Este é o padrão de ouro da redução de âmbito.
Exemplos Reais de Poupança em Custos
E-commerce de Tamanho Médio
Retalhista europeu de moda com 500.000 transações/ano. Passou de SAQ D para SAQ A-EP.
PSP Regional
PSP do sul da Europa com 2.000 comerciantes. Implementou o PCI Proxy para tokenização do lado do comerciante.
Call Center de Seguros
Call center com 300 postos para pagamentos telefónicos de prémios. Implementou mascaramento DTMF com o PCI Proxy.
Erros Comuns a Evitar
A redução de âmbito através de tokenização é poderosa, mas exige uma execução cuidadosa. Estes são os erros mais comuns que as organizações cometem ao implementar uma estratégia de redução de âmbito baseada em tokenização.
Mapeamento incompleto dos fluxos de dados. Se um fluxo de dados escapar ao seu controlo — um endpoint API legado que ainda aceita números de cartão em texto claro, um ambiente de testes com dados de cartão de produção, um ficheiro de log que captura os corpos dos pedidos — o seu pedido de redução de âmbito não resistirá à revisão do QSA. Seja exaustivo ao mapear cada ponto onde os dados de cartão entram, transitam ou são armazenados.
Não eliminar os dados históricos. Tokenizar as novas transações é apenas metade do trabalho. Se a sua base de dados ainda contiver números de cartão históricos, esses registos mantêm a base de dados — e cada sistema ligado — no âmbito. Deve eliminar os dados históricos de cartão ou re-tokenizá-los.
Confusão acerca do formato dos tokens. Nem todos os tokens proporcionam a mesma redução de âmbito. Se o seu token preservar o formato completo do PAN, alguns QSA poderão argumentar que os sistemas que gerem esses tokens necessitam de controlos adicionais. Discuta o formato dos tokens com o seu fornecedor PCI Proxy e com o seu QSA antes da implementação.
Ignorar o âmbito ligado. Mesmo após a tokenização, os sistemas que gerem o intercâmbio de tokens podem ser considerados "ligados" e parcialmente no âmbito. Certifique-se de compreender quais os componentes que permanecem no âmbito e implemente os controlos necessários para esses sistemas específicos.
Descurar a monitorização contínua. A redução de âmbito não é um evento único. Novas funcionalidades, integrações e requisitos de negócio podem reintroduzir inadvertidamente dados de cartão no seu ambiente. Implemente a monitorização contínua para detetar qualquer dado de cartão que surja fora do fluxo tokenizado.
Conclusão
A redução do âmbito PCI DSS através de tokenização é o passo único mais impactante que uma empresa europeia pode dar para reduzir os custos de conformidade, diminuir a complexidade da auditoria e minimizar o risco de segurança. A matemática é simples: menos sistemas no âmbito significa menos controlos, menos testes, menos horas de auditor e menos despesa. Para a maioria das organizações, o investimento num PCI Proxy amortiza-se em apenas um trimestre só com a redução da despesa em conformidade, sem contar com os ganhos em produtividade de engenharia e a redução do risco de violações de dados.
A chave é uma execução rigorosa: mapeamento completo dos fluxos de dados, inserção precoce da tokenização, eliminação completa dos dados históricos e monitorização contínua do âmbito. Faça estas coisas corretamente e o seu programa de conformidade PCI transforma-se de um encargo anual de seis dígitos num custo operacional gerível e previsível.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos