Estar em conformidade com o PCI

O Payment Card Industry Security Standards Council estabelece as normas de segurança que protegem os dados de cartões de crédito chamadas Payment Card Industry Data Security Standards (PCI-DSS ou, apenas, PCI). Espera-se, portanto, que as entidades que transmitem, processam ou guardam informações de cartões de crédito respeitem o PCI.

Pode utilizar o alojamento para estabelecer a sua presença online e o catálogo de produtos. Em seguida, pode trabalhar em conjunto com um fornecedor externo no processamento de pagamentos em seu nome, para que o seu servidor fique livre de cartões de crédito (p. ex., o PayPal Checkout, o Square Online Checkout e o Stripe Checkout). Certifique-se de que está a par de quaisquer requisitos adicionais para que a sua empresa esteja em conformidade com o PCI.

Se preferir aceitar pagamentos diretamente no seu site, disponibilizamos produtos certificados pelo PCI, como o nosso Alojamento WordPress Gerido para Comércio Eletrónico, a Loja Online e as Marcações Online. Estar em conformidade com o PCI envolve um esforço conjunto. Por isso, quando utilizar uma das nossas soluções certificadas pelo PCI, concebemos os nossos processos e sistemas de forma a proteger as informações de cartões de crédito dos seus clientes. Além disso, precisamos que proteja a sua conta.

Loja Online e Marcações Online

Os pagamentos através da Loja Online e das Marcações Online estão integrados com serviços de terceiros que processam informações de cartões de crédito nos respetivos ambientes protegidos. Estes produtos utilizam uma pequena parte de código no seu site web para permitir que os clientes introduzam informações de cartões de crédito diretamente no site. Isto permite-lhe estar em conformidade com o PCI ao seguir alguns passos para proteger a sua conta:

  • Gestão de utilizadores
    • Atribua sempre um ID único aos utilizadores e utilize palavras-passe seguras.
    • Não utilize IDs nem palavras-passe de grupo, partilhados ou genéricos.
    • Remova os utilizadores quando for suposto deixarem de ter acesso.
  • Registos em papel (não digitais)
    • Se recolhe informações de cartões de crédito em papel, certifique-se de que controla o acesso a essas informações e as destrói quando deixarem de ser necessárias.
  • Conformidade dos fornecedores de serviços
    • Se utiliza serviços para gerir registos em papel ou a sua conta, certifique-se de que o fornecedor de serviços tem conhecimento da responsabilidade que lhe recai relativamente ao tratamento seguro de dados de cartões de crédito e, também, de que tem a certeza do cumprimento dessas obrigações por parte do fornecedor de serviços.
  • Plano de resposta a incidentes
    • Garanta que tem uma lista das pessoas que precisa de contactar e um plano sobre como gerir as comunicações com clientes no caso de uma falha de segurança de dados.
  • Envie o Questionário A de Autoavaliação do PCI (PCI SAQ-A no original) com o processador de pagamentos (Stripe, Square ou PayPal).

Nota: se aceitar pagamentos por telefone, poderá estar sujeito a requisitos adicionais para proteger os seus sistemas telefónicos e os computadores utilizados pelos seus operadores de call center.

WordPress Gerido com o WooCommerce

Os pagamentos realizados através do WordPress Gerido podem ser implementados por meio do suplemento do WooCommerce, que integra serviços de terceiros para processar cartões de crédito nos respetivos ambientes protegidos. Isto utiliza uma pequena parte de código no seu site web para permitir que os clientes introduzam informações de cartões de crédito diretamente no site. Uma vez que controla os suplementos instalados na sua conta, existem alguns passos adicionais a cumprir para alcançar a conformidade com o PCI:

  • Implementação de pagamentos
    • Apenas instale o suplemento do WooCommerce para pagamentos. Embora possam estar disponíveis outros suplementos para pagamentos, apenas certificamos o suplemento do WooCommerce.
    • Não adicione nenhuma funcionalidade nem nenhum código que trate informações de cartões de crédito. Não podemos certificar nenhum processo de pagamento personalizado que seja adicionado a um servidor.
    • Mantenha os seus suplementos atualizados (faça as atualizações em 30 dias).
  • Gestão de utilizadores
    • Atribua sempre um ID único aos utilizadores e utilize palavras-passe seguras.
    • Não utilize IDs nem palavras-passe de grupo, partilhados ou genéricos.
    • Remova os utilizadores quando for suposto deixarem de ter acesso.
  • Registos em papel (não digitais)
    • Se recolhe informações de cartões de crédito em papel, certifique-se de que controla o acesso a essas informações e as destrói quando deixarem de ser necessárias.
  • Conformidade dos fornecedores de serviços
    • Se utiliza serviços para gerir registos em papel ou a sua conta, certifique-se de que o fornecedor de serviços tem conhecimento da responsabilidade que lhe recai relativamente ao tratamento seguro de dados de cartões de crédito e, também, de que tem a certeza do cumprimento dessas obrigações por parte do fornecedor de serviços.
  • Plano de resposta a incidentes
    • Garanta que tem uma lista das pessoas que precisa de contactar e um plano sobre como gerir as comunicações com clientes no caso de uma falha de segurança de dados.
  • Envie o Questionário A de Autoavaliação do PCI (PCI SAQ-A no original) com o processador de pagamentos (WooCommerce Payments, Stripe, PayPal, Square, Klarna ou PayFast).

Nota: se aceitar pagamentos por telefone, poderá estar sujeito a requisitos adicionais para proteger os seus sistemas telefónicos e os computadores utilizados pelos seus operadores de call center.

Se tiver mais perguntas, consulte o seu banco ou contacte um assessor de segurança qualificado (QSA na sigla original).

Mais informações


Este Artigo Foi Útil?
Obrigado pelos seus comentários. Para falar com um representante do serviço de apoio ao cliente, utilize o número de telefone da assistência ou a opção de conversação acima.
Ficamos contentes por o termos ajudado! Podemos fazer mais alguma coisa por si?
Pedimos desculpas. Indique-nos o que era confuso ou o motivo pelo qual a solução não resolveu o seu problema.