Especialistas em serviços e soluções tecnológicas transacionais

Empresa

Tokenizar tudo?... que rumo tem tomado à segurança da informação nos meios de pagamento?

Notícia

As novas soluções, produtos e medidas que visam a promover a inclusão financeira de todos os setores da sociedade, são comuns nos dias de hoje. Estas iniciativas, ações que pretendem democratizar os meios de pagamento, oferecem mais opções e ao mesmo tempo desencadeiam novos riscos e desafios em termos de segurança da informação.

Proteger a informação sensível que é armazenada, processada ou transmitida é um assunto que cada dia assume maior relevância para as marcas, processadoras, bancos e outras instituições financeiras, que além de estar em conformidade com as normas de segurança, devem implementar medidas que colaborem ativamente na prevenção da fraude e roubo de identidade.

Em particular na indústria dos meios de pagamento é uma obrigação cumprir com a norma PCI-DSS (Data Security Standard). O custo desse compromisso pode ser muito alto; aliás inclui os custos de desenvolvimento, formação, auditorias, etc., sendo proporcional ao número de servidores e aplicativos que precisem dar cumprimento.

Esta norma deve-se levar em conta se for armazenado, processado ou transmitido um número de conta principal (PAN). O mercado está voltado a implementar as melhores soluções de segurança, tentando simultaneamente, minimizar riscos e custos. Estas soluções são muito difíceis de implementar na empresa e requer-se um alto nível de conhecimento da norma PCI e princípios de segurança da informação, e assim sendo, na maioria das vezes procuram-se fornecedores muito capacitados que cumpram com as suas exigências. Em particular, sobre esse requisito, Guido Balcázar, Gerente Geral de ATC Red Enlace explicou como surgiu a iniciativa da empresa para obter ferramentas que ofereçam segurança e garantias para realizar este processo: "a empresa, como parte dos seus objetivos estratégicos definidos no planejamento estratégico 2013-2017," decidiu "contar com certificações de normas internacionais para apoiar processos críticos do negócio", motivo pelo qual definimos criar um programa que nos possibilitasse alcançar a certificação da norma de segurança do PCI DSS durante as gestões 2014-2015.

Nesse sentido, no início de 2014, sob a metodologia PMBOK adotada pela empresa e o resultado da revisão dos 12 requisitos e 399 requerimentos específicos do standard, veio à tona a necessidade de contar com ferramentas e soluções que nos permitissem cumprir os objetivos estabelecidos, ainda dentro do período proposto a nosso diretório. Foi assim que optamos por avaliar ferramentas de tokenização e logo depois sistemas de administração de cartões eletrônicos. “Das propostas recebidas e depois de ter ensaiado processos exaustivos de avaliação, e de ter testado o módulo de tokenização (Secure TX), concluímos que as soluções oferecidas por PayTrue Solutions encaixam muito bem com as necessidades do ATC”.

Na proposta de PayTrue, há diferentes alternativas no mercado para cumprir com esses objetivos, com base, entre outras técnicas, na criptografia, hashing, mascaramento e/ou tokenização. Cada uma destas abordagens tem vantagens e desvantagens, e deve-se fazer uma escolha considerando as necessidades específicas da instituição. Uma possível maneira de reduzir o custo (tanto em tempo quanto em dinheiro) é reduzir o escopo do PCI. A solução desenvolvida por PayTrue, PayStudio SecureTX, se baseia na tokenização.

O SecureTX é uma solução certificada PA - DSS, concebida para facilitar o cumprimento da norma PCI, reduzindo a abrangência do standard. O objetivo é substituir, na maior quantidade de 'lugares', um PAN por um token. Dessa maneira consegue-se reduzir o CDE (Cardholder Data Enviroment) radicalmente. Permite proteger vários sistemas simultaneamente, e também configurar múltiplos canais e formatos de mensagens, em particular ISO 8583 sobre TCP.

O SecureTX possibilita o seguinte:

  • Cumprir com a norma PCI DSS.
  • Diminuir os custos que exigem cumprir com essa norma em particular, reduzir o alcance das auditorias.
  • Reduzir o impacto de um ataque malicioso.

Além de respeitar as normas do PCI-DSS, suporta nativamente os fluxos necessários para processadores de meios de pagamento, incluindo a translação de PIN e gestão de DUKPT. Garante um altíssimo desempenho transacional. Opera por sua vez com aplicações Batch ou online. Gera tokens que preservam o formato do cartão original, a fim de minimizar o impacto nos sistemas a proteger. Suporta arquiteturas de alta disponibilidade ou redundância e já conta com instalações bem-sucedidas na região.