Diretor do PCI rebate críticas ao padrão

Como diretor-geral do PCI (Payment Card Industry) Security Standard Council, Robert Russo carrega o peso das críticas ao padrão PCI - conjunto de normas de segurança criado pelo grupo para garantir boas práticas no uso, manuseio e armazenagem de dados dos cartão de crédito.

As normas do PCI são adequadas para a proteção efetiva dos dados referentes aos cartões de pagamentos?

Robert Russo: Desde a implementação do modelo, em 2005, até o presente momento, não detectamos falhas preocupantes nas políticas estipuladas pelo padrão. Acredito que se alguém tivesse o conhecimento de um erro, certamente já teria ido a público divulgá-lo. E como ninguém está agindo dessa maneira, creio que as normas sejam realmente efetivas para garantir a segurança das informações.

O que você tem a dizer àqueles que criticam as normas do PCI-DSS, alegando que elas não mitigam todos os riscos?

Russo: Atuamos com o intuito de perseguir a melhoria contínua de qualidade. O modelo funciona da seguinte maneira: divulgamos uma atualização das normas e deixamos que seja testada por cerca de oito meses pelas organizações que adotam o padrão, bem como pela comunidade acadêmica e pelos fornecedores certificados de software de segurança.

Depois desse período, todos aqueles que testaram as novas regras têm a oportunidade de nos dar algum tipo de feedback formal. A idéia é que nos mostrem como seus negócios são afetados pelo PCI-DSS e quais aspectos do padrão devem sofrer mudanças para melhor proteger os dados transacionados.

O próximo passo é avaliar a viabilidade das sugestões e divulgar um documento com a seguinte declaração: “Essa é nossa nova proposta para o padrão PCI-DSS, resultado de todas as opiniões recebidas”. Assim que todos forem comunicados, têm algum tempo para manifestar qualquer insatisfação e, se isso não acontecer, incorporamos as dicas das organizações, comunidade acadêmica e fornecedores às normas do modelo.

Representantes de sete grupos de comércio norte-americanos enviaram uma carta a você perguntando por que os padrões estabelecidos pelo PCI não podem ser os mesmos utilizados pelo Instituto de Padrões Nacionais Americanos. Qual foi a sua resposta?

Russo: Somos um padrão global e não podemos adotar modelos específicos de um país ou de outro. Precisamos cuidar das questões mundiais relacionadas ao gerenciamento de riscos e é exatamente isso que estamos fazendo no momento. Vale ressaltar que sempre observamos os padrões já existentes, até para conhecer experiências que deram certo ou errado. Se nos depararmos com iniciativas de extremo sucesso, não teremos problemas em adotá-las.

Basicamente, você está dizendo que o PCI está se adaptando para atingir o máximo de companhias possível?

Russo: Exatamente. É muito difícil aliar as melhores práticas para continuidade de negócios às exigências das organizações de e das redes jurídicas internacionais. Mesmo assim, estamos fazendo o possível para adaptar as normas aos requisitos de mercado e já podemos afirmar que estar em conformidade com o padrão PCI é a melhor maneira de se manter blindado das brechas de segurança. Nos últimos anos, todos os incidentes relativos aos dados de cartões de pagamento ocorreram com empresas que não possuem política estruturada de compliance.