Segurança

Segurança2020-10-02T15:22:58+01:00

Segurança

O que é? Qual é o seu objetivo?2020-03-18T00:58:54+00:00

O PCI DSS (Payment Card Industry Data Security Standards) é um standard de segurança desenvolvido e gerido por uma entidade independente criada em 2006 pelos principais Sistemas de Pagamento Internacionais (Visa Inc., MasterCard, Discover Financial Services, JCB International e American Express). Tem como finalidade:

  • Proteger os titulares de cartões de pagamento, de forma a assegurar a confidencialidade e integridade dos dados sensíveis associados à utilização de cartões de pagamento, quer se tratem dos dados do cartão ou de autenticação;
  • Proteger os comerciantes de consequências financeiras e reputacionais adversas, que possam resultar da quebra dessa confidencialidade;
  • Uniformizar os requisitos de segurança a cumprir por todos os intervenientes na indústria de pagamentos, garantindo um controlo transversal do risco de compromisso de dados e um grau de confiança acrescido.
Quais são os dados sensíveis do cartão?2020-03-18T15:15:46+00:00

O PCI DSS visa proteger os dados do titular do cartão e de autenticação, considerando as seguintes restrições:

Dados sensíveis PCI Elemento de dados Armazenamento permitido Tornar os dados armazenados ilegíveis, conforme requisito do PCI
Dados do titular de cartão Nº de cartão (PAN) Sim Sim
Nome do Titular de cartão Sim Não
Código de serviço SIm Não
Data de validade Sim Não
Dados de autenticação confidenciais 1 Dados de banda magnética 2 Não Não armazenável conforme requisito do PCI
CAV2/CVC2/CVV2/CID 3 Não Não armazenável conforme requisito do PCI
PIN 4 Não Não armazenável conforme requisito do PCI
  1. Os dados de autenticação confidenciais não devem ser armazenados após a autorização (mesmo se forem criptografados).
  2. Dados de rastreamento completo da tarja magnética, dados equivalentes no chip, ou em outro lugar
  3. O valor de três ou quatro dígitos impresso na frente ou atrás de um cartão de pagamento
  4. Número de identificação pessoal inserido pelo portador do cartão durante uma transação com cartão e/ou bloqueio de PIN criptografado dentro da mensagem da transação
Quem deve fazer certificação PCI?2022-11-22T10:44:12+00:00

Todos os comerciantes têm de cumprir com os requisitos de segurança PCI.
Para aferir qual o nível de certificação a realizar, cada comerciante deverá consultar no website www.pcisecuritystandards.org quais os requisitos de validação exigidos por categoria de comerciante. A classificação de cada categoria cruza o número de transações anuais do comerciante, o canal de aceitação afeto à transação e o grau de risco do comerciante.

A distinção entre os requisitos de validação e o consequente comprovativo de cumprimento exigido varia consoante o nível de risco em que o comerciante se enquadra.

Nível Nº anual de Transações Requisitos de validação Comprovativo 
1 >6 milhões de transações (independentemente do canal de aceitação)
  • ROC: Report On Compliance
  • SAQ: Self-Assessment Questionaire
  • Scans trimestrais à rede por um Approved Scan Vendor (ASV)
  • AOC: Certificado Anual de Conformidade (emitido por um Qualified Security Assessor QSA)
2 1 a 6 milhões de transações (independentemente do canal de aceitação)
  • SAQ
  • Scans trimestrais à rede 
3 20 mil a 1 milhão de transações e-commerce
  • Comprovativo de relação de negócio com Prestador de Serviços de Pagamento incluído nas listas de compliance da Visa ou da MasterCard.
  • SAQ
4 <20 mil transações e-commerce 
<1 milhão de transações
  • SAQ
  • Scans trimestrais à rede
  • SAQ

Importante!

Os Comerciantes que tenham sofrido um ataque aos seus sistemas informáticos que tenha resultado no compromisso dos dados dos cartões
dos seus Clientes requerem, automaticamente, os requisitos de validação de Nível 1.
A Unicre solicitará anualmente aos Comerciantes o comprovativo do cumprimento dos requisitos, podendo, consoante critérios por si definidos, prescindir desse comprovativo no caso de Comerciantes de Nível 4.

Como obter a certificação PCI?2022-11-22T10:07:56+00:00

A certificação PCI poderá ser efetuada com o recurso a um consultor de segurança qualificado – QSA (Qualified Security Assessor), que esteja certificado pelos Sistemas de Pagamento Internacionais, ou por um auditor de segurança interno do próprio comerciante – ISA (Internal Security Assessor) que tenha concluído o programa de formação ISA, desenvolvido de acordo com os critérios do PCI Council:

https://www.pcisecuritystandards.org/program_training_and_qualification/internal_security_assessor_certification/

https://programs.pcissc.org/isaregistration.aspx

Para mais informações sobre o PCI DSS, sugere-se a consulta adicional aos sites das seguintes entidades:
PCI Security Standards Council -> https://www.pcisecuritystandards.org/
Visa Europe -> https://www.visaeurope.com/receiving-payments/security/
MasterCard -> https://www.mastercard.us/en-us/merchants/safety-security/security-recommendations/site-data-protection-PCI.html
Banco de Portugal – > https://www.bportugal.pt/sites/default/files/bpcartoes-comerciantes.pdf

[1] SAQ publicados em www.pcisecuritystandards.org

Informação muito importante sobre prevenção de fraude.2020-03-18T10:39:20+00:00

A REDUNIQ nunca contacta os Comerciantes a solicitar os dados bancários dos seus Clientes, nem pede os números de cartão de débito/crédito nem quaisquer dados de identificação dos Clientes titulares de cartão.

A REDUNIQ nunca fornece ao Comerciante a informação sobre os códigos de autorização a utilizar antes de o Comerciante submeter o seu pedido de transação ou autorização com o cartão do seu Cliente, pois esse código de autorização só existe após o Comerciante submeter essa transação.

Sempre que existam dúvidas sobre a identificação ou idoneidade de quem contacta o Comerciante em nome da REDUNIQ, deverão contactar com o Centro de Atendimento da Unicre, que funciona 24h por dia, através do número de telefone 213 132 900.

Outros procedimentos podem ajudar a diminuir as situações de fraude.

Vendas à Distância2020-03-18T01:07:06+00:00

No caso de vendas online, para minimizar as situações de fraude, aconselhamos os seguintes procedimentos:

  • Obtenha sempre autorização para todas as ordens de compra. As autorizações indicam se o cartão está válido, em que condições deverá ser utilizado e se tem limite suficiente para efetuar a transação;
  • Obtenha sempre o código segurança associado ao cartão (CVV2/CVC2) do cliente;
  • Mantenha um historial das compras efetuadas pelo Cliente. A fraude tem menos tendência a existir se mantiver com o Cliente uma relação comercial regular (superior a 6 meses);
  • Estabeleça e analise os montantes máximos de cada Cliente e determine a frequência das transações efetuadas pelo mesmo Cliente;
  • Mantenha registos das moradas de entrega utilizadas pelo Cliente. Caso a mercadoria seja de valor elevado, confirme a compra com o Cliente;
  • Mantenha uma listagem com registos de devoluções ou de reclamações com base na morada de entrega;
  • Na eventualidade de lhe ser solicitada uma devolução, garanta que esta é sempre realizada para o cartão que originou a transação sempre que seja possível e, no caso concreto de receber ordens de compra via fax, correio ou telefone, solicite sempre a assinatura do Cliente no formulário de encomenda. Caso as ordens de compra tenham origem no estrangeiro, peça cópia da frente e do verso do cartão de pagamento​.
Vendas Presenciais2020-03-18T01:07:55+00:00

No caso de Vendas Presenciais, a REDUNIQ poderá contactar a loja para esta proceder à retenção de um cartão no caso de haver suspeitas de tentativas de utilização indevida durante o pagamento de uma compra.

Vendas à Distância2020-03-18T01:08:20+00:00

No caso de Vendas na Internet, os seguintes procedimentos ajudarão a reduzir os riscos de fraude:

Implemente sistemas de deteção de fraude para identificar transações de alto risco ou padrões de transações. Verifique se existem várias encomendas com origem no mesmo endereço IP mas com dados diferentes.

Não processe transações com características de alto risco, tais como:

  • Transações que excedam os padrões normais de vendas da sua loja;
  • Encomendas para moradas de alto risco, tais como apartados, caixa postal, prisões, hospitais.

Confirme cuidadosamente encomendas efetuadas com múltiplos cartões ou com cartões que possuam números sequenciais, pois podem ser indício de atividade fraudulenta.

Esteja atento às transações internacionais.

Avalie o risco com base no tipo de mercadoria, montante da transação, país onde o cartão foi emitido, e para o qual a mercadoria deve ser enviada.

Deverá verificar se a ordem de encomenda apresenta nomes suspeitos, pouco comuns ou erros ortográficos.

Em situações que lhe gerem desconfiança, contacte a nossa linha de apoio 21 313 29 00​.

Vendas à Distância2020-03-18T01:09:11+00:00

No caso de Vendas online ou à distância, os seus colaboradores e/ou sistemas informáticos devem estar preparados para reconhecer encomendas suspeitas. A nossa experiência demonstra que existem determinadas características comuns à realização de fraudes. Se um ou mais dos indicadores seguintes constam da transação, pode ser sinal de risco acrescido:

  • Cliente pela primeira vez. O risco de fraude é menor quando se lida com Clientes habituais;
  • Grandes encomendas. Encomendas maiores do que o habitual podem indicar fraude;
  • Encomendas múltiplas. Encomendas que incluam diversos itens do mesmo artigo;
  • Combinações suspeitas de cartões;
  • Transações feitas com cartões com números similares;
  • Encomendas enviadas para a mesma morada, mas compradas com diversos cartões;
  • Transações múltiplas com um único cartão num curto espaço de tempo;
  • Transações múltiplas efetuadas com diversos cartões e diferentes moradas de entrega;
  • Uma única transação na qual o Cliente quer pagar com diversos cartões.
  • Hesitação. Tenha cuidado com Clientes que hesitam ou se sentem inseguros ao fornecer dados pessoais;
  • Encomendas feitas à pressa/súbitas ou encomendas com pedido de entrega urgente. Estas encomendas de última hora são uma das características dos esquemas de fraude “hit and run” (ataca e foge) para obter mercadoria para revenda rápida;
  • Encomendas aleatórias/feitas ao acaso.​
12 Conselhos para a sua solução de comércio eletrónico2020-03-20T13:06:40+00:00

1. Reforce o bilhete de identidade da sua loja virtual. Contribua para o aumento dos índices de confiança dos consumidores e aumente o seu potencial de contacto:

  • Forneça informação clara e precisa sobre a sua empresa;
  • Promova políticas de confidencialidade/privacidade;
  • Certifique a sua loja virtual e possibilite a encriptação dos dados ao cliente.

​2. Ofereça informação completa sobre os produtos/serviços da sua loja online. Facilite a opção de compra dos seus clientes.

3. Disponibilize linhas de apoio ao cliente. Facilite o contacto.

4. Ajude os clientes a movimentarem-se no site. Facilite a navegabilidade. Não se esqueça dos potenciais clientes que o visitam pela primeira vez.

5. Arrume as ‘prateleiras’ da sua loja. Facilite a procura dos produtos/serviços.

6. Identifique as questões mais colocadas pelos seus clientes (FAQ) e disponibilize as respostas.

7. Dê informação sobre os Canais de Distribuição. Não esqueça que a venda não se completa com a compra online no site.

8. Mencione claramente qual o sistema de entregas que a sua loja pratica. Pode estar a levar clientes para a concorrência ao não o fazer.

9. Facilite a logística da entrega dos seus produtos. Comunique claramente quais os prazos de entrega praticados pela sua loja.

10. Aposte em modelos de relacionamento com os seus clientes. Conheça o máximo possível sobre os clientes para poder vender cada vez melhor.

  • Coloque uma caixa de sugestões;
  • Disponibilize e possibilite a subscrição de newsletters e coloque notícias sobre os seus produtos/serviços;
  • Esclareça dúvidas e informações sobre o produto/serviço;
  • Recolha opiniões e proporcione votações;
  • Proporcione listas de distribuição e reduza o tempo médio de resposta das lojas a solicitações de potenciais clientes.

11. Detete oportunidades de mercado.

​12. Conheça os consumidores.