PCI DSS
O Padrao de Seguranca de Dados do Setor de Cartoes de Pagamento exige que toda organizacao que processa, armazena ou transmite dados de titulares de cartao mantenha um programa formal de conscientizacao de seguranca. A Roleplays transforma esse requisito em treinamento mensuravel e envolvente.
O que e o PCI DSS?
O Padrao de Seguranca de Dados do Setor de Cartoes de Pagamento (PCI DSS) e um padrao global de seguranca da informacao desenvolvido pelo PCI Security Standards Council, fundado por Visa, Mastercard, American Express, Discover e JCB. Atualmente na versao 4.0.1, o PCI DSS define requisitos tecnicos e operacionais para proteger os dados de titulares de cartao ao longo de todo o ciclo de pagamento.
O PCI DSS se aplica a qualquer organizacao que aceita, processa, armazena ou transmite informacoes de cartao de credito. Isso inclui lojistas de todos os portes, processadores de pagamento, adquirentes, emissores e prestadores de servico. Na pratica, isso significa que atendentes de call center que recebem numeros de cartao por telefone, colaboradores do varejo que processam transacoes e equipes de TI que gerenciam a infraestrutura de pagamento estao todos no escopo.
O descumprimento pode resultar em multas que variam de US$ 5.000 a US$ 100.000 por mes por parte das bandeiras de cartao, aumento das taxas de transacao, perda da capacidade de processar pagamentos com cartao e danos reputacionais significativos apos uma violacao. O padrao nao e opcional, ele e aplicado por meio de obrigacoes contratuais entre os lojistas e seus bancos adquirentes.
Quem deve cumprir
- Call centers que lidam com dados de cartao de pagamento
- Negocios de varejo e comercio eletronico
- Bancos, fintechs e processadores de pagamento
- Provedores de SaaS no ecossistema de pagamentos
Consequencias do descumprimento
- Multas de ate US$ 100.000/mes por bandeira de cartao
- Aumento das taxas de processamento de transacoes
- Revogacao dos privilegios de processamento de cartao
- Responsabilidade por transacoes fraudulentas apos violacao
Requisitos de treinamento
O Requisito 12.6 do PCI DSS v4.0 estabelece treinamento obrigatorio de conscientizacao de seguranca para todo o pessoal com acesso aos ambientes de dados de titulares de cartao.
Requisito 12.6, Programa de Conscientizacao de Seguranca
Um programa formal de conscientizacao de seguranca deve ser implementado para que todo o pessoal esteja ciente da politica e dos procedimentos de seguranca dos dados de titulares de cartao. Isso vai alem de um simples documento de politica, as organizacoes devem educar ativamente os colaboradores sobre ameacas, manuseio adequado de dados e suas responsabilidades individuais na protecao dos dados de titulares de cartao.
O que os auditores QSA verificam: Que existe um programa documentado, aprovado pela gestao, e que cobre todo o pessoal, nao apenas a equipe de TI. O programa deve abordar as ameacas atuais e ser adaptado ao ambiente especifico de dados de titulares de cartao da organizacao.
Requisito 12.6.1, Programa Formal de Conscientizacao
O programa de conscientizacao de seguranca deve ser revisado pelo menos uma vez a cada 12 meses e atualizado conforme necessario para abordar novas ameacas e vulnerabilidades. O programa deve incluir multiplos metodos de comunicar conscientizacao e educar o pessoal, por exemplo, cartazes, cartas, reunioes, treinamento on-line ou exercicios simulados de phishing.
O que os auditores QSA verificam: Documentacao mostrando que o programa foi revisado e atualizado nos ultimos 12 meses, com evidencia de multiplos canais de comunicacao utilizados.
Requisito 12.6.2, Treinamento Anual
O pessoal deve receber treinamento de conscientizacao de seguranca pelo menos uma vez a cada 12 meses. Novos contratados devem concluir o treinamento na integracao. Essa e uma frequencia minima, organizacoes que enfrentam maior risco ou com maior rotatividade de pessoal devem considerar ciclos de treinamento mais frequentes.
O que os auditores QSA verificam: Registros de conclusao de treinamento de todo o pessoal no escopo nos ultimos 12 meses, alem de evidencia de que novos contratados receberam treinamento antes de obter acesso aos dados de titulares de cartao.
Requisito 12.6.3, Reconhecimento do Colaborador
O pessoal deve reconhecer, pelo menos uma vez a cada 12 meses, que leu e compreendeu a politica e os procedimentos de conscientizacao de seguranca. Esse requisito garante que os colaboradores nao sejam inscritos passivamente, mas engajem ativamente com o conteudo. Uma simples caixa de selecao e insuficiente, o reconhecimento deve demonstrar engajamento significativo.
O que os auditores QSA verificam: Reconhecimentos assinados ou registrados eletronicamente de todo o pessoal no escopo, datados nos ultimos 12 meses. Os auditores buscam evidencia de que o reconhecimento esta vinculado a conclusao efetiva do treinamento, e nao apenas a uma assinatura isolada.
Como a Roleplays ajuda
Substitua apresentacoes de slides por simulacoes realistas que testam o comportamento real e, em seguida, documente tudo o que seu QSA precisa.
Cenarios especificos de PCI
Simulacoes pre-construidas para os modos de falha de PCI mais comuns: chamadas de engenharia social solicitando numeros de cartao, e-mails de phishing direcionados a sistemas de pagamento, tailgating em areas seguras e armazenamento inadequado de dados de cartao. Os cenarios sao atualizados conforme o cenario de ameacas evolui, atendendo a exigencia de revisao anual do Req. 12.6.1.
Treinamento de mascaramento de dados
Treine os atendentes a nunca repetir numeros completos de cartao, a usar tecnicas adequadas de mascaramento (mostrando apenas os quatro ultimos digitos) e a reconhecer quando um interlocutor tenta obter mais dados do que o necessario. Interlocutores simulados testam se os atendentes seguem os protocolos de mascaramento sob pressao.
Pontuacao de comportamento do atendente
A avaliacao de IA por multiplos criterios pontua cada atendente em conscientizacao de seguranca, conformidade no manuseio de dados, resistencia a engenharia social e procedimentos adequados de escalonamento. Os resultados mapeiam requisitos especificos do PCI DSS, fornecendo a evidencia de competencia que os auditores QSA esperam, alem de simples listas de presenca.
Documentacao de conformidade
Cada sessao de treinamento gera registros com carimbo de data e hora, incluindo identificacao do participante, conteudo do treinamento, duracao, pontuacoes de avaliacao e status de conclusao. Exporte relatorios de conformidade mostrando 100% do pessoal no escopo treinado dentro da janela de 12 meses, exatamente o que o Req. 12.6.2 exige.
Defesa contra engenharia social
Atacantes simulados usam taticas reais de engenharia social: pretexto de suporte de TI, manipulacao baseada em urgencia, falsificacao de autoridade e ataques de pretexto em multiplas etapas. Os atendentes aprendem a reconhecer e resistir a essas taticas em um ambiente seguro antes de enfrenta-las em producao.
Reconhecimento integrado
Concluir uma simulacao e o reconhecimento. Diferentemente de formularios passivos com caixa de selecao, cada sessao concluida comprova que o colaborador engajou ativamente com o conteudo de seguranca. Os registros de conclusao de sessao servem como reconhecimentos do Req. 12.6.3, com carimbos de data e hora completos e dados de desempenho como evidencia.
Perguntas frequentes
A Roleplays atende ao Requisito 12.6.2 do PCI DSS para treinamento anual?
Sim. A plataforma acompanha as datas de conclusao de treinamento de cada colaborador e gera relatorios mostrando o status de conformidade em toda a sua organizacao. Voce pode configurar ciclos de treinamento anuais ou mais frequentes, definir lembretes automaticos para prazos proximos e exportar evidencias de conclusao nos formatos que os auditores QSA esperam.
Podemos criar cenarios especificos para o ambiente do nosso call center?
Com certeza. Alem dos cenarios de PCI pre-construidos, voce pode criar simulacoes personalizadas que espelham seus fluxos de chamada, processos de pagamento e cenario de ameacas especificos. Por exemplo, simule um interlocutor pedindo a um atendente que repita o numero completo do cartao para "verificacao" ou um ataque de pretexto em que alguem se passa pelo seu departamento de TI.
Como a plataforma lida com o requisito de reconhecimento do Req. 12.6.3?
Cada simulacao concluida serve como um reconhecimento ativo. Diferentemente de uma caixa de selecao passiva, concluir uma sessao de treinamento comprova que o colaborador engajou com o conteudo de seguranca, compreendeu os cenarios apresentados e demonstrou competencia por meio de suas respostas. Os registros de sessao incluem carimbos de data e hora, duracao e pontuacoes de desempenho, evidencias muito mais solidas do que um formulario assinado.
O conteudo de treinamento e atualizado conforme surgem novas ameacas?
Sim. O Req. 12.6.1 do PCI DSS exige que o programa de conscientizacao de seguranca seja revisado e atualizado pelo menos anualmente. A Roleplays atualiza continuamente sua biblioteca de cenarios para refletir as ameacas atuais, tecnicas de vishing, engenharia social baseada em IA, novos padroes de phishing. Seu QSA pode verificar que o conteudo de treinamento reflete o cenario de ameacas atual.
A Roleplays pode substituir totalmente nosso treinamento de conscientizacao de seguranca existente?
A Roleplays pode servir como sua principal ferramenta de treinamento de conscientizacao de seguranca PCI, cobrindo todos os sub-requisitos do Req. 12.6. Muitas organizacoes a utilizam junto ao LMS existente, a Roleplays cuida do componente interativo baseado em simulacao, enquanto o LMS gerencia a distribuicao e o acompanhamento de documentos de politica. A API da plataforma permite integracao com a maioria dos sistemas de gestao de aprendizagem.
Fique em conformidade mais rapido.
Substitua as apresentacoes anuais de slides por simulacoes que de fato testam o comportamento de seguranca. Atenda a cada sub-requisito do PCI DSS 12.6 com evidencia documentada.