Como Garantir a Segurança dos Meios de Pagamento

A EcommIT possui especialistas em segurança da informação para adequar diferentes instituições de pagamento às diretrizes da LGPD. Saiba mais neste artigo

Sancionada em 2018 e em vigor desde 2020, a LGPD (Lei Geral de Proteção de Dados) possui extrema relevância tanto para instituições públicas quanto privadas. Composta por uma série de diretrizes que buscam garantir a segurança de dados da pessoa natural, a lei desperta a conscientização de toda a sociedade sobre direitos fundamentais como privacidade, liberdade e personalidade.

Na prática, a LGPD estabelece regras para o tratamento de dados pessoais, que vão desde a coleta e eliminação de informações até mesmo a portabilidade de dados para outras instituições. Em suma, a lei torna o indivíduo dono dos seus dados pessoais e lhe confere plenos direitos sobre eles, podendo inclusive decidir sobre o seu destino.

Inspirada no GDPR (Regulamento Geral Sobre a Proteção de Dados) da União Europeia, a LGPD é uma regulamentação que estabelece direitos, deveres e penalidades a todos os fornecedores de produtos e serviços que utilizam base de dados em suas operações, incluindo instituições de pagamento. Seu principal objetivo é garantir mais transparência no uso de dados de pessoas físicas, evitando fraudes e crimes cibernéticos e ambientes físicos ou digitais.

LGPD e segurança nos meios de pagamento

Uma das grandes motivações para a criação da LGPD foi a digitalização da economia brasileira, com o uso de tecnologias nos meios de produção e em diferentes setores de mercado. 

Além desses fatores, a popularização da internet e dos dispositivos móveis, o crescimento do e-commerce e a criação de diversos meios de pagamento digitais também motivaram a criação da LGPD. Afinal de contas, houve um aumento expressivo do fluxo de base de dados nessas operações, tanto a nível nacional quanto internacional. 

Quando se trata de segurança da informação em meios de pagamento, o assunto ganha ainda mais relevância. Principalmente no que diz respeito à segurança com cartão de crédito e débito. Só para se ter uma ideia, em 2020 o Brasil já possuía mais de 134 milhões de cartões de crédito. A quantidade de cartões de débito, revelada pelo Banco Central, foi ainda maior: cerca de 167 milhões de cartões.

Se por um lado a popularização dos cartões de crédito e débito trouxe benefícios à população, por outro lado também impulsionou o surgimento de crimes cibernéticos no país. Dados da Febraban (Federação Brasileira de Bancos), apontam a clonagem de cartão como um dos crimes mais frequentes no Brasil. E isso, claro, graças à vulnerabilidade dos dados pessoais dos usuários.

Com a LGPD, os consumidores precisam estar cientes de como os seus dados pessoais vão ser utilizados. Isso inclui, por exemplo, saber onde ficam armazenados, quem tem acesso a eles e com quem são compartilhados. É preciso que tanto as transações financeiras quanto o fluxo de dados sejam seguros para as empresas e para os consumidores. Vale destacar que quem não se adequar às normas pode sofrer sanções administrativas, conforme dispõe a lei em vigor.

Tecnologia e Inteligência Artificial são as soluções para evitar vazamento de dados

Segundo a Abecs (Associação Brasileira das Empresas de Cartões de Crédito e Serviços), o Brasil conta com mais de 20 credenciadoras e pelo menos 11 milhões de maquininhas espalhadas nos mais diferentes estabelecimentos comerciais do país. A associação estima, inclusive, que em 2022 as operações com cartões de crédito e débito devem movimentar R$ 3,2 trilhões.  Essa movimentação expressiva, aliás, revela a necessidade de garantir a integridade e a privacidade dos dados dos titulares de cartões, dos lojistas e das instituições de meios de pagamento.

Mas como fazer isso afinal? Nesse caso, o melhor caminho é contar com a tecnologia. Até mesmo porque as operações com cartões de crédito e débito envolvem diversos dispositivos, tecnologias e instituições de pagamento, como credenciadoras, bancos, adquirentes e subadquirentes. Sendo assim, é preciso que todos os envolvidos nos arranjos de pagamento atuem de forma integrada, operando seus processos de forma segura e transparente.

Embora as instituições de pagamento e empresas equiparadas trabalhem sob as diretrizes do PCI, norma internacional que define o padrão de segurança de dados do setor de cartões de pagamento, existem ainda outras tecnologias que detectam fraudes, evitam  vazamento de dados e garantem a segurança da informação nas operações com cartões de crédito e débito. São elas:

• Tokenização;
• Criptografia;
• Inteligência Artificial;
• Big Data;
• Análise de dados;
• Armazenamento em nuvem.

Outras regulamentações para meios de pagamento

Além de se submeterem à LGPD, as instituições de pagamento e a elas equiparadas também devem obedecer outras regulamentações específicas, tais como:

Lei do Sigilo Bancário

A Lei Complementar nº 105/2001, mais conhecida como Lei do Sigilo Bancário, regulamenta as relações jurídicas entre as instituições financeiras e consumidores. Na prática, ela determina a confidencialidade dos dados como regra para as atividades bancárias, mas estabelece exceções em casos de práticas de atividades ilícitas.

COAF

De acordo com a Lei nº 9613/98 art. 9º,  pessoas físicas e jurídicas que tenham como atividade principal ou regulatória, a captação, intermediação e aplicação de recursos financeiros de terceiros, em moeda nacional ou estrangeira, a compra e venda de moeda estrangeira ou ouro como ativo financeiro ou instrumento cambial bem como a custódia, emissão, distribuição, liquidação, negociação, intermediação ou administração de títulos ou valores mobiliários, são obrigadas a comunicar ao COAF (Conselho de Controle de Atividades Financeiras) as ocorrências de atividades financeiras suspeitas.

Incluem-se nessa lista os participantes de arranjos de pagamento como credenciadoras e administradoras de cartões, as administradoras de consórcios e as administradoras ou empresas que se utilizem de cartão ou qualquer outro meio eletrônico, magnético ou equivalente, que permita a transferência de fundos.

Após denúncia feita ao COAF, cabe ao conselho examinar e identificar as ocorrências de atividades financeiras ilícitas. Sua principal função é prevenir crimes de lavagem de dinheiro e ocultação de bens.

Lei do Sigilo Fiscal

Segundo os artigos 198 e 199 do CTN (Código Tributário Nacional), é vedada à Fazenda Pública ou aos seus servidores a divulgação dos dados de sujeitos passivos ou de terceiros. Contudo, ainda não havia uma determinação por parte da Receita Federal do Brasil – RFB de como esses dados seriam protegidos. 

A Portaria RFB 81/2021, no entanto, aprovou o sistema Compartilha Receita Federal. Por meio dele, pessoas físicas e jurídicas podem autorizar o compartilhamento de dados e informações de sua titularidade entre a Secretaria Especial da Receita Federal do Brasil – RFB e terceiros.

Soluções EcommIT para garantir a segurança dos meios de pagamento

Há mais de 15 anos no mercado, a EcommIT cria soluções em T.I para diferentes tipos de negócios. Especializada em serviços de Segurança da Informação, a EcommIT é a melhor alternativa para adequar a sua empresa à LGPD, por meio dos seguintes serviços:

• Pentest (teste de intrusão);
• Política de Segurança da Informação;
• Gap Analysis;
• Política de Confidencialidade;
• Auditoria;
• Política de Gestão de Mudança;
• Política de DRP;
• LGPD (Treinamento e Conscientização);
• Serviços de DPO (SaaS).

Soluções exclusivas de proteção e prevenção, além de especialistas dedicados à LGDP. Com a EcommIT, as Instituições de Pagamentos e Equiparadas garantem os principais serviços de Segurança da Informação do mercado. Conheça mais sobre nossas soluções e consultorias exclusivas para a Proteção de Dados.