SelectwinDOCS

Segurança e Conformidade PCI DSS

A Selectwin implementa rigorosas medidas de segurança em conformidade com o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), garantindo a proteção adequada das informações

Visão Geral

A Selectwin implementa rigorosas medidas de segurança em conformidade com o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), garantindo a proteção adequada das informações sensíveis de pagamento. Esta documentação esclarece as responsabilidades compartilhadas e descreve como nossa API foi projetada para minimizar sua exposição a dados sensíveis.

O que é PCI DSS?

O PCI DSS (Payment Card Industry Data Security Standard) é um conjunto de requisitos de segurança estabelecido pelas principais bandeiras de cartões de crédito (Visa, Mastercard, American Express, Discover e JCB) para garantir que todas as empresas que processam, armazenam ou transmitem dados de cartão de crédito mantenham um ambiente seguro.

A conformidade com o PCI DSS é obrigatória para todas as organizações que lidam com dados de cartão de pagamento, independentemente do tamanho ou volume de transações.

Níveis de Certificação PCI DSS

A Selectwin mantém a certificação PCI DSS de Nível 1, o mais alto nível de conformidade, que inclui:

  • Avaliação anual de segurança por um Assessor de Segurança Qualificado (QSA)
  • Varreduras trimestrais de vulnerabilidades por uma empresa aprovada
  • Testes de penetração anuais
  • Revisões regulares das políticas e procedimentos de segurança

Modelo de Responsabilidade Compartilhada

A segurança dos dados de pagamento é uma responsabilidade compartilhada entre a Selectwin e sua empresa. É importante entender quais aspectos da segurança são gerenciados por cada parte:

Responsabilidades da Selectwin

  • Segurança da infraestrutura de processamento de pagamentos
  • Criptografia de dados sensíveis em trânsito e em repouso
  • Autenticação e autorização para acesso à API
  • Monitoramento e resposta a incidentes de segurança
  • Gerenciamento seguro de chaves criptográficas
  • Auditoria regular e testes de penetração
  • Garantia de conformidade com PCI DSS para nossos serviços

Responsabilidades do Cliente (Sua Empresa)

  • Implementação segura das integrações com nossa API
  • Segurança dos ambientes e sistemas que interagem com nossa API
  • Gerenciamento adequado das credenciais de API
  • Treinamento de funcionários sobre práticas de segurança
  • Limitação do acesso a dados sensíveis apenas aos funcionários que precisam
  • Implementação de controles de segurança adequados em suas aplicações

Tokenização de Cartões de Pagamento

A Selectwin utiliza tokenização para reduzir sua exposição a dados sensíveis de cartão. Em vez de armazenar os dados reais do cartão, nossa API substitui essas informações por tokens, identificadores únicos que não têm valor fora do nosso ambiente seguro.

Como Funciona

  1. Quando um cartão é enviado para nossa API, os dados são transmitidos de forma segura (TLS 1.2+)
  2. Os dados sensíveis são imediatamente tokenizados em nosso ambiente seguro
  3. Apenas o token é retornado e armazenado em seu sistema
  4. Para transações futuras, você usa o token em vez dos dados reais do cartão

Benefícios da Tokenização

  • Redução do Escopo de PCI DSS: Ao não armazenar, processar ou transmitir dados reais de cartão, você pode reduzir significativamente seu escopo de conformidade com PCI DSS
  • Menor Risco: Mesmo em caso de violação, os tokens não têm valor para os atacantes, pois não podem ser utilizados fora do ecossistema Selectwin
  • Experiência do Cliente Aprimorada: Permite implementar funcionalidades como pagamentos recorrentes e 1-Click sem armazenar dados sensíveis
  • Simplificação de Processos: Reduz a necessidade de procedimentos complexos de segurança para dados de cartão

Sistema Seguro de Coleta de Dados (SecureFields)

Para operações que exigem a coleta de dados de cartão diretamente dos usuários, a Selectwin oferece o SecureFields, uma solução JavaScript que permite coletar informações sensíveis sem que elas passem por seus servidores.

Proteção de Dados em Trânsito

Todas as comunicações com a API Selectwin são protegidas por TLS 1.2 ou superior, garantindo a criptografia dos dados durante a transmissão:

  • Certificados SSL/TLS com assinatura SHA-256
  • Suporte apenas para cifras fortes com Perfect Forward Secrecy
  • HSTS (HTTP Strict Transport Security) habilitado
  • Proteção contra ataques de downgrade e MITM (Man-in-the-Middle)
# Exemplo de verificação da configuração TLS
nmap --script ssl-enum-ciphers -p 443 api.selectwin.io

Prevenção de Fraudes

A Selectwin implementa diversos mecanismos de prevenção de fraudes:

  • Verificação de Endereço (AVS): Verifica se o endereço de cobrança fornecido corresponde ao do titular do cartão
  • Verificação do Código de Segurança (CVV): Exige o código de segurança para todas as transações
  • Detecção de Anomalias: Identifica padrões suspeitos de compra
  • Análise Comportamental: Avalia o comportamento do usuário durante a sessão
  • Regras Personalizáveis: Permite criar regras específicas para seu negócio
  • 3D Secure 2.0: Suporta autenticação adicional para transações de alto risco

Requisitos de Compliance

SAQ A (Questionário de Autoavaliação A)

Se você utilizar exclusivamente o SecureFields para coletar dados de cartão e não armazenar, processar ou transmitir dados de titular de cartão em seus sistemas, você geralmente se qualifica para o SAQ A, o nível mais simples de compliance com PCI DSS.

SAQ A-EP (Questionário de Autoavaliação A para Comerciantes com E-commerce Parcialmente Terceirizado)

Se você implementar sua própria página de pagamento que carrega o SecureFields via JavaScript, você geralmente se qualifica para o SAQ A-EP.

SAQ D (Questionário de Autoavaliação D)

Se você optar por coletar e transmitir dados de cartão diretamente através de seus sistemas (não recomendado), você precisará cumprir com o SAQ D, o mais abrangente dos questionários de autoavaliação.

Melhores Práticas de Segurança

Para sua Aplicação

  1. Utilize TLS 1.2 ou Superior: Configure seus servidores para usar apenas versões seguras de TLS
  2. Proteja suas Chaves de API: Armazene suas chaves em variáveis de ambiente ou cofres seguros, nunca no código-fonte
  3. Implemente Autenticação Forte: Utilize autenticação de dois fatores para acesso administrativo
  4. Atualize Regularmente: Mantenha seus sistemas e bibliotecas atualizados
  5. Registre e Monitore: Implemente logging detalhado e monitoramento de segurança
  6. Limite o Acesso: Aplique o princípio do menor privilégio em todos os sistemas
  7. Realize Testes de Penetração: Conduza testes regulares de segurança

Para Integradores de E-commerce

  1. Use o SecureFields: Evite lidar diretamente com dados de cartão sempre que possível
  2. Valide Entradas: Implemente validação rigorosa para todas as entradas do usuário
  3. Proteja contra XSS e CSRF: Implemente medidas de proteção contra Cross-Site Scripting e Cross-Site Request Forgery
  4. Utilize Tokens CSP: Configure Content Security Policy para mitigar riscos de injeção
  5. Implemente CORS Adequadamente: Configure Cross-Origin Resource Sharing corretamente
  6. Armazene Apenas o Necessário: Minimize os dados armazenados sobre transações

Notificação de Incidentes

Caso identifique vulnerabilidades ou incidentes de segurança relacionados à API Selectwin:

  1. Entre em contato imediatamente com nossa equipe de segurança em [email protected]
  2. Forneça detalhes específicos sobre o problema identificado
  3. Se possível, inclua etapas para reproduzir o problema
  4. Não divulgue publicamente a vulnerabilidade até que seja resolvida

A Selectwin segue um processo responsável de divulgação de vulnerabilidades e reconhecerá sua contribuição após a resolução.

Auditorias e Certificações

A Selectwin mantém as seguintes certificações e realiza auditorias regulares:

  • PCI DSS Nível 1: Avaliação anual por um QSA (Qualified Security Assessor)
  • ISO/IEC 27001:2013: Sistema de Gestão de Segurança da Informação
  • SOC 1 Tipo II e SOC 2 Tipo II: Controles relacionados a segurança, disponibilidade e confidencialidade

Recursos Adicionais

Contato para Questões de Segurança

Para questões específicas sobre segurança ou conformidade, entre em contato com nossa equipe especializada:

Versionamento

Previous Page

Payment Orchestration

Next Page

On this page

Visão GeralO que é PCI DSS?Níveis de Certificação PCI DSSModelo de Responsabilidade CompartilhadaResponsabilidades da SelectwinResponsabilidades do Cliente (Sua Empresa)Tokenização de Cartões de PagamentoComo FuncionaBenefícios da TokenizaçãoSistema Seguro de Coleta de Dados (SecureFields)Proteção de Dados em TrânsitoPrevenção de FraudesRequisitos de ComplianceSAQ A (Questionário de Autoavaliação A)SAQ A-EP (Questionário de Autoavaliação A para Comerciantes com E-commerce Parcialmente Terceirizado)SAQ D (Questionário de Autoavaliação D)Melhores Práticas de SegurançaPara sua AplicaçãoPara Integradores de E-commerceNotificação de IncidentesAuditorias e CertificaçõesRecursos AdicionaisContato para Questões de Segurança