Você está em conformidade com as novas regras de segurança de dados da Nacha?

Em 2013, a estrutura de segurança da Automated Clearing House (ACH) foi estabelecida para proteger os dados do ACH durante todo o seu ciclo de vida. Essa estrutura ajudou a proteger “informações protegidas” ou “informações pessoais não públicas, incluindo informações financeiras de uma pessoa física usadas para criar ou contidas em uma entrada e qualquer registro de adendos relacionado”. Mas o mundo mudou muito desde 2013 e, para beneficiar os usuários e provedores da ACH, a National Clearing House Association (Nacha) acessa continuamente a estrutura para garantir a transmissão segura de dados, validação do número de roteamento, verificação de identidade, detecção de fraudes e muito mais.

Nacha introduziu requisitos complementares de segurança de dados, que exigem explicitamente que grandes originadores não fiduciários, prestadores de serviços terceirizados (TPSPs) e remetentes terceirizados (TPSs) protejam as informações da conta de depósito, tornando-as ilegíveis quando armazenadas eletronicamente.

• A fase 1 da regra, que se aplica a originadores de ACH e terceiros com mais de 6 milhões de pagamentos de ACH anualmente, agora está em vigor em 30 de junho de 2021
• A fase 2 da Regra, que se aplica aos originadores e terceiros do ACH com mais de 2 milhões de pagamentos de ACH anualmente, agora está em vigor em 30 de junho de 2022.

‍

Como os requisitos de segurança de dados estão mudando?

Embora os requisitos atuais do ACH exijam que algumas partes envolvidas nas transações do ACH obscureçam as informações da conta, eles não exigem explicitamente a obscuridade de originadores de instituições não financeiras, prestadores de serviços terceirizados (TPSPs) e remetentes terceirizados (TPS). Os novos requisitos fazem parte de um projeto maior para proteger continuamente os dados do consumidor, independentemente da tecnologia ou do tipo de pagamento usado.

Como você pode se preparar?

A nova segurança suplementar de dados é neutra em relação aos métodos/tecnologias/integrações que as organizações usam para tornar os dados ou as informações da conta ilegíveis quando armazenados eletronicamente, mas os TPSPs, os originadores não fiduciários e os TPSs devem pensar cuidadosamente na implementação de uma solução de proteção de dados escalável e sustentável a longo prazo. Alguns métodos possíveis incluem criptografia, truncamento, tokenização, destruição e armazenamento, tokenização ou hospedagem de dados por um ODFI.

Para obter mais informações sobre o próximo prazo e como se preparar, confira nosso e-book informativo: O estado atual da segurança de dados em pagamentos (e como cumprir). Ou confira nosso webinar sob demanda com Nacha.

Como protege os dados com Trustly

Trustly, os clientes não precisarão se preocupar em manter a conformidade. A solução certificada SOC2 da Trustly ajuda a garantir a segurança e a integridade dos dados em repouso e em trânsito. A Trustly implementou três controles relevantes para a segurança e disponibilidade dos dados:

• Criptografia para dados em repouso e em trânsito: todos os dados que fluem pela plataforma bancária on-line Trustly são protegidos pelo protocolo TLS. As informações de identificação pessoal (PII) são criptografadas em nível de campo em nosso banco de dados de acordo com os mais altos padrões do setor.
• Tokenização dividida: A tokenização dividida é um método Trustly com patente pendente usado para armazenar informações altamente confidenciais. Ele funciona reunindo credenciais bancárias, incluindo respostas a perguntas de segurança, cookies e impressões digitais de dispositivos como um objeto de classe. Esse objeto é então serializado, compactado, criptografado e dividido em duas partes (tokens divididos). Esse método garante que o Trustly nunca armazene as credenciais da conta.
• Segurança na nuvem continuamente atualizada: nossa infraestrutura é totalmente implantada na nuvem com os patches de segurança mais recentes — as chaves de cada implantação são alteradas várias vezes por semana.