Voltar ao blog
Segurança 9 min

O que é PCI DSS e o que muda na versão 4.0

15 de setembro de 2025

O que é PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) é um conjunto de requisitos de segurança definido pelo PCI SSC (Security Standards Council) — entidade criada pelas principais bandeiras de cartão: Visa, Mastercard, American Express, Discover e JCB.

O padrão se aplica a qualquer entidade que processa, armazena ou transmite dados de titular de cartão (CHD — Cardholder Data). Isso inclui:

  • Comerciantes que aceitam pagamentos com cartão
  • Adquirentes e processadores de pagamento
  • Provedores de serviço (gateways, tokenizadores, provedores de cloud)
  • Fabricantes de hardware (terminais POS, pinpads)

A não conformidade pode resultar em multas, perda da capacidade de aceitar cartões e, no caso de uma violação, responsabilidade civil e criminal.

O que é o Cardholder Data Environment (CDE)

O CDE é o conjunto de sistemas, redes e processos que armazenam, processam ou transmitem dados de cartão. A ideia central do PCI DSS é minimizar o escopo do CDE — quanto menor o CDE, menos controles você precisa implementar.

Dados que devem ser protegidos (CHD):

  • PAN (Primary Account Number) — o número do cartão
  • Nome do titular
  • Data de validade
  • Código de serviço

Dados que NUNCA podem ser armazenados após a autorização (SAD):

  • CVV/CVC
  • Dados completos da trilha magnética
  • PIN e PIN Blocks

Os 12 requisitos do PCI DSS

O padrão está organizado em 6 objetivos e 12 requisitos:

Construir e manter uma rede segura

  1. Instalar e manter controles de segurança de rede (firewalls)
  2. Não usar padrões de fábrica em configurações de segurança

Proteger os dados do titular do cartão

  1. Proteger dados de cartão armazenados
  2. Proteger dados em transmissão com criptografia forte

Manter um programa de gerenciamento de vulnerabilidades

  1. Proteger sistemas contra malware e manter antivírus atualizado
  2. Desenvolver e manter sistemas e software seguros

Implementar medidas de controle de acesso

  1. Restringir acesso a dados de cartão pelo princípio do menor privilégio
  2. Identificar e autenticar acesso aos componentes do sistema
  3. Restringir acesso físico aos dados do titular do cartão

Monitorar e testar redes regularmente

  1. Registrar e monitorar todos os acessos a recursos de rede e dados de cartão
  2. Testar a segurança de sistemas e redes regularmente

Manter uma política de segurança da informação

  1. Manter uma política de segurança da informação corporativa

Níveis de conformidade

O nível de conformidade depende do volume de transações processadas por ano:

| Nível | Critério | Validação | |-------|----------|-----------| | 1 | > 6 milhões de transações/ano | Auditoria por QSA (Qualified Security Assessor) + ROC | | 2 | 1–6 milhões de transações/ano | SAQ (Self-Assessment Questionnaire) anual + ASV scan trimestral | | 3 | 20k–1 milhão de e-commerce/ano | SAQ anual + ASV scan trimestral | | 4 | < 20k transações/ano | SAQ anual (recomendado) |

QSA é um auditor certificado pelo PCI SSC. O ROC (Report on Compliance) é o relatório de auditoria completo.

O que mudou no PCI DSS 4.0

A versão 4.0 (publicada em 2022, obrigatória desde março de 2024) traz mudanças significativas:

Abordagem personalizada (Customized Approach)

Empresas agora podem definir controles alternativos que atendam ao objetivo de segurança de um requisito, em vez de seguir a prescrição exata. Requer documentação e aprovação de QSA.

Autenticação multifator (MFA) ampliada

MFA agora é obrigatório para todo acesso ao CDE, não apenas para acesso remoto. Isso impacta administradores e desenvolvedores com acesso a sistemas do CDE.

Testes de phishing e conscientização

Requisito explícito de programas de treinamento e simulações de phishing, com revisão anual.

Monitoramento de scripts de páginas de pagamento

Novos requisitos para controlar e monitorar todos os scripts carregados em páginas de pagamento (anti-Magecart), incluindo inventário de scripts e hashes de integridade.

Proteção de APIs

Maior foco em autenticação e autorização de APIs que acessam dados de cartão.

Estratégias para reduzir o escopo PCI

A melhor estratégia para a maioria das empresas é minimizar o contato com dados de cartão:

Tokenização: Substitua o PAN por um token não sensível após a primeira transação. O token pode ser armazenado livremente; o PAN fica no cofre do tokenizador (que assume o escopo PCI).

Redireccionamento: Em e-commerce, redirecione o cliente para a página de pagamento do gateway — seus servidores nunca veem os dados de cartão.

P2PE (Point-to-Point Encryption): Com terminais certificados P2PE, os dados são criptografados no pino e só decriptados no processador certificado. Isso pode reduzir drasticamente o escopo do lojista.

Conclusão

PCI DSS não é apenas uma formalidade de compliance — é um framework sólido de segurança para ambientes que lidam com dados financeiros sensíveis. A versão 4.0 reforça controles técnicos modernos como MFA universal, monitoramento de scripts e autenticação de APIs, refletindo o cenário de ameaças atual.

Para empresas que estão iniciando a jornada de conformidade, o primeiro passo é sempre mapear e minimizar o escopo do CDE — isso reduz custo, complexidade e risco.

Gostou do conteúdo?

Se você está construindo um sistema nesta área, podemos ajudar. Fale com um especialista.

Agendar Consultoria
O que é PCI DSS e o que muda na versão 4.0 — APCosta — APCosta