O que é o PCI DSS (padrão de segurança de cartão)?
O PCI DSS (Payment Card Industry Data Security Standard) é o padrão de segurança que protege os dados de cartão de pagamento. Ele não é uma lei: é uma exigência contratual criada pelas bandeiras de cartão e cobrada pelos bancos, que vale para qualquer empresa que armazene, processe ou transmita dado de cartão, do e-commerce à loja física. A versão vigente, a v4.0.1, organiza a proteção em 12 requisitos agrupados em 6 objetivos de controle, e, desde 31 de março de 2025, também os requisitos que antes eram boas práticas opcionais passaram a ser obrigatórios em auditoria.
Como o PCI DSS funciona na prática
O PCI DSS parte de uma pergunta simples: por onde os dados de cartão entram, ficam e saem da empresa? Tudo o que toca esse fluxo forma o ambiente de dados do titular do cartão (o CDE), e é ele que precisa ser protegido e validado. O ciclo tem quatro passos.
Descobrir o escopo (o CDE)
Mapear por onde o dado de cartão trafega e onde é guardado. Reduzir esse território, por exemplo terceirizando o pagamento a um provedor certificado, encolhe o esforço de conformidade.
Aplicar os 12 requisitos
Rede segura, proteção do dado armazenado, gestão de vulnerabilidade, controle de acesso, monitoramento e uma política de segurança: são as seis metas que os 12 requisitos detalham.
Validar no nível certo
Conforme o volume de transações, a empresa se valida por um questionário de autoavaliação (SAQ) ou por auditoria de um avaliador qualificado (QSA), somada a varreduras de vulnerabilidade por um fornecedor aprovado (ASV).
Manter o ano inteiro
PCI DSS não é uma foto anual. A v4.0.1 reforça que os controles precisam operar de forma contínua, não só na semana da auditoria.
Fonte: PCI Security Standards Council (PCI SSC), PCI DSS v4.0.1.
Os 6 objetivos que organizam os 12 requisitos
- Rede e sistemas seguros Manter firewall e configurações protegidas, sem senhas e padrões de fábrica.
- Proteger os dados da conta (do titular) Cifrar o dado de cartão armazenado e a transmissão por redes abertas.
- Gestão de vulnerabilidade Antimalware atualizado e software corrigido contra falhas conhecidas.
- Controle de acesso forte Acesso ao dado só a quem precisa, com identificação única e restrição física.
- Monitorar e testar Registrar e acompanhar todo acesso à rede e testar a segurança com regularidade.
- Política de segurança da informação Uma política escrita que orienta as pessoas e sustenta todo o resto.
Por que o dado de cartão continua no alvo
Enquanto houver cartão, haverá fraude. As perdas globais com fraude de cartão somaram US$ 33,4 bilhões em 2024 (Nilson Report), sobre um volume de mais de US$ 51 trilhões movimentados. Para a empresa que sofre um vazamento de dado de cartão, a conta não é só a fraude: vêm as multas das bandeiras, o custo da investigação forense, a possível perda do direito de aceitar cartão e o dano de reputação. E o PCI DSS não isenta ninguém pelo porte: a padaria que passa o cartão na maquininha e o marketplace com milhões de transações respondem ao mesmo padrão, em níveis de validação diferentes.
Como uma empresa se prepara para o PCI DSS
Conformidade com o PCI DSS é menos sobre um projeto único e mais sobre reduzir o que se precisa proteger. O caminho mais direto:
- Diminua o escopo primeiroQuanto menos a empresa armazena e toca em dado de cartão, menor o esforço. Terceirizar o pagamento a um provedor certificado tira boa parte do CDE de dentro de casa.
- Descubra o seu nível de validaçãoO volume de transações define se a empresa se valida por autoavaliação ou por auditor externo. Saber o nível evita cobrar de si mesmo mais (ou menos) do que a bandeira exige.
- Feche os controles dos 12 requisitosDo MFA no acesso ao dado à correção de vulnerabilidade, cada requisito vira um controle com evidência, não uma promessa.
- Trate como rotina contínuaA v4.0.1 quer os controles operando o ano todo. Monitorar e coletar evidência de forma contínua é o que evita a correria da véspera da auditoria.
Na prática
A pergunta que revela o risco real: a empresa sabe exatamente por onde o dado de cartão passa hoje, ou descobriria isso só no meio de uma investigação de fraude?
Como a Zamak trata a conformidade com o PCI DSS
A Zamak Technologies apoia a jornada de PCI DSS como parte da Governança e Conformidade do Método Zamak: mapeamento dos controles, coleta contínua de evidência e trilha de auditoria sobre uma plataforma de conformidade. Um bom ponto de partida é o Compliance Audit Express, que mostra em minutos onde a empresa está mais exposta.