Pular para o conteúdo
Governança e Conformidade

O que é o PCI DSS (padrão de segurança de cartão)?

O PCI DSS (Payment Card Industry Data Security Standard) é o padrão de segurança que protege os dados de cartão de pagamento. Ele não é uma lei: é uma exigência contratual criada pelas bandeiras de cartão e cobrada pelos bancos, que vale para qualquer empresa que armazene, processe ou transmita dado de cartão, do e-commerce à loja física. A versão vigente, a v4.0.1, organiza a proteção em 12 requisitos agrupados em 6 objetivos de controle, e, desde 31 de março de 2025, também os requisitos que antes eram boas práticas opcionais passaram a ser obrigatórios em auditoria.

Zamak TechnologiesAtualizado em 10 de julho de 2026

Como o PCI DSS funciona na prática

O PCI DSS parte de uma pergunta simples: por onde os dados de cartão entram, ficam e saem da empresa? Tudo o que toca esse fluxo forma o ambiente de dados do titular do cartão (o CDE), e é ele que precisa ser protegido e validado. O ciclo tem quatro passos.

1

Descobrir o escopo (o CDE)

Mapear por onde o dado de cartão trafega e onde é guardado. Reduzir esse território, por exemplo terceirizando o pagamento a um provedor certificado, encolhe o esforço de conformidade.

2

Aplicar os 12 requisitos

Rede segura, proteção do dado armazenado, gestão de vulnerabilidade, controle de acesso, monitoramento e uma política de segurança: são as seis metas que os 12 requisitos detalham.

3

Validar no nível certo

Conforme o volume de transações, a empresa se valida por um questionário de autoavaliação (SAQ) ou por auditoria de um avaliador qualificado (QSA), somada a varreduras de vulnerabilidade por um fornecedor aprovado (ASV).

4

Manter o ano inteiro

PCI DSS não é uma foto anual. A v4.0.1 reforça que os controles precisam operar de forma contínua, não só na semana da auditoria.

Fonte: PCI Security Standards Council (PCI SSC), PCI DSS v4.0.1.

Os 6 objetivos que organizam os 12 requisitos

  • Rede e sistemas seguros Manter firewall e configurações protegidas, sem senhas e padrões de fábrica.
  • Proteger os dados da conta (do titular) Cifrar o dado de cartão armazenado e a transmissão por redes abertas.
  • Gestão de vulnerabilidade Antimalware atualizado e software corrigido contra falhas conhecidas.
  • Controle de acesso forte Acesso ao dado só a quem precisa, com identificação única e restrição física.
  • Monitorar e testar Registrar e acompanhar todo acesso à rede e testar a segurança com regularidade.
  • Política de segurança da informação Uma política escrita que orienta as pessoas e sustenta todo o resto.

Por que o dado de cartão continua no alvo

US$ 33,4 bi
foram as perdas globais com fraude de cartão em 2024 (Nilson Report)
12
requisitos organizados em 6 objetivos de controle definem o PCI DSS v4.0.1 (PCI SSC)
31/03/2025
é a data em que os requisitos antes opcionais da v4.x passaram a ser obrigatórios em auditoria (PCI SSC)

Enquanto houver cartão, haverá fraude. As perdas globais com fraude de cartão somaram US$ 33,4 bilhões em 2024 (Nilson Report), sobre um volume de mais de US$ 51 trilhões movimentados. Para a empresa que sofre um vazamento de dado de cartão, a conta não é só a fraude: vêm as multas das bandeiras, o custo da investigação forense, a possível perda do direito de aceitar cartão e o dano de reputação. E o PCI DSS não isenta ninguém pelo porte: a padaria que passa o cartão na maquininha e o marketplace com milhões de transações respondem ao mesmo padrão, em níveis de validação diferentes.

Como uma empresa se prepara para o PCI DSS

Conformidade com o PCI DSS é menos sobre um projeto único e mais sobre reduzir o que se precisa proteger. O caminho mais direto:

  1. Diminua o escopo primeiroQuanto menos a empresa armazena e toca em dado de cartão, menor o esforço. Terceirizar o pagamento a um provedor certificado tira boa parte do CDE de dentro de casa.
  2. Descubra o seu nível de validaçãoO volume de transações define se a empresa se valida por autoavaliação ou por auditor externo. Saber o nível evita cobrar de si mesmo mais (ou menos) do que a bandeira exige.
  3. Feche os controles dos 12 requisitosDo MFA no acesso ao dado à correção de vulnerabilidade, cada requisito vira um controle com evidência, não uma promessa.
  4. Trate como rotina contínuaA v4.0.1 quer os controles operando o ano todo. Monitorar e coletar evidência de forma contínua é o que evita a correria da véspera da auditoria.

Na prática

A pergunta que revela o risco real: a empresa sabe exatamente por onde o dado de cartão passa hoje, ou descobriria isso só no meio de uma investigação de fraude?

Como a Zamak trata a conformidade com o PCI DSS

A Zamak Technologies apoia a jornada de PCI DSS como parte da Governança e Conformidade do Método Zamak: mapeamento dos controles, coleta contínua de evidência e trilha de auditoria sobre uma plataforma de conformidade. Um bom ponto de partida é o Compliance Audit Express, que mostra em minutos onde a empresa está mais exposta.

Perguntas frequentes sobre o PCI DSS

PCI DSS é lei?
Não. É um padrão de segurança criado pelas bandeiras de cartão e exigido por contrato através dos bancos adquirentes. Descumprir não gera multa do governo, mas pode gerar multa da bandeira e a perda do direito de aceitar cartão.
Minha empresa é pequena, o PCI DSS vale para mim?
Sim. O padrão vale para qualquer empresa que aceite, processe ou transmita dado de cartão. O que muda com o porte é o nível de validação, não a obrigação de proteger o dado.
Se eu uso um provedor de pagamento, ainda preciso me preocupar?
Sim, mas menos. Terceirizar o pagamento a um provedor certificado reduz muito o seu escopo, porém a empresa ainda responde por como integra esse provedor e por não guardar dado de cartão que não deveria.
O que é o CDE?
É o ambiente de dados do titular do cartão: todo sistema, rede e processo que armazena, processa ou transmite dado de cartão, ou que pode afetar a segurança desse dado. Delimitar o CDE é o primeiro passo do PCI DSS.
Qual a diferença entre SAQ e auditoria QSA?
O SAQ é um questionário de autoavaliação, usado por empresas de menor volume; a auditoria por um QSA (avaliador qualificado) é exigida em volumes maiores. Os dois validam o mesmo padrão, com profundidade diferente.
Posso guardar o código de segurança do cartão (CVV)?
Não. O PCI DSS proíbe armazenar os dados sensíveis de autenticação, como o CVV, depois da autorização da transação, mesmo cifrados. É uma das regras mais diretas do padrão.

Termos relacionados

Continue explorando

Ver o índice completo →
Endpoint e Identidade
MFAPAM (acesso privilegiado)SSO (login único)
Detecção e Resposta
EDRMDRXDRMITRE ATT&CKSIEMSOC (centro de operações)
Rede e Acesso
ZTNAFirewallVPNSASE
Governança e Conformidade
LGPDISO 27001SOC 2NIST CSFShadow ITAvaliação de maturidade cibernéticaHIPAAPCI DSSGDPRCMMCCIS ControlsISO 42001 (gestão de IA)NIST AI RMFNIST 800-171FTC SafeguardsISO 27701 (privacidade)FedRAMPGRC (governança, risco, conformidade)vCIOvCISO
Conceitos e Fundamentos
Deep webZero TrustDefesa em profundidadeSuperfície de ataqueEndpointMenor privilégio
IA e Segurança
Shadow AIGovernança de IAInjeção de promptOWASP LLM Top 10Deepfake