PCI DSS: o que é, requisitos e como se adequar!

Última atualização em 08/10/2024

O PCI DSS (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento) é um conjunto de diretrizes e requisitos de segurança que visa proteger os dados de titulares de cartões de crédito e débito.  

Ele é essencial para qualquer empresa que processe pagamentos com cartões e queira garantir a segurança de suas informações.  

De acordo com dados do “PCI DSS v3.2.1 Quick Reference Guide”, publicado pelo PCI Security Standards Council, a cada segundo, $2.1 milhões são gastos globalmente com cartões de crédito.  

O PCI DSS é a defesa que protege essas transações e mantém os dados dos clientes seguros. Neste artigo vamos explorar mais sobre esse padrão e como ele impacta o mundo dos pagamentos eletrônicos. Confira!  

O que é PCI DSS? 

O PCI DSS (Payment Card Industry Data Security Standard) é um conjunto de padrões de segurança desenvolvido para proteger informações de pagamento e reduzir fraudes com cartões.  

Estes padrões foram criados e são mantidos por um conselho independente conhecido como PCI SSC (Payment Card Industry Security Standards Council), que inclui grandes bandeiras de cartão como Visa, MasterCard, American Express, Discover e JCB. 

A necessidade de um padrão de segurança unificado surgiu no início dos anos 2000, à medida que o uso de cartões de crédito e débito crescia exponencialmente, acompanhado por um aumento nas fraudes e violações de dados.  

Cada bandeira de cartão desenvolveu seus próprios programas de segurança, mas a falta de uniformidade tornou o processo de conformidade complexo para comerciantes e instituições financeiras. Em 2006 foi criado o PCI SSC, que consolidou essas iniciativas em um único padrão conhecido como PCI DSS. 

O PCI DSS é composto por 12 requisitos principais, agrupados em seis objetivos de controle, que visam estabelecer e manter um ambiente seguro para dados de pagamento. Confira mais no tópico a seguir! 

Conheça também o framework Cis Controls 

Quais os requisitos? 

1. Instalar e manter uma configuração de firewall para proteger os dados dos portadores de cartão 

Os firewalls são utilizados para proteger redes internas contra acessos não autorizados e ameaças externas. Uma configuração adequada de firewall é essencial para a segurança dos dados dos portadores de cartão. 

2. Não usar senhas padrão fornecidas pelo fornecedor e outros parâmetros de segurança 

Senhas padrão são amplamente conhecidas e facilmente exploráveis. É essencial alterar todas as senhas padrão e outros parâmetros de segurança fornecidos pelos fornecedores para aumentar a proteção. 

3. Proteger os dados armazenados dos portadores de cartão 

Os dados dos cartões de pagamento devem ser protegidos tanto em trânsito quanto em repouso. Isso inclui criptografia e outras medidas de segurança para impedir acessos não autorizados. 

4. Criptografar a transmissão dos dados dos portadores de cartão através de redes públicas abertas 

Durante a transmissão, os dados dos portadores de cartão devem ser criptografados para evitar interceptações e acessos não autorizados em redes públicas. 

5. Usar e atualizar regularmente softwares antivírus 

Softwares antivírus são fundamentais para proteger os sistemas contra malwares e outras ameaças. É necessário manter esses softwares atualizados para garantir uma proteção contínua. 

6. Desenvolver e manter sistemas e aplicativos seguros 

Desenvolver e manter sistemas e aplicativos seguros envolve a implementação de práticas de desenvolvimento seguro e a realização de testes regulares para identificar e corrigir vulnerabilidades. 

7. Restringir o acesso aos dados dos portadores de cartão por negócios 

O acesso aos dados dos portadores de cartão deve ser restrito apenas aos indivíduos que necessitam desses dados para realizar suas funções de trabalho. 

8. Identificar e autenticar o acesso aos componentes do sistema 

Cada usuário com acesso aos componentes do sistema deve ser identificado de maneira única e autenticado para garantir que apenas pessoas autorizadas possam acessar os dados dos portadores de cartão. 

9. Restringir o acesso físico aos dados dos portadores de cartão 

Medidas físicas de segurança devem ser implementadas para impedir que indivíduos não autorizados acessem áreas onde os dados dos portadores de cartão são armazenados ou processados. 

10. Monitorar e rastrear todos os acessos aos recursos da rede e aos dados dos portadores de cartão 

Todas as atividades de acesso aos dados dos portadores de cartão e aos recursos da rede devem ser monitoradas e registradas para detectar e responder a possíveis incidentes de segurança. 

11. Testar regularmente os sistemas e processos de segurança 

Testes regulares de segurança, incluindo varreduras de vulnerabilidades e testes de penetração, são essenciais para identificar e corrigir falhas de segurança. 

12. Manter uma política de segurança da informação 

Uma política de segurança abrangente deve ser estabelecida e mantida para orientar todas as atividades de segurança da informação e garantir a proteção contínua dos dados dos portadores de cartão. 

Leia também o post sobre Segurança digital

A Quem o PCI DSS se Aplica? 

O PCI DSS se aplica a qualquer organização que processa, armazena ou transmite dados de cartões de pagamento. Isso abrange uma ampla gama de entidades, incluindo: 

1. Comerciantes 

Comerciantes são as empresas que aceitam pagamentos com cartão de crédito ou débito em troca de bens e serviços. Isso inclui lojas físicas, e-commerce, restaurantes, hotéis, entre outros.  

Qualquer comerciante que manipule dados de cartões deve cumprir os requisitos do PCI DSS para garantir a segurança das transações e proteger as informações dos clientes. 

2. Processadores de Pagamento 

Processadores de pagamento são empresas que facilitam as transações com cartão de crédito ou débito entre comerciantes e instituições financeiras. Elas desempenham um papel chave na transferência de dados de pagamento e devem aderir estritamente aos padrões PCI DSS para evitar fraudes e violações de dados. 

3. Instituições Financeiras 

Instituições financeiras, como bancos e cooperativas de crédito, emitem cartões de pagamento e podem processar transações. Além disso, são responsáveis por proteger os dados dos cartões que emitem e garantir que seus clientes estejam seguros ao usar esses cartões. 

4. Provedores de Serviços 

Provedores de serviços incluem empresas que oferecem serviços de hospedagem, provedores de nuvem, fornecedores de software e qualquer outra organização que tenha acesso aos dados dos cartões em nome de outra empresa. Estes provedores devem estar em conformidade com o PCI DSS para garantir a segurança dos dados que manipulam. 

5. Operadores de Redes de Cartões de Crédito 

Operadores de redes de cartões de crédito, como Visa, MasterCard, American Express, Discover e JCB, são responsáveis por estabelecer as regras e os padrões de segurança para o uso de seus cartões. Eles desempenham um papel central na promoção e manutenção do PCI DSS. 

6. Prestadores de Serviços de Terceiros 

Prestadores de serviços de terceiros incluem empresas terceirizadas que fornecem suporte técnico, manutenção de sistemas ou qualquer serviço que envolva o acesso aos dados de cartões. Eles também são obrigados a cumprir o PCI DSS para garantir a proteção das informações de pagamento. 

7. Entidades Governamentais e Organizações Sem Fins Lucrativos 

Entidades governamentais e organizações sem fins lucrativos que aceitam doações ou pagamentos com cartão também devem aderir aos padrões PCI DSS para proteger os dados dos doadores e garantir a segurança das transações. 

Aprenda também sobre o Framework Nist

Benefícios do PCI Data Security 

A implementação do PCI DSS oferece diversos benefícios significativos para as organizações que processam, armazenam ou transmitem dados de cartões de pagamento.  

Abaixo, destacamos alguns dos principais benefícios: 

Aumento da Segurança de Dados 

O principal benefício do PCI DSS é o aumento da segurança de dados. Ao seguir os rigorosos padrões de segurança, as organizações podem reduzir significativamente o risco de vazamento de dados e fraudes com cartões de pagamento.  

As medidas de proteção, como criptografia, firewalls e controles de acesso, ajudam a garantir que os dados dos cartões estejam seguros contra acessos não autorizados e ciberataques. Isso não só protege as informações dos clientes, mas também ajuda a evitar perdas financeiras e danos à infraestrutura de TI. 

Veja também o post sobre gestão de identidade e acessos

Melhoria da Reputação da Marca 

A conformidade com o PCI DSS também contribui para a melhoria da reputação da marca. Clientes e parceiros de negócios têm mais confiança em empresas que demonstram um compromisso sério com a segurança dos dados.  

Ao cumprir os padrões PCI DSS, as organizações podem promover uma imagem de responsabilidade e diligência, o que pode resultar em maior fidelidade do cliente e uma vantagem competitiva no mercado.  

A reputação de uma empresa como segura e confiável pode ser um diferencial importante, especialmente em um ambiente onde a privacidade e a segurança dos dados são prioridades para os consumidores. 

Redução de Multas e Penalidades 

Outro benefício importante é a redução de multas e penalidades. A não conformidade com o PCI DSS pode resultar em multas significativas por parte das bandeiras de cartões e instituições financeiras.  

Além disso, em caso de uma violação de dados, a empresa pode ser responsabilizada por danos e custos associados. Estar em conformidade com o PCI DSS ajuda a evitar essas penalidades e os custos associados a uma violação de segurança, incluindo investigações, reparações e processos legais. 

Eficiência Operacional 

A implementação do PCI DSS pode levar a uma maior eficiência operacional. Os padrões incentivam as organizações a adotarem melhores práticas de segurança e a manter uma infraestrutura de TI mais organizada e controlada.  

Isso pode resultar em processos mais eficientes, menos tempo de inatividade devido a incidentes de segurança e uma melhor gestão de recursos. A conformidade pode também facilitar auditorias e inspeções, proporcionando uma visão clara e detalhada das práticas de segurança da empresa. 

Melhoria da Conformidade Geral 

Adotar o PCI DSS pode impulsionar a melhoria da conformidade geral com outras regulamentações e padrões de segurança. Muitos dos requisitos do PCI DSS são semelhantes aos de outras normas de segurança da informação, como a ISO 27001.  

Dessa forma, ao implementar o PCI DSS, as organizações podem encontrar mais fácil cumprir outras regulamentações. Isso simplifica a gestão de conformidade e reduz a carga administrativa. 

Níveis do PCI  

O PCI DSS classifica as empresas em quatro níveis distintos, com base no volume anual de transações de cartão de crédito. Essa classificação ajuda a determinar os requisitos específicos de conformidade para cada tipo de empresa.  

Abaixo, detalhamos cada um dos níveis e as empresas que se enquadram em cada categoria: 

Nível 1 

Nível 1 é o mais alto nível de conformidade PCI DSS e se aplica às empresas que processam mais de 6 milhões de transações com cartões de crédito por ano, independentemente do canal de aceitação. Também se aplica a qualquer comerciante que tenha sofrido uma violação de dados ou que seja considerado de alto risco. 

Requisitos de conformidade: 

• Auditoria anual no local por um Auditor de Segurança Qualificado (QSA) ou um auditor interno se aprovado pelo PCI SSC. 

• Varreduras trimestrais de vulnerabilidade por um Provedor de Varredura Aprovado (ASV). 

• Preenchimento anual de um Questionário de Autoavaliação (SAQ) se aplicável. 

Nível 2 

Nível 2 se aplica às empresas que processam entre 1 milhão e 6 milhões de transações com cartões de crédito por ano. 

Requisitos de conformidade: 

• Preenchimento anual de um Questionário de Autoavaliação (SAQ). 

• Varreduras trimestrais de vulnerabilidade por um ASV. 

• Possível auditoria anual no local por um QSA ou auditor interno, dependendo das exigências do adquirente. 

Nível 3 

Nível 3 abrange as empresas que processam entre 20.000 e 1 milhão de transações de e-commerce com cartões de crédito por ano. 

Requisitos de conformidade: 

• Preenchimento anual de um Questionário de Autoavaliação (SAQ). 

• Varreduras trimestrais de vulnerabilidade por um ASV. 

Nível 4 

Nível 4 é o nível mais baixo e se aplica às empresas que processam menos de 20.000 transações de e-commerce com cartões de crédito por ano ou até 1 milhão de transações presenciais (ponto de venda) ou em outros canais por ano. 

Requisitos de conformidade: 

• Preenchimento anual de um Questionário de Autoavaliação (SAQ). 

• Varreduras trimestrais de vulnerabilidade por um ASV, conforme necessário pelo adquirente. 

Leia também o post sobre proteção de sites

Impactos do Não Cumprimento do PCI 

A não conformidade com o PCI DSS pode ter sérios impactos negativos para as empresas que processam, armazenam ou transmitem dados de cartões de pagamento. Abaixo, destacamos alguns dos principais:  

Multas e Penalidades 

O não cumprimento dos padrões PCI DSS pode resultar em multas e penalidades significativas impostas pelas bandeiras de cartões e instituições financeiras. Essas multas podem variar de milhares a centenas de milhares de dólares por mês até que a conformidade seja alcançada.  

Além das multas, as empresas podem ser responsabilizadas por qualquer fraude que ocorra como resultado de uma violação de dados, o que pode aumentar ainda mais os custos financeiros. 

Riscos de Segurança 

A não conformidade com o PCI DSS expõe as empresas a riscos de segurança elevados. Sem as medidas de proteção exigidas pelo PCI DSS, os dados dos cartões de pagamento ficam vulneráveis a violações, fraudes e ataques cibernéticos.  

Uma violação de dados pode resultar na exposição de informações sensíveis dos clientes, levando a perdas financeiras diretas, custos de remediação e danos à reputação da empresa. 

Descredenciamento 

As empresas que não cumprem os padrões PCI DSS correm o risco de descredenciamento por parte das bandeiras de cartões e adquirentes. Isso significa que a empresa pode perder a capacidade de aceitar pagamentos com cartão de crédito e débito, o que pode ter um impacto devastador nos negócios.  

A perda da capacidade de processar pagamentos com cartão pode levar à diminuição das vendas, perda de clientes e uma vantagem competitiva reduzida no mercado. 

Danos à Reputação 

A não conformidade e eventuais violações de dados podem causar danos significativos à reputação da empresa. A confiança dos clientes é essencial para o sucesso de qualquer negócio, e uma violação de dados pode levar à perda de confiança e fidelidade dos clientes.  

Além disso, a cobertura negativa da mídia e o boca a boca podem afetar negativamente a imagem da marca, resultando em uma diminuição das vendas e dificuldades para atrair novos clientes. 

Custos de Remediação 

Após uma violação de dados, as empresas não conformes enfrentam custos de remediação substanciais. Esses custos incluem: 

• Investigações forenses; 

• Notificações aos clientes afetados; 

• Monitoramento de crédito; 

• Melhorias de segurança; 

• E possíveis ações judiciais.  

Esses custos adicionais podem ser um fardo financeiro significativo para a empresa, especialmente se não houver um plano de resposta a incidentes eficaz. 

Comprometimento dos Relacionamentos Comerciais 

A não conformidade com o PCI DSS pode comprometer relacionamentos comerciais importantes. Parceiros de negócios, fornecedores e clientes podem reconsiderar suas associações com uma empresa que não protege adequadamente os dados de pagamento. Isso pode levar à perda de contratos, negociações desfavoráveis e uma diminuição das oportunidades de negócios. 

Como Ficar em Conformidade com o PCI DSS? 

Para garantir a conformidade com o PCI DSS, as empresas devem seguir uma série de passos que abrangem desde o entendimento dos requisitos até a implementação de controles e a gestão contínua de vulnerabilidades.  

Veja alguns tópicos essenciais para alcançar e manter a conformidade com o PCI DSS: 

Entendimento do PCI DSS 

O primeiro passo para a conformidade é entender os requisitos do PCI DSS. Isso envolve estudar os 12 requisitos principais do PCI DSS e como eles se aplicam à sua organização. Familiarize-se com os diferentes níveis de conformidade e determine em qual nível sua empresa se enquadra.  

Compreender os padrões é crucial para implementar as medidas corretas e garantir que todos na organização estejam cientes das obrigações de conformidade. 

Implementação de Controles de Segurança 

A implementação de controles de segurança é fundamental para proteger os dados dos cartões de pagamento. Isso inclui a instalação e manutenção de firewalls, a criptografia dos dados em trânsito e em repouso, o uso de senhas fortes e a configuração segura dos sistemas.  

Cada um dos 12 requisitos do PCI DSS deve ser abordado com controles específicos que garantam a segurança dos dados e a proteção contra ameaças. 

Gerenciamento de Vulnerabilidades 

Gerenciar vulnerabilidades é uma parte crítica da conformidade com o PCI DSS. Isso envolve a realização de varreduras de vulnerabilidade trimestrais por um Provedor de Varredura Aprovado (ASV) e a implementação de patches e atualizações de segurança regularmente.  

As empresas devem monitorar continuamente seus sistemas em busca de vulnerabilidades e corrigir rapidamente quaisquer falhas identificadas para evitar explorações. 

Monitoramento e Teste Contínuo 

O monitoramento e teste contínuo dos sistemas de segurança são essenciais para garantir a conformidade contínua. Isso inclui a realização de testes de penetração anuais, a implementação de sistemas de detecção de intrusão e o monitoramento de logs de segurança.  

A análise constante das atividades e eventos de segurança ajuda a identificar e responder a possíveis incidentes antes que causem danos significativos. 

Treinamento e Conscientização 

A capacitação e conscientização dos funcionários é vital para a conformidade com o PCI DSS. Todos os colaboradores devem ser treinados sobre as políticas de segurança da informação, práticas seguras de manuseio de dados de pagamento e como identificar e relatar atividades suspeitas.  

Um programa de treinamento contínuo ajuda a garantir que a equipe esteja ciente das melhores práticas de segurança e das responsabilidades de conformidade. 

Documentação e Auditoria 

Manter uma documentação completa e precisa é crucial para demonstrar a conformidade com o PCI DSS. Isso inclui registrar todos os processos, políticas, procedimentos e controles de segurança implementados.  

Além disso, realizar auditorias internas regulares e, quando necessário, auditorias por um Auditor de Segurança Qualificado (QSA) ajuda a garantir que todos os requisitos estão sendo cumpridos e que a empresa está preparada para avaliações externas. 

Recomendamos a leitura do post sobre Framework Mitre e Attack

Política de Segurança da Informação 

Estabelecer e manter uma política de segurança da informação abrangente é um requisito essencial do PCI DSS. Essa política deve abordar todos os aspectos da segurança dos dados de pagamento e ser revisada e atualizada regularmente.  

A política de segurança da informação fornece uma base sólida para todas as práticas de segurança e garante que a organização tenha uma abordagem estruturada para a proteção dos dados. 

Como a Euax pode ajudar a sua empresa a se adequar ao PCI data security? 

A Euax pode ajudar sua empresa a se adequar ao PCI Data Security através da realização de uma avaliação de riscos de Segurança da informação e implantação das vulnerabilidades identificadas, com uma abordagem abrangente que inclui diversos frameworks de segurança, como a ISO 27001, adequação à LGPD e, especificamente, a conformidade com o PCI DSS.  

Nossa equipe de especialistas está preparada para orientar sua empresa em todas as etapas do processo, desde a análise inicial até a implementação e manutenção dos controles de segurança necessários para garantir a proteção dos dados de pagamento. Para saber mais sobre como podemos ajudar, visite nossa página de consultoria de segurança da informação.