início / guias / o que é pci dss

O que é PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) é um conjunto de requisitos técnicos e operacionais para qualquer empresa que armazena, processa ou transmite dados de cartão de crédito ou débito.

Quem precisa cumprir

Em resumo: qualquer empresa que toca em dados de cartão. Isso inclui:

  • Comerciantes (e-commerces, lojas físicas, marketplaces).
  • Adquirentes, sub-adquirentes e gateways de pagamento.
  • Emissores de cartão.
  • Provedores de serviço (qualquer um que processe ou armazene dados de cartão em nome de terceiros).
  • Empresas que terceirizam processamento, mas ainda assim recebem ou tocam em dados de cartão em algum ponto.

Se você usa apenas integrações "checkout transparente" ou hosted fields do seu PSP, onde os dados de cartão vão direto do navegador do cliente para o PSP e nunca passam pelo seu servidor, seu escopo é mínimo (geralmente um SAQ A bem simples). Se em algum momento o cartão passa pela sua infraestrutura, o escopo cresce.

O que o padrão exige

O PCI DSS v4.0 organiza os requisitos em 12 grupos:

  1. Instalar e manter controles de segurança de rede.
  2. Aplicar configurações seguras a todos os componentes do sistema.
  3. Proteger dados de conta armazenados.
  4. Proteger dados de cartão em trânsito com criptografia forte.
  5. Proteger todos os sistemas e redes contra software malicioso.
  6. Desenvolver e manter sistemas e software seguros.
  7. Restringir acesso aos componentes do sistema e dados de cartão por necessidade de negócio.
  8. Identificar usuários e autenticar acesso aos componentes do sistema.
  9. Restringir acesso físico aos dados de cartão.
  10. Registrar e monitorar todo acesso aos componentes do sistema e dados de cartão.
  11. Testar regularmente a segurança de sistemas e redes.
  12. Manter uma política de segurança da informação que aborde a segurança da informação para todo o pessoal.

Cada grupo se desdobra em dezenas de requisitos específicos, alguns aplicáveis a todos, outros condicionais ao seu cenário.

O conceito de "escopo PCI"

A coisa mais importante deste guia

O escopo PCI é tudo aquilo que armazena, processa ou transmite dados de cartão, e tudo que está conectado a isso. Quanto maior o escopo, mais sistemas precisam ser adequados, mais auditoria, mais custo. Reduzir escopo é, normalmente, o trabalho mais valioso em um projeto PCI.

A forma de reduzir escopo é segmentar a infraestrutura: isolar os componentes que tocam em dados de cartão (o CDE. Cardholder Data Environment) do resto. Quanto mais limpa essa separação, menor o escopo PCI da sua aplicação principal.

É por isso que soluções de proxy/tokenização isoladas podem fazer tanta diferença: você concentra o "ser PCI" em um pedaço pequeno e isolado, e o resto da sua aplicação fica fora do escopo.

Como você prova conformidade

Existem dois caminhos principais:

  • SAQ (Self-Assessment Questionnaire): auto-avaliação. Você preenche um questionário e gera um Attestation of Compliance (AoC). Aplicável a Levels 2, 3 e 4. Existem várias versões (A, A-EP, B, B-IP, C, C-VT, D-Merchant, D-SP, P2PE), qual você usa depende de como você processa os dados.
  • Auditoria por QSA: um Qualified Security Assessor externo audita seu ambiente e gera um Report on Compliance (RoC). Obrigatório para Level 1.

E se eu não cumprir?

  • Multas das bandeiras (variam, podem chegar a centenas de milhares de dólares).
  • Aumento de custo de processamento ou suspensão pelo seu adquirente.
  • Em caso de vazamento de dados, responsabilidade civil e regulatória (LGPD, no Brasil).
  • Perda de credibilidade junto a parceiros e clientes.
Próxima leitura

Para entender qual nível PCI se aplica a você, leia Level 1 vs Level 2.