Como pensamos PCI DSS
A LinkPCI é uma operação técnica focada em conformidade PCI DSS no Brasil. Esta página explica como conduzimos um projeto, quais princípios guiam a abordagem e por que decisões de arquitetura aparecem antes de checklists de compliance.
Quatro princípios que guiam todo projeto
1. Reduzir escopo antes de adequar
Conformidade PCI custa proporcional ao escopo. Em vez de adequar a aplicação inteira, o primeiro trabalho é identificar o que não precisa tocar em dados de cartão e mover esse trafego para fora do escopo. Cada componente fora do CDE (Cardholder Data Environment) é um requisito a menos para implementar e manter.
2. Arquitetura concreta, não slides
Trabalhamos diretamente com o que vai pra produção: infraestrutura AWS real, código que roda, configurações que existem. Documentação serve para registrar decisões já implementadas, não como entregável principal. O artefato que importa é o ambiente em conformidade.
3. Transparência sobre o que não fazemos
A LinkPCI não é uma Qualified Security Assessor (QSA). A auditoria oficial do PCI DSS Level 1 é conduzida obrigatoriamente por um QSA externo. O papel da LinkPCI é preparar o ambiente, documentar políticas e organizar evidências para que essa auditoria seja conduzida com fricção mínima. Para Level 2, o caminho padrão é a auto-avaliação via SAQ, também preparada por nós, mas submetida pelo próprio cliente.
4. Atendimento dedicado e escala intencional
A equipe é pequena por escolha. Cada projeto recebe a profundidade que conformidade PCI exige. Não terceirizamos a operação para profissionais juniores nem rodamos vários projetos simultâneos por consultor, a qualidade da entrega depende disso.
O processo, em detalhe
Diagnóstico inicial (gratuito, 1 a 2 reuniões)
Mapeamos o cenário atual: o que a empresa faz, qual o volume de transações com cartão, quais adquirentes estão em uso, qual o estado atual de conformidade. O resultado é uma análise inicial honesta sobre viabilidade, esforço esperado e qual frente de atuação faz mais sentido, adequação Level 2, LinkPCI Proxy (Level 1) ou ambos.
Proposta com escopo, prazo e custo transparentes
Apresentamos o que será feito, quanto tempo leva e quanto custa. Sem letras pequenas, sem custos surpresa, sem prazos otimistas. Se uma parte do trabalho não temos confiança em entregar com a qualidade necessária, dizemos antes, e indicamos parceiros quando faz sentido.
Execução em paralelo com o time interno
Trabalhamos junto com a equipe técnica do cliente. Cada decisão de arquitetura é discutida; cada implementação é revisada. O time interno do cliente fica capaz de manter o ambiente em conformidade depois, não há dependência operacional de nós.
Validação e handover
Scans ASV, revisão do SAQ, geração do AoC ou preparação para auditoria QSA conforme o caso. Documentação operacional entregue ao time interno. A partir desse ponto, manutenção mensal é opcional, não há contrato recorrente obrigatório.
Quem é a LinkPCI
A LinkPCI opera como uma equipe técnica enxuta, com background prático em arquitetura AWS, sistemas de pagamento e PCI DSS. Trabalhamos a partir do Brasil e Portugal, atendendo primariamente o mercado brasileiro.
Não publicamos perfis individuais por preferência da equipe. O ponto de contato profissional é o e-mail e o WhatsApp listados na página de contato, em uma primeira conversa, apresentamos quem vai conduzir o projeto e qual o background técnico relevante.
Para clientes que precisam de informações formais antes de iniciar uma conversa (NDAs, dados cadastrais, referências técnicas), tudo é fornecido sob solicitação por e-mail. Não publicamos essas informações abertamente, mas também não há barreiras para acessá-las.
O que a LinkPCI não é
- Não somos QSA. A auditoria oficial PCI DSS é conduzida por um QSA externo, nosso papel é preparar o ambiente para essa auditoria, não realizá-la.
- Não somos uma consultoria genérica de segurança. O foco é exclusivamente PCI DSS e infraestrutura de pagamento; outras áreas de segurança (governança corporativa, ISO 27001, LGPD geral) não fazem parte da operação.
- Não somos um SaaS multi-tenant. O LinkPCI Proxy é instalado na conta AWS do próprio cliente. Os dados, a infraestrutura e o controle operacional permanecem com o cliente, sem dependência de uma plataforma centralizada da LinkPCI.
- Não somos um fornecedor de checklists. Cada projeto é tratado como um problema técnico real, não como uma sequência de tarefas pré-definidas. O escopo do PCI DSS é amplo e a aplicação dos controles depende inteiramente do contexto.
Conhecer melhor antes de fechar
O diagnóstico inicial é gratuito e sem compromisso. Em uma primeira conversa, apresentamos o time, o background técnico e a abordagem específica para o seu cenário.