Compliance PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) é um conjunto de requisitos de segurança mantido pelo PCI Security Standards Council, fundado por Visa, Mastercard, American Express, Discover e JCB. Qualquer organização que armazena, processa ou transmite dados de portadores de cartão precisa estar em conformidade, independentemente de tamanho ou volume de transações.

A não conformidade traz consequências financeiras reais. As bandeiras de cartão podem aplicar multas de $5.000 a $100.000 por mês aos bancos adquirentes, que repassam diretamente ao estabelecimento. Além das multas, uma organização fora de conformidade corre o risco de perder completamente os privilégios de processamento, o que para a maioria dos negócios significa a impossibilidade de aceitar cartões de crédito.

No caso de um breach de dados, organizações fora de conformidade enfrentam custos de investigação forense, taxas obrigatórias de reemissão de cartões ($3 a $10 por cartão em potencialmente milhões de contas), penalidades regulatórias e responsabilidade civil. Empresas como Target e Equifax pagaram centenas de milhões em custos relacionados a breaches. O investimento em compliance é uma fração da exposição a um breach.

As bandeiras de cartão classificam estabelecimentos em quatro níveis com base no volume anual de transações, e cada nível exige diferentes formas de validação. O Nível 1 aplica-se a estabelecimentos que processam mais de 6 milhões de transações por ano em todos os canais. Estabelecimentos Nível 1 precisam completar um Report on Compliance (ROC) anual conduzido por um Qualified Security Assessor (QSA) e submeter scans de rede trimestrais por um Approved Scanning Vendor (ASV).

O Nível 2 cobre estabelecimentos que processam de 1 milhão a 6 milhões de transações anuais. Esses estabelecimentos podem completar um Self-Assessment Questionnaire (SAQ) ou passar por auditoria do QSA, dependendo das exigências do adquirente. O Nível 3 aplica-se a estabelecimentos que processam de 20.000 a 1 milhão de transações e-commerce por ano, validados através do SAQ apropriado.

O Nível 4 inclui todos os estabelecimentos que processam menos de 20.000 transações e-commerce ou até 1 milhão de transações não e-commerce por ano. Apesar de ser a menor faixa, estabelecimentos Nível 4 ainda precisam completar um SAQ e podem ser obrigados a realizar scans trimestrais do ASV. Todos os níveis exigem scans trimestrais do ASV se o estabelecimento tiver sistemas expostos à internet.

Importante: qualquer estabelecimento que sofra um breach de dados pode ser elevado ao Nível 1 pelas bandeiras de cartão, independentemente do volume de transações. O nível de compliance é um piso, não um teto.

Service providers são organizações que armazenam, processam ou transmitem dados de portadores de cartão em nome de outras entidades, ou que podem impactar a segurança dos dados de cartão. Isso inclui gateways de pagamento, provedores de hospedagem, serviços gerenciados de segurança, vendors de tokenization e qualquer terceiro com acesso a ambientes de dados de cartão.

Service providers Nível 1 processam ou têm potencial de impactar mais de 300.000 transações por ano. Eles precisam passar por uma avaliação anual presencial do QSA e produzir um Report on Compliance (ROC). Service providers Nível 2 lidam com 300.000 ou menos transações e podem validar conformidade através do SAQ D para Service Providers.

A distinção entre classificação de estabelecimento e service provider importa porque algumas organizações se enquadram em ambas. Uma plataforma SaaS que processa pagamentos para seus próprios serviços (estabelecimento) e também processa pagamentos em nome de seus clientes (service provider) precisa validar compliance em ambas as classificações. Classificar incorretamente sua organização é um dos erros PCI mais comuns e custosos.

O SAQ A é o formulário mais simples, com aproximadamente 30 requisitos. Aplica-se a estabelecimentos que terceirizam completamente todas as funções de dados de cartão para terceiros PCI-compliant, sem armazenamento, processamento ou transmissão eletrônica nos sistemas do estabelecimento. Se seu checkout usa redirecionamento completo para Stripe Checkout, PayPal ou uma página de pagamento hospedada, o SAQ A é provavelmente seu caminho. Este é o cenário de escopo mínimo.

O SAQ A-EP cobre estabelecimentos e-commerce que terceirizam parcialmente o processamento de pagamentos, mas cujo site controla como a página de pagamento é entregue (por exemplo, via iFrame embutido). Inclui aproximadamente 140 requisitos e exige controles mais rigorosos porque o servidor web do estabelecimento poderia ser comprometido para afetar dados de pagamento. O SAQ B aplica-se a estabelecimentos que usam máquinas de impressão ou terminais standalone com discagem sem conexão à internet, enquanto o SAQ B-IP cobre terminais conectados via IP.

O SAQ C aplica-se a estabelecimentos com sistemas de aplicação de pagamento conectados à internet, mas sem armazenamento eletrônico de dados de portadores de cartão. O SAQ C-VT cobre estabelecimentos que inserem manualmente transações individuais via terminal virtual em um computador isolado. O SAQ P2PE aplica-se a estabelecimentos que usam soluções validadas de Point-to-Point Encryption (P2PE) listadas no PCI, com apenas cerca de 33 requisitos, porque o hardware de criptografia remove quase todo o escopo.

O SAQ D é o mais abrangente, cobrindo todos os 300+ requisitos do PCI DSS. Aplica-se a estabelecimentos que processam, armazenam ou transmitem diretamente dados de portadores de cartão e a service providers que não atendem aos critérios do SAQ D para Service Providers. Se seus sistemas tocam números de cartão brutos em qualquer ponto, você provavelmente está no território do SAQ D.

Provedores de card vault operam na faixa de maior escopo. Todo o seu Cardholder Data Environment (CDE) armazena PANs reais e potencialmente dados de autenticação sensíveis. Enfrentam todos os requisitos PCI DSS de service provider Nível 1, com centenas de controles, testes de penetração regulares e auditorias anuais do QSA.

Gateways de pagamento e processadores também se enquadram em alto escopo como service providers Nível 1. Eles transmitem e frequentemente processam dados de portadores de cartão, exigindo segmentação de rede abrangente, criptografia e controles de acesso. Payment facilitators (PayFacs) carregam uma responsabilidade singular: precisam validar sua própria conformidade e garantir que cada sub-merchant também atenda aos requisitos PCI apropriados ao seu nível.

Empresas que usam Stripe, PayPal, Square ou provedores PCI-compliant similares se beneficiam de uma redução dramática de escopo. Se sua integração usa redirecionamento completo ou campos de pagamento hospedados, seu escopo pode ser tão baixo quanto SAQ A, cerca de 30 requisitos. Migrar de um redirect para um iFrame embutido aumenta o escopo para SAQ A-EP. Usar direct post ou tokenization client-side onde seus servidores veem dados de cartão, mesmo brevemente, pode empurrá-lo para o SAQ D.

Para negócios e-commerce, o escopo aumenta nesta ordem: redirecionamento completo (menor), iFrame ou campos hospedados (moderado), tokenization baseada em JavaScript (moderado-alto), direct API post (maior). Escolher a arquitetura de integração certa antes de construir é muito mais barato do que re-arquitetar depois que um QSA informa que seu escopo é maior do que o esperado.

Tokenization substitui números reais de cartão por tokens não sensíveis que não têm valor explorável se forem roubados. Implementar tokenization através de um provedor PCI-compliant pode reduzir seus sistemas em escopo em 80% a 95%. O token é inútil sem acesso ao token vault, que permanece dentro do ambiente do provedor, não do seu.

Segmentação de rede isola o Cardholder Data Environment do restante da sua rede corporativa. Segmentação adequada significa que um breach da sua infraestrutura de TI geral não compromete automaticamente os dados de cartão. Sem segmentação, toda a sua rede está em escopo PCI, o que multiplica tanto o custo de compliance quanto a complexidade da auditoria.

Point-to-Point Encryption (P2PE) criptografa dados de portadores de cartão no ponto de interação (o terminal) usando criptografia baseada em hardware que impede a decriptação em qualquer lugar do ambiente do estabelecimento. Soluções P2PE validadas pelo PCI reduzem o escopo em mais de 90% porque o estabelecimento nunca manuseia dados de cartão legíveis. Este é o caminho mais rápido para escopo mínimo em negócios presenciais.

Outras estratégias eficazes incluem minimizar a retenção de dados (não armazene o que você não precisa), terceirizar funções de pagamento para provedores PCI-compliant e consolidar sistemas de pagamento para reduzir o número de componentes em escopo. Cada sistema que você remove do escopo é um sistema a menos para monitorar, atualizar, auditar e defender.

Requisito 1: Instalar e manter controles de segurança de rede (firewalls, listas de controle de acesso e segmentação entre redes confiáveis e não confiáveis). Requisito 2: Aplicar configurações seguras a todos os componentes do sistema, removendo defaults de fábrica e serviços desnecessários. Requisito 3: Proteger dados de conta armazenados usando criptografia, truncamento, mascaramento e hashing, com gestão rigorosa de chaves. Requisito 4: Proteger dados de portadores de cartão com criptografia forte durante a transmissão em redes abertas ou públicas, com TLS 1.2 como mínimo.

Requisito 5: Proteger todos os sistemas e redes contra software malicioso usando soluções anti-malware regularmente atualizadas. Requisito 6: Desenvolver e manter sistemas e software seguros através de patching, práticas de codificação segura e gestão de vulnerabilidades. Na v4.0, isso agora cobre explicitamente software customizado e sob medida com revisões de código obrigatórias ou proteções WAF. Requisito 7: Restringir o acesso a dados de portadores de cartão apenas ao pessoal com necessidade de negócio documentada.

Requisito 8: Identificar usuários e autenticar acesso a componentes do sistema. O PCI DSS v4.0 aumentou o comprimento mínimo de senha para 12 caracteres e expandiu os requisitos de multi-factor authentication (MFA) para todo acesso ao CDE, não apenas acesso remoto. Requisito 9: Restringir acesso físico a dados de portadores de cartão e sistemas. Requisito 10: Registrar e monitorar todo acesso a recursos de rede e dados de portadores de cartão com logging centralizado e alertas.

Requisito 11: Testar a segurança de sistemas e redes regularmente através de scans de vulnerabilidade, testes de penetração e detecção de intrusão. Requisito 12: Apoiar a segurança da informação com políticas organizacionais, procedimentos e um programa formal de conscientização em segurança. Na v4.0, service providers devem realizar uma revisão formal do escopo PCI pelo menos a cada seis meses.

O PCI DSS v4.0 substituiu o v3.2.1 e todos os requisitos v4.0 se tornaram obrigatórios em 31 de março de 2025. Organizações que não fizeram a transição estão agora fora de conformidade. A atualização representa a revisão mais significativa do padrão desde sua criação, com mudanças estruturais em como os requisitos são organizados e validados.

Mudanças-chave incluem requisitos expandidos de MFA para todo acesso ao CDE (não apenas remoto), comprimento mínimo de senha de 12 caracteres (acima de 8), requisitos aprimorados de criptografia e a introdução do Customized Approach como alternativa ao Defined Approach. O Customized Approach permite que organizações atendam a intenção de um requisito através de controles alternativos, validados pelo QSA, em vez de seguir passos prescritivos de implementação.

Service providers enfrentam obrigações adicionais na v4.0. Eles devem reavaliar seu escopo PCI pelo menos a cada seis meses (não apenas anualmente), implementar controles para detectar e responder a falhas de controles críticos de segurança em tempo hábil, e manter um inventário atualizado de todas as chaves e certificados confiáveis. Essas mudanças refletem a realidade de que comprometimentos de service providers têm efeitos em cascata em milhares de ambientes de estabelecimentos.

Para times de tecnologia, as mudanças v4.0 de maior impacto incluem requisitos para scan de vulnerabilidades internas autenticado, análise de risco direcionada para definir a frequência de certos controles periódicos e requisitos explícitos para gerenciamento de scripts em páginas de pagamento para prevenir ataques de e-commerce skimming. Se sua última avaliação foi sob o v3.2.1, uma análise de gap contra o v4.0 deveria ser sua primeira prioridade.