Adequacao PCI-DSS na TI: checklist completo

O que é PCI-DSS e por que sua TI precisa estar adequada

O PCI-DSS (Payment Card Industry Data Security Standard) é o padrão global de segurança mantido pelo PCI Security Standards Council, um consórcio fundado pelas principais bandeiras de cartão: Visa, Mastercard, American Express, Discover e JCB. A versão atual em vigor é a PCI-DSS 4.0.1, publicada em junho de 2024, que substitui definitivamente a versão 3.2.1 a partir de 31 de março de 2025. Qualquer empresa que armazene, processe ou transmita dados de cartão — incluindo e-commerces, SaaS de pagamento, clínicas, escolas, postos de gasolina e redes de varejo — está no escopo obrigatório.

O impacto de não estar adequado é financeiro e reputacional. Multas das bandeiras variam de US$ 5.000 a US$ 100.000 por mês enquanto a não-conformidade persiste, além de taxas de transação elevadas, suspensão do direito de aceitar cartões e responsabilização civil em caso de vazamento. De acordo com o relatório Cost of a Data Breach 2024 da IBM, o custo médio global de um vazamento de dados de cartão atingiu US$ 4,88 milhões — 10% a mais que em 2023. No Brasil, a LGPD soma multas adicionais de até 2% do faturamento, limitadas a R$ 50 milhões por infração.

Muitos gestores acreditam que PCI-DSS é "problema do adquirente" ou do gateway de pagamento. Falso. Mesmo que você use Stone, Cielo, Pagar.me ou Mercado Pago como processadora, a responsabilidade pelo ambiente interno — rede, endpoints, servidores, backups, acessos — continua sendo sua. O escopo de adequação depende do nível de comerciante (Merchant Level 1 a 4), determinado pelo volume anual de transações, e de como o CDE (Cardholder Data Environment) foi arquitetado.

Os 12 requisitos da PCI-DSS 4.0.1 destrinchados

A norma organiza-se em 6 objetivos de controle que se desdobram em 12 requisitos, totalizando mais de 300 sub-requisitos técnicos e operacionais. Entender essa estrutura é o primeiro passo para qualquer checklist de adequação. A seguir, o mapa completo agrupado por objetivo:

• Construir e manter uma rede segura: Requisito 1 — instalar e manter controles de segurança de rede (firewalls, NSCs, microsegmentação). Requisito 2 — aplicar configurações seguras a todos os componentes do sistema (hardening, remoção de defaults).
• Proteger os dados do titular do cartão: Requisito 3 — proteger dados armazenados (tokenização, truncamento, criptografia AES-256). Requisito 4 — criptografar transmissões em redes públicas e não confiáveis (TLS 1.2+, proibição explícita de SSL e TLS 1.0/1.1).
• Manter um programa de gerenciamento de vulnerabilidades: Requisito 5 — proteger sistemas contra malware (EDR moderno substitui o antigo "antivírus"). Requisito 6 — desenvolver e manter sistemas e software seguros (SAST, DAST, patching em até 30 dias para críticas).
• Implementar medidas fortes de controle de acesso: Requisito 7 — restringir acesso por necessidade de conhecimento. Requisito 8 — identificar usuários e autenticar acesso (MFA obrigatória para todo acesso ao CDE a partir de 31/03/2025). Requisito 9 — restringir acesso físico.
• Monitorar e testar redes regularmente: Requisito 10 — logar e monitorar todo acesso a componentes e dados (retenção mínima de 12 meses, sendo 3 meses online). Requisito 11 — testar segurança com regularidade (scans ASV trimestrais, pentests anuais internos e externos).
• Manter uma política de segurança da informação: Requisito 12 — política corporativa, programa de conscientização, gestão de risco formal, planos de resposta a incidente.

A 4.0.1 trouxe mudanças críticas em relação à 3.2.1: MFA obrigatória em todos os acessos ao CDE (antes era só admin), proibição de criptografia customizada, novo controle de phishing (5.4.1), inventário obrigatório de scripts de pagamento na página de checkout (6.4.3 e 11.6.1) — esta última mudança nasceu justamente dos ataques Magecart que afetaram British Airways (£20 milhões de multa) e Ticketmaster. Empresas que ainda operavam no modelo da versão anterior precisaram, obrigatoriamente, reformular controles de identidade e de integridade de e-commerce até 31 de março de 2025.

Checklist prático de adequação — o que a TI precisa entregar

Adequação PCI-DSS não é projeto de 30 dias. Empresas Nível 1 (mais de 6 milhões de transações/ano) levam em média 9 a 18 meses para alcançar conformidade plena com QSA assessment. Para empresas menores que fazem SAQ (Self-Assessment Questionnaire), o prazo realista é de 4 a 8 meses. O checklist abaixo cobre os itens que a equipe de TI precisa executar ou contratar:

1. Definir e reduzir escopo: mapear todo fluxo de dados de cartão (data-flow diagram), identificar onde o CDE começa e termina, segmentar a rede para isolar o CDE de sistemas fora de escopo. Cada sistema "conectado ao CDE" aumenta custo e complexidade.
2. Firewalls e segmentação: firewall de próxima geração (NGFW) entre CDE, rede corporativa e internet. Regras documentadas com justificativa de negócio. Revisão formal a cada 6 meses. Proibição de protocolos inseguros (Telnet, FTP, HTTP).
3. Hardening de servidores e endpoints: baselines CIS Benchmarks ou DISA STIG aplicados em 100% dos sistemas. Remoção de contas default, desabilitação de serviços não essenciais, configuração de senha mínima de 12 caracteres alfanuméricos.
4. Criptografia de dados em repouso: PAN (Primary Account Number) nunca armazenado em texto claro. Preferência por tokenização via provedor certificado. Gestão de chaves com rotação anual, separação de funções e HSM para empresas de Nível 1.
5. TLS 1.2+ obrigatório: auditar todos os endpoints públicos, APIs internas e conexões entre sistemas. Ferramentas como Qualys SSL Labs e testssl.sh identificam configurações vulneráveis. Certificados com renovação automatizada (Let's Encrypt, ACME).
6. EDR corporativo: substituição de antivírus legacy por soluções EDR/XDR (Microsoft Defender for Endpoint, CrowdStrike, SentinelOne). Cobertura em 100% dos endpoints, logs centralizados, resposta automatizada a IOCs.
7. Patching disciplinado: vulnerabilidades críticas (CVSS 9.0+) corrigidas em até 30 dias. WSUS, Intune ou Automox para Windows; Ansible ou Satellite para Linux. Relatório mensal de compliance de patches.
8. MFA universal no CDE: todos os acessos — admin, usuário final, acesso remoto, cloud console — com segundo fator via app (Microsoft Authenticator, Google Authenticator) ou hardware token (YubiKey). SMS não é mais aceito como fator único.
9. Gestão de identidade centralizada: Active Directory ou Entra ID com PAM (Privileged Access Management). Contas de serviço com senhas de 32+ caracteres, rotacionadas. Revisão trimestral de acessos privilegiados.
10. SIEM com retenção de 12 meses: coleta de logs de firewall, servidores, aplicações, banco de dados. Correlação de eventos, alertas de segurança 24/7, dashboards para auditoria. Splunk, Microsoft Sentinel, Wazuh ou Elastic SIEM.
11. Scans ASV trimestrais: contratação de Approved Scanning Vendor para varrer IPs públicos. Remediação de vulnerabilidades encontradas antes do próximo ciclo. Documentação completa exigida em auditoria.
12. Pentest anual: interno e externo, com relatório formal e plano de remediação. Testes de segmentação obrigatórios quando há separação entre CDE e rede corporativa.
13. Plano de resposta a incidentes: documentado, testado anualmente com tabletop exercises, com canais de comunicação para adquirente, bandeiras e autoridades (ANPD em caso de dados pessoais).

Erros mais comuns que reprovam empresas em auditoria

Em nossa experiência acompanhando adequações, observamos padrões recorrentes que levam à reprovação em auditoria de QSA ou à falha no SAQ. O mais frequente é o "escopo criativo" — empresas que declaram que o CDE é uma ilha isolada quando, na realidade, o diretório corporativo, o servidor de email e a estação de trabalho do financeiro têm conectividade ao ambiente. Qualquer sistema que possa afetar a segurança do CDE entra no escopo, queira você ou não.

O segundo erro é confundir SAQ com conformidade efetiva. O SAQ é um questionário de auto-avaliação — preenchê-lo sem evidências reais não torna a empresa adequada; apenas declara adequação sob responsabilidade do signatário. Em caso de incidente, a falsa declaração é investigada e pode se tornar crime de estelionato, além das multas contratuais. A terceira armadilha é tratar PCI-DSS como projeto de implantação: a norma exige ciclos contínuos — scans trimestrais, revisões semestrais, pentests anuais, treinamento recorrente. Sem disciplina operacional, a empresa volta a ficar não-conforme semanas após a auditoria.

"A conformidade com PCI-DSS não é um destino, é uma prática diária. Empresas que tratam a norma como um checklist anual inevitavelmente falham quando são realmente testadas — seja por um auditor, seja por um atacante." — Relatório Verizon 2024 Payment Security Report

Outros erros frequentes: logs sem sincronização NTP (impossibilita correlação forense), backups sem criptografia ou armazenados no mesmo segmento de rede do CDE, usuários compartilhando credenciais "porque é prático", ausência de política formal documentada e assinada pela diretoria, e falta de inventário atualizado de ativos — você não pode proteger o que você não sabe que tem.

Custos realistas e estratégia de redução de escopo

O investimento em adequação PCI-DSS varia enormemente conforme o porte e a arquitetura. Para uma empresa Nível 4 (menos de 20.000 transações e-commerce/ano) com arquitetura simples e terceirização de pagamento via iframe hospedado pelo gateway, o custo pode ficar entre R$ 25 mil e R$ 80 mil/ano — cobrindo scans ASV, ferramentas básicas, consultoria e treinamento. Para uma empresa Nível 1 que processa no próprio ambiente, o investimento chega a R$ 500 mil a R$ 2 milhões/ano, incluindo QSA, tecnologia e equipe dedicada.

A estratégia mais eficaz para reduzir custo e risco é a redução de escopo. Três mecanismos são altamente recomendados:

• Tokenização: substituir o PAN por um token irreversível. Se sua empresa nunca armazena o número real do cartão, boa parte dos requisitos deixa de se aplicar.
• Terceirização por iframe ou redirect: delegar ao gateway o recebimento dos dados do cartão. Isso reduz drasticamente o SAQ aplicável (SAQ A em vez de SAQ D).
• Segmentação de rede rigorosa: VLANs dedicadas, firewalls internos, microssegmentação com soluções como Illumio ou Azure Firewall Premium. Quanto menor o perímetro, menor o custo de manutenção contínua.

Uma análise do relatório Verizon 2024 Payment Security Report mostra que apenas 14,3% das empresas avaliadas mantêm conformidade plena entre auditorias. A maioria relaxa controles depois que o selo é emitido, o que cria janela de risco crítica. A melhor estratégia combina automação (DevSecOps, IaC, pipelines de compliance) com revisões mensais de indicadores — senhas expiradas, patches pendentes, contas inativas, alertas de SIEM não fechados.

Como a Duk acelera sua adequação PCI-DSS

Com 18+ anos de experiência e mais de 550 clientes atendidos — incluindo e-commerces, redes varejistas, SaaS e instituições financeiras — a Duk Informática & Cloud estrutura projetos de adequação PCI-DSS em três fases: diagnóstico de gap (mapeamento de escopo, data-flow, identificação dos requisitos não atendidos e quantificação de esforço), implementação (segmentação de rede, hardening, EDR, SIEM, MFA, gestão de identidade, processos documentados) e sustentação contínua (scans ASV, revisões de acesso, monitoramento 24/7 com SLA médio de resposta de 3.7 minutos).

Como Microsoft Gold Partner, integramos nativamente o stack Microsoft 365, Entra ID, Intune, Defender for Endpoint e Sentinel SIEM, reduzindo custos de licenciamento e complexidade. Nossos consultores possuem certificações ISO 27001 Lead Implementer, CISSP e CCSP, e trabalhamos em parceria com QSAs certificados para empresas que exigem auditoria formal. Atendemos desde empresas de Nível 4 que buscam SAQ A simplificado até operações Nível 1 com Report on Compliance (RoC).

Além de adequação pontual, operamos serviços gerenciados que mantêm a conformidade ao longo do tempo: Security Operations Center (SOC) 24/7, backup em data center próprio em Alphaville, gestão de vulnerabilidades, testes de phishing recorrentes e treinamento de conscientização para colaboradores. Essa abordagem integrada reduz em até 40% o custo total de conformidade em comparação a contratar múltiplos fornecedores separados.

Se sua empresa precisa iniciar ou avançar na adequação PCI-DSS, fale com nossos especialistas. Oferecemos um diagnóstico inicial gratuito de escopo e maturidade, apontando prioridades técnicas e estimativa realista de esforço para atingir conformidade. Entre em contato pelo WhatsApp: wa.me/5511957024493 — respondemos em minutos durante o horário comercial e protegemos seus dados de cartão com o mesmo rigor que protegemos nossos próprios sistemas.