Dados de Pagamento e PCI-DSS: Requisitos de Segurança

Empresas que processam dados de pagamento precisam cumprir requisitos rigorosos do PCI-DSS, sob pena de multas milionárias, perda de credenciamento e responsabilização civil e criminal.

O que é o PCI-DSS e por que ele importa para a sua empresa

O PCI-DSS (Payment Card Industry Data Security Standard) é um padrão global de segurança criado pelas principais bandeiras de cartão de crédito e débito para proteger dados de titulares de cartões durante o processamento, armazenamento e transmissão dessas informações. Quando analisamos o cenário brasileiro de proteção de dados, percebemos que muitas empresas ainda desconhecem a obrigatoriedade de conformidade com esse padrão, tratando-o como uma recomendação facultativa. Na realidade, qualquer organização que aceite, processe, armazene ou transmita dados de cartão de pagamento precisa aderir ao PCI-DSS, independentemente do seu porte ou volume de transações.

O padrão foi desenvolvido pelo PCI Security Standards Council (PCI SSC), entidade fundada em 2006 pelas bandeiras Visa, Mastercard, American Express, Discover e JCB. Desde então, o PCI-DSS passou por diversas atualizações, sendo a versão 4.0 a mais recente, com exigências ampliadas em relação à autenticação multifator, criptografia e monitoramento contínuo. Verificamos que a versão 4.0 introduziu mudanças significativas na abordagem de segurança, migrando de um modelo baseado em checklist estático para uma metodologia de análise de risco personalizada, o que permite às organizações maior flexibilidade na implementação dos controles, desde que demonstrem eficácia equivalente.

No contexto brasileiro, o PCI-DSS se conecta diretamente com a Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018), pois dados de cartão de pagamento são considerados dados pessoais. A não conformidade com o PCI-DSS pode, portanto, configurar também violação à LGPD, ampliando significativamente o espectro de responsabilização. Além das sanções administrativas previstas na LGPD (que incluem multas de até 2% do faturamento, limitadas a R$ 50 milhões por infração), a empresa pode enfrentar penalidades contratuais impostas pelas adquirentes e bandeiras de cartão, que variam de multas mensais a o descredenciamento completo para processamento de pagamentos eletrônicos.

Os 12 requisitos fundamentais do PCI-DSS

O PCI-DSS está estruturado em seis objetivos de controle que se desdobram em 12 requisitos fundamentais. Quando conduzimos uma due diligence de dados de pagamento, esses requisitos funcionam como a espinha dorsal de toda a avaliação. O primeiro objetivo trata da construção e manutenção de uma rede segura, exigindo a instalação e manutenção de firewalls para proteger dados de titulares de cartão, além da proibição de uso de senhas padrão fornecidas por fabricantes para parâmetros de segurança do sistema.

O segundo objetivo aborda a proteção dos dados do titular do cartão em si, determinando que as organizações protejam dados armazenados de titulares de cartão por meio de criptografia, truncamento, mascaramento e hashing, e que criptografem a transmissão desses dados em redes abertas e públicas. Observamos que esse é um dos pontos de maior vulnerabilidade nas empresas brasileiras, especialmente aquelas que ainda mantêm integrações legadas com sistemas de pagamento antigos, onde dados de cartão trafegam sem criptografia adequada ou são armazenados em texto plano em bancos de dados internos.

O terceiro e quarto objetivos tratam, respectivamente, da manutenção de um programa de gerenciamento de vulnerabilidades (incluindo proteção contra malware e desenvolvimento seguro de aplicações) e da implementação de medidas fortes de controle de acesso. Nesse ponto, destacamos a exigência de restringir o acesso a dados de titulares de cartão apenas a pessoas que efetivamente necessitam dessa informação para desempenhar suas funções (princípio do menor privilégio), atribuir identificação única a cada pessoa com acesso ao computador e restringir o acesso físico aos dados.

Os dois últimos objetivos envolvem o monitoramento e teste regulares da rede (rastreamento e monitoramento de todos os acessos a recursos de rede e dados de titulares, além de testes regulares de sistemas e processos de segurança) e a manutenção de uma política de segurança da informação abrangente. Quando realizamos avaliações de conformidade, verificamos que a ausência de uma política formal de segurança da informação é uma das não conformidades mais recorrentes em empresas de médio porte.

Níveis de conformidade e obrigações por volume transacional

O PCI-DSS classifica as organizações em quatro níveis de conformidade, determinados pelo volume anual de transações com cartão. Comerciantes de Nível 1 processam mais de seis milhões de transações por ano e devem submeter-se a auditorias anuais conduzidas por um Qualified Security Assessor (QSA), além de realizar varreduras trimestrais de rede por um Approved Scanning Vendor (ASV). Comerciantes de Nível 2 (entre um e seis milhões de transações) e Nível 3 (entre 20 mil e um milhão de transações em e-commerce) podem realizar autoavaliações por meio do Self-Assessment Questionnaire (SAQ), complementadas por varreduras ASV trimestrais. Já os de Nível 4 (menos de 20 mil transações em e-commerce ou até um milhão no total) também utilizam o SAQ, com requisitos de varredura definidos pela adquirente.

A conformidade com o PCI-DSS não é um evento pontual, mas um processo contínuo de monitoramento, atualização e validação que precisa estar incorporado à governança corporativa da organização.

Due diligence de dados de pagamento: como conduzir a avaliação

A due diligence voltada a dados de pagamento vai além da simples verificação de certificação PCI-DSS vigente. Quando conduzimos esse tipo de avaliação (seja em contextos de fusões e aquisições, contratação de fornecedores ou auditorias internas), adotamos uma abordagem que examina tanto a conformidade formal quanto a efetividade prática dos controles implementados. O primeiro passo consiste no mapeamento completo do fluxo de dados de pagamento dentro da organização, identificando todos os pontos de captura, processamento, armazenamento e transmissão de dados de cartão.

Em seguida, avaliamos a documentação de conformidade existente, que inclui o relatório de conformidade (ROC) ou o questionário de autoavaliação (SAQ) mais recente, os resultados das varreduras ASV trimestrais, os relatórios de testes de penetração, as políticas de segurança da informação e os registros de treinamento de pessoal. Verificamos a atualidade dessas documentações, pois certificações vencidas ou varreduras com resultados pendentes são indicadores de risco relevantes.

Um aspecto frequentemente negligenciado na due diligence é a avaliação da cadeia de fornecedores e prestadores de serviço que têm acesso a dados de pagamento. O PCI-DSS exige que a organização mantenha e implemente políticas e procedimentos para gerenciar prestadores de serviço com quem dados de titulares de cartão são compartilhados. Na prática, constatamos que muitas empresas delegam o processamento de pagamentos a terceiros sem verificar adequadamente a conformidade desses parceiros, criando pontos cegos significativos na cadeia de proteção de dados.

Aspectos jurídicos da responsabilização por incidentes

No ordenamento jurídico brasileiro, a responsabilização por incidentes envolvendo dados de pagamento pode ocorrer em múltiplas esferas. Na esfera civil, o Código de Defesa do Consumidor (Lei nº 8.078/1990) estabelece a responsabilidade objetiva do fornecedor por defeitos na prestação de serviços, o que abrange falhas de segurança que resultem em vazamento de dados de pagamento dos consumidores. A LGPD, por sua vez, prevê que o controlador ou operador que causar dano patrimonial, moral, individual ou coletivo em razão do tratamento de dados pessoais é obrigado a repará-lo, podendo a responsabilização ser solidária entre os agentes de tratamento.

Na esfera administrativa, além das sanções previstas na LGPD aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), as empresas podem enfrentar penalidades do Banco Central do Brasil, que regulamenta instituições de pagamento por meio da Lei nº 12.865/2013 e resoluções complementares. O Marco Civil da Internet (Lei nº 12.965/2014) também impõe obrigações de segurança no armazenamento de registros de acesso e dados pessoais, aplicáveis às operações de pagamento realizadas em ambiente digital.

Implementação prática: do diagnóstico à conformidade

O caminho para a conformidade com o PCI-DSS começa com um diagnóstico preciso do estado atual da segurança de dados de pagamento na organização. Recomendamos iniciar com uma análise de lacunas (gap analysis) que compare as práticas vigentes com cada um dos 12 requisitos do padrão. Essa análise produz um mapa claro das não conformidades existentes e permite priorizar as ações de remediação com base no nível de risco associado a cada lacuna identificada.

A segmentação de rede é uma das estratégias mais eficazes para reduzir o escopo da conformidade PCI-DSS. Ao isolar o ambiente de dados de cartão (Cardholder Data Environment, ou CDE) do restante da rede corporativa, a organização limita o número de sistemas, processos e pessoas sujeitos aos requisitos do padrão, reduzindo custos e complexidade de implementação. Verificamos que empresas que adotam essa abordagem desde o início do projeto de conformidade conseguem resultados mais rápidos e sustentáveis.

A implementação de criptografia forte é outro pilar fundamental. Os dados de cartão devem ser criptografados tanto em trânsito (utilizando protocolos como TLS 1.2 ou superior) quanto em repouso (utilizando algoritmos como AES-256). É essencial que as chaves criptográficas sejam gerenciadas de forma adequada, com procedimentos documentados para geração, distribuição, armazenamento, rotação e destruição de chaves. Constatamos que a gestão deficiente de chaves criptográficas é uma vulnerabilidade recorrente mesmo em organizações que implementam criptografia robusta nos demais aspectos.

O monitoramento contínuo e a resposta a incidentes completam o ciclo de conformidade. As organizações devem implementar sistemas de detecção de intrusão (IDS/IPS), registrar e monitorar todos os acessos a recursos de rede e dados de titulares de cartão, realizar varreduras de vulnerabilidade trimestrais e testes de penetração anuais. Um plano de resposta a incidentes específico para violações de dados de pagamento deve ser documentado, testado periodicamente e conhecido por todas as partes envolvidas.

Tendências e atualizações: PCI-DSS 4.0 e o futuro da segurança de pagamentos

A versão 4.0 do PCI-DSS trouxe mudanças substanciais que impactam diretamente a forma como as organizações abordam a segurança de dados de pagamento. Entre as principais novidades, destacamos a introdução da abordagem customizada (customized approach), que permite às organizações demonstrar conformidade por meio de controles alternativos, desde que atendam ao objetivo de segurança definido para cada requisito. Essa flexibilidade reconhece que diferentes ambientes tecnológicos podem exigir soluções distintas para alcançar o mesmo nível de proteção.

A autenticação multifator (MFA) teve seu escopo ampliado na versão 4.0, passando a ser exigida para todos os acessos ao ambiente de dados de cartão, não apenas para acessos remotos como nas versões anteriores. Essa mudança reflete o entendimento de que ameaças internas e movimentação lateral dentro da rede representam riscos tão significativos quanto acessos externos não autorizados. Observamos que a implementação de MFA em todos os pontos de acesso ao CDE exige planejamento cuidadoso para não impactar a operação e a produtividade dos colaboradores.

Outra tendência relevante é a crescente convergência entre os requisitos do PCI-DSS e as exigências de legislações de proteção de dados como a LGPD e o GDPR europeu. As organizações que adotam uma abordagem integrada de conformidade, tratando segurança de dados de pagamento e proteção de dados pessoais como componentes de um mesmo programa de governança, obtêm maior eficiência e consistência nos controles implementados. Ao conduzirmos avaliações de due diligence, verificamos que essa integração é um indicador positivo de maturidade organizacional em proteção de dados.

O avanço das tecnologias de tokenização e criptografia ponto a ponto (P2PE) também está transformando o cenário de conformidade. Essas tecnologias permitem que os dados reais do cartão sejam substituídos por tokens ou criptografados desde o ponto de captura, reduzindo drasticamente a exposição a riscos e o escopo de conformidade PCI-DSS. Para empresas que estão iniciando ou revisando seu programa de conformidade, a adoção dessas tecnologias representa uma oportunidade de construir uma infraestrutura de pagamentos mais segura desde a concepção.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.