A segmentação de rede PCI DSS é tecnicamente opcional, mas na prática é a única forma realista de conter o ambiente de dados de titulares de cartão sem investir milhões em conformidade. Sem segmentação, qualquer sistema ligado à rede interna passa a fazer parte do CDE PCI DSS e deve cumprir todos os controlos previstos pela norma. O problema real não é decidir se a deve implementar, mas perceber quanto custa, quem a gere e quando faz sentido procurar alternativas.
Segmentação de rede PCI DSS: o que o requisito exige
O PCI DSS não impõe um método específico de segmentação, mas exige que os sistemas fora do âmbito estejam isolados de forma a não poderem influenciar a segurança do CDE. Na prática, isto significa firewalls com regras documentadas, VLAN dedicadas, listas de controlo de acesso entre segmentos e verificação anual do isolamento. O Requisito 11.4.5 da norma v4.0 exige testes de penetração específicos para validar que a segmentação funciona realmente, e não apenas no papel.
Uma arquitetura típica contempla pelo menos três zonas: a rede pública, a DMZ com os sistemas que recebem dados de cartão e o segmento interno onde residem os sistemas de autorização e as bases de dados. Cada zona exige regras de entrada e saída explícitas, registos centralizados e procedimentos de gestão de alterações. Em ambientes cloud, a segmentação traduz-se em VPC dedicadas, grupos de segurança granulares e controlo do tráfego este-oeste com ferramentas como o AWS Network Firewall ou o Azure Firewall.
Os custos reais de uma segmentação correta
O erro mais comum é subestimar os custos operacionais face aos de implementação. O hardware ou as licenças cloud para firewalls e IDS de nível empresarial situam-se entre 15.000 e 60.000 euros para uma arquitetura de tamanho médio. A isto somam-se as horas de um engenheiro de redes para o desenho, a documentação das regras e a gestão de alterações: em média, 20-40 horas por ano apenas para a manutenção corrente. O teste de penetração anual sobre a segmentação tem um custo médio entre 3.000 e 8.000 euros.
Para as empresas que operam com Kubernetes ou ambientes de contentores, os custos aumentam ainda mais. A microssegmentação do tráfego este-oeste num cluster exige ferramentas como Calico, Cilium ou uma service mesh dedicada. A complexidade operacional cresce exponencialmente com o número de microsserviços que tratam dados sensíveis. Uma equipa sem especialização em redes seguras corre o risco de criar configurações que parecem conformes mas não o são, com graves consequências em caso de auditoria ou violação.
Tokenização versus segmentação: quando faz sentido cada uma
A segmentação protege o perímetro que rodeia os dados sensíveis. A tokenização elimina os dados sensíveis do perímetro. São abordagens complementares, mas o ponto de partida altera radicalmente a magnitude dos investimentos necessários. Se o PAN nunca entra na sua infraestrutura, o CDE reduz-se drasticamente e, com ele, os requisitos de segmentação. Os sistemas que antes necessitavam de VLAN dedicadas e firewalls próprias ficam completamente fora do âmbito.
A estratégia de redução do âmbito PCI DSS mais eficiente combina ambas as abordagens: tokenização para eliminar os dados na origem e segmentação residual para proteger os componentes que gerem as chamadas API para o vault. Deste modo, a superfície a proteger com firewalls e ACL reduz-se a poucos endpoints bem definidos em vez de toda uma rede empresarial. O resultado é um CDE mínimo, auditorias mais rápidas e custos de manutenção estruturalmente mais baixos.
Perguntas frequentes
A segmentação em cloud é diferente da on-premise para PCI?
Conceptualmente não, mas as ferramentas mudam. Em cloud utilizam-se VPC, sub-redes privadas, grupos de segurança e ACL de rede em vez de VLAN físicas e firewalls de hardware. O PCI DSS aceita ambas as abordagens desde que o isolamento esteja documentado e testado. A responsabilidade partilhada com o fornecedor cloud nunca cobre a segmentação aplicacional: esta continua a ser responsabilidade do comerciante.
Posso usar a segmentação como medida compensatória?
A segmentação é já, por si só, um controlo de segurança e não uma medida compensatória em sentido estrito. As medidas compensatórias PCI DSS aplicam-se quando não é possível cumprir um requisito específico por razões técnicas ou de negócio documentadas. Uma segmentação robusta pode, contudo, reduzir o risco residual na ausência de outros controlos e influenciar positivamente a avaliação do QSA.
Quanto tempo exige implementar a segmentação de rede?
Para uma arquitetura on-premise de tamanho médio, o projeto típico dura entre 3 e 6 meses, incluindo desenho, implementação, testes e documentação. Em cloud os prazos encurtam, mas exigem competências específicas. O fator crítico não é a configuração inicial, mas a governação ao longo do tempo: gestão de alterações, revisões periódicas e testes anuais de validação.
Quer reduzir o perímetro PCI antes mesmo de desenhar a segmentação? Descubra a PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nosNa prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para pci dss.