Guias Práticos

Lista de verificação de conformidade PCI DSS: tudo o que precisa de fazer em 2025

10 de janeiro de 2025 5 min de leitura

A conformidade PCI DSS não é um evento anual que se realiza de forma mecânica: é um processo contínuo que afeta redes, sistemas, pessoas e procedimentos. Para um comerciante ou uma PME que não quer construir uma equipa dedicada, dispor de uma checklist clara é o ponto de partida. Este guia enumera os 8 pontos concretos da conformidade PCI DSS e explica onde a tokenização reduz o trabalho de forma radical.

Lista de verificação de conformidade PCI DSS: tudo o que precisa de fazer em 2025

Perímetro e dados de cartão: o primeiro passo da conformidade PCI DSS

Antes de seguir qualquer checklist, deve compreender exatamente por onde passam e onde são armazenados os dados de cartão no seu ambiente. O PAN (Primary Account Number), a data de validade e o CVV são os dados sensíveis que o PCI DSS protege. Se qualquer um destes dados transitar por um dos seus servidores, esse servidor entra no CDE (Cardholder Data Environment) e fica sujeito a todos os requisitos.

Muitas empresas descobrem demasiado tarde que o seu CDE é muito mais amplo do que esperado: um servidor de logs que regista pedidos HTTP, uma base de dados de backup não segmentada, um sistema CRM que guarda números de cartão para o serviço de apoio ao cliente. Mapear o fluxo de dados antes de preencher qualquer documento é o pré-requisito de tudo o resto.

A checklist PCI DSS em 8 pontos concretos

Os 12 requisitos oficiais do PCI DSS traduzem-se em atividades operacionais precisas. Estes são os principais compromissos que todo o comerciante deve enfrentar:

  • Firewall e segmentação de rede: instalar e manter configurações de firewall que isolem o CDE do resto da infraestrutura.
  • Sem palavras-passe de fábrica: alterar todas as palavras-passe predefinidas em dispositivos, routers e aplicações antes da entrada em produção.
  • Proteção de dados armazenados: nunca conservar o CVV após a autorização; cifrar os PAN com algoritmos aprovados se tiverem de ser armazenados.
  • Cifragem em trânsito: utilizar TLS 1.2 ou superior para qualquer transmissão de dados de cartão em redes públicas.
  • Antivírus e gestão de vulnerabilidades: atualizar sistemas e aplicações, realizar análises de vulnerabilidades pelo menos a cada trimestre.
  • Controlo de acessos: princípio do mínimo privilégio, autenticação multifator para o acesso ao CDE, revisão periódica de utilizadores.
  • Monitorização e logging: registar todos os acessos aos componentes do CDE, conservar os logs durante pelo menos 12 meses.
  • Testes e pentests: realizar testes de penetração pelo menos uma vez por ano e após alterações significativas na infraestrutura.

Como reduzir 90% dos requisitos com a tokenização

Cada ponto da checklist aplica-se apenas aos sistemas que tratam dados de cartão reais. Se o seu ambiente nunca vê um PAN, a maioria dos requisitos não o afeta. A tokenização transforma esta lógica em prática: em vez de receber o número do cartão, o seu sistema recebe um token opaco gerado por um vault certificado PCI DSS Level 1 como o PCI Proxy EU.

O resultado concreto é um CDE reduzido quase a zero: sem firewalls adicionais a certificar, sem cifragem de bases de dados a implementar, sem pentests em sistemas que já não tocam nos PAN. Permanecem apenas ativos os requisitos básicos relacionados com a sua rede e os seus utilizadores, que constituem um subconjunto muito mais gerível. Os comerciantes que adotam esta arquitetura costumam passar do SAQ D (mais de 300 perguntas) ao SAQ A (menos de 30 perguntas).

Perguntas frequentes

Quem está obrigado ao PCI DSS?

Qualquer organização que aceite, processe, armazene ou transmita dados de pagamento com cartão. Não existem isenções por tamanho: até um pequeno comércio eletrónico com poucas transações por mês deve cumprir. A obrigação deriva do contrato com o adquirente ou o banco que habilita os pagamentos com cartão.

Quanto custa a conformidade PCI DSS para uma PME?

Os custos variam muito em função do perímetro. Uma PME com CDE extenso pode gastar entre 10 000 e 50 000 euros por ano entre consultoria, pentests, análises de vulnerabilidades e certificações. Com tokenização e um perímetro mínimo, muitas PME gerem a conformidade com um SAQ autónomo e custos anuais inferiores a 2 000 euros.

O que acontece se não houver conformidade?

As principais consequências são: sanções mensais dos esquemas de cartões (Visa, Mastercard) de 5 000 a 100 000 dólares, aumento das comissões de intercâmbio, possível revogação da capacidade de aceitar pagamentos com cartão. Em caso de violação, acrescem os custos de perícia forense, notificação e reembolso de fraudes.

Quer reduzir a sua checklist PCI DSS aos elementos mínimos indispensáveis? Descubra o PCI Proxy EU.


Precisa de apoio na conformidade PCI?

A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.

Contacte-nos

Na prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para guias práticos.

Simplifique a conformidade PCI DSS hoje

Reduza o seu CDE, simplifique o SAQ e proteja os dados de cartão dos clientes com a PCI Proxy EU.