A conformidade PCI DSS não é um evento anual que se realiza de forma mecânica: é um processo contínuo que afeta redes, sistemas, pessoas e procedimentos. Para um comerciante ou uma PME que não quer construir uma equipa dedicada, dispor de uma checklist clara é o ponto de partida. Este guia enumera os 8 pontos concretos da conformidade PCI DSS e explica onde a tokenização reduz o trabalho de forma radical.
Perímetro e dados de cartão: o primeiro passo da conformidade PCI DSS
Antes de seguir qualquer checklist, deve compreender exatamente por onde passam e onde são armazenados os dados de cartão no seu ambiente. O PAN (Primary Account Number), a data de validade e o CVV são os dados sensíveis que o PCI DSS protege. Se qualquer um destes dados transitar por um dos seus servidores, esse servidor entra no CDE (Cardholder Data Environment) e fica sujeito a todos os requisitos.
Muitas empresas descobrem demasiado tarde que o seu CDE é muito mais amplo do que esperado: um servidor de logs que regista pedidos HTTP, uma base de dados de backup não segmentada, um sistema CRM que guarda números de cartão para o serviço de apoio ao cliente. Mapear o fluxo de dados antes de preencher qualquer documento é o pré-requisito de tudo o resto.
A checklist PCI DSS em 8 pontos concretos
Os 12 requisitos oficiais do PCI DSS traduzem-se em atividades operacionais precisas. Estes são os principais compromissos que todo o comerciante deve enfrentar:
- Firewall e segmentação de rede: instalar e manter configurações de firewall que isolem o CDE do resto da infraestrutura.
- Sem palavras-passe de fábrica: alterar todas as palavras-passe predefinidas em dispositivos, routers e aplicações antes da entrada em produção.
- Proteção de dados armazenados: nunca conservar o CVV após a autorização; cifrar os PAN com algoritmos aprovados se tiverem de ser armazenados.
- Cifragem em trânsito: utilizar TLS 1.2 ou superior para qualquer transmissão de dados de cartão em redes públicas.
- Antivírus e gestão de vulnerabilidades: atualizar sistemas e aplicações, realizar análises de vulnerabilidades pelo menos a cada trimestre.
- Controlo de acessos: princípio do mínimo privilégio, autenticação multifator para o acesso ao CDE, revisão periódica de utilizadores.
- Monitorização e logging: registar todos os acessos aos componentes do CDE, conservar os logs durante pelo menos 12 meses.
- Testes e pentests: realizar testes de penetração pelo menos uma vez por ano e após alterações significativas na infraestrutura.
Como reduzir 90% dos requisitos com a tokenização
Cada ponto da checklist aplica-se apenas aos sistemas que tratam dados de cartão reais. Se o seu ambiente nunca vê um PAN, a maioria dos requisitos não o afeta. A tokenização transforma esta lógica em prática: em vez de receber o número do cartão, o seu sistema recebe um token opaco gerado por um vault certificado PCI DSS Level 1 como o PCI Proxy EU.
O resultado concreto é um CDE reduzido quase a zero: sem firewalls adicionais a certificar, sem cifragem de bases de dados a implementar, sem pentests em sistemas que já não tocam nos PAN. Permanecem apenas ativos os requisitos básicos relacionados com a sua rede e os seus utilizadores, que constituem um subconjunto muito mais gerível. Os comerciantes que adotam esta arquitetura costumam passar do SAQ D (mais de 300 perguntas) ao SAQ A (menos de 30 perguntas).
Perguntas frequentes
Quem está obrigado ao PCI DSS?
Qualquer organização que aceite, processe, armazene ou transmita dados de pagamento com cartão. Não existem isenções por tamanho: até um pequeno comércio eletrónico com poucas transações por mês deve cumprir. A obrigação deriva do contrato com o adquirente ou o banco que habilita os pagamentos com cartão.
Quanto custa a conformidade PCI DSS para uma PME?
Os custos variam muito em função do perímetro. Uma PME com CDE extenso pode gastar entre 10 000 e 50 000 euros por ano entre consultoria, pentests, análises de vulnerabilidades e certificações. Com tokenização e um perímetro mínimo, muitas PME gerem a conformidade com um SAQ autónomo e custos anuais inferiores a 2 000 euros.
O que acontece se não houver conformidade?
As principais consequências são: sanções mensais dos esquemas de cartões (Visa, Mastercard) de 5 000 a 100 000 dólares, aumento das comissões de intercâmbio, possível revogação da capacidade de aceitar pagamentos com cartão. Em caso de violação, acrescem os custos de perícia forense, notificação e reembolso de fraudes.
Quer reduzir a sua checklist PCI DSS aos elementos mínimos indispensáveis? Descubra o PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nosNa prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para guias práticos.