A proteção de dados do titular do cartão é o núcleo do PCI DSS. A norma nasce precisamente para definir como os dados do titular devem ser protegidos ao longo de todo o seu ciclo de vida: recolha, transmissão, armazenamento e eliminação. Saber exatamente que dados entram no perímetro, quais podem ser conservados e com que requisitos, é o primeiro passo para construir um programa de conformidade sustentável.
O que são os dados de titulares de cartão: PAN, CVV e dados de autenticação sensíveis
O PCI DSS distingue entre dados de titulares de cartão e dados de autenticação sensíveis (SAD). Os dados de titulares incluem o PAN (Primary Account Number), o nome do titular, a data de validade e o código de serviço. Estes dados podem ser armazenados desde que estejam protegidos com encriptação robusta, truncagem, hashing ou tokenização, e que a sua conservação esteja justificada por um requisito de negócio documentado.
Os dados de autenticação sensíveis são uma categoria distinta com requisitos muito mais restritivos: o CVV/CVC (o código de três ou quatro dígitos no verso do cartão), os dados completos da banda magnética, os dados do chip EMV e os PIN. Estes dados nunca podem ser armazenados após a conclusão da autorização, independentemente da forma em que se encontrem, cifrados ou não. A violação desta regra é uma das causas mais frequentes de incidentes de segurança em pagamentos.
Obrigações PCI DSS para quem armazena dados do titular
Quem decide armazenar dados de titulares de cartão entra automaticamente no perímetro do ambiente de dados de titulares de cartão e deve cumprir todos os requisitos do Objetivo 3 do PCI DSS: política de retenção documentada, encriptação dos PAN em repouso com algoritmos aprovados (AES-256 é o padrão), gestão segura de chaves criptográficas e procedimentos de eliminação segura quando os dados deixem de ser necessários. O PAN nunca deve ser conservado em texto claro em logs do sistema, ficheiros temporários, dumps de base de dados ou outros repositórios não protegidos.
O armazenamento encriptado de cartões não é suficiente por si só: a encriptação é eficaz apenas se a gestão de chaves for igualmente segura. A norma exige separação de funções entre quem gere os dados e quem gere as chaves, rotação periódica de chaves, procedimentos de custódia de chaves e registos de auditoria completos de cada operação criptográfica. Construir e manter este sistema internamente tem custos significativos, tanto técnicos como organizacionais.
Como a tokenização elimina o problema na raiz
A tokenização resolve o problema de forma estrutural: se o PAN nunca é armazenado na sua infraestrutura, não existe perímetro a proteger para esse componente. O token devolvido pela PCI Proxy EU é uma referência opaca sem valor criptográfico derivável do PAN real. Os sistemas que apenas veem tokens não entram no CDE para a parte de armazenamento de dados e podem ser geridos com os controlos de segurança informática habituais.
Isto não significa que a tokenização elimine todas as obrigações PCI: os sistemas que enviam o PAN para o vault antes da tokenização, os que recebem o PAN para a autorização e os componentes de controlo de acessos ao vault permanecem no âmbito. Mas a superfície total reduz-se drasticamente, os requisitos aplicáveis são menos onerosos e o caminho para a conformidade torna-se gerível mesmo para organizações sem uma equipa de segurança dedicada.
Perguntas frequentes
É possível armazenar o CVV após uma compra?
Não, nunca. O CVV (e qualquer dado SAD) não pode ser armazenado após a conclusão da autorização. Esta é uma das poucas regras do PCI DSS sem exceções: não existem medidas compensatórias que permitam conservar o CVV de forma cifrada. Se for encontrado em backups ou logs, constitui uma infração imediata. A única solução é não o recolher de forma persistente.
O nome do titular é considerado dado sensível PCI?
O nome do titular enquadra-se nos dados de titulares de cartão, mas não nos dados de autenticação sensíveis. Pode ser armazenado, mas apenas se estiver associado a um PAN protegido e com as medidas de segurança adequadas. Se for armazenado de forma autónoma, sem o PAN associado, o seu impacto na conformidade é muito reduzido. Em qualquer caso, não é boa prática conservá-lo para além do necessário para finalidades de negócio documentadas.
O que devo fazer se encontrar PAN nos meus backups?
Encontrar PAN em texto claro nos backups é um incidente de segurança que exige resposta imediata. Os passos são: isolar os backups afetados, notificar o adquirente e o responsável pela segurança, realizar uma avaliação do risco de exposição e proceder à eliminação segura. Se os dados tiverem sido potencialmente expostos, pode ser ativada a obrigação de notificação aos esquemas e, na Europa, à Autoridade de Proteção de Dados. Melhor prevenir com uma auditoria periódica de PAN nos sistemas.
Zero dados de titulares de cartão no seu ambiente: a solução mais simples é não os armazenar. Descubra a PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nosNa prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para pci dss.