O PCI DSS v4 entrou em vigor em março de 2022, mas muitos dos seus novos requisitos tornaram-se obrigatórios apenas em março de 2025. Para os comerciantes europeus trata-se de uma atualização significativa: o padrão introduz mais de 60 novos requisitos em relação ao v3.2.1, com um enfoque reforçado na autenticação, na monitorização contínua e na gestão do risco. Quem ainda não se adaptou está já fora da conformidade.
As principais novidades do PCI DSS v4 face ao v3.2.1
O PCI DSS v4 mantém os 12 requisitos principais do v3.2.1, mas enriquece-os com novos sub-requisitos e critérios de avaliação atualizados. As áreas com as alterações mais relevantes são a autenticação (requisito 8), a monitorização dos sistemas (requisito 10) e a gestão de vulnerabilidades (requisito 6). O v4 introduz também o conceito de abordagem personalizada: as organizações com controlos de segurança maduros podem demonstrar a conformidade com métodos alternativos, desde que documentem e justifiquem a equivalência dos controlos.
Entre as novidades mais impactantes está o requisito de autenticação multifator (MFA) alargada: no v4, a MFA torna-se obrigatória para todos os acessos ao CDE, não apenas para os acessos remotos como no v3.2.1. Também muda o enfoque sobre a proteção das páginas de pagamento: o requisito 6.4.3 exige agora um inventário e uma análise de integridade de todos os scripts presentes nas páginas de pagamento, para fazer face a ataques do tipo e-skimming.
Prazos do PCI DSS v4: o que era obrigatório desde 2024
O PCI DSS v3.2.1 foi retirado a 31 de março de 2024: a partir dessa data, todos os relatórios de conformidade (ROC e SAQ) devem fazer referência ao padrão v4. Os requisitos designados como "data futura" no v4 original tornaram-se, por sua vez, obrigatórios a 31 de março de 2025. Estes incluem os novos controlos sobre os scripts das páginas de pagamento, requisitos reforçados sobre a gestão de palavras-passe e critérios atualizados para a monitorização dos registos de segurança.
Para os comerciantes europeus, o prazo de 2025 é especialmente relevante porque muitos adquirentes estão a começar a solicitar SAQ atualizados para o v4 nos procedimentos de adesão e de renovação anual. Apresentar um SAQ baseado no v3.2.1 já não é suficiente. O incumprimento expõe a pedidos de regularização por parte do adquirente e, nos casos mais graves, à suspensão da habilitação para aceitar cartões.
Como adaptar-se ao PCI DSS v4 sem grandes investimentos
O caminho mais eficiente para a maioria dos comerciantes passa pela redução do perímetro de conformidade. Se os dados de cartão não transitam pelos sistemas da empresa, muitos dos novos requisitos v4 não se aplicam. A tokenização com um fornecedor certificado PCI DSS Level 1 transfere a responsabilidade da proteção dos dados de cartão para fora do perímetro empresarial. Isto não elimina todas as obrigações, mas reduz drasticamente o número de sistemas, processos e pessoas que fazem parte do CDE.
Um comerciante de e-commerce que integra um sistema de tokenização antes do pagamento pode descer tipicamente para o SAQ A, o questionário de autoavaliação mais simples, com menos de 50 requisitos em vez dos mais de 200 do SAQ D. Esta redução tem impacto direto nos custos de conformidade anuais: menos análise de vulnerabilidades, menos sistemas a monitorizar, testes de penetração sobre um perímetro reduzido. Com o PCI DSS v4, a redução do âmbito é ainda mais vantajosa do que no passado.
Perguntas frequentes
O PCI DSS v4 já é obrigatório?
Sim. O PCI DSS v3.2.1 foi retirado a 31 de março de 2024. A partir dessa data, todos os relatórios de conformidade devem fazer referência ao v4. Os requisitos "data futura" do v4 tornaram-se obrigatórios a 31 de março de 2025. Um comerciante que hoje apresente um SAQ baseado no v3.2.1 já não é considerado conforme pelos adquirentes.
Quantos requisitos tem o PCI DSS v4?
O PCI DSS v4 mantém os 12 requisitos principais, mas introduz mais de 60 novos sub-requisitos em relação ao v3.2.1, elevando o total geral de controlos para mais de 300 nas empresas com CDE complexo. O número efetivo de requisitos aplicáveis a um determinado comerciante depende do tipo de integração e do SAQ de referência.
Como muda o SAQ com o PCI DSS v4?
Os modelos SAQ foram atualizados para o v4 com novas perguntas, critérios de teste revistos e requisitos adicionais. O SAQ A, correspondente aos comerciantes com âmbito mínimo, sofreu alterações relativamente contidas. O SAQ D, que se aplica aos comerciantes com CDE completo, inclui os novos requisitos sobre MFA, monitorização de scripts e gestão de vulnerabilidades. É aconselhável verificar com o próprio adquirente qual a versão do SAQ exigida para a renovação.
Adaptar-se ao PCI DSS v4 a partir da infraestrutura de tokenização é o caminho mais rápido e económico para a maioria dos comerciantes. Descubra a PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos