PCI DSS

Segmentação de rede PCI DSS: como isolar o CDE e reduzir o âmbito

30 de janeiro de 2025 5 min de leitura

A segmentação de rede PCI DSS é a prática de isolar os sistemas que tratam dados de cartão do resto da infraestrutura empresarial através de controlos de rede físicos ou lógicos. Não é tecnicamente obrigatória segundo o PCI DSS, mas sem ela toda a rede corporativa entra no perímetro CDE: uma condição que torna a conformidade praticamente insustentável para qualquer organização de dimensão média. Compreender como implementá-la, quanto custa e quando a tokenização é uma alternativa mais eficiente é fundamental para uma estratégia de conformidade racional.

Segmentação de rede PCI DSS: como isolar o CDE e reduzir o âmbito

O que é a segmentação de rede e por que o PCI DSS a exige

Sem segmentação, qualquer sistema ligado à rede corporativa que tenha ainda que seja conectividade indireta com os sistemas de pagamento faz parte do CDE. Isto significa que as estações de trabalho dos departamentos administrativos, os sistemas de videoconferência, as impressoras de rede e os servidores de backup podem estar todos sujeitos aos requisitos PCI DSS se partilharem a mesma rede que os sistemas de pagamento. O perímetro expande-se e os custos de conformidade com ele.

A segmentação de rede resolve este problema criando uma separação nítida entre o CDE e o resto da rede. Através de firewalls, VLANs, controlos de acesso à rede e zonas DMZ, os sistemas de pagamento ficam isolados num segmento dedicado com acessos estritamente controlados. Apenas os sistemas que têm uma necessidade técnica documentada de comunicar com o CDE podem fazê-lo, e cada acesso é registado e monitorizado.

Custos e complexidade de uma segmentação correta

Implementar a segmentação de rede de forma correta não é trivial. Requer firewalls dedicados entre os segmentos, regras de filtragem granulares, documentação completa da topologia de rede, testes periódicos da eficácia da segmentação (incluindo o teste de penetração que verifica que não existem percursos não autorizados entre os segmentos) e manutenção contínua sempre que se adicionam sistemas ou se modificam os fluxos.

Os custos de uma segmentação correta incluem: hardware de rede dedicado (de 5.000 a 30.000 euros para infraestruturas on-premise), custos de consultoria para o design e implementação, custos de manutenção e monitorização contínua, e custos de testes para verificar que a segmentação é eficaz ao longo do tempo. Em ambientes cloud, a segmentação é mais flexível mas igualmente requer um design cuidadoso das VPC, dos security groups e das regras de encaminhamento.

Tokenização como alternativa à segmentação de hardware

A lógica da segmentação é: isolar o CDE do resto da rede para limitar a superfície de risco. A tokenização alcança o mesmo objetivo de forma mais radical: em vez de isolar o CDE, elimina-o quase completamente do lado do comerciante. Se os seus sistemas nunca tratam PAN, não tem um CDE para isolar. A segmentação torna-se irrelevante porque não há nada a proteger nos seus servidores.

Para as organizações que já investiram em segmentação de rede, a tokenização acrescenta-se como segundo nível de proteção: reduz ainda mais o CDE e simplifica a topologia. Para quem ainda não implementou a segmentação, adotar primeiro a tokenização pode evitar completamente o investimento em infraestrutura de rede dedicada. A ordem das prioridades depende da arquitetura existente e do calendário de conformidade.

Perguntas frequentes

A segmentação com VLAN é suficiente para PCI DSS?

As VLANs por si só não são consideradas suficientes pelo PCI DSS se não forem acompanhadas de firewalls que filtrem o tráfego entre os segmentos. Uma VLAN sem firewall é uma separação lógica que pode ser contornada com configurações incorretas ou ataques de VLAN hopping. O PCI DSS exige que a segmentação seja verificável e comprovada no penetration test anual.

Devo segmentar também o ambiente de testes?

Sim, se o ambiente de testes utilizar dados de cartão reais. O PCI DSS exige explicitamente que os dados de teste não sejam dados de cartão reais, e que os ambientes de desenvolvimento e testes estejam separados do ambiente de produção. Se esta regra for seguida, o ambiente de testes não entra no CDE e não precisa de segmentação específica.

Quantos firewalls são necessários para isolar o CDE?

Não existe um número fixo: depende da topologia de rede e do número de pontos de acesso ao CDE. Numa arquitetura típica são necessários pelo menos um firewall perimetral que separa o CDE da internet e um que separa o CDE da rede interna. Em ambientes complexos com múltiplas zonas DMZ e múltiplos fluxos de acesso, o número pode ser maior. A regra é que todo o acesso ao CDE deve passar por um firewall com regras explícitas.

Quer reduzir o âmbito PCI sem investir em infraestrutura de segmentação? Descubra a PCI Proxy EU.


Precisa de apoio na conformidade PCI?

A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.

Contacte-nos

Na prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para pci dss.

Simplifique a conformidade PCI DSS hoje

Reduza o seu CDE, simplifique o SAQ e proteja os dados de cartão dos clientes com a PCI Proxy EU.