Guia para a conformidade com o PCI

Os Padrões de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) estabelecem os requisitos mínimos para a segurança de dados. Descubra neste guia detalhado como manter a conformidade com essa normativa e como a Stripe pode ajudar.

Avatar Photo of Mike Dahn
Mike Dahn

Mike Dahn lidera as relações de políticas de segurança na Stripe. Antes de se juntas à nossa equipe, ele trabalhou como instrutor, auditor e especialista em implementação do PCI.

  1. Introdução
  2. Visão geral do Padrão de Segurança de Dados do PCI (PCI DSS)
    1. Processamento dos dados do cartão
    2. Armazenamento seguro dos dados
    3. Validação anual
  3. Guia detalhado de conformidade com PCI DSS
    1. 1. Conheça seus requisitos
    2. 2. Mapeie os fluxos de dados
    3. 3. Verifique controles e protocolos de segurança
    4. 4. Monitore e mantenha
  4. Como a Stripe ajuda as organizações a alcançar e manter a conformidade com PCI
  5. Conclusão
    1. A conformidade com PCI ajuda, mas não é suficiente.

O PCI DSS versão 4.0 entra em vigor no dia 31 de março de 2024

Desde 2005, mais de 11 bilhões de cadastros de clientes foram comprometidos em mais de 8.500 violações de dados. Esses são os números mais recentes da Privacy Rights Clearinghouse, uma organização que compila violações de dados e segurança que afetam os consumidores desde 2005.

Para aumentar a segurança dos dados dos consumidores e sua confiança no ecossistema de pagamentos, foi criado um padrão mínimo para a segurança dos dados. Em 2006, Visa, Mastercard, American Express, Discover e JCB formaram o Conselho de Padrões de Segurança do Setor de Cartões de Pagamento (Payment Card Industry Security Standards Council no original, ou PCI SSC), que administra e gerencia padrões de segurança para empresas que processam dados de cartões de crédito. Antes da criação do PCI SSC, essas cinco bandeiras tinham os seus próprios programas de padrões de segurança, mas com requisitos e objetivos bastante semelhantes. Por meio do PCI SSC, as empresas se reuniram para compartilhar uma única política padrão, os Padrões de Segurança de Dados do PCI (conhecidos como PCI DSS), para garantir um nível de referência de proteção para clientes e bancos na era da Internet.

Compreender as regulamentações do PCI pode ser uma tarefa complexa e desafiadora

Se o seu modelo de negócio exige o processamento de dados de cartões, talvez você tenha que cumprir cada um dos mais de 300 controles de segurança do PCI DSS. A documentação oficial sobre o PCI DSS é publicada pelo Conselho do PCI e tem mais de 1.800 páginas, sendo mais de 300 delas dedicadas apenas à compreensão de quais formulários devem ser usados na validação da conformidade. A simples leitura exigiria mais de 72 horas.

Para facilitar essa tarefa complexa, veja a seguir um guia passo a passo para validar e manter a conformidade com o PCI.

Visão geral do Padrão de Segurança de Dados do PCI (PCI DSS)

O PCI DSS é o padrão de segurança global para todas as entidades que armazenam, processam ou transmitem dados do titular do cartão e/ou dados de autenticação confidenciais. O PCI DSS estabelece uma referência de proteção para os consumidores e ajuda a reduzir fraudes e violações de dados em todo o ecossistema de pagamentos. Ele se aplica a qualquer organização que aceita ou processa cartões de pagamento.

A conformidade com o PCI DSS envolve três componentes principais:

  1. Processamento da entrada de dados do cartão de crédito dos clientes, ou seja, coleta e transmissão seguras dos detalhes confidenciais do cartão
  2. Armazenamento seguro dos dados, conforme descrição dos 12 domínios de segurança do padrão PCI, como criptografia, monitoramento contínuo e testes da segurança do acesso aos dados do cartão
  3. Validação anual da existência dos controles de segurança obrigatórios, que podem incluir formulários, questionários, serviços externos de verificação de vulnerabilidades e auditorias de terceiros (consulte o guia detalhado abaixo para ver uma tabela com os quatro níveis de requisitos)

Processamento dos dados do cartão

Alguns modelos de negócio exigem o processamento direto de dados confidenciais de cartões de crédito ao aceitar pagamentos, enquanto outros não têm esse requisito. As empresas que precisam processar dados de cartões (por exemplo, aceitando PANs não tokenizados em uma página de pagamento) podem ser obrigadas a cumprir todos os mais de 300 controles de segurança do PCI DSS. Mesmo que os dados do cartão passem pelos servidores por um breve momento, a empresa precisaria comprar, implementar e manter software e hardware de segurança.

Se a empresa não precisa processar dados confidenciais de cartão de crédito, ela não deve fazer isso. Soluções de terceiros (por exemplo, Stripe Elements) aceitam e armazenam os dados de forma segura, eliminando complexidade, custo e risco consideráveis. Como os dados dos cartões nunca passam pelos servidores, a empresa precisaria confirmar apenas alguns controles de segurança, em sua maioria, simples, como o uso de senhas fortes.

Armazenamento seguro dos dados

Se uma organização processa ou armazena dados de cartão de crédito, ela precisa definir o escopo do ambiente de dados do titular do cartão (CDE). O PCI DSS define CDE como pessoa, processo ou tecnologia que armazena, processa ou transmite dados de cartões de crédito ou qualquer sistema conectado a tudo isso. Como todos os mais de 300 requisitos de segurança do PCI DSS se aplicam ao CDE, é importante separar o ambiente de pagamento do resto da empresa de forma adequada para limitar o escopo da validação do PCI. Se uma organização não conseguir limitar o escopo do CDE com uma separação granular, os controles de segurança do PCI serão aplicados a todos os sistemas, laptops e dispositivos da sua rede corporativa. Isso não parece nada bom!

Validação anual

Independentemente da maneira como os dados do cartão são aceitos, as organizações são obrigadas a preencher anualmente um formulário de validação do PCI. A forma da validação da conformidade com PCI depende de uma série de fatores, descritos a seguir. Estes são três cenários em que uma organização pode precisar demonstrar sua conformidade com PCI:

  • Processadores de pagamento podem solicitá-la como parte de seus relatórios obrigatórios para as bandeiras de cartão de pagamento.
  • Parceiros empresariais podem solicitá-la como pré-requisito para contratos comerciais.
  • Para empresas de plataforma (as que fornecem tecnologia para facilitar transações online entre vários conjuntos de usuários), os clientes podem solicitar que a empresa demonstre que processa os dados de forma segura.

O padrão de segurança PCI DSS, contém 12 requisitos principais, com mais de 300 sub-requisitos, que espelham as principais práticas de segurança.

CRIE E MANTENHA UMA REDE E SISTEMAS SEGUROS

  • 1. Instale e mantenha os controles de segurança de rede.
  • 2. Aplique configurações seguras em todos os componentes do sistema.

PROTEJA OS DADOS DA CONTA

  • 3. Proteja os dados armazenados do titular do cartão.
  • 4. Proteja os dados do titular do cartão com criptografia forte em transmissões em redes abertas e públicas.

MANTENHA UM PROGRAMA DE GERENCIAMENTO DE VULNERABILIDADES

  • 5. Proteja todos os sistemas e redes contra software mal-intencionado.
  • 6. Desenvolva e mantenha sistemas e software seguros.

IMPLEMENTE MEDIDAS ROBUSTAS DE CONTROLE DE ACESSO

  • 7. Restrinja o acesso a componentes do sistema e dados do titular do cartão com base na necessidade de informar às empresas.
  • 8. Identifique usuários e autentique o acesso a componentes do sistema.
  • 9. Restrinja o acesso físico aos dados do titular do cartão.

MONITORE E TESTE REGULARMENTE AS REDES

  • 10. Registre e monitore todo o acesso a componentes do sistema e dados do titular do cartão.
  • 11. Teste os sistemas de segurança e redes regularmente.

MANTENHA UMA POLÍTICA DE SEGURANÇA DAS INFORMAÇÕES

  • 12. Apoie a segurança das informações com políticas e procedimentos organizacionais.

Para "facilitar" a validação da conformidade com PCI em novas empresas, o Conselho do PCI criou nove diferentes formulários ou questionários de autoavaliação (SAQs), que são um subconjunto dos requisitos integrais do PCI DSS. O difícil é descobrir qual deles é aplicável ou se é necessário contratar um auditor aprovado pelo Conselho do PCI para confirmar o cumprimento de cada requisito de segurança do PCI DSS. Além disso, o Conselho do PCI revisa as regras a cada três anos e disponibiliza atualizações incrementais durante todo o ano, adicionando ainda mais complexidade dinâmica.

Guia detalhado de conformidade com PCI DSS

1. Conheça seus requisitos

O primeiro passo para alcançar a conformidade com PCI é saber quais requisitos se aplicam à organização. Existem quatro níveis diferentes de conformidade com PCI, baseados normalmente no volume de transações com cartão de crédito processado pela empresa durante um período de 12 meses.

Nível de conformidade
Aplicável a
Requisitos
Nível 1
  1. Organizações com processamento anual acima de 6 milhões de transações com Visa ou Mastercard, ou mais de 2,5 milhões de transações com American Express; ou
  2. Sofreram uma violação de dados; ou
  3. São consideradas como "Nível 1" por qualquer associação de cartões (Visa, Mastercard etc.)
  1. Relatório de conformidade (ROC) anual, emitido por um assessor de segurança qualificado (QSA), também conhecido como avaliação local de nível 1; ou por um auditor interno, se assinado por um diretor da empresa
  2. Varredura de rede trimestral pelo fornecedor de varredura aprovado (ASV)
  3. Atestado de conformidade (AOC) para avaliações locais: há formulários específicos para comerciantes e provedores de serviços
Nível 2
Organizações que processam anualmente de 1 a 6 milhões de transações
  1. Questionário de autoavaliação do PCI DSS anual (SAQ): existem 9 tipos de SAQ, mostrados resumidamente na tabela abaixo
  2. Varredura de rede trimestral pelo fornecedor de varredura aprovado (ASV)
  3. Atestado de conformidade (AOC): cada um dos 9 SAQs tem um formulário de AOC respectivo
Nível 3
  1. Organizações que processam anualmente de 20.000 a 1 milhão de transações online
  2. Organizações que processam anualmente um total de menos de 1 milhão de transações
O mesmo que o anterior
Nível 4
  1. Organizações que processam anualmente menos de 20.000 transações online; ou
  2. Organizações que processam anualmente um total de até 1 milhão de transações
O mesmo que o anterior

Existem tipos de SAQ diferentes para os níveis 2 a 4, dependendo do método de integração de pagamentos. Veja esta tabela resumida:

SAQ
Descrição
A
Card-not-present merchants (ecommerce or mail/telephone order) that completely outsource all account data functions to PCI DSS–validated and compliant third parties. No electronic storage, processing, or transmission of account data on their systems or premises.

Não se aplica a canais presenciais. Not applicable to service providers.
A-EP
Ecommerce merchants that partially outsource payment processing to PCI DSS–validated and compliant third parties, and with a website(s) that does not itself receive account data but which does affect the security of the payment transaction and/or the integrity of the page that accepts the customer’s account data. No electronic storage, processing, or transmission of account data on the merchant’s systems or premises.

Aplicação limitada a canais de e-commerce. Not applicable to service providers.
B
Comerciantes que usam apenas:
  • Imprint machines with no electronic account data storage, and/or
  • Standalone, dial-out terminals with no electronic account data storage
Não se aplica a canais de e-commerce. Not applicable to service providers.
B-IP
Comerciantes que usam apenas terminais de pagamento autônomos, aprovados para PTS, com uma conexão IP ao processador de pagamentos, sem armazenamento eletrônico de dados do titular do cartão.

Não se aplica a canais de e-commerce.
C-VT
Merchants that manually enter payment account data a single transaction at a time via a keyboard into a PCI DSS–validated and compliant third-party virtual payment terminal solution, with an isolated computing device and a securely connected web browser. No electronic account data storage.

Não se aplica a canais de e-commerce. Not applicable to service providers.
C
Merchants with payment application systems connected to the internet, no electronic account data storage. Not applicable to ecommerce channels.

Not applicable to service providers.
P2PE
Merchants using only a validated, PCI-listed point-to-point encryption (P2PE) solution. No access to clear-text account data and no electronic account data storage.

Não se aplica a canais de e-commerce. Not applicable to service providers.
SPoC*
Merchants using a commercial off-the-shelf mobile device (for example, a phone or tablet) with a secure card reader included on PCI SSC’s list of validated SPoC Solutions. No access to clear-text account data and no electronic account data storage.

Not applicable to unattended card-present, mail-order/telephone order (MOTO), or ecommerce channels. Not applicable to service providers.
D
SAQ D PARA COMERCIANTES: se aplica a comerciantes qualificados para preencher um questionário de autoavaliação, mas que não atendem aos critérios de nenhum outro tipo de SAQ mencionado acima.

SAQ D PARA PRESTADORES DE SERVIÇOS: todos os prestadores de serviços definidos por uma bandeira de pagamento como elegíveis para preencher um questionário de autoavaliação.
*New SAQ for PCI DSS v4.0

2. Mapeie os fluxos de dados

Para proteger dados confidenciais de cartão de crédito, você precisa saber onde residem e como chegam lá. É necessário criar um mapa abrangente dos sistemas, das conexões de rede e dos aplicativos que interagem com dados de cartão de crédito em toda a organização. Dependendo da sua função, você provavelmente precisará trabalhar com as equipes de TI e segurança para criar esse mapa.

  • Primeiro, identifique todas as áreas da empresa voltadas ao consumidor que envolvem transações de pagamento. Por exemplo, você pode aceitar pagamentos por meio de um carrinho de compras online, terminais de pagamento na loja ou pedidos por telefone.
  • A seguir, determine as várias formas como os dados do titular do cartão são processados em toda a empresa. É importante saber exatamente onde os dados são armazenados e quem tem acesso a eles.
  • Por fim, identifique os sistemas internos ou as tecnologias subjacentes que participam das operações de pagamento. Isso inclui sistemas de rede, centros de dados e ambientes de nuvem.

3. Verifique controles e protocolos de segurança

Após mapear todos os possíveis pontos de contato com os dados de cartão de crédito na organização inteira, trabalhe com as equipes de TI e segurança para garantir a implementação das configurações e dos protocolos de segurança corretos (consulte a lista de 12 requisitos de segurança do PCI DSS acima). Esses protocolos, como o Transport Layer Security (TLS), são projetados para proteger a transmissão de dados.

Os 12 requisitos de segurança do PCI DSS são derivados das principais práticas de proteção de dados confidenciais para qualquer empresa. Vários deles se sobrepõem aos necessários para cumprir determinações de privacidade, como GDPR, HIPAA e outros. Portanto, alguns deles podem já estar implementados na organização.

4. Monitore e mantenha

É importante observar que a conformidade com PCI não é um evento avulso, mas um processo contínuo para garantir que a empresa mantenha a conformidade, mesmo com a evolução dos fluxos de dados e dos pontos de contato com os clientes. Algumas bandeiras de cartão de crédito podem exigir o envio de relatórios trimestrais ou anuais, ou a realização de uma avaliação anual local para validar a conformidade contínua, especialmente se você processar anualmente mais de 6 milhões de transações.

Muitas vezes, o gerenciamento da conformidade com PCI ao longo do ano (e ano após ano) exige apoio e colaboração interdepartamental. Se isso ainda não existe, pode ser benéfico criar uma equipe interna dedicada para manter a conformidade de forma adequada. Embora cada empresa seja única, um bom ponto de partida para uma "equipe do PCI" incluiria as seguintes representações:

  • Segurança: o diretor de segurança (CSO), o diretor de segurança das informações (CISO) e suas equipes garantem o investimento constante e adequado da organização nos recursos e nas políticas de segurança e privacidade de dados necessários.
  • Tecnologia/pagamentos: o diretor de tecnologia (CTO), o vice-presidente de pagamentos e suas equipes garantem a manutenção da conformidade das principais ferramentas, integrações e infraestruturas à medida que os sistemas da organização evoluem.
  • Financeiro: o diretor financeiro (CFO) e sua equipe garantem que todos os fluxos de dados de pagamento sejam controlados no que diz respeito a sistemas e parceiros de pagamento.
  • Jurídico: esta equipe pode ajudar a compreender as diversas nuances jurídicas da conformidade com PCI DSS.

Para obter mais informações sobre o mundo complexo da conformidade com PCI, acesse o site do PCI Security Standards Council. Se você leu apenas este guia e alguma outra documentação sobre PCI, recomendamos começar com as seguintes: abordagem priorizada para PCI DSS, instruções e orientações sobre SAQ, perguntas frequentes sobre como usar o critério de elegibilidade de SAQ para determinar os requisitos de avaliação no local, e perguntas frequentes sobre obrigações para comerciantes que desenvolvem aplicativos para dispositivos de consumidor que aceitam dados de pagamento de cartão.

Como a Stripe ajuda as organizações a alcançar e manter a conformidade com PCI

A Stripe simplifica muito a complexidade do PCI para empresas integradas ao Checkout, ao Elements, a SDKs para dispositivos móveis e a SDKs do Terminal. O Stripe Checkout e o Stripe Elements usam um campo de pagamento hospedado para processar todos os dados de cartões de pagamento. Assim, o titular do cartão digita todas as informações confidenciais de pagamento em um campo de pagamento originado diretamente em nossos servidores validados pelo PCI DSS. Além disso, os SDKs do Terminal e dispositivos móveis da Stripe permitem que o titular do cartão envie informações de pagamento confidenciais diretamente aos nossos servidores validados pelo PCI DSS.

Para todos os nossos usuários, independentemente do tipo de integração, a Stripe atua como promotora do PCI e pode ajudar de diversas maneiras diferentes.

  • Analisaremos o seu método de integração e indicaremos como reduzir a complexidade da conformidade.
  • Notificaremos você com antecedência se o crescimento do volume de transações exigir uma mudança na validação da conformidade.
  • Para comerciantes grandes (Nível 1), se você precisa trabalhar com um PCI QSA (porque armazena dados de cartão de crédito ou tem um fluxo de pagamento mais complexo), existem mais de 350 empresas de QSA no mundo todo, e podemos conectar você a vários auditores que compreendem profundamente os diferentes métodos de integração da Stripe.

Conclusão

Normalmente, a avaliação e validação da conformidade com PCI ocorre uma vez por ano, mas a conformidade com PCI não é um evento avulso: trata-se de um esforço contínuo e substancial de avaliação e remediação. Quando uma empresa cresce, a lógica e os processos centrais do negócio também evoluem. Como resultado, o mesmo acontece com os requisitos de conformidade. Por exemplo, uma empresa online pode decidir abrir lojas físicas, entrar em novos mercados ou lançar uma central de suporte ao cliente. Se uma nova iniciativa envolver dados de cartões de pagamento, é uma boa ideia verificar com antecedência se isso afetará de alguma forma o método de validação do PCI e revalidar a conformidade com PCI conforme necessário.

A conformidade com PCI ajuda, mas não é suficiente.

O cumprimento das diretrizes do PCI DSS é uma camada necessária de proteção para a empresa, mas não é suficiente. O PCI DSS estabelece padrões importantes para o processamento e armazenamento de dados do titular do cartão, mas isso não oferece proteção suficiente para todos os ambientes de pagamento. Em vez disso, a mudança para um método mais seguro de aceitação de cartões (como Stripe Checkout, Elements e SDKs para dispositivos móveis) protege a organização de forma muito mais eficaz. Com essa abordagem, além de mitigar possíveis violações de dados e evitar a abordagem histórica de validação do PCI (um processo emocional, demorado e custoso), as empresas ágeis contam com um método de integração mais seguro e confiável todos os dias do ano.

Vamos começar? Fale conosco ou crie uma conta.

Crie uma conta e comece a aceitar pagamentos sem precisar de contratos nem dados bancários ou fale conosco para criar um pacote personalizado para sua empresa.