PCI Compliance (PCI DSS): o que é, 12 requisitos e 4 níveis!

por Rodrigo Dantas
escrito por Rodrigo Dantas 12 comentários 5,5K visualizações

Fundador e CEO da Vindi, plataforma líder em recorrência e criador do maior evento de empresas SaaS e Assinaturas do país, o “Recorrência”. É também, o co-host do podcast Like a Boss.

  • Publicado em 17 de abril de 2017
  • Última atualização em 12 de setembro de 2024

A certificação PCI DSS é fundamental para garantir a segurança nas transações online, protegendo dados sensíveis e evitando fraudes. Para qualquer empresa que processa pagamentos, estar em conformidade com essa norma é uma prioridade.

No entanto, muitas empresas ainda têm dificuldades em entender os requisitos dessa certificação. A falta de conhecimento pode expor seus negócios a riscos como vazamentos de dados e perda de confiança dos clientes.

Compreender o PCI Compliance ajuda a implementar práticas seguras, proteger sua empresa e garantir a confiança dos clientes ao oferecer uma plataforma de pagamentos confiável.

O que é PCI Compliance (PCI DSS)?

PCI Compliance é uma certificação essencial para garantir a segurança de dados de cartões de pagamento, protegendo empresas e consumidores contra fraudes.

O PCI Compliance, ou “PCI DSS”, é uma das maiores certificações de segurança do mundo. A sigla quer dizer “Payment Card Industry – Data Security Standard”, ou seja, Padrão de Segurança de Dados para a Indústria de Cartões de Pagamento.

Isso significa que ela é uma certificação necessária para todas empresas que processam, armazenam e transmitem dados de cartões, tais como número, validade e código de segurança. Ela é exigida para garantir a segurança desses dados e informações pessoais dos titulares de cartão e, portanto, reduzir o risco de fraudes e apropriação indevida de dados.

Dessa forma, o PCI Compliance é extremamente importante para provedores de plataformas de pagamento online e seus usuários (pessoas jurídicas que transacionam pela internet com dados de cartão dos portadores).

Regido e mantido pelo PCI Security Standards Council (Conselho Padrão de Segurança PCI), desde 2006, esse conselho foi fundado pelas mais importantes bandeiras da indústria de cartões, como American Express, Discover Financial Services, JCB International, MasterCard e Visa. Este grupo é responsável por manter, desenvolver e promover o PCI DSS. Além disso, contribui com a implementação do padrão através de avaliações e qualificações ou, também, autoavaliações de conformidade. 

Qual é o papel do PCI Compliance? Os 6 objetivos principais!

O PCI DSS tem o papel de formar um conjunto de requisitos para certificar a segurança de transações por cartão pela internet. Essas regras são guiadas por seis grandes objetivos declarados pelo Conselho de PCI Security:

  1. Construir e manter uma rede segura através da qual conduzir as transações
  2. As informações dos titulares de cartão devem ser protegidas
  3. Manter o sistema protegido de hackers
  4. Implementar fortes medidas de controle de acesso
  5. Monitorar e testar as redes frequentemente
  6. Manter uma política de segurança formal.

Dessa forma, o PCI DSS é um protocolo que visa a garantir esses objetivos e, por consequência, gerar compras mais seguras por cartão de crédito ou débito.

Quais dados são protegidos pelo PCI Compliance?

O PCI DSS tem como objetivo garantir, durante todo o processamento das transações, a segurança de dados relacionados a cartões de crédito e débito, como:

  • Número do cartão
  • Senha
  • Código de segurança
  • Data da validade.

O certificado também protege dados pessoais do titular do cartão, como:

  • Nome completo
  • Endereço
  • RG
  • CPF.

Quais são os níveis do PCI Compliance?

Existem quatro níveis de certificação PCI: 1, 2, 3 e 4. A divisão entre os níveis de certificações (tiers) são configuradas conforme a quantidade de transações processadas por ano. Assim, esses níveis determinam a quantidade de esforços que serão necessários para se adequar ao PCI DSS.

Confira a tabela abaixo.

TiersQuantidade de transações por anoAuto Avaliação AnualScan TrimestralAuditoria Anual
1Acima de 6 milhõesNãoSimSim
2Entre 1 e 6 milhõesSimSimNão
3E-commerce – Entre 20.000 e 1 milhãoSimSimNão
4E-commerce – menos de 20.000 e Outros ec’s até 1 milhãoSimSimNão

*A Vindi possui o nível máximo (Tier 1).

Saiba mais sobre cada um dos níveis a seguir:

Nível 1 – PCI Compliance

O mais alto nível do PCI Compliance abrange apenas empresas responsáveis por mais de 6 milhões de transações por ano, considerando cartões de crédito e débito.

Para obter e manter este certificado, a empresa precisa ter suas transações verificadas a cada ano por um auditor autorizado, além de ter suas redes escaneadas a cada trimestre por um Fornecedor de Varreduras Aprovado (ASV, na sigla em inglês).

Ao final dessas análises, um Atestado de Compliance e um Relatório de Compliance de suas operações são entregues à empresa.

Nível 2 – PCI Compliance

O segundo nível de segurança inclui empresas que movimentam de 1 a 6 milhões de transações por cartão por ano. Ao contrário do primeiro, este certificado não exige a realização de auditorias anuais.

Para obter o certificado, a empresa só precisa preencher um Questionário de Autoavaliação a cada ano e ter suas redes escaneadas.

Nível 3 – PCI Compliance

O terceiro nível se destina principalmente a negócios focados no e-commerce, com um número de transações entre 20 mil e 1 milhão. Portanto, também não é necessário passar por auditorias externas anuais, mas é preciso ter suas redes escaneadas e responder ao questionário anualmente.

Nível 4 – PCI Compliance

O nível mais baixo também é dedicado a empresas voltadas a vendas online, que realizam no máximo 20 mil transações. As exigências para a obtenção do certificado são iguais às dos níveis 2 e 3.

Vale a pena investir na certificação PCI Compliance?

Para qualquer negócio que realiza transações com dados de cartão, é obrigatório ter o compliance ou contratar uma plataforma de pagamentos certificada para assegurar a segurança das vendas online. Mas as razões para investir nessa certificação vão além da necessidade burocrática.

Com o PCI, sua empresa ganha competitividade no mercado, já que os principais players exigem pelo menos um dos níveis da certificação. Além disso, o protocolo reduz bastante o risco de vazamentos de dados.

Embora o risco não seja zero, o PCI garante o cumprimento das mais avançadas práticas de segurança caso algum problema desse tipo aconteça.

Quais empresas precisam de uma certificação PCI DSS?

A certificação PCI é um item que acrescenta capital de segurança às empresas junto às demais medidas possíveis de proteção de dados. Por isso, a certificação se destina a todas as entidades envolvidas no processamento de pagamentos, incluindo comerciantes. 

Independentemente de seu tamanho ou volume de transações, se você aceitar ou processar cartões de pagamento, o PCI DSS tem relação com o seu negócio. Todos os provedores de sistemas que participam do processamento de dados de cartões durante uma transação comercial são obrigados a seguir os requisitos de segurança do PCI-DSS.

Entre esses participantes estão, principalmente:

  • Servidores
  • Gerenciadores de banco de dados
  • Gateways de pagamento
  • Processadores de pagamento
  • Plataformas de e-commerce.

Quais os 12 requisitos para obter o PCI Compliance?

Para obter a certificação PCI DSS, a empresa deve atender a 12 requisitos de segurança, que garantem proteção de dados, controle de acessos e monitoramento contínuo.

Para obter a certificação PCI DSS, a empresa precisa atender a 12 requisitos principais de segurança. Eles são agrupados em seis grandes objetivos.

Para essa divisão ficar bem clara, vou reproduzir aqui os seis objetivos e, abaixo de cada um deles, os requisitos necessários para cumprir cada um deles.

Construção e manutenção de rede e sistemas seguros

  • Firewall: instalar e manter um sistema forte para garantir a segurança dos dados do titular dos cartões
  • Senhas: usar sempre senhas únicas e originais, evitando sistemas de padronização.

Segurança dos dados dos titulares dos cartões

  • Armazenamento de dados: garantir a proteção adotando as medidas adequadas de segurança digital
  • Transmissão de dados: usar criptografia ponta a ponta.

Programa de gerenciamento de vulnerabilidades

  • Antivírus: usar um software confiável e mantê-lo sempre atualizado
  • Segurança de sistemas: seguir as normas e medidas de cibersegurança no desenvolvimento e na manutenção.

Medidas de controle de acesso

  • Restrição de acesso: compartilhar com outras empresas apenas os dados essenciais do titular do cartão
  • ID único: garantir a identificação de cada pessoa que tiver acesso ao sistema, impedido seu uso por pessoas não autorizadas
  • Acesso físico aos dados: restringir impedir o acesso às informações do titular do cartão.

Monitoramento e testagem da rede

  • Rastreio e monitoramento: manter o controle de todos os acessos, mesmo autorizados, aos dados do titular do cartão
  • Testes de segurança: avaliar regularmente a integridade e eficiência de todos os processos e sistemas de segurança.

Segurança da informação

  • Política de segurança: elaboração de um código para regulamentar o tratamento das questões de segurança da informação.

Como obter uma certificação PCI?

Para obter uma certificação PCI, as empresas cabíveis devem procurar uma das entidades certificadoras instituídas pelo PCI Council, conhecidas como Qualified Security Assessors (QSA) e filiais legalmente autorizadas. Elas são responsáveis por executar a avaliação de conformidade ao PCI-DSS nas empresas. 

Em caso de necessidade, apresentarão as medidas corretivas para promover o alinhamento aos padrões da certificação. O processo de certificação engloba 12 rígidos requisitos de segurança, como por exemplo:

  • Testes robustos de segurança para detectar fragilidades de sistema
  • Verificação de mais de 20 critérios de blindagem
  • Processos internos de auditoria
  • Scans e pen tests (penetration tests)
  • Amplo conhecimento da equipe para o Tier 1 (nível máximo da certificação)
  • Auditoria externa homologada (caso a empresa também queira atingir o Tier 1).

Uma vez obtida, a certificação Nível 1 deve ser renovada a cada ano. Anualmente, as maiores empresas do setor de cartões do mundo renovam suas certificações e passam por auditorias externas para obter o Nível 1 da Certificação PCI Compliance.

Quanto custa obter a certificação?

Os custos para a obtenção do certificado PCI-DSS variam conforme o porte da empresa. O investimento não é feito de uma vez só, pois todos os processos necessários para obter a certificação envolvem vários custos diferentes.

Além disso, para garantir a manutenção do certificado, é preciso investir ao longo do ano em várias medidas de segurança. Portanto, é preciso considerar esses gastos como recorrentes a cada ano.

Uma pesquisa publicada pela Isaca aponta que o investimento total para obter o certificado varia de 120 mil a 700 mil dólares, a cada ciclo. Entre os custos envolvidos para obter a certificação, estão:

  • Instalação de sistemas de segurança
  • Criptografia de dados
  • Antivírus
  • Treinamento de funcionários
  • Elaboração de uma política interna
  • Escaneamento das redes
  • Testes de intrusão
  • Custos de auditoria 
  • Preenchimento do questionário (níveis 2 a 4).

Como são muitos itens, o custo é variável mesmo entre certificados do mesmo nível. Portanto, é preciso avaliar bem se vale mais a pena obter a certificação ou contratar os serviços de uma empresa certificada, como a Vindi.

Como saber se o gerenciador de pagamentos que minha empresa usa tem PCI Compliance?

Para saber se a empresa de pagamentos que você utiliza tem PCI Compliance, é importante seguir alguns passos simples:

  1. Verifique o site ou materiais da empresa: Empresas certificadas com PCI Compliance geralmente destacam essa informação em suas páginas de segurança ou termos de uso. Procure por selos de certificação ou menções ao PCI DSS, a principal norma de segurança.
  2. Solicite a documentação oficial: Entre em contato diretamente com o suporte da empresa e peça uma cópia atualizada da certificação PCI DSS. Toda empresa que processa pagamentos precisa realizar auditorias periódicas para manter a conformidade.
  3. Consulte auditorias ou relatórios de conformidade: Empresas de pagamentos que seguem o PCI Compliance precisam passar por avaliações regulares feitas por auditores qualificados. Pergunte se a empresa pode fornecer relatórios recentes sobre essas auditorias.
  4. Analise a política de segurança: Verifique se a empresa adota medidas robustas, como criptografia de dados, tokenização e outros controles que são parte das exigências do PCI DSS.

Seguindo essas dicas, você poderá garantir que a plataforma de pagamentos da sua empresa está alinhada com os padrões mais elevados de segurança.

Por que minha empresa deve se preocupar com o PCI Compliance?

Empresas precisam garantir que seus provedores de pagamento tenham PCI Compliance para evitar responsabilidades legais, proteger dados dos clientes e seguir as normas de segurança, prevenindo fraudes e vazamentos.

Você, como empresário ou responsável pela decisão de um parceiro tão estratégico, que é o meio de pagamento, precisa entender e se preocupar com isso. 

Veja abaixo os principais pontos que sua empresa precisa ter em vista:

Responsabilidade legal 

Quando um dado é violado, como roubo de dados de cartões, a primeira preocupação é ter a certeza que o vazamento não ocorreu em algum ponto frágil do processo de pagamento. Muitas vezes, essa responsabilidade se torna legal – desencadeando numa ação jurídica, caso seja comprovado vazamento de dados. 

Sua empresa não pode ser responsável por isso.

Confiança

O principal elemento entre seu estabelecimento e seu cliente é a confiança. Assim sendo, eleger um provedor com a certificação PCI é ter a garantia de ter processos de segurança validados pela indústria de pagamentos e ainda assim, ter maior tranquilidade nas vendas. 

Seu cliente vai agradecer!

Aderência às regras

As regras do PCI mudam regularmente, exigindo dos provedores, uma agilidade para implementação de novas regras para a aderência ao processo de segurança. Sua empresa e equipe devem se preocupar com o seu próprio negócio, já a segurança em pagamentos deve ser dividida com o provedor.

Obrigatoriedade das normas

Se você recebe pagamentos por meio de cartões de crédito ou tem um gateway no meio do processo, saiba que ele precisa ter obrigatoriamente essa certificação. 

Se você está processando pagamentos diretamente com adquirentes (operadoras de cartão) ou usando uma solução sem a certificação, o risco de um problema é muito alto. 

Preocupantemente, as violações de dados ocorrem com frequência. Sites e negócios online são um alvo muito frequente de hackers, que muitas vezes comprometem todo negócio roubando dados ou invadindo sistemas frágeis do ponto de vista de segurança.

Prevenção a golpes e fraudes

Contar com ferramentas de pagamento que tenham o PCI Compliance ajuda o empresário a ter menos preocupações com golpes, ataques que causam vazamentos de dados de cartões de crédito e inundam o mercado com mais chargebacks decorrentes de fraudes com essas informações.

Em qual empresa de pagamentos devo confiar?

Estima-se que apenas 10 empresas no Brasil estejam preparadas para receber a auditoria e Certificação PCI Compliance Nível 1 (acima de 300 mil transações).  Ter um provedor com essa formalidade é a segurança da sua empresa. Por isso, conte com empresas que tenham esse certificado. 

A Vindi cumpre rigorosamente os padrões dessa certificação e passa por auditorias periódicas a fim de manter a conformidade com a indústria de cartões. Somos certificados pelo PCI DSS nível 1, o padrão de segurança mais alto da indústria de pagamentos.

Além disso, o software de cobrança online da Vindi integra os principais adquirentes e meios de pagamento do mercado. E isso abrange seguir os mais rigorosos padrões de segurança da internet.

Cuidamos dos processos internos com grande rigidez quando o assunto é pagamentos e dados de cobrança. Por isso, vender através da Vindi é ter a certeza da segurança nas transações e a tranquilidade nos métodos de pagamento disponíveis no Brasil.

Para informações técnicas, acesse nosso link com o detalhe da certificação

Quais os benefícios de fazer a migração para uma plataforma de recorrência certificada com o PCI Compliance?

Migrar para uma plataforma de recorrência certificada com PCI Compliance traz uma série de vantagens para o seu negócio. A principal é a segurança aprimorada, garantindo que os dados de pagamento dos seus clientes estejam protegidos contra fraudes e ataques cibernéticos.

Além disso, a conformidade com o PCI demonstra credibilidade e confiança, o que pode melhorar a reputação da sua empresa e aumentar a conversão de vendas. Por fim, essa certificação assegura que você está em conformidade com regulamentações, evitando multas e sanções legais.

Quais os riscos de usar uma empresa de pagamentos sem PCI Compliance?

Utilizar uma empresa de pagamentos sem PCI Compliance expõe o seu negócio a riscos graves. O principal perigo é a vulnerabilidade a fraudes e ataques cibernéticos, que podem resultar em perda de dados sensíveis e prejuízos financeiros.

Além disso, empresas que não estão em conformidade com o PCI podem enfrentar sanções legais, multas pesadas e perda de credibilidade no mercado. O comprometimento da segurança também afeta a confiança dos clientes, impactando negativamente a reputação e as vendas do seu negócio.

Saiba mais sobre as soluções da Vindi, entre em contato com nossos especialistas!

pci-compliancepci-dssprotocolo de segurançasegurançasegurança em pagamentos
FacebookTwitterLinkedin

Artigos Relacionados

Negócios digitais: principais tipos, exemplos, benefícios e 7...

Jornada sem redirecionamento: entenda como ela vai agilizar...

Regime tributário: entenda quais são e como funcionam...

Sistema de cobrança automatizado: o que é, como...

logo-vindi-gray
Facebook-f Twitter Instagram Youtube Linkedin-in

Institucional

Suporte

Recursos

Este site usa cookies para melhorar sua experiência. Vamos supor que você esteja de acordo com isso, mas você pode optar por não participar, se desejar.
Aceitar consulte Mais informação Aceitar Leia mais

Política de privacidade e cookies