pci-dss - RunkIntel

# PCI-DSS v4.0 - Payment Card Industry Data Security Standard > [!abstract] Síntese > O PCI-DSS é o padrão global de segurança para organizações que processam dados de cartão de pagamento. A versão 4.0 - obrigatória desde março de 2024 - introduz uma abordagem baseada em objetivos (customized approach), novos requisitos de autenticação e proteção de scripting client-side. No [[brasil|Brasil]], afeta bancos, fintechs, adquirentes (Cielo, Rede, Stone) e todo o [[retail|varejo]] que processa cartões. --- ## Visão Geral O PCI-DSS é criado e mantido pelo **PCI SSC**, fundado pelas cinco principais bandeiras de cartão (Visa, Mastercard, American Express, Discover, JCB). Não é uma lei, mas uma obrigação contratual - organizações que não cumprem podem perder o direito de aceitar cartões e receber multas das bandeiras. ### Quem Precisa Cumprir? Qualquer organização que armazene, processe ou transmita dados de titular de cartão (CHD) ou dados de autenticação confidenciais (SAD): - **Adquirentes:** Cielo, Rede, Stone, GetNet, PagSeguro - **Emissores:** Bancos, fintechs que emitem cartões - **Processadoras de pagamento:** PayPal, Stripe, PagHiper - **Varejo:** Qualquer loja que aceite cartões (via adquirente) - **E-commerce:** Plataformas que processam checkout com cartão --- ## Mudanças do v3.2.1 para v4.0 ```mermaid timeline title PCI-DSS - Evolução para v4.0 2004 : PCI-DSS v1.0 : Primeiro padrão unificado 2018 : PCI-DSS v3.2.1 : Última versão 3.x 2022 : PCI-DSS v4.0 publicado : Março de 2022 2024 : v3.2.1 sunset : Março de 2024 : v4.0 obrigatório 2025 : Requisitos futuros v4.0 : 64 requisitos "best practice" : tornam-se obrigatórios ``` **Principais novidades do v4.0:** 1. **Customized Approach** - Organizações maduras podem definir controles alternativos para atingir o objetivo do requisito (vs. prescritivo v3) 2. **Multi-Factor Authentication (MFA)** - Agora obrigatório para TODO acesso ao CDE (antes: apenas acesso remoto) 3. **Anti-skimming (Req. 6.4.3)** - Proteção de scripts client-side em páginas de pagamento (anti-Magecart) 4. **Targeted Risk Analysis** - Organizações devem justificar frequências de controles com análise de risco documentada --- ## 12 Requisitos do PCI-DSS | # | Requisito | Objetivo | | - | --------- | -------- | | 1 | Instalar e manter controles de segurança de rede | Proteger CDE | | 2 | Aplicar configurações seguras em todos os componentes | Proteger CDE | | 3 | Proteger dados armazenados do titular | Proteger CHD | | 4 | Proteger CHD em transmissão em redes abertas | Proteger CHD | | 5 | Proteger todos os sistemas de malware | Programa de vulnerabilidades | | 6 | Desenvolver e manter sistemas e software seguros | Programa de vulnerabilidades | | 7 | Restringir acesso a componentes do sistema e CHD | Controle de acesso | | 8 | Identificar e autenticar acesso a componentes | Controle de acesso | | 9 | Restringir acesso físico a CHD | Controle de acesso | | 10 | Log e monitoramento de todo acesso ao CDE | Monitoramento | | 11 | Testar segurança de sistemas e redes regularmente | Testes | | 12 | Apoiar segurança da informação com políticas e programas | Governança | --- > [!latam] Relevância para o Brasil > O Brasil possui um dos maiores ecossistemas de cartões de pagamento do mundo, com adquirentes como **Cielo**, **Rede**, **Stone** e **GetNet** certificados como Level 1 Service Providers. A versão 4.0 do PCI-DSS - obrigatória desde março de 2024 - introduziu o requisito anti-skimming (Req. 6.4.3), diretamente relacionado a ataques **Magecart** que comprometem o checkout de e-commerces brasileiros para roubar dados de cartão. Fintechs que emitem cartões (Nubank, Inter, C6, PicPay) operam como Level 1 Issuers, tornando a conformidade PCI-DSS obrigatória e auditada anualmente por QSAs certificados. ## Impacto no Brasil - Ecossistema de Pagamentos O [[brasil|Brasil]] possui um dos maiores ecossistemas de pagamentos eletrônicos do mundo, com características únicas: ### Adquirentes e Bandeiras Cielo, Rede, Stone e GetNet são certificados PCI-DSS como "Level 1 Service Providers" (maiores provedores). Merchants que usam esses adquirentes têm requisitos de compliance reduzidos via SAQ (Self-Assessment Questionnaire). ### Relação com o PIX O PIX (pagamentos instantâneos do [[bacen-4893|BACEN]]) não é coberto pelo PCI-DSS (não usa dados de cartão), mas muitas IFs mantêm ambientes compartilhados onde PIX e cartões coexistem - exigindo atenção à segmentação de rede. ### Fintechs e Banking as a Service Fintechs que emitem cartões (Nubank, Inter, C6, PicPay) precisam cumprir PCI-DSS como "Level 1 Issuers". A combinação de [[lgpd|LGPD]] + [[bacen-4893|BACEN Res. 4893]] + PCI-DSS representa o tripé regulatório do setor [[financial|financeiro]] digital brasileiro. --- ## Diagrama - Requisitos de Segurança no CDE ```mermaid graph TB CDE["🔒 Cardholder Data Environment (CDE)"] CDE --> NET["🌐 Rede Req 1-2"] CDE --> DATA["💾 Dados Req 3-4"] CDE --> VULN["🔍 Vulnerabilidades Req 5-6"] CDE --> ACCESS["🔑 Acesso Req 7-9"] CDE --> MON["👁️ Monitoramento Req 10-11"] CDE --> GOV["📋 Governança Req 12"] NET --> N1["Firewall segmentado"] NET --> N2["Configuração segura"] DATA --> D1["Criptografia AES-256"] DATA --> D2["TLS 1.2+ em trânsito"] VULN --> V1["Anti-malware"] VULN --> V2["Secure SDLC"] ACCESS --> A1["MFA obrigatório"] ACCESS --> A2["Privilégio mínimo"] MON --> M1["SIEM com logs 12 meses"] MON --> M2["ASV scans trimestrais"] style CDE fill:#1a1a2e,stroke:#e94560,color:#fff ``` --- ## Testes Obrigatórios | Tipo de Teste | Frequência | Executor | | ------------- | ---------- | -------- | | ASV Scan (vulnerability) | Trimestral | ASV certificado pelo PCI SSC | | Pentest de Rede | Anual + após mudanças significativas | QSA ou equipe interna qualificada | | Pentest de Aplicação | Anual + após mudanças | QSA ou equipe interna | | Teste de segmentação | Anual + após mudanças | QSA ou equipe interna | | Revisão de regras de firewall | Semestral | Interno | | Análise de logs | Diária (automatizada) | SIEM / SOC | --- ## Relação com [[lgpd|LGPD]] e [[bacen-4893|BACEN Res. 4893]] | Aspecto | PCI-DSS v4.0 | LGPD | BACEN 4.893 | | ------- | ------------ | ---- | ----------- | | Dados cobertos | Dados de cartão (PAN, CVV, track data) | Dados pessoais | Todos os dados de clientes da IF | | Notificação de incidente | 72h para bandeiras/adquirentes | 3 dias úteis para ANPD | 72h para BACEN | | Pentest | Anual (obrigatório) | Recomendado | Periódico (obrigatório) | | MFA | Todo acesso ao CDE | Não específicado | Sistemas críticos | | Criptografia | Obrigatória (PAN) | Obrigatória (dados sensíveis) | Obrigatória (dados críticos) | --- ## Referências - [PCI SSC - PCI-DSS v4.0 Official Standard](https://www.pcisecuritystandards.org/) - [PCI SSC - Summary of Changes v3.2.1 to v4.0](https://www.pcisecuritystandards.org/) - [Cielo - Programa de Conformidade PCI-DSS](https://www.cielo.com.br/) - [FEBRABAN - Guia PCI-DSS para o Mercado Brasileiro](https://febraban.org.br/) --- ← Voltar para **[[_regulations|Regulações]]** · **[[_market|Market Intelligence]]**