Neste artigo: Como este tema funciona na sua empresa Escopo de PCI DSS: o que está e o que não está in-scope Níveis de conformidade PCI DSS (1-4) Os 12 requisitos PCI DSS Criptografia e gestão de chaves: o coração de PCI DSS Relação entre PCI DSS e LGPD Implementação interna Consultoria e suporte Perguntas frequentes O que é PCI DSS e quem exige? Qual é meu nível de conformidade PCI DSS? Como atingir conformidade PCI DSS? Qual é a relação entre PCI DSS e LGPD? Quanto custa implementar PCI DSS? Quais são as sanções por não-conformidade PCI DSS? Referências

oHub Base TI Cibersegurança e Proteção de Dados › LGPD e Conformidade

PCI DSS: aplicação em empresas que processam cartão

Q: O que é PCI DSS e quem exige?

Standard exigido por Visa, Mastercard, Amex para organizações que processam dados de cartão. Não é lei, mas exigência de indústria. Não cumprir pode resultar em bloqueio.

Q: Qual é meu nível de conformidade PCI DSS?

Depende de volume anual: nível 1 (>6M), nível 2 (1–6M), nível 3 (20k–1M e-commerce), nível 4 (<20k). Confirme com processadora.

Q: Como atingir conformidade PCI DSS?

Implementar 12 requisitos, reduzir escopo via tokenização, realizar teste anual, documentar políticas. Para nível 1, fazer audit por QSA.

Q: Qual é a relação entre PCI DSS e LGPD?

Dados de cartão são pessoais sensíveis. PCI DSS (segurança técnica) + LGPD (privacidade) aplicam-se simultaneamente. Conformidade requer ambas.

Q: Quanto custa implementar PCI DSS?

Terceirizado: ~2.9%. Nível 4: ~R$ 30k/ano. Nível 2–3: R$ 50–200k implementação + R$ 20–50k/ano. Nível 1: R$ 200k+ implementação + R$ 50–100k/ano.

Q: Quais são as sanções por não-conformidade PCI DSS?

Bloqueio por processadora, multas até US$ 100k/mês, risco de incidente, dano reputacional.

Escopo, requisitos e níveis do PCI DSS para empresas que processam, armazenam ou transmitem dados de cartão.

Atualizado em: 24 de abril de 2026

Este conteúdo foi gerado por IA e pode conter erros. |

Como este tema funciona na sua empresa

Pequena empresa

Pequena empresa Média empresa

Média empresa Grande empresa

PCI DSS (Payment Card Industry Data Security Standard) é padrão de segurança da indústria de pagamentos que define requisitos para qualquer organização que processa, armazena ou transmite dados de cartão de crédito. Diferente de LGPD (lei brasileira de privacidade), PCI DSS é exigência de Visa, Mastercard, Amex, e outras processadoras — se você quer processar pagamentos, é obrigatório. O escopo de PCI DSS é específico: dados de cartão (PAN - Primary Account Number, PIN, dados de autenticação). Conformidade reduz risco de vazamento, fraude e bloqueio por processadora.

Escopo de PCI DSS: o que está e o que não está in-scope

PCI DSS aplica-se a qualquer sistema que toca dados de cartão. Exemplo: sua loja e-commerce coleta PAN para processar pagamento. Seu sistema está in-scope PCI DSS. Seu catálogo de produtos (não relacionado ao cartão) está out-of-scope. Essa distinção é crítica porque PCI DSS é custoso; saber exatamente o escopo reduz custo significativamente^[1].

Estratégia de redução de escopo: Tokenização. Ao invés de sua loja coletar PAN, você coleta um token (número aleatório) que a processadora gerencia. Seu sistema trabalha com token, não com PAN. Como seu sistema não toca PAN, está out-of-scope PCI DSS — responsabilidade passa para processadora. Tokenização é estratégia preferida e recomendada.

Se não consegue tokenizar (p.ex., armazena PAN por necessidade operacional), escopo PCI DSS é total e custos aumentam significativamente (criptografia de chaves, segregação de rede, auditoria anual).

Níveis de conformidade PCI DSS (1-4)

PCI DSS define 4 níveis conforme volume de transações. Nível 1 (>6M transações/ano): Exige audit anual por QSA (Qualified Security Assessor) externo. Mais restritivo, mais caro. Nível 2 (1–6M transações/ano): Teste anual interno + ASV (Approved Scanning Vendor) externo. Nível 3 (20k–1M transações e-commerce): Teste anual interno. Nível 4 (<20k ou <1% de cartão): Autoavaliação (SAQ)^[2].

Implicação financeira é significativa. Nível 4: custo de ~R$ 30k/ano (autoavaliação + teste). Nível 1: custo de ~R$ 200k+/ano (audit externo + infraestrutura robusta). A diferença é 10x.

Pequena empresa (=50): Se processa cartão, PCI DSS é obrigatório (não opcional). Abordagem: terceirizar processamento para gateway PCI-conforme (Stripe, Square). Seu risco próprio é reduzido porque gateway é responsável por conformidade. Custo: taxa do gateway (~2.9% + taxa fixa).

Média empresa (51–500): Se volume médio (nível 2–3), conformidade estruturada é exigida: firewall, segmentação, criptografia, gestão de acesso, teste anual. Implementação interna com consultoria ou outsourcing de processamento. Custo: R$ 50–200k implementação + R$ 20–50k teste anual.

Grande empresa (+500): Se volume alto (nível 1), conformidade robusta: audit anual por QSA, teste de penetração, análise contínua, processadora certificada ou HSM (Hardware Security Module). Custo: R$ 200k+ implementação + R$ 50–100k audit anual.

Os 12 requisitos PCI DSS

PCI DSS v3.2 define 12 requisitos principais: (1) Firewall: proteção perimetral. (2) Senhas padrão: mudar credenciais default de dispositivos. (3) Proteção de dados: criptografia de PAN em repouso. (4) Criptografia em trânsito: HTTPS/TLS para comunicação. (5) Anti-malware: detecção de malware. (6) Configuração segura: hardening de sistemas. (7) Gestão de acesso: menor privilégio, segregação de funções. (8) Autenticação: MFA para acesso administrativo. (9) Segurança física: controle de acesso a equipamentos. (10) Logging: auditoria de acesso a PAN. (11) Teste de segurança: scan de vulnerabilidade + penetration test. (12) Política de conformidade: documentação e comunicação.

Requisitos mínimos não-negociáveis: firewall, criptografia, controle de acesso, logging. Se qualquer um deles falha, conformidade falha.

Criptografia e gestão de chaves: o coração de PCI DSS

PCI DSS exige criptografia de PAN em repouso (quando armazenado) e em trânsito (quando transmitido). Criptografia é simples em conceito, complexa em prática: onde armazenar chave de criptografia? Como rotacionar chaves? Como garantir que apenas pessoa autorizada acessa chave? HSM (Hardware Security Module) é dispositivo dedica que armazena chaves de forma segura — custa R$ 50–150k, mas é requerido para nível 1.

Gestão de chaves inadequada é causa comum de falha PCI DSS. Chaves em código-fonte, chaves compartilhadas entre múltiplas pessoas, chaves não rotacionadas — todas violações críticas.

Relação entre PCI DSS e LGPD

Dados de cartão são dados pessoais sensíveis — ambas as normas PCI DSS e LGPD aplicam-se. PCI DSS foca em segurança técnica (criptografia, firewall). LGPD foca em privacidade (consentimento, direitos, retenção). Uma violação de PCI DSS pode ser também violação de LGPD. Conformidade requer ambas; muitos controles PCI DSS alinhados com LGPD (segurança de dados), mas LGPD adiciona: direito ao esquecimento, portabilidade de dados, transparência. Implementar ambas é essencial.

Sinais de que sua empresa precisa focar em PCI DSS:

Processadora de pagamento está exigindo conformidade PCI DSS formalmente
Histórico de incidente envolvendo dados de cartão
Você armazena dados de cartão (vs. apenas processar em tempo real)
Volume significativo de transações (nível 1 ou 2)
Plano de crescimento em e-commerce ou processamento de pagamento
Clientes ou auditores internos questionando conformidade PCI DSS

Implementação interna

Pequena: Terceirize processamento (Stripe, Square, PayPal). Sua conformidade PCI é mínima (conforme processadora). Custo: taxa de transação (~2.9% + R$ 0.30).

Média: Se necessário processar internamente, implementar: firewall + segmentação + criptografia + teste anual. Tempo: 3–6 meses. Custo: R$ 100–200k implementação.

Grande: Implementar infraestrutura completa com HSM, audit anual por QSA. Tempo: 6+ meses. Custo: R$ 200k+ implementação + R$ 50–100k audit anual.

Consultoria e suporte

Gap analysis: Consultoria especializada em PCI DSS avalia status atual e mapa caminho. Custo: R$ 20–40k.

QSA (Qualified Security Assessor): Auditoria externa de conformidade PCI DSS. Necessário para nível 1, opcional para níveis 2–3. Custo: R$ 30–100k.

Implementação: Consultoria implementa controles técnicos (criptografia, firewall, segmentação). Custo: R$ 100–300k conforme escopo.

Encontrar fornecedores de TI no oHub

Perguntas frequentes

O que é PCI DSS e quem exige?

Standard de segurança exigido por Visa, Mastercard, Amex para qualquer organizão que processa, armazena ou transmite dados de cartão. Não é lei (como LGPD), mas exigência de indústria. Não cumprir pode resultar em bloqueio por processadora.

Qual é meu nível de conformidade PCI DSS?

Depende de volume anual de transações: nível 1 (>6M), nível 2 (1–6M), nível 3 (20k–1M e-commerce), nível 4 (<20k). Confirme com sua processadora de pagamento.

Como atingir conformidade PCI DSS?

Implementar 12 requisitos (firewall, criptografia, acesso, logging, teste). Avaliar escopo (reduzir via tokenização). Realizar teste anual (escaneamento, pentest). Documentar políticas. Para nível 1, fazer audit por QSA externo.

Qual é a relação entre PCI DSS e LGPD?

Dados de cartão são dados pessoais sensíveis. PCI DSS foca em segurança técnica; LGPD foca em privacidade (consentimento, direitos, retenção). Ambas aplicam-se simultaneamente. Conformidade requer ambas.

Quanto custa implementar PCI DSS?

Terceirizado (gateway): ~2.9% de taxa. Nível 4 (autoavaliação): ~R$ 30k/ano. Nível 2–3 (teste anual): R$ 50–200k implementação + R$ 20–50k/ano. Nível 1 (audit por QSA): R$ 200k+ implementação + R$ 50–100k/ano.

Quais são as sanções por não-conformidade PCI DSS?

Processadora pode bloquear merchant (impossibilidade de processar). Multas de até US$ 100k/mês. Risco de incidente (vazamento de cartão = fraude massiva). Reputacional (clientes sabem de violação).