Blog

Guia completo e etapas do PCI DSS 4.0.1

Guia completo e etapas do PCI DSS 4.0 O Payment Card Industry Data Security Standard (PCI DSS) é um conjunto de diretrizes que garante a segurança

Mar 04, 2024 • 13 min read

Simon Wijckmans Founder & CEO

O Payment Card Industry Data Security Standard (PCI DSS) é um conjunto de diretrizes que garante a segurança das transações com cartão em todo o mundo. Criado pelo PCI Security Standards Council, seu objetivo é proteger contra roubo de dados e fraudes em transações com cartões de débito e crédito.

A versão mais recente do padrão PCI, o PCI DSS 4.0, atualiza os critérios com ênfase em segurança contínua e introduz novos métodos de conformidade. Ele substitui o PCI DSS versão 3.2.1 (maio de 2018) para lidar estrategicamente com ameaças e tecnologias emergentes, oferece abordagens inovadoras para enfrentar ameaças crescentes e protege outros elementos do ecossistema de pagamentos.

O PCI DSS 4.0 se aplica a todas as entidades que armazenam, processam ou transmitem dados do titular do cartão (CHD) e/ou dados de autenticação sensíveis (SAD), ou que possam impactar a segurança do ambiente de dados do titular do cartão (CDE). Isso inclui todas as entidades que processam contas de cartão de pagamento, como comerciantes, processadores, adquirentes, emissores e outros prestadores de serviços.

Então, provavelmente, você também.

O plano gratuito do cside deixa você em conformidade e seguro. Nossos planos pagos aumentam a flexibilidade e a segurança do seu site contra os ataques que essa nova regulamentação busca combater, ajudando você a garantir conformidade com os requisitos do PCI 6.4.3 & 11.6.1.

Vamos começar pelo que há de novo:

Agora você precisa monitorar scripts de terceiros

O que você precisa saber:

O PCI DSS 4.0 (especificamente o requisito 6.4.3) exige que todos os fornecedores autorizem cada script nas páginas de pagamento, mantenham um inventário de todos os scripts e garantam sua integridade. O requisito 11.6 enfatiza a necessidade de detectar e responder a modificações não autorizadas nas páginas de pagamento, incluindo alterações em cabeçalhos HTTP e no conteúdo das páginas.
As organizações devem verificar essas configurações pelo menos uma vez a cada sete dias ou conforme determinado pela avaliação de análise de risco.
A atualização do PCI DSS 4.0 exige que as organizações mantenham um inventário de todos os componentes de sistema relevantes para o PCI DSS, incluindo softwares personalizados e de terceiros, bem como scripts de terceiros.
Além disso, o PCI DSS 4.0 também incentiva a transição de auditorias anuais para monitoramento contínuo de segurança, com revisões e atualizações regulares de componentes de sistema e softwares.

Como mencionado, o plano gratuito do cside faz tudo isso. Mostramos quais scripts estão executando o quê, e você pode gerenciar exatamente o que deseja bloquear.

Nossos planos pagos aumentam a segurança quando algo dá errado. Eles oferecem recursos de bloqueio personalizados e automatizados, outras formas de receber notificações e exportação de logs, entre outros.

Os 6 princípios fundamentais e os 12 requisitos do PCI DSS 4.0

O PCI DSS 4.0 é construído sobre seis princípios fundamentais voltados para criar um ambiente seguro para quem realiza (e para quem facilita) transações online:

Construir e manter uma rede segura para os Dados do Titular do Cartão (CHD).
Proteger os dados do titular do cartão (CHD) armazenados ou transmitidos.
Manter um programa de gerenciamento de vulnerabilidades, incorporando políticas de segurança e testes.
Implementar medidas rígidas de controle de acesso com base na necessidade do negócio.
Monitorar e testar redes continuamente em busca de vulnerabilidades.
Desenvolver e manter uma política abrangente de segurança da informação, educando os funcionários sobre seu papel na proteção do CHD.

Tudo isso são boas práticas que devem estar em vigor para criar um ambiente mais seguro para quem navega na web!

Em seguida, há 12 requisitos para estar em conformidade.

Lembre-se de que alguns desses requisitos já estavam incluídos em versões anteriores do PCI DSS, portanto, a maioria de vocês já deve tê-los ou pelo menos ter começado a implementá-los. Se você usa frameworks existentes para o seu site (ferramentas como Shopify, Webflow ou boilerplates e bibliotecas), verifique se eles já incluem esses recursos.

Dito isso, aqui estão eles:

1. Instalar e manter controles de segurança de rede. Os comerciantes devem garantir uma rede segura usando Controles de Segurança de Rede (NSCs), como firewalls, roteadores e medidas robustas de acesso à nuvem. Esses controles devem gerenciar o tráfego com base em regras predefinidas, com o objetivo de proteger o Ambiente de Dados do Titular do Cartão (CDE) conforme o padrão PCI DSS.

2. Aplicar configurações seguras a todos os componentes do sistema. O PCI DSS v4.0 introduz novos requisitos para funções e responsabilidades na proteção de configurações de redes sem fio. A implementação dessas configurações pode minimizar superfícies de ataque potenciais e a probabilidade de comprometimento do sistema.

3. Proteger os Dados de Conta Armazenados (SAD). As empresas devem implementar métodos de proteção como criptografia, truncamento, mascaramento e hashing para proteger os Dados de Autenticação Sensíveis (SAD) e minimizar riscos.

Evite armazenar Dados de Autenticação Sensíveis (SAD) a menos que seja necessário.
Truncar os dados do titular do cartão se o Número de Conta Principal (PAN) completo não for necessário.
Não envie PANs desprotegidos por meio de tecnologias de mensagens para usuários finais, como e-mail ou mensagens instantâneas. A criptografia de Dados de Autenticação Sensíveis (SAD) não é obrigatória quando os dados estão em memória volátil, como RAM, mas devem ser removidos assim que sua finalidade de negócio for concluída. Se o armazenamento de SAD se tornar persistente, todos os requisitos do PCI DSS 4.0, incluindo criptografia, se aplicam.

4. Usar criptografia forte para proteger os dados do titular do cartão durante a transmissão em redes públicas. Isso garante a confidencialidade, integridade e não repúdio dos dados. Todas as transmissões de PAN devem ser criptografadas para evitar o comprometimento dos dados.

Criptografar os dados antes da transmissão
Criptografar a sessão pela qual os dados são transmitidos

Além disso, a empresa deve avaliar seus parâmetros de segurança de rede em relação aos requisitos aplicáveis do PCI DSS 4.0 se a rede armazenar, processar ou transmitir CHD.

5. Proteger todos os sistemas e redes contra softwares maliciosos. O PCI DSS 4.0 substitui software antivírus por software antimalware. Uma mudança aparentemente semântica, mas que agora exige que as entidades implementem soluções antimalware para proteger seus sistemas contra ameaças de malware atuais e em evolução. Como:

Vírus
Worms
Trojans
Spyware
Ransomware
Códigos maliciosos, scripts, links

Queremos lembrá-lo novamente que o cside lista e protege qualquer script de terceiros que você utiliza. Se eles forem comprometidos, seja no(s) seu(s) próprio(s) site(s) ou globalmente, você estará protegido.

6. Criar e manter sistemas e softwares seguros. As empresas devem aplicar patches de software a todos os componentes do sistema para evitar a exploração de dados de conta, com o PCI DSS 4.0 exigindo processos de Ciclo de Vida de Software e codificação segura para softwares personalizados. Repositórios de código que armazenam código de aplicação ou dados que afetam a segurança dos dados de conta estão no escopo das avaliações do PCI DSS 4.0.

7. Limitar o acesso a componentes do sistema e dados do titular do cartão com base na necessidade do negócio. Este requisito exige que as empresas implementem controles que garantam que o acesso a dados críticos seja limitado apenas ao pessoal autorizado, com base na necessidade de conhecimento e nas responsabilidades do cargo, prevenindo assim o acesso não autorizado.

8. Identificar usuários e autenticar o acesso a componentes do sistema. Isso exige identificação e autenticação únicas de usuários para acesso a componentes do sistema. Isso garante responsabilidade e rastreabilidade das ações, e se aplica a todas as contas, incluindo contas de PDV, administração, sistema e aplicação.

9. Restringir o acesso físico aos dados do titular do cartão. Comerciantes e empresas devem limitar o acesso físico aos sistemas que lidam com dados do titular do cartão (CHD) para evitar violações ou perda de privacidade do titular do cartão.

10. Registrar e monitorar todos os acessos a componentes do sistema e dados do titular do cartão. O Requisito 10 do PCI DSS 4.0 enfatiza a importância dos logs de auditoria e do rastreamento de atividades dos usuários no Ambiente de Dados do Titular do Cartão (CDE) e nos componentes do sistema. Isso permite trilhas de auditoria, rastreamento, alertas e análises em caso de comprometimento do sistema, e se aplica a todas as atividades dos usuários.

11. Testar a segurança de sistemas e redes com frequência. As empresas são obrigadas a testar regularmente todos os componentes do sistema, processos e softwares personalizados para garantir que os controles possam lidar adequadamente com o cenário de ameaças em evolução, conforme o PCI DSS.

12. Apoiar a Segurança da Informação (SI) com políticas e programas organizacionais. De acordo com o requisito final, todas as empresas devem implementar uma política de segurança da informação. Essa política deve informar o pessoal sobre a sensibilidade dos dados de cartão de pagamento e sua responsabilidade em protegê-los.

E se você não estiver em conformidade?

A maioria das mudanças só entra em vigor a partir de 31 de março de 2025, com algumas já sendo exigidas desde 31 de março de 2024. Portanto, o tempo é curto. É melhor agir agora, caso contrário há possíveis consequências:

Os processadores de cartão frequentemente repassam taxas de conformidade e não conformidade com o PCI aos comerciantes, com muitos provedores. No entanto, o pagamento dessas taxas não garante a conformidade com o PCI DSS 4.0, e os comerciantes ainda devem preencher o SAQ anual e atender a outros requisitos para manter a conformidade.
Empresas que não cumprirem o PCI DSS 4.0 podem enfrentar uma penalidade mensal por não conformidade do processador de cartão. Em casos graves, a não conformidade pode teoricamente levar ao encerramento da conta do comerciante.

O PCI DSS 4.0 é lei de fato?

Embora o PCI SSC não tenha autoridade legal para impor a conformidade, qualquer empresa que aceite ou processe cartões de crédito ou débito deve aderir a esses padrões, independentemente do tipo de negócio ou localização, porque as principais bandeiras de cartão de crédito exigem conformidade como condição para processar suas transações.

O órgão PCI foi formado pela American Express, Discover Financial Services, JCB International, MasterCard e Visa Inc. em 7 de setembro de 2006, com o objetivo de gerenciar a evolução contínua do Payment Card Industry Data Security Standard.

Isso significa que se você (ou um processador de cartão que você usa, como Stripe, PayPal, Adyen, Paddle, …) aceitar qualquer um desses cartões, deve aderir a este novo padrão do PCI DSS 4.0. Caso contrário, você corre o risco das consequências mencionadas acima ou até mesmo de ser impedido de aceitar pagamentos.

Como garantir que você está em conformidade

Aqui está o que você precisa fazer, passo a passo:

Mapeie seus fluxos de CHD. Identifique o movimento dos dados do titular do cartão (CHD) por meio de seus aplicativos, sistemas e pessoal.
Preencha seu SAQ. O Questionário de Autoavaliação (SAQ) valida se uma empresa atende a todos os 12 requisitos de conformidade com o PCI (veja os 12 requisitos acima).
Preencha seu AOC. O ****Atestado de Conformidade (AOC) é um documento que fornece um guia para alcançar a conformidade com o PCI, garantindo que todas as etapas necessárias sejam concluídas.
Realize uma varredura de vulnerabilidades. Com base nos resultados do Questionário de Autoavaliação (SAQ), você tem a opção de realizar a varredura por conta própria ou contratar um Fornecedor de Varredura Aprovado (ASV).
Preencha e envie os documentos. Envie o Questionário de Autoavaliação (SAQ), o Atestado de Conformidade (AOC) e os relatórios do Fornecedor de Varredura Aprovado (ASV) para as bandeiras de cartão de crédito que você suporta ou planeja suportar.
Monitore a conformidade regularmente. E isso você pode fazer usando o cside. Nosso plano gratuito deixa você em conformidade e coloca as barreiras de segurança no lugar. Nossos planos pagos oferecem mais flexibilidade e ainda mais segurança.

Determine seu nível PCI. Os requisitos de conformidade com o PCI são determinados pelo número de transações processadas anualmente. A conformidade com o PCI DSS é dividida em quatro níveis, determinados pelo número de transações com cartão que uma empresa processa anualmente. Esses níveis ditam as etapas que uma empresa deve seguir para alcançar e manter a conformidade.

Nível	Critério	Requisito de Validação
Nível 1	Mais de 6 milhões de transações por ano	Auditoria presencial completa por um QSA + SAQ D
Nível 2	De 1 a 6 milhões de transações por ano	SAQ A, SAQ A-EP ou SAQ D + Atestado de Conformidade (AOC)
Nível 3	De 20.000 a 1 milhão de transações online por ano	SAQ A, SAQ A-EP ou SAQ D + Atestado de Conformidade (AOC)
Nível 4	Menos de 20.000 transações online OU até 1 milhão de transações no total	SAQ A, SAQ A-EP ou SAQ D + Atestado de Conformidade (AOC)

Perguntas e respostas rápidas para esclarecer as dúvidas

Como posso garantir que meus scripts de terceiros estejam em conformidade com o PCI DSS 4.0? A atualização do PCI DSS 4.0 exige que as organizações mantenham um inventário de todos os componentes de sistema relevantes para o PCI DSS, incluindo softwares personalizados e scripts de terceiros. Também promove a transição de auditorias anuais para monitoramento contínuo de segurança, com revisões e atualizações frequentes de componentes de sistema e softwares. Novamente, podemos ajudar nesse sentido. Nosso plano gratuito deixa seu site em conformidade e seguro; nossos planos pagos aumentam a flexibilidade e a segurança.
Quando o PCI DSS v4.0 entra em vigor? O PCI DSS v4.0, em vigor a partir de 31 de março de 2024, introduz esses 64 novos requisitos. Embora alguns entrem em vigor imediatamente, a maioria não será exigida até 31 de março de 2025, oferecendo às organizações um período de transição de um ano para implementar os requisitos mais desafiadores. Os requisitos relacionados a scripts de terceiros entram em vigor em março de 2025.
Qual é o impacto do PCI DSS 4.0 em pequenas empresas ou startups? O PCI DSS 4.0 introduz mudanças que afetam todas as entidades que lidam com dados do titular do cartão, com possíveis desafios para pequenas empresas e startups devido a limitações de recursos. Veja acima os níveis do PCI.
Há penalidades por não conformidade com o PCI DSS 4.0? A não conformidade com o PCI DSS 4.0 pode resultar em penalidades como multas, aumento de taxas de transação e até revogação da capacidade de processar cartões. A conformidade é obrigatória para todas as entidades que lidam com dados do titular do cartão, e o descumprimento pode causar danos financeiros e de reputação significativos. Portanto, entender e manter a conformidade com esses requisitos é fundamental para todas as organizações que processam transações com cartão de pagamento.
Quais são as melhores práticas para monitoramento contínuo de segurança sob o PCI DSS 4.0? No âmbito do PCI DSS 4.0, o monitoramento contínuo de segurança pode ser aprimorado com a implementação de segmentação de rede, preferindo automação em vez de métodos tradicionais de amostragem e adotando uma mentalidade de zero trust. Isso inclui verificação diária de todos os dispositivos de rede e uso de ferramentas automatizadas para detecção e priorização contínua de riscos. O cside foi criado para garantir que esses requisitos específicos do PCI DSS 4.0 relacionados a scripts de terceiros sejam atendidos.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Capa escura do blog com três ameaças de scripts de afiliados comprometidos: redirecionamentos silenciosos de jogadores, roubo de comissões via UTM e injecção de ID de afiliado fraudulento

Como Scripts de Afiliados Comprometidos Roubam Receita de Casinos Online

Scripts de afiliados comprometidos redirecionam jogadores e roubam comissões em páginas de casino, de forma silenciosa e em escala.

Visualização abstrata em azul-escuro de ligações de rede a atravessar um gateway circular

Corrigir o tratamento de timeouts de TLS na Edge da cside

Como a cside melhorou a fiabilidade do TLS na Edge em Rust ao retirar o trabalho de handshake do caminho de accept do Axum e colocá-lo em tasks Tokio limitadas.

Como Bloquear o ClaudeBot no Seu Site

O ClaudeBot rastreia o seu site para treinar os modelos Claude da Anthropic. Eis como bloqueá-lo com robots.txt e intervalos de IP, e o que o bloqueio ainda não cobre.

Como Prevenir a Criação de Contas Falsas: Porque a Deteção na Camada do Navegador Apanha o que a Verificação de Email Não Vê

A verificação de email confirma que uma caixa de correio existe. Não consegue ver o navegador. Eis porque a deteção na camada do navegador apanha contas falsas que ela não vê.

Ataque à cadeia de suprimentos do Polyfill.io: linha do tempo completa, análise e lições (2024–2026)

Uma linha do tempo completa e documentada do ataque à cadeia de suprimentos do Polyfill.io, da venda do domínio em 2024 às sanções contra a Funnull em 2025, e como removê-lo hoje.

Capa escura do blog cside com fundo de pixels azuis e três marcas de verificação: por que regras de velocidade falham contra agentes de teste de cartão com IA, os sinais do navegador que os expõem e como bloquear o pagamento antes do checkout

Como Bloquear Agentes de Teste de Cartão com IA

Agentes de IA de teste de cartão sondam fluxos de pagamento com navegadores reais. Aprenda os sinais que os expõem antes de concluir uma transação.

Plataforma de segurança cside classificando múltiplas conexões de agentes de IA — detecção de agentes em nível de navegador e gerenciamento de confiança

Como escolher uma solução de detecção de agentes de IA

Um guia de compra em cinco etapas para CISOs que avaliam soluções de detecção de agentes de IA: arquitetura, classificação, perfis de fornecedores e metodologia de POC.

Capa do blog cside mostrando uma interface de navegador filtrando o tráfego de bots e agentes de IA em caminhos confiáveis e bloqueados

Melhores Plataformas de Gestão de Confiança de Bots e Agentes Comparadas (2026)

Forrester define a categoria. cside, DataDome, HUMAN Security, Kasada e Arkose Labs comparadas em camada de detecção, intenção e cobertura agêntica.

escudo de segurança cside a monitorizar o percurso do cursor do browser — deteção de agentes de IA na camada do browser

Como Bloquear o OpenAI Operator no Seu Site

O OpenAI Operator navega no seu site como um utilizador real. Aprenda a detectá-lo com sinais da camada do browser e quando não o deve bloquear.

DBSC versus fingerprint de dispositivo: o que a segurança de sessão do Chrome não cobre

O DBSC do Chrome impede o reuso de cookies roubados, mas é só Chrome, pós-login e sem identidade de dispositivo. Veja a fraude que ele deixa.