PCI DSS v4.0.1: Guia Completo de Conformidade no BrasilIr para o conteúdo principal
Guia atualizado • v4.0.1 • Maio 2026

PCI DSS: Guia Definitivo de Conformidade no Brasil

Tudo o que você precisa saber sobre a PCI DSS v4.0.1: 12 requisitos, níveis, processo de certificação, SAQ, AOC, ROC, custos e prazos — escrito por auditores QSA credenciados pelo PCI Security Standards Council.

Equipe de Auditoria QSA
Access Security
Atualizado em
28 de maio de 2026
Leitura
18 min
QSA listada no PCI SSCBrazil REB (Conselho do PCI SSC)
Por que confiar neste guia

Credenciais oficiais da Access Security

Diferente da maioria dos artigos sobre PCI DSS, este guia é assinado por uma empresa com reconhecimento direto do PCI Security Standards Council e das bandeiras de cartão. Todas as credenciais abaixo são verificáveis nos sites oficiais.

QSA acreditada pelo PCI SSC

Listada oficialmente no diretório de Qualified Security Assessors do PCI Security Standards Council, qualificada para validar a conformidade de qualquer entidade ao PCI DSS.

Verificar no PCI SSC
Destaque

Membro do Brazil REB do PCI SSC

Integramos o Brazil Regional Engagement Board — o primeiro REB criado pelo PCI SSC no mundo (2018). Aconselhamos diretamente o conselho sobre prioridades, padrões e tradução de documentos para o português.

Ver Brazil REB no PCI SSC
Programas das bandeiras nos quais atuamos
VISAPrograma AIS (Account Information Security)MC SDPSite Data Protection
Imagem de destaque: ecossistema PCI DSS
Definição

O que é PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) é o padrão internacional de segurança da informação criado e mantido pelo PCI Security Standards Council (PCI SSC) — um consórcio fundado pelas cinco principais bandeiras globais de cartão: Visa, Mastercard, American Express, Discover e JCB.

O padrão define um conjunto técnico e administrativo de controles que toda organização envolvida na cadeia de pagamento com cartão deve implementar para proteger os dados do portador do cartão (PAN, nome, validade, código de serviço) e os dados sensíveis de autenticação (tarja magnética, chip, CVV/CVC, PIN).

Diferentemente de outras normas, o PCI DSS não é uma lei. Ele é um requisito contratual: ao se conectar a uma adquirente, sub-adquirente, processadora ou bandeira, a empresa assina contratos que exigem conformidade. Quem descumpre fica sujeito a multas, aumento de taxas, suspensão da operação e, em caso de vazamento, responsabilização civil e regulatória — inclusive sob a LGPD no Brasil.

A versão em vigor em 2026 é a PCI DSS v4.0.1, publicada em junho de 2024 e cuja conformidade obrigatória passou a valer em 31 de março de 2025, substituindo definitivamente a v3.2.1 e a v4.0.

Ilustração: cadeia de pagamentos e proteção de dados PCI DSS
Escopo

Quem precisa cumprir o PCI DSS

A norma se aplica a qualquer entidade que armazene, processe ou transmita dados de cartão, independentemente de tamanho ou volume. Em nossas auditorias no Brasil, vemos a obrigação atingir:

  • Emissores de cartão (bandeiras próprias, private label, co-branded)
  • Adquirentes e sub-adquirentes (Cielo, Stone, PagSeguro, Rede)
  • Bancos e instituições financeiras
  • E-commerces de qualquer porte que aceitam cartão
  • Fintechs e BaaS que tocam dados de cartão
  • Empresas de embossing de cartão
  • Call centers que capturam dados por voz
  • Agentes de turismo com cartão para reservas
  • Prestadores de serviço (cloud, hosting, SOC)
  • POS, gateways, PSPs e PayFacs

Se a sua operação tem qualquer tipo de contato com PAN (número do cartão) ou dado sensível de autenticação, você está no escopo. Mesmo empresas que terceirizam tudo (via tokenização ou redirect para gateway) precisam preencher um SAQ específico — não há isenção total.

Versão atual

PCI DSS v4.0.1: o que mudou

A v4.0.1 é uma revisão de erratas e clarificações sobre a v4.0 — não traz requisitos novos nem remove requisitos existentes. Mas o ponto crítico é que, a partir de 31 de março de 2025, os 51 requisitos antes classificados como "future-dated" (best practices opcionais) passaram a ser obrigatórios em todas as auditorias.

Em campo, os que mais impactam clientes são:

Req. 8.4.2

MFA universal no CDE

Antes, autenticação multifator era exigida apenas para acesso administrativo e remoto. Agora, todo acesso ao Cardholder Data Environment (CDE) — administrativo ou não — exige MFA. Vale para colaboradores comuns, terceirizados, contas de aplicação que se conectam, etc.

Req. 6.4.3 e 11.6.1

Proteção de página de pagamento

Comerciantes de e-commerce com captura no navegador precisam de inventário e justificativa de todos os scripts carregados na página, monitoramento de integridade de cabeçalho HTTP e detecção de tamper. Atinge quem usa iframe ou redirect e antes se julgava 'fora de escopo'.

Req. 12.3.1

Targeted Risk Analysis (TRA)

Para vários controles antes prescritivos (frequência de revisão de logs, troca de senha), a v4.0.1 permite uma análise de risco direcionada que justifique a periodicidade adotada. Mais flexibilidade — mas mais responsabilidade do auditado em produzir documentação defensável.

Req. 5.4.1

Phishing antifraude

Implementação de soluções automatizadas anti-phishing, indo além de treinamento de equipe. Isso era exigido só para service providers; agora vale para o mercado todo.

Novo

Customized Approach

Pela primeira vez, a v4.x permite que a empresa proponha controles compensatórios diferentes do prescrito, desde que demonstre que o resultado de segurança é equivalente. Na prática, vimos isso aprovado em poucos casos de clientes muito maduros (bancos, grandes adquirentes).

Os 12 controles

Os 12 requisitos explicados pelo auditor

Os 12 requisitos do PCI DSS estão agrupados em 6 objetivos de segurança. Abaixo está a explicação de cada um, com o que o QSA realmente observa durante a auditoria. Para o detalhamento técnico, veja nosso guia Os 12 requisitos do PCI DSS na prática.

Objetivo 1

Construir e manter uma rede e sistemas seguros

1

Instalar e manter controles de segurança de rede

Firewalls, NGFW, listas de controle de acesso e segmentação. O auditor verifica diagrama de fluxo de dados (DFD), inventário de regras, justificativa de cada porta aberta e revisão semestral das regras. Em provedores de serviço, a segmentação interna precisa ser testada 2 vezes ao ano com pentest de segmentação.

2

Aplicar configurações seguras a todos os componentes

Hardening baseado em benchmarks (CIS, DISA STIG, vendor), troca de credenciais padrão, eliminação de serviços desnecessários. O QSA vai sortear amostras de servidores, switches, roteadores e pedir evidência de configuração endurecida.

Objetivo 2

Proteger os dados da conta

3

Proteger os dados armazenados

Criptografia em repouso, truncamento, mascaramento, gestão de chaves. Aqui um dos maiores tropeços que vemos: clientes que não percebem que armazenam PAN em logs de aplicação ou backups antigos. A primeira tarefa do consultor é mapear onde o PAN realmente vive.

4

Proteger os dados durante a transmissão

TLS 1.2 ou superior, certificados válidos, comunicação segura entre componentes. Atenção: e-mails internos com cartão, mensagens em apps, fax — tudo isso é proibido a menos que adequadamente criptografado.

Objetivo 3

Manter um programa de gestão de vulnerabilidades

5

Proteger sistemas contra software malicioso

Antimalware/EDR em todos os componentes onde for viável, scan periódico, mecanismos anti-phishing automatizados (novidade da v4.x) e processos de resposta a ameaças.

6

Desenvolver e manter software seguro

SDLC seguro, code review, treinamento de desenvolvedores, gestão de vulnerabilidades em aplicações, patches críticos em até 30 dias. Aqui o foco é o ciclo de desenvolvimento e o pipeline de aplicações.

Objetivo 4

Implementar medidas robustas de controle de acesso

7

Restringir acesso pelo need-to-know

RBAC, princípio do menor privilégio, revisão semestral de acessos. O QSA pede a lista de usuários do CDE e cruza com matriz de responsabilidades.

8

Identificar usuários e autenticar acessos

Identificadores únicos, MFA universal no CDE, política de senha forte ou autenticação dinâmica. Contas compartilhadas são proibidas — exceção rara e documentada.

9

Restringir o acesso físico

Catracas, badges, CFTV em data centers, controle de visitantes, descarte seguro de mídias e papel. Aplica-se mesmo a empresas cloud: o data center do provedor precisa ter sua AOC.

Objetivo 5

Monitorar e testar regularmente as redes

10

Registrar e monitorar todo acesso

Logs centralizados em SIEM, retenção mínima de 1 ano (3 meses online), revisão diária de eventos críticos. Nosso SOC/NOC 24/7 endereça este requisito de ponta a ponta.

11

Testar regularmente segurança e redes

Scan externo trimestral por ASV, scan interno trimestral, pentest anual em aplicações e infraestrutura, pentest de segmentação semestral para service providers, monitoramento de integridade de arquivos (FIM) e Page Shield.

Objetivo 6

Apoiar a segurança via política organizacional

12

Políticas e programas organizacionais

Políticas formais, treinamento anual de conscientização, processo de resposta a incidentes testado anualmente, gestão de fornecedores (third-party assurance), inventário de ativos, Targeted Risk Analyses documentadas.

Infográfico: os 12 requisitos do PCI DSS em 6 objetivos
Análise gratuita

Comece pela GAP Analysis sem custo

Em até 5 dias úteis, mapeamos sua operação contra os 12 requisitos da PCI DSS v4.0.1, identificamos o SAQ ou ROC aplicável e entregamos um plano realista de certificação. Diferente da maioria dos QSAs, não cobramos por esta etapa.

Solicitar GAP gratuita
Classificação

Níveis de PCI DSS

A norma classifica empresas em níveis com base no volume anual de transações. Cada nível tem exigências distintas de validação. Os limites e exigências variam ligeiramente entre as bandeiras — quem define os níveis na prática são os programas Visa AIS (Account Information Security) e Mastercard SDP (Site Data Protection). A tabela abaixo consolida as duas referências, considerando as regras predominantes no Brasil.

Estabelecimentos comerciais (merchants)

NívelVolume anualValidação exigida
1Acima de 6M transações Visa/Mastercard, ou qualquer empresa com vazamentoROC anual por QSA, scan trimestral ASV, AOC
21M a 6M transaçõesSAQ + scan ASV (algumas bandeiras exigem ROC)
320k a 1M transações e-commerceSAQ + scan ASV
4Menos de 20k transações e-commerceSAQ + scan ASV (recomendado)

Prestadores de serviço (service providers)

NívelVolume anualValidação exigida
1Acima de 300k transaçõesROC anual por QSA, scan ASV trimestral, pentest de segmentação semestral
2Até 300k transaçõesSAQ-D + scan ASV
Gráfico: classificação por níveis de conformidade PCI DSS
Dados protegidos

Cardholder Data vs. Sensitive Authentication Data

O PCI DSS divide os dados em duas categorias com regras distintas:

CHD

Cardholder Data

Pode ser armazenado com proteção

  • PAN (número completo)
  • Nome do titular
  • Data de validade
  • Código de serviço

Armazenamento permitido com criptografia forte, truncamento ou tokenização. PAN deve ser exibido mascarado (BIN + 4 últimos).

SAD

Sensitive Authentication Data

Proibido armazenar após autorização

  • Dados de tarja magnética / chip
  • CAV2 / CVC2 / CVV2 / CID
  • PIN / PIN block

Salvar CVV em qualquer base, log, screenshot ou backup é violação grave e motivo automático de não conformidade.

Documentação

SAQ, AOC e ROC: qual se aplica a você

SAQ
Self-Assessment Questionnaire

Questionário de autoavaliação. Existem 9 tipos (A, A-EP, B, B-IP, C, C-VT, D-Merchant, D-SP, P2PE). Preenchido pela própria empresa.

AOC
Attestation of Compliance

Atestado oficial de conformidade de uma página. Gerado a partir de um SAQ ou de um ROC.

ROC
Report on Compliance

Relatório completo (centenas de páginas), exigido para Nível 1 e elaborado exclusivamente por um QSA acreditado.

Qual SAQ usar?

SAQPara quem
AE-commerce que terceiriza 100% via iframe ou redirect (não toca PAN)
A-EPE-commerce com captura via JavaScript embarcado
BEstabelecimentos com terminais POI standalone via discagem
B-IPEstabelecimentos com terminais POI conectados via IP
CEstabelecimentos com sistemas conectados à internet, sem armazenar PAN
C-VTEstabelecimentos com terminal virtual isolado
D-MerchantEstabelecimentos não cobertos pelos demais SAQs
D-Service ProviderPrestadores de serviço Nível 2
P2PEEstabelecimentos com solução P2PE validada pelo PCI SSC
Passo a passo

Processo de certificação

A jornada típica de um cliente até a primeira AOC, na Access Security, segue 7 etapas:

  1. 1

    GAP Analysis

    Diagnóstico inicial gratuito (oferecemos sem custo, ao contrário da maior parte dos QSAs concorrentes). Mapeamos onde o cliente está em relação aos 12 requisitos e qual o SAQ ou tipo de ROC se aplica. Saída: relatório priorizado de lacunas.

  2. 2

    Definição de escopo e segmentação

    Identificamos ativos no CDE (Cardholder Data Environment) e desenhamos a segmentação de rede para reduzir o escopo. Bem feita, pode reduzir o custo final em 40% ou mais.

  3. 3

    Políticas e procedimentos

    Apoiamos o cliente na criação ou refinamento das 30+ políticas obrigatórias: segurança, criptografia, gestão de chaves, resposta a incidentes, fornecedores, controle de acesso, etc.

  4. 4

    Implementação técnica

    Apoio na implementação de MFA, segmentação, criptografia, hardening, SIEM, FIM, antimalware, gestão de patches. Quando o cliente tem AWS ou GCP, nossa equipe Cloud apoia o desenho seguro.

  5. 5

    Validações técnicas

    Scan externo trimestral por ASV, scan interno trimestral, pentest anual em aplicações web, mobile e infra, pentest de segmentação semestral para service providers.

  6. 6

    Coleta de evidências (Plataforma Access)

    Plataforma própria onde o cliente envia evidências e conversa diretamente com os consultores. Cada controle dos 12 requisitos tem workspace específico — facilita renovação anual.

  7. 7

    Auditoria QSA e emissão de AOC + ROC

    O auditor QSA conduz entrevistas, observações, sorteio de amostras, revisão documental e testes. Após validar a conformidade, emite o ROC e a AOC assinados.

Diagrama: etapas da certificação PCI DSS — da GAP Analysis à emissão da AOC
Investimento

Quanto custa uma auditoria

Depende de tamanho e complexidade do CDE, nível PCI, maturidade atual, ambiente (cloud/on-prem) e tipo de SAQ ou ROC. SAQ-A simples parte de valores baixos; ROC Nível 1 parte de patamares significativamente maiores.

Ver estrutura de custos
Cronograma

Quanto tempo leva

SAQ A / A-EP
30–60 dias
SAQ D / SP Nível 2
90–180 dias
ROC Nível 1
6–12 meses
Recertificação anual
30–90 dias
Ver PCI DSS em 30 dias
Riscos

Multas e consequências da não conformidade

  • Multas das bandeiras de alguns milhares a centenas de milhares de dólares por mês, escaladas conforme tempo de não conformidade.
  • Aumento de taxas de processamento pela adquirente.
  • Suspensão da capacidade de processar cartões — fim da operação.
  • Responsabilidade civil em caso de vazamento, incluindo class actions, indenizações e custos forenses.
  • Sanções da ANPD sob a LGPD: multa de até 2% do faturamento, limitada a R$ 50 milhões por infração.
  • Custo reputacional: empresas com vazamento de cartão perdem clientes em escala material.
  • Investigação forense PFI obrigatória após vazamento, custeada pela empresa.
Lições de campo

10 erros mais comuns que vemos como auditores

Em mais de uma década auditando empresas brasileiras, esses são os erros recorrentes que travam certificações:

  1. 1PAN em logs de aplicação ou debug — dump completo escrito em log sem mascaramento.
  2. 2CVV armazenado em banco de dados — violação automática, mesmo criptografado.
  3. 3Compartilhamento de credenciais administrativas entre time de TI ou DevOps.
  4. 4MFA ativo apenas para acesso remoto — com a v4.0.1 precisa ser universal no CDE.
  5. 5Backup sem criptografia com PAN em texto claro.
  6. 6Sem inventário formal de ativos do CDE — não se sabe exatamente o que está no escopo.
  7. 7Segmentação assumida, não testada — porta aberta entre redes na prática.
  8. 8Política existindo apenas no PDF — sem evidência operacional de aplicação.
  9. 9Treinamento anual de conscientização não documentado.
  10. 10Gestão de fornecedores ausente — não exigir AOC dos prestadores que tocam dados de cartão.
Análise gratuita

Comece pela GAP Analysis sem custo

Em até 5 dias úteis, mapeamos sua operação contra os 12 requisitos da PCI DSS v4.0.1, identificamos o SAQ ou ROC aplicável e entregamos um plano realista de certificação. Diferente da maioria dos QSAs, não cobramos por esta etapa.

Solicitar GAP gratuita
Perguntas frequentes

FAQ

O que significa PCI DSS?
PCI DSS é a sigla de Payment Card Industry Data Security Standard, ou "Padrão de Segurança de Dados da Indústria de Cartões de Pagamento". É a norma global mantida pelo PCI Security Standards Council que define como toda empresa que armazena, processa ou transmite dados de cartão deve proteger esses dados.
Qual é a versão atual do PCI DSS em 2026?
A versão vigente em maio de 2026 é a PCI DSS v4.0.1, obrigatória desde 31 de março de 2025. Todos os 51 requisitos antes "future-dated" já são plenamente aplicáveis.
Quem precisa ser PCI DSS?
Toda organização que armazena, processa ou transmite dados de cartão — independentemente de tamanho ou número de transações. Inclui e-commerces, adquirentes, sub-adquirentes, bancos, fintechs, call centers, agências de turismo, embossing, gateways, processadoras e cloud providers que tocam dados de cartão.
Quais são os 12 requisitos do PCI DSS?
São 12 controles agrupados em 6 objetivos: construir e manter redes seguras (Req. 1–2), proteger os dados da conta (Req. 3–4), gestão de vulnerabilidades (Req. 5–6), controles de acesso (Req. 7–9), monitorar e testar redes (Req. 10–11) e política organizacional (Req. 12). Detalhamos cada um aqui.
O que é um QSA e como saber se é credenciado?
QSA (Qualified Security Assessor) é o auditor credenciado pelo PCI SSC para conduzir auditorias PCI DSS de Nível 1 e emitir ROC e AOC. A lista oficial está publicada no diretório Qualified Security Assessors do PCI SSC. A Access Security está nesse diretório oficial e também integra o Brazil Regional Engagement Board (REB) do conselho.
O que é o Brazil REB do PCI SSC?
O Brazil Regional Engagement Board (REB) é um conselho consultivo estabelecido pelo PCI Security Standards Council em 2018 — o primeiro REB do mundo. Reúne stakeholders do ecossistema de pagamentos do Brasil e da América Latina para aconselhar o PCI SSC sobre prioridades, padrões e tradução de documentos para o português. A Access Security é uma das empresas participantes do mandato 2026-2027.
Como os níveis PCI DSS funcionam para cada bandeira?
As bandeiras de cartão definem programas próprios alinhados ao PCI DSS para classificar e fiscalizar a conformidade dos estabelecimentos e prestadores de serviço. Os principais são: Visa AIS (Account Information Security) e Mastercard SDP (Site Data Protection). American Express, Discover e JCB têm programas equivalentes. Em geral, os limites convergem, mas há pequenas diferenças por bandeira — a sua adquirente pode confirmar qual nível se aplica à sua operação.
Qual a diferença entre SAQ, AOC e ROC?
SAQ é a autoavaliação preenchida pela empresa (9 tipos disponíveis). AOC é o atestado de conformidade de uma página. ROC é o relatório completo exigido em Nível 1, elaborado apenas por QSA.
Qual a diferença entre ASV e QSA?
ASV (Approved Scanning Vendor) é o fornecedor homologado para realizar scans externos trimestrais. QSA é o auditor que conduz a auditoria completa e emite o ROC.
O PCI DSS é obrigatório no Brasil?
Não é uma lei brasileira, mas é exigência contratual das bandeiras, adquirentes e sub-adquirentes. Quem opera com cartão sem conformidade fica sujeito a multas contratuais, suspensão da operação e responsabilização sob a LGPD em caso de vazamento.
Quanto tempo leva uma auditoria PCI DSS?
Para um SAQ simples, 30 a 60 dias. Para um ROC Nível 1 completo, 6 a 12 meses dependendo da maturidade inicial. Recertificações anuais de clientes já certificados costumam levar 30 a 90 dias.
A AOC PCI DSS é anual?
Sim. A conformidade PCI DSS precisa ser revalidada anualmente, com nova AOC emitida a cada ciclo. Durante o ano, scans ASV são trimestrais, scans internos trimestrais, e pentests anuais (semestrais para pentest de segmentação em service providers).
Posso ser PCI DSS sem QSA?
Sim — se você é Nível 2, 3 ou 4 e o seu SAQ é elegível para autoavaliação. Mas mesmo nesses casos, a maior parte das empresas contrata um QSA como consultor para fazer o GAP analysis, implementação e validação do SAQ.
Sobre o autor
Equipe de Auditoria QSA — Access Security

Empresa brasileira QSA acreditada pelo PCI Security Standards Council, listada no diretório oficial de Qualified Security Assessors e participante do Brazil Regional Engagement Board (REB) — o primeiro conselho regional do PCI SSC no mundo, criado em 2018 para aconselhar diretamente o conselho sobre o ecossistema de pagamentos no Brasil e na América Latina.

Mais de uma década auditando emissores de cartão, adquirentes, sub-adquirentes, bancos, fintechs, agentes de turismo, call centers e empresas de embossing no Brasil. Reconhecida nos programas Visa AIS e Mastercard SDP.

QSA listada PCI SSCBrazil REB do PCI SSC
Ver blogServiços PCI DSSComo funciona a auditoria