Por Guilherme Scheibe *
À medida que as tecnologias evoluem, as ameaças se tornam mais sofisticadas e novos vetores de ataque passam a existir, exigindo uma revisão constante dos mecanismos de defesa. Manter-se à frente desse processo é uma tarefa colaborativa, coordenada pelo Payment Card Industry Security Standards Council (PCI SSC), responsável pelos padrões de segurança utilizados na indústria de meios de pagamento.
Hoje, o Payment Card Industry Data Security Standard, ou PCI DSS, é o padrão de referência na indústria de meios de pagamento para todas as organizações que processam, transmitem ou armazenam dados de cartões de pagamento, além daquelas que utilizam seus requisitos como baseline para seus processos de segurança. Embora se mantenha sólido, o PCI DSS precisa ser revisto periodicamente para acompanhar novas tecnologias e ameaças. Mais do que isso, é preciso pensar mais à frente, considerar os diferentes cenários encontrados globalmente e observar as necessidades específicas de cada região.
Apesar de coordenado pelo PCI SSC, esse trabalho não é realizado de forma isolada. Ele depende da participação ativa do ecossistema de meios de pagamento, formado por organizações e profissionais que utilizam, implementam, avaliam e mantêm esses requisitos diariamente. Atualizar um padrão de segurança global exige, como ponto central, a colaboração da indústria, ampliando a visibilidade e o conhecimento a partir da experiência de organizações e especialistas de todo o mundo, inclusive no Brasil.
O próximo PCI DSS
No último dia 3 de junho, o PCI SSC abriu a primeira RFC (Request for Comments) para a construção da próxima versão do PCI DSS. A RFC é um processo estruturado no qual stakeholders podem enviar comentários sobre padrões novos ou existentes. Na prática, trata-se de uma oportunidade para que as organizações compartilhem suas percepções sobre o padrão. Esse processo é uma das formas pelas quais o PCI SSC promove a colaboração da indústria no desenvolvimento e na manutenção dos seus padrões. Mais do que uma consulta, a RFC permite que a experiência prática dos diferentes participantes do ecossistema de pagamentos seja considerada.
Para o PCI DSS, essa colaboração é especialmente relevante. Seus controles são aplicados por organizações de diferentes portes, setores e níveis de complexidade, incluindo comércios, emissores, adquirentes, processadores, prestadores de serviço, fintechs e fornecedores de tecnologia. Cada uma dessas organizações observa desafios distintos na implementação e na manutenção da conformidade. A participação na RFC contribui para que o padrão reflita melhor a realidade do mercado, tornando-o mais claro, aplicável e eficaz.
Também é importante destacar que a RFC não deve ser vista apenas como um mecanismo técnico. Ela é, acima de tudo, um processo de governança colaborativa. A indústria de pagamentos é global, diversa e altamente dinâmica. Por isso, a evolução dos padrões precisa considerar diferentes perspectivas, realidades regionais, modelos de negócio e níveis de maturidade.
A primeira RFC do PCI DSS é aberta, ou seja, podem ser enviados todos os comentários considerados relevantes pelas organizações elegíveis em relação a versão atual, o PCI DSS v4.0.1. Isso inclui, por exemplo, considerações sobre novos ataques ou tecnologias, novos requisitos, mudanças em requisitos atuais, aplicabilidade e orientações adicionais.
Uma vez encerrada a fase de envio de comentários, todos são tratados com o mesmo rigor. O trabalho que sucede a RFC envolve uma revisão detalhada e a classificação dos comentários recebidos. Isso ajuda a compreender melhor o direcionamento do mercado, identificar os pontos mais citados e até observar comentários divergentes. Pode acontecer, por exemplo, que em determinada região ou indústria um requisito seja considerado muito restritivo, enquanto em outra haja demanda para que esse mesmo requisito seja aprimorado, tornando-o mais robusto ou contemplando aspectos adicionais. Para se ter uma ideia do volume desse processo, nas três rodadas de RFC para o desenvolvimento do PCI DSS 4.0 houve mais de 6 mil comentários, todos revisados e discutidos pelos grupos de trabalho.
Durante a primeira fase, o PCI SSC trabalha com seus stakeholders para desenvolver a primeira versão de rascunho do novo padrão. Esse é um processo bastante detalhado, que requer a dedicação de uma equipe interna e de participantes dos grupos de trabalho. Uma vez concluída, essa versão é disponibilizada aos stakeholders para uma nova rodada de comentários. A diferença, nesse caso, é que as organizações passam a ter acesso ao rascunho do novo padrão e podem enviar sugestões diretamente sobre as mudanças propostas. Se necessário, outras rodadas de RFC podem ocorrer até que o padrão chegue ao seu formato final e seja publicado para todo o mercado.
Quem pode colaborar?
Para participar do processo de RFC, é necessário ser uma Organização Participante. Essas são organizações registradas como membros junto ao PCI SSC e que contribuem para a segurança dos meios de pagamento. O programa de Organizações Participantes oferece uma série de benefícios, incluindo a possibilidade de participar de diversas iniciativas promovidas pelo PCI SSC. Também podem participar os Internal Security Assessors e organizações enquadradas em outras categorias válidas.
O Brasil ocupa uma posição relevante no ecossistema global de pagamentos, refletida em sua liderança de participação junto ao PCI SSC na América Latina, com diversas organizações atuantes por meio do Regional Engagement Board e presença nos eventos globais do Conselho, os Community Meetings.
O mercado brasileiro combina inovação, escala, diversidade de participantes e adoção acelerada de novas tecnologias. Essa realidade traz oportunidades, mas também desafios importantes para a proteção de dados de pagamento. Quanto mais organizações da região participam, maior é a chance de que a evolução dos padrões considere também a realidade dos mercados locais. Isso fortalece não apenas o processo global, mas também a maturidade da segurança de pagamentos na região.
Dentro do programa de participação, o Brasil possui uma condição específica, sendo considerado no grupo “Todas as demais categorias”, de acordo com a definição do Banco Mundial. Essa condição reforça a oportunidade para que mais organizações brasileiras participem das iniciativas do PCI SSC e contribuam de forma ativa para a evolução dos padrões.
É preciso ajustar o ambiente agora?
Nenhuma mudança nos padrões do PCI SSC é feita sem planejamento. Na última grande atualização do PCI DSS, o período entre a primeira RFC e a publicação da versão final foi superior a um ano. Esse tempo é necessário para cumprir todas as etapas da revisão e garantir que a versão final seja a melhor possível.
Além disso, existem vários processos e materiais que precisam ser atualizados juntamente com uma nova versão, como documentos de apoio, modelos de relatórios e treinamentos. A mudança de um padrão é apenas uma etapa de um processo maior, que inclui todos os elementos da família de padrões à qual ele faz parte.
Todas as mudanças também são comunicadas previamente, assim como os prazos de entrada em vigor do novo padrão e de encerramento da validade da versão anterior. Para se ter uma ideia, quando o PCI DSS 4.0 foi lançado, em meados de 2022, ele só se tornou obrigatório em 2024, e os novos requisitos passaram a ser exigidos em 2025. Com isso, as organizações tiveram tempo para se planejar e tomar as melhores decisões em relação aos seus ambientes.
Portanto, o momento atual não exige mudanças imediatas nos ambientes, mas reforça a importância de acompanhar o processo, participar das oportunidades de contribuição e preparar as equipes para compreender os impactos das futuras atualizações.
Capacitação como parte da evolução
Para os programas internos de PCI, a capacitação das equipes é essencial. Profissionais que entendem o PCI DSS em profundidade conseguem apoiar melhor os processos de avaliação, atuar de forma mais eficiente com assessores externos, identificar impactos de implementação e, claro, contribuir de forma mais objetiva durante os processos de RFC. Esses profissionais também possuem maior clareza para avaliar os novos requisitos propostos e compreender seus impactos nos ambientes das organizações.
Nesse contexto, o treinamento Internal Security Assessor (ISA) tem um papel importante. Ele foi desenvolvido para capacitar profissionais internos das organizações a compreender melhor o PCI DSS e apoiar a gestão contínua da conformidade.
Em 20 e 21 de agosto, o PCI SSC realizará o treinamento ISA em São Paulo, com conteúdo em português e condições exclusivas. A iniciativa representa uma oportunidade para as organizações fortalecerem seu conhecimento interno, prepararem melhor suas equipes e ampliarem sua participação nas discussões que moldam o futuro da segurança dos pagamentos.
Mais detalhes:
Processo de RFC (PTBR): https://www.pcisecuritystandards.org/pt/get_involved/request_for_comments/
Conheça o programa de Organizações Participantes (PTBR): https://www.pcisecuritystandards.org/pt/get_involved/participation/
Organizações Participantes Associadas (PTBR): https://www.pcisecuritystandards.org/pt/get_involved/participation/associate-po/
Capacitação ISA (EN): https://www.pcisecuritystandards.org/program_training_and_qualification/internal_security_assessor_certification/

* Guilherme Scheibe é diretor regional para Brasil e América Latina do PCI Council