O PCI DSS (Payment Card Industry Data Security Standard), principal padrão global de segurança para a indústria de cartões, entrou em uma nova fase de evolução com a versão 4.0.1, em vigor desde março de 2025. Com 64 novos requisitos, a atualização impacta diretamente as instituições que processam, armazenam ou transmitem dados de cartão, estabelecendo parâmetros mais robustos de proteção para o setor de pagamentos.
“Essa é uma atualização que reforça o compromisso da indústria com a mitigação de riscos emergentes. Com a obrigatoriedade da versão 4.0.1, todos os requisitos passam a valer. Isso significa ambientes mais seguros e processos mais estruturados”, explica Guilherme Scheibe, diretor regional do PCI Security Standards Council para o Brasil e América Latina.
PCI: o padrão que unificou a segurança no ecossistema de pagamentos
Criado em 2006 por cinco grandes bandeiras de atuação global; Mastercard, Visa, American Express, Discover e JCB, o PCI Council surgiu para consolidar um padrão único de segurança no ecossistema de meios eletrônicos de pagamento, substituindo os requisitos individuais de cada operadora.
DSS: principal padrão de segurança. O Payment Card Industry Data Security Standard – ou PCI DSS – se firmou como o padrão de segurança mais utilizado no mundo e válido para todas as empresas que lidam com dados de cartão, independentemente do porte ou modelo de negócio. Além do DSS, o PCI desenvolveu outros 14 padrões, como o PCI PTS (PIN Transaction Security), aplicável aos terminais de pagamento. “Hoje, o PCI publica padrões que cobrem todo o ecossistema de pagamentos: softwares, dispositivos móveis e e-commerces”, afirma o diretor do PCI Guilherme Scheibe.
PCI DSS 4.0.1: novos requisitos, nova exigência de conformidade
A publicação da versão 4.0 do PCI DSS ocorreu em 2022 e sua implementação foi finalizada em abril/25 – até 31 de março de 2025, todas as 64 atualizações passaram a ser obrigatórias. A atualização 4.0.1 não altera os fundamentos da versão 4.0, somente ajusta interpretações e esclarece dúvidas, segundo o diretor do Council.
Para combater o phishing. Entre as mudanças mais relevantes da versão 4.0 está a expansão de requisitos que antes eram exclusivos de provedores de serviço, mas que agora se aplicam a todo o mercado. Um exemplo é o combate a ataques de phishing que, na nova versão, deve englobar a implementação de soluções automatizadas, além do treinamento contínuo de equipes. “O phishing se tornou um problema transversal. Por isso, o novo requisito estabelece o uso simultâneo de soluções técnicas e capacitação humana”, pontua Scheibe.
Além de fortalecer os requisitos de segurança e exigir novas medidas contra fraudes, a versão 4.0.1 do PCI DSS traz mais clareza técnica para quem precisa se adaptar. Em termos práticos, ela representa:
- ambientes mais seguros
- processos de escopo e conformidade mais maduros
- integração de soluções técnicas com recursos humanos
- reforço à integridade de ambientes digitais
- proteção específica contra phishing
- participação mais ativa de todos os players, independentemente do porte
“O PCI DSS é uma ferramenta que, ao longo dos anos, tem contribuído para a redução das fraudes no setor. Em 2024, o Monitor Fraudes da Abecs registrou queda de 18% no índice de fraudes com cartões. É um impacto direto da evolução constante desses padrões”, frisa Fidel Beraldi, diretor de Customer Compliance & Fraud da Mastercard e coordenador do Fórum de Segurança e Prevenção a Fraudes da Abecs.
Ambientes de e-commerce e novos controles técnicos
Outra mudança significativa da mais recente atualização está no reforço à segurança em ambientes de comércio eletrônico. Agora, as empresas devem implementar soluções técnicas que garantam a integridade de suas páginas de pagamento, especialmente frente à crescente sofisticação de ataques em ambientes online.
“Esse reforço é estratégico. O comércio eletrônico é hoje um ambiente vulnerável e dinâmico, por isso a exigência de mecanismos de monitoramento e validação técnica contínuos”, complementa Scheibe.
Como o PCI é estruturado e aplicado na prática
O PCI foi desenvolvido com base em três pilares: foco na indústria, visibilidade futura e colaboratividade. Essa última característica é um dos destaques do trabalho do Council, que busca antecipar ameaças e consolidar boas práticas com base em feedbacks globais e regionais. No Brasil, desde 2017, existem os Regional Engagement Boards, que se reúnem trimestralmente com o Conselho para tratar de temas locais.
Requisito de segurança. Hoje, cerca de 700 organizações globais participam do PCI Council, incluindo bandeiras de cartões e entidades de auditoria. A aplicação prática dos padrões é feita por meio de auditorias e autoavaliações. Uma das ferramentas mais utilizadas para isso é o PCI SAQ (Self-Assessment Questionnaire), adaptado ao volume de transações e ao tipo de ambiente operacional das empresas. Apesar de ser amplamente adotado, o PCI não é regulatório. Ele não exige certificações obrigatórias, mas as bandeiras podem aplicá-lo como requisito. Empresas que não mantêm suas certificações atualizadas podem sofrer penalidades ou até mesmo serem impedidas de atuar no ecossistema de cartões.
”O PCI, por meio da versão mais recente do DSS, marca uma nova etapa na proteção do ecossistema de pagamentos, com diretrizes mais completas, abrangentes e atualizadas. Ao exigir mais das empresas, ela também fortalece a resiliência do sistema”, conclui Scheibe.
Por Panorama