{"id":811807,"date":"2026-05-26T10:25:44","date_gmt":"2026-05-26T10:25:44","guid":{"rendered":"https:\/\/www.ninjaone.com\/?post_type=content_hub&#038;p=811807"},"modified":"2026-05-26T10:25:44","modified_gmt":"2026-05-26T10:25:44","slug":"o-que-e-conformidade-com-a-pci","status":"publish","type":"content_hub","link":"https:\/\/www.ninjaone.com\/pt-br\/it-hub\/seguranca-de-endpoints\/o-que-e-conformidade-com-a-pci\/","title":{"rendered":"O que \u00e9 conformidade com a PCI?"},"content":{"rendered":"<p>\u00c0 medida que os sistemas de pagamento digital se tornam mais populares, tamb\u00e9m aumentam as amea\u00e7as contra eles. Se a sua organiza\u00e7\u00e3o aceita, processa, armazena ou transmite dados de cart\u00e3o de cr\u00e9dito de qualquer forma, voc\u00ea deve seguir um conjunto de padr\u00f5es de seguran\u00e7a conhecido como\u00a0<strong>Payment Card Industry (PCI) compliance<\/strong>.<\/p>\n<p>Neste guia abrangente, discutimos o que significa a conformidade com a PCI, por que ela \u00e9 importante (especialmente para MSPs com clientes no setor financeiro), como se tornar compat\u00edvel e o que acontece se voc\u00ea n\u00e3o seguir as regras.<\/p>\n<p><strong>O que este artigo abordar\u00e1:<\/strong><\/p>\n<ul>\n<li><strong>O que \u00e9 conformidade com a PCI?<\/strong><\/li>\n<li><strong>PCI DSS v.4.0: O que h\u00e1 de novo e qual vers\u00e3o voc\u00ea deve seguir?<\/strong><\/li>\n<li><strong>Quem deve seguir a conformidade com a PCI?\u00a0<\/strong><\/li>\n<li><strong>Por que a conformidade com a PCI \u00e9 importante?<\/strong><\/li>\n<li><strong>Os 7 princ\u00edpios fundamentais do PCI DSS\u00a0<\/strong><\/li>\n<li><strong>O que \u00e9 a certifica\u00e7\u00e3o de conformidade com a PCI?<\/strong><\/li>\n<li><strong>Como se tornar compat\u00edvel com a PCI?<\/strong><\/li>\n<li><strong>Requisitos de conformidade com a PCI<\/strong><\/li>\n<li><strong>Lista de verifica\u00e7\u00e3o de conformidade com a PCI<\/strong><\/li>\n<li><strong>O que acontece se voc\u00ea n\u00e3o estiver em conformidade com o PCI DSS?\u00a0<\/strong><\/li>\n<li><strong>Benef\u00edcios da conformidade com a PCI<\/strong><\/li>\n<li><strong>Desafios da conformidade com a PCI<\/strong><\/li>\n<li><strong>Perguntas frequentes (FAQs)<\/strong><\/li>\n<\/ul>\n<h2>O que \u00e9 conformidade com a PCI?<\/h2>\n<p><span style=\"font-weight: 400;\">A conformidade com a PCI refere-se \u00e0 ades\u00e3o ao Padr\u00e3o de Seguran\u00e7a de Dados do Setor de Cart\u00f5es de Pagamento (PCI DSS), um conjunto de padr\u00f5es de seguran\u00e7a criado para proteger informa\u00e7\u00f5es confidenciais de cart\u00f5es de pagamento durante as transa\u00e7\u00f5es. Esses padr\u00f5es foram estabelecidos pelo Payment Card Industry Security Standards Council (PCI SSC), fundado pelas principais empresas de cart\u00e3o de cr\u00e9dito, como Visa, MasterCard, American Express, Discover e JCB International, para garantir o manuseio seguro dos dados do titular do cart\u00e3o.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Criado em 2006, o PCI DSS, ou simplesmente PCI, ajuda a manter a seguran\u00e7a da conta durante todo o processo de transa\u00e7\u00e3o, aumenta o controle sobre os dados do titular do cart\u00e3o\u00a0para reduzir fraudes com cart\u00f5es de cr\u00e9dito e melhorar a <\/span><a href=\"https:\/\/www.ninjaone.com\/blog\/what-is-compliance-management-definition-importance\/\"><span style=\"font-weight: 400;\">o gerenciamento da conformidade<\/span><\/a><span style=\"font-weight: 400;\">.\u00a0<\/span><\/p>\n<h2>PCI DSS v.4.0: O que h\u00e1 de novo e qual vers\u00e3o voc\u00ea deve seguir?<\/h2>\n<p>O PCI DSS 4.0, lan\u00e7ado em mar\u00e7o de 2022, \u00e9 a vers\u00e3o mais recente do padr\u00e3o. Ele representa uma evolu\u00e7\u00e3o significativa em rela\u00e7\u00e3o ao PCI DSS 3.2.1, pois introduz uma abordagem mais flex\u00edvel e personalizada para atender e manter a conformidade. Dessa forma, ele enfatiza mais a seguran\u00e7a cont\u00ednua e aborda melhor as amea\u00e7as modernas.<\/p>\n<p>Voc\u00ea pode ver todas as altera\u00e7\u00f5es na<a href=\"https:\/\/east.pcisecuritystandards.org\/document_library\" target=\"_blank\" rel=\"noopener\">Biblioteca de Documentos PCI oficial do site<\/a>\u00a0, mas algumas das principais altera\u00e7\u00f5es incluem:<\/p>\n<ul>\n<li>Valida\u00e7\u00e3o personalizada: As organiza\u00e7\u00f5es podem implementar controles alternativos para atender aos objetivos de seguran\u00e7a, desde que possam justificar sua efic\u00e1cia.<\/li>\n<li>Requisitos de autentica\u00e7\u00e3o ampliados: Requisitos mais rigorosos para autentica\u00e7\u00e3o multifatorial (MFA) em pontos de acesso administrativos e remotos.<\/li>\n<li>Criptografia e gerenciamento de chaves aprimorados: Controles mais r\u00edgidos sobre como os dados confidenciais s\u00e3o criptografados, armazenados e transmitidos.<\/li>\n<li>Frequ\u00eancia de testes aprimorada: Incentiva a realiza\u00e7\u00e3o de testes mais frequentes e a valida\u00e7\u00e3o da seguran\u00e7a em tempo real.<\/li>\n<\/ul>\n<p>\u26a0\ufe0f\u00a0<strong>O PCI DSS 3.2.1 foi oficialmente retirado em mar\u00e7o de 2024. As organiza\u00e7\u00f5es devem estar em conformidade com o 4.0 agora.\u00a0<\/strong><\/p>\n<h2>Quem deve seguir a conformidade com a PCI?<\/h2>\n<p>A conformidade com a PCI \u00e9 frequentemente associada a marcas de varejo ou empresas de com\u00e9rcio eletr\u00f4nico, mas seu escopo \u00e9 muito mais amplo.<\/p>\n<p>A conformidade com a PCI afeta:<\/p>\n<ul>\n<li><strong>Comerciantes:\u00a0<\/strong>Isso inclui qualquer empresa ou organiza\u00e7\u00e3o que aceite pagamentos com cart\u00e3o, seja on-line, na loja, por telefone ou por meio de aplicativos m\u00f3veis. Mesmo os pequenos comerciantes com baixo volume de transa\u00e7\u00f5es devem cumprir os requisitos do PCI DSS para garantir a seguran\u00e7a dos dados do titular do cart\u00e3o do cliente.<\/li>\n<li><strong>Prestadores de servi\u00e7os:\u00a0<\/strong>As empresas que armazenam, processam ou transmitem dados do titular do cart\u00e3o em nome de terceiros, como processadores de pagamento, data centers ou provedores de hospedagem, s\u00e3o consideradas prestadoras de servi\u00e7os e devem seguir os padr\u00f5es da PCI.<\/li>\n<li><strong>Provedores de servi\u00e7os gerenciados (MSPs):<\/strong>\u00a0Os MSPs que gerenciam a infraestrutura de TI de clientes que lidam com dados de titulares de cart\u00f5es tamb\u00e9m est\u00e3o sujeitos aos requisitos do PCI DSS. Mesmo que n\u00e3o processem diretamente os pagamentos com cart\u00e3o, geralmente t\u00eam acesso a sistemas e redes que o fazem, o que torna a conformidade fundamental.<\/li>\n<li><strong>Profissionais de TI:<\/strong>\u00a0Qualquer pessoa encarregada de configurar ou gerenciar redes, endpoints ou servidores em um ambiente de pagamento deve garantir que seus sistemas atendam aos requisitos da PCI, desde<a href=\"https:\/\/www.ninjaone.com\/pt-br\/blog\/o-que-e-um-firewall\/\">firewalls<\/a>\u00a0\u00a0at\u00e9 protocolos de criptografia.<\/li>\n<li><strong>Fornecedores e desenvolvedores de software:\u00a0<\/strong>Se voc\u00ea desenvolve sistemas de ponto de venda (POS), plataformas de com\u00e9rcio eletr\u00f4nico ou aplicativos relacionados a pagamentos, deve garantir que seu software atenda aos requisitos do PCI DSS. Uma vulnerabilidade em seu software pode expor milhares de empresas a riscos.<\/li>\n<li><strong>Processadores de pagamento de terceiros:\u00a0<\/strong>Embora muitas empresas terceirizem o processamento de pagamentos para servi\u00e7os de terceiros, como Stripe, Square ou PayPal, esses pr\u00f3prios provedores devem manter a conformidade com a PCI. Al\u00e9m disso, os comerciantes que usam esses servi\u00e7os ainda mant\u00eam a responsabilidade compartilhada pela prote\u00e7\u00e3o de dados.<\/li>\n<\/ul>\n<p>\u26a0\ufe0f\u00a0<em>Vale a pena observar que o PCI DSS \u00e9 um padr\u00e3o de seguran\u00e7a internacional. Isso significa que ela n\u00e3o se limita a nenhum pa\u00eds ou regi\u00e3o espec\u00edfica e \u00e9 aplicada em todo o mundo.\u00a0<\/em><\/p>\n<h2>Por que a conformidade com a PCI \u00e9 importante?<\/h2>\n<p>Muito tem sido dito sobre o fato<a href=\"https:\/\/www2.deloitte.com\/content\/dam\/insights\/us\/articles\/data-as-the-new-currency\/DR13_data_as_the_new_currency2.pdf\" target=\"_blank\" rel=\"noopener\">de os dados<\/a>\u00a0<a href=\"https:\/\/www2.deloitte.com\/content\/dam\/insights\/us\/articles\/data-as-the-new-currency\/DR13_data_as_the_new_currency2.pdf\" target=\"_blank\" rel=\"noopener\">serem a nova moeda<\/a>\u00a0nesta era digital. Mas e quanto aos dados\u00a0<em>na<\/em>moeda\u00a0? A import\u00e2ncia da conformidade com a PCI vai muito al\u00e9m das caixas de sele\u00e7\u00e3o regulamentares. Ele ajuda as organiza\u00e7\u00f5es:<\/p>\n<ul>\n<li>Proteja dados de pagamento confidenciais contra viola\u00e7\u00f5es e roubos.<\/li>\n<li>Conquistar a confian\u00e7a de clientes, consumidores e parceiros, demonstrando compromisso com a prote\u00e7\u00e3o de dados.<\/li>\n<li>Evite multas e penalidades que podem ser financeiramente devastadoras.<\/li>\n<li>Evite consequ\u00eancias legais e danos \u00e0 reputa\u00e7\u00e3o decorrentes de<a href=\"https:\/\/www.ninjaone.com\/it-hub\/seguranca-de-endpoints\/what-is-a-data-breach\/\">viola\u00e7\u00f5es de dados do<\/a>\u00a0.<\/li>\n<li>Melhore a postura de seguran\u00e7a alinhando-se \u00e0s pr\u00e1ticas recomendadas amplamente aceitas.<\/li>\n<\/ul>\n<p>Com o aumento exponencial das transa\u00e7\u00f5es digitais, \u00e9 fundamental garantir a seguran\u00e7a dos dados confidenciais do titular do cart\u00e3o. A ades\u00e3o \u00e0 conformidade com a PCI evita viola\u00e7\u00f5es de dados, reduz o risco de perdas financeiras e refor\u00e7a a confian\u00e7a do cliente. Os clientes est\u00e3o mais propensos a fazer neg\u00f3cios com organiza\u00e7\u00f5es que priorizam a seguran\u00e7a dos dados.<\/p>\n<p>Al\u00e9m disso, a conformidade com o PCI DSS \u00e9 obrigat\u00f3ria para qualquer organiza\u00e7\u00e3o que lide com dados do titular do cart\u00e3o. Um dos padr\u00f5es do PCI \u00e9 o\u00a0<a href=\"https:\/\/www.ninjaone.com\/it-hub\/seguranca-de-endpoints\/what-is-pa-dss\/\">PA-DSS,<\/a>\u00a0que garante que os fornecedores que desenvolvem aplicativos de pagamento para terceiros n\u00e3o armazenem informa\u00e7\u00f5es confidenciais de cart\u00e3o de cr\u00e9dito. O n\u00e3o cumprimento pode resultar em multas e penalidades pesadas e na poss\u00edvel perda da capacidade de processar pagamentos com cart\u00e3o. Portanto, a conformidade com a PCI \u00e9 fundamental para manter a reputa\u00e7\u00e3o, a estabilidade financeira e o relacionamento com os clientes de uma organiza\u00e7\u00e3o.<\/p>\n<h2>Os 7 princ\u00edpios fundamentais do PCI DSS<\/h2>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\"size-full wp-image-461205 aligncenter\" src=\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2023\/11\/N1-0921-What-Is-PCI-Compliance_-Blog-Optimization-graphic3.png\" alt=\"Os 7 princ\u00edpios fundamentais do PCI DSS\" width=\"808\" height=\"737\" srcset=\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2023\/11\/N1-0921-What-Is-PCI-Compliance_-Blog-Optimization-graphic3.png 808w, https:\/\/www.ninjaone.com\/wp-content\/uploads\/2023\/11\/N1-0921-What-Is-PCI-Compliance_-Blog-Optimization-graphic3-300x274.png 300w, https:\/\/www.ninjaone.com\/wp-content\/uploads\/2023\/11\/N1-0921-What-Is-PCI-Compliance_-Blog-Optimization-graphic3-768x701.png 768w\" sizes=\"(max-width: 808px) 100vw, 808px\" \/><\/p>\n<p>O PCI DSS foi criado com base em um conjunto de princ\u00edpios fundamentais que apoiam o desenvolvimento de um ambiente seguro para os dados do titular do cart\u00e3o. Listamos sete deles.<\/p>\n<h3>1. Criar e manter uma rede segura<\/h3>\n<p>Roteadores e<a href=\"https:\/\/www.ninjaone.com\/blog\/what-is-a-firewall-configuration\/\">configura\u00e7\u00f5es de firewall<\/a>\u00a0\u00a0formam a primeira linha de defesa contra criminosos cibern\u00e9ticos. Esse princ\u00edpio enfatiza a preven\u00e7\u00e3o do acesso n\u00e3o autorizado aos ambientes de dados do titular do cart\u00e3o, protegendo os pontos de entrada e a infraestrutura da rede.<\/p>\n<h3>2. Proteger os dados do titular do cart\u00e3o<\/h3>\n<p>Os dados do titular do cart\u00e3o devem ser criptografados em tr\u00e2nsito e\u00a0<a href=\"https:\/\/www.ninjaone.com\/it-hub\/gerenciamento-de-endpoints\/what-is-data-at-rest\/\">em repouso<\/a>. A prote\u00e7\u00e3o desses dados garante que, mesmo que sejam interceptados ou acessados por pessoas n\u00e3o autorizadas, eles n\u00e3o poder\u00e3o ser usados de forma maliciosa.<\/p>\n<h3>3. Manter um programa de gerenciamento de vulnerabilidades<\/h3>\n<p>Atualiza\u00e7\u00f5es regulares de software antiv\u00edrus, sistemas operacionais e aplicativos ajudam na defesa contra amea\u00e7as conhecidas. Uma abordagem estruturada para o<a href=\"https:\/\/www.ninjaone.com\/pt-br\/blog\/o-que-e-gerenciamento-de-vulnerabilidades\/\">gerenciamento de vulnerabilidades<\/a>\u00a0\u00a0minimiza o risco de explora\u00e7\u00e3o devido a sistemas desatualizados ou sem patches. Voc\u00ea tamb\u00e9m pode considerar uma ferramenta de gerenciamento e atenua\u00e7\u00e3o de vulnerabilidades, como o\u00a0NinjaOne\u00a0, para ajud\u00e1-lo a identificar e resolver rapidamente os problemas de aplica\u00e7\u00e3o de patches nos endpoints.<\/p>\n<h3>4. Implemente medidas rigorosas de controle de acesso<\/h3>\n<p>Somente o pessoal autorizado deve ter acesso aos dados do titular do cart\u00e3o. Os controles de acesso devem ser baseados no<a href=\"https:\/\/www.ninjaone.com\/it-hub\/seguranca-de-endpoints\/what-is-least-privilege-access\/\">princ\u00edpio<\/a>\u00a0<a href=\"https:\/\/www.ninjaone.com\/it-hub\/seguranca-de-endpoints\/what-is-least-privilege-access\/\">do menor privil\u00e9gio<\/a>, com mecanismos como permiss\u00f5es baseadas em fun\u00e7\u00f5es para limitar o acesso.<\/p>\n<h3>5. Monitorar e testar regularmente as redes<\/h3>\n<p>As redes de monitoramento e teste cont\u00ednuos ajudam a identificar poss\u00edveis viola\u00e7\u00f5es antecipadamente. Registros,\u00a0<a href=\"https:\/\/www.ninjaone.com\/it-hub\/seguranca-de-endpoints\/what-is-vulnerability-scanning\/\">varreduras de vulnerabilidade<\/a> e\u00a0<a href=\"https:\/\/www.ninjaone.com\/blog\/what-is-penetration-testing\/\">testes de penetra\u00e7\u00e3o<\/a>\u00a0fornecem visibilidade e ajudam as organiza\u00e7\u00f5es a verificar se os controles de seguran\u00e7a est\u00e3o funcionando conforme o esperado.\u00a0<em>Recomendamos a leitura deste guia, &#8220;<\/em><a href=\"https:\/\/www.ninjaone.com\/blog\/penetration-testing-vs-vulnerability-scanning\/\"><em>Teste de penetra\u00e7\u00e3o vs. varredura de vulnerabilidade<\/em><\/a><em>&#8221; como um recurso adicional.\u00a0<\/em><\/p>\n<h3>6. Manter uma pol\u00edtica de seguran\u00e7a da informa\u00e7\u00e3o<\/h3>\n<p>Uma pol\u00edtica documentada em toda a organiza\u00e7\u00e3o d\u00e1 o tom para uma<a href=\"https:\/\/www.ninjaone.com\/blog\/building-a-culture-of-security-practical-tips-to-spot-a-phish\/\">cultura de seguran\u00e7a<\/a>\u00a0. Esse princ\u00edpio exige que as organiza\u00e7\u00f5es formalizem e comuniquem suas pr\u00e1ticas, fun\u00e7\u00f5es, responsabilidades e expectativas de seguran\u00e7a.<\/p>\n<h3>7. Promover a conscientiza\u00e7\u00e3o e a responsabilidade pela seguran\u00e7a<\/h3>\n<p>A seguran\u00e7a n\u00e3o \u00e9 apenas uma quest\u00e3o t\u00e9cnica &#8211; ela exige vigil\u00e2ncia constante. O treinamento da equipe, a atribui\u00e7\u00e3o de responsabilidades e o estabelecimento de uma cadeia de presta\u00e7\u00e3o de contas garantem que a conformidade com a PCI seja uma responsabilidade compartilhada por toda a organiza\u00e7\u00e3o.\u00a0<em>Recomendamos consultar este guia, &#8220;<\/em><a href=\"https:\/\/www.ninjaone.com\/blog\/create-a-modern-cybersecurity-strategy\/\"><em>Como criar uma estrat\u00e9gia moderna de seguran\u00e7a cibern\u00e9tica para departamentos de TI<\/em><\/a><em>&#8220;, para obter mais informa\u00e7\u00f5es.<\/em><\/p>\n<h2>O que \u00e9 a certifica\u00e7\u00e3o de conformidade com a PCI?<\/h2>\n<p><span style=\"font-weight: 400;\">A certifica\u00e7\u00e3o de conformidade com a PCI \u00e9 uma valida\u00e7\u00e3o fornecida por um auditor externo de que sua empresa est\u00e1 em conformidade com o padr\u00e3o PCI DSS. O processo de certifica\u00e7\u00e3o envolve uma avalia\u00e7\u00e3o da rede e dos sistemas, das pol\u00edticas, dos procedimentos e de outras \u00e1reas relevantes de sua empresa. Ap\u00f3s a conclus\u00e3o dessa avalia\u00e7\u00e3o, sua empresa recebe um certificado de conformidade.<\/span><\/p>\n<h2>Requisitos de conformidade com a PCI<\/h2>\n<p><span style=\"font-weight: 400;\">O PCI DSS inclui 12 requisitos para o gerenciamento de informa\u00e7\u00f5es de cart\u00f5es de pagamento de clientes que podem ser organizados em seis objetivos de controle:<\/span><\/p>\n<p><b>1) Criar e manter uma rede e sistemas seguros:<\/b><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a01.1. Instale e mantenha uma configura\u00e7\u00e3o de firewall para proteger os dados do titular do cart\u00e3o.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a01.2. N\u00e3o use os padr\u00f5es fornecidos pelo fornecedor para senhas de sistema e outros par\u00e2metros de seguran\u00e7a.<\/span><\/p>\n<p><b>2) Proteger os dados do titular do cart\u00e3o:<\/b><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a02.1. Proteja os dados armazenados do titular do cart\u00e3o.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a02.2. Criptografar a transmiss\u00e3o de dados do titular do cart\u00e3o em redes abertas e p\u00fablicas.<\/span><\/p>\n<p><b>3) Manter um <\/b><a href=\"https:\/\/www.ninjaone.com\/pt-br\/blog\/o-que-e-gerenciamento-de-vulnerabilidades\/\"><b>Gerenciamento de vulnerabilidades<\/b><\/a><b> De vulnerabilidades:<\/b><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a03.1. Proteja todos os sistemas contra malware e atualize regularmente o software ou os programas antiv\u00edrus.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a03.2. Desenvolver e manter sistemas e aplicativos seguros.<\/span><\/p>\n<p><b>4) Implemente medidas rigorosas de controle de acesso:<\/b><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a04.1. Restrinja o acesso aos dados do titular do cart\u00e3o de acordo com a necessidade de conhecimento da empresa.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a04.2. Identificar e autenticar o acesso aos componentes do sistema.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a04.3. Restringir o acesso f\u00edsico aos dados do titular do cart\u00e3o.<\/span><\/p>\n<p><b>5) Monitore e teste regularmente as redes:<\/b><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a05.1. Rastrear e monitorar todo o acesso aos recursos da rede e aos dados do titular do cart\u00e3o.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a05.2. Teste regularmente os sistemas e processos de seguran\u00e7a.<\/span><\/p>\n<p><b>6) Mantenha uma pol\u00edtica de seguran\u00e7a da informa\u00e7\u00e3o:<\/b><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a06.1. Manter uma pol\u00edtica que trate da seguran\u00e7a das informa\u00e7\u00f5es para todos os funcion\u00e1rios.<\/span><\/p>\n<h2>Lista de verifica\u00e7\u00e3o de conformidade com a PCI<\/h2>\n<p>Criamos uma lista de verifica\u00e7\u00e3o para ajud\u00e1-lo a obter conformidade com a PCI. N\u00f3s o organizamos em frases-chave, abrangendo todos os requisitos t\u00e9cnicos, administrativos e processuais. Embora n\u00e3o seja exaustivo, ele deve servir como um \u00f3timo ponto de partida para o seu MSP.<\/p>\n<ol>\n<li>Defini\u00e7\u00e3o do escopo e descoberta\n<ul>\n<li>Identificar onde os dados do titular do cart\u00e3o s\u00e3o recebidos, processados, armazenados e transmitidos<\/li>\n<li>Documentar todos os sistemas, dispositivos e pessoal envolvidos no manuseio dos dados do titular do cart\u00e3o<\/li>\n<\/ul>\n<\/li>\n<li>Determinar os requisitos de conformidade\n<ul>\n<li>Identifique seu n\u00edvel de comerciante do PCI DSS com base no volume de transa\u00e7\u00f5es<\/li>\n<li>Determinar qual Question\u00e1rio de Autoavalia\u00e7\u00e3o (SAQ) se aplica \u00e0 sua organiza\u00e7\u00e3o<\/li>\n<li>Envolver um Avaliador de Seguran\u00e7a Qualificado (QSA), se necess\u00e1rio<\/li>\n<li>Agendar varreduras de vulnerabilidade com um fornecedor de varredura aprovado (ASV), se aplic\u00e1vel<\/li>\n<\/ul>\n<\/li>\n<li>Implementar controles de seguran\u00e7a\n<ul>\n<li>Instalar e manter firewalls para proteger os dados do titular do cart\u00e3o<\/li>\n<li>Criptografar os dados do titular do cart\u00e3o durante a transmiss\u00e3o em redes abertas ou p\u00fablicas<\/li>\n<li>Armazene os dados do titular do cart\u00e3o de forma segura e limite a dura\u00e7\u00e3o do armazenamento<\/li>\n<li>Implantar e manter solu\u00e7\u00f5es<a href=\"https:\/\/www.ninjaone.com\/it-hub\/seguranca-de-endpoints\/what-is-anti-malware\/\">antimalware<\/a>\u00a0 e antiv\u00edrus<\/li>\n<li>Manter todos os sistemas e aplicativos atualizados com patches<\/li>\n<li>Restringir o acesso aos dados do titular do cart\u00e3o com base na &#8220;necessidade de conhecimento&#8221;<\/li>\n<\/ul>\n<\/li>\n<li>Monitoramento e testes\n<ul>\n<li>Rastreie e registre todo o acesso aos recursos da rede e aos dados do titular do cart\u00e3o<\/li>\n<li>Monitore os registros diariamente para detectar anomalias ou acesso n\u00e3o autorizado<\/li>\n<li>Realizar testes de penetra\u00e7\u00e3o e varreduras de vulnerabilidade regularmente<\/li>\n<li>Testar os sistemas e processos de seguran\u00e7a pelo menos trimestralmente<\/li>\n<\/ul>\n<\/li>\n<li>Pol\u00edtica e treinamento\n<ul>\n<li>Criar uma pol\u00edtica formal de seguran\u00e7a da informa\u00e7\u00e3o e revis\u00e1-la anualmente<\/li>\n<li>Treinar funcion\u00e1rios e prestadores de servi\u00e7os sobre as responsabilidades do PCI DSS e a conscientiza\u00e7\u00e3o sobre seguran\u00e7a<\/li>\n<li>Mantenha procedimentos documentados para a<a href=\"https:\/\/www.ninjaone.com\/it-hub\/seguranca-de-endpoints\/what-is-incident-response\/\">resposta a incidentes do<\/a>\u00a0. Criamos uma<a href=\"https:\/\/www.ninjaone.com\/resource\/msp-ransomware-response-planning-checklist-2\/\">lista de verifica\u00e7\u00e3o de planejamento de resposta a ransomware<\/a>para MSPs\u00a0\u00a0se voc\u00ea quiser uma discuss\u00e3o mais aprofundada.<\/li>\n<li>Designar pessoal para supervisionar as responsabilidades de conformidade<\/li>\n<\/ul>\n<\/li>\n<li>Valida\u00e7\u00e3o e relat\u00f3rios\n<ul>\n<li>Preencher e enviar o Question\u00e1rio de Autoavalia\u00e7\u00e3o (SAQ) aplic\u00e1vel<\/li>\n<li>Manter a documenta\u00e7\u00e3o de conformidade e os resultados da varredura para fins de auditoria<\/li>\n<li>Programar revis\u00f5es e reavalia\u00e7\u00f5es anuais para manter a conformidade<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n<h2>O que acontece se voc\u00ea n\u00e3o estiver em conformidade com o PCI DSS?<\/h2>\n<p>A n\u00e3o conformidade com a PCI pode levar a:<\/p>\n<ul>\n<li><strong>Multas e penalidades:\u00a0<\/strong>As organiza\u00e7\u00f5es que n\u00e3o estiverem em conformidade poder\u00e3o enfrentar multas pesadas que podem chegar a centenas de milh\u00f5es de d\u00f3lares, dependendo do tamanho, do n\u00famero de clientes afetados e da dura\u00e7\u00e3o e do grau de n\u00e3o conformidade.<\/li>\n<li><strong>Aumento das taxas de transa\u00e7\u00e3o:\u00a0<\/strong>Os processadores de pagamento podem impor taxas de transa\u00e7\u00e3o mais altas \u00e0s empresas que n\u00e3o estiverem em conformidade com o PCI. Essas taxas s\u00e3o uma forma de os bancos compensarem o risco maior de lidar com comerciantes que n\u00e3o est\u00e3o em conformidade.<\/li>\n<li><strong>Danos \u00e0 reputa\u00e7\u00e3o:\u00a0<\/strong>Uma viola\u00e7\u00e3o de seguran\u00e7a divulgada pode prejudicar gravemente a reputa\u00e7\u00e3o de sua marca e minar a confian\u00e7a do cliente. \u00c9 mais prov\u00e1vel que os clientes abandonem as empresas que n\u00e3o protegem suas informa\u00e7\u00f5es pessoais e financeiras.<\/li>\n<\/ul>\n<h2>Benef\u00edcios da conformidade com a PCI<\/h2>\n<h3><b>Seguran\u00e7a aprimorada<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">A conformidade com a PCI oferece seguran\u00e7a aprimorada ao definir padr\u00f5es rigorosos que ajudam as empresas a proteger os dados de seus clientes. Ele garante que as empresas tenham as prote\u00e7\u00f5es necess\u00e1rias para evitar viola\u00e7\u00f5es de dados, mantendo a confidencialidade e a integridade das informa\u00e7\u00f5es confidenciais.<\/span><\/p>\n<h3><b>Confian\u00e7a do cliente<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Uma empresa em conformidade com a PCI mostra aos clientes que seus dados s\u00e3o levados a s\u00e9rio e tratados com seguran\u00e7a. Isso gera confian\u00e7a, vital para a reten\u00e7\u00e3o e a fidelidade do cliente, e pode levar ao aumento dos neg\u00f3cios ao longo do tempo.<\/span><\/p>\n<h3><b>Evitar penalidades<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">A n\u00e3o conformidade com os padr\u00f5es PCI pode resultar em multas e penalidades substanciais por parte dos provedores de cart\u00f5es de pagamento. Por estarem em conformidade com o PCI, as empresas podem evitar essas armadilhas financeiras, garantindo opera\u00e7\u00f5es ininterruptas e estabilidade financeira.<\/span><\/p>\n<h3><b>Vantagem competitiva<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">Em um mercado competitivo, estar em conformidade com a PCI pode proporcionar uma vantagem significativa. Os clientes que est\u00e3o cientes da seguran\u00e7a dos dados preferem fazer neg\u00f3cios com uma empresa que esteja em conformidade com a PCI, o que pode atrair mais clientes e aumentar a participa\u00e7\u00e3o no mercado.<\/span><\/p>\n<h3><b>Conformidade regulat\u00f3ria<\/b><\/h3>\n<p><span style=\"font-weight: 400;\">A conformidade com a PCI garante que as empresas se alinhem \u00e0s normas estabelecidas por \u00f3rg\u00e3os governamentais e reguladores. Isso pode evitar poss\u00edveis problemas legais e ajudar a facilitar as opera\u00e7\u00f5es comerciais, contribuindo para o sucesso geral da organiza\u00e7\u00e3o.\u00a0<\/span><\/p>\n<h2>Desafios da conformidade com a PCI<\/h2>\n<h3>Complexidade<\/h3>\n<p>A estrutura do PCI DSS inclui centenas de requisitos t\u00e9cnicos e administrativos. Mesmo com a lista de verifica\u00e7\u00e3o que criamos e detalhamos acima, isso ainda pode ser muito dif\u00edcil. Entender quais requisitos se aplicam e como implement\u00e1-los adequadamente pode exigir um planejamento extenso.<\/p>\n<h3>Limita\u00e7\u00f5es de recursos<\/h3>\n<p>As empresas menores podem n\u00e3o ter os recursos financeiros e de pessoal para se dedicar \u00e0 conformidade com a PCI. Para manter a conformidade, talvez seja necess\u00e1rio contratar v\u00e1rios consultores e investir em ferramentas de seguran\u00e7a, o que pode ser caro.<\/p>\n<h3>Ambientes em mudan\u00e7a<\/h3>\n<p>Os ambientes de TI raramente s\u00e3o est\u00e1ticos, portanto, n\u00e3o podemos esperar que os padr\u00f5es de conformidade tamb\u00e9m permane\u00e7am assim. As migra\u00e7\u00f5es para a nuvem, os novos aplicativos e as arquiteturas em constante mudan\u00e7a podem expandir e alterar o escopo do PCO. As mudan\u00e7as exigem monitoramento e reavalia\u00e7\u00e3o cont\u00ednuos para garantir que a conformidade n\u00e3o seja violada acidentalmente.<\/p>\n<h3>Riscos de terceiros<\/h3>\n<p>Muitas organiza\u00e7\u00f5es dependem de fornecedores e prestadores de servi\u00e7os para gerenciar partes de seu ambiente de dados do titular do cart\u00e3o. \u00c9 fundamental que voc\u00ea saiba que seu fornecedor tamb\u00e9m est\u00e1 em conformidade com a PCI para reduzir o risco de viola\u00e7\u00f5es. H\u00e1 uma concep\u00e7\u00e3o err\u00f4nea de que a terceiriza\u00e7\u00e3o do processamento de pagamentos transfere totalmente as responsabilidades da PCI para o provedor. Na realidade, os comerciantes ainda s\u00e3o respons\u00e1veis por garantir que os dados do titular do cart\u00e3o sejam protegidos em todo o seu ambiente.<\/p>\n<h2>Perguntas frequentes (FAQs)<\/h2>\n<ul>\n<li><strong>A conformidade com a PCI \u00e9 exigida por lei?<\/strong><\/li>\n<\/ul>\n<p>N\u00e3o, o PCI DSS n\u00e3o \u00e9 uma lei, mas \u00e9 exigido pelas principais marcas de cart\u00e3o de cr\u00e9dito e aplicado pelos bancos adquirentes e processadores de pagamento. O n\u00e3o cumprimento ainda pode levar a penalidades financeiras e operacionais significativas.<\/p>\n<ul>\n<li><strong>Com que frequ\u00eancia preciso validar a conformidade com a PCI?<\/strong><\/li>\n<\/ul>\n<p>Os requisitos de valida\u00e7\u00e3o dependem do n\u00edvel do comerciante. Os n\u00edveis mais altos devem realizar varreduras de rede trimestrais por um ASV e uma auditoria anual.<\/p>\n<ul>\n<li><strong>O uso de um processador de terceiros me torna compat\u00edvel com a PCI?\u00a0<\/strong><\/li>\n<\/ul>\n<p>N\u00e3o. Embora o uso de um processador terceirizado em conformidade com a PCI possa reduzir sua pontua\u00e7\u00e3o na PCI, isso n\u00e3o elimina a responsabilidade pessoal da sua empresa. Voc\u00ea ainda deve garantir que seus sistemas e pr\u00e1ticas atendam aos requisitos aplic\u00e1veis do PCI DSS.<\/p>\n<ul>\n<li><strong>As pequenas empresas precisam estar em conformidade com o PCI DSS?<\/strong><\/li>\n<\/ul>\n<p>Sim. Todas as empresas que aceitam pagamentos com cart\u00e3o de cr\u00e9dito, independentemente do tamanho ou do volume, devem estar em conformidade com o PCI DSS.<\/p>\n<ul>\n<li><strong>Qual \u00e9 a diferen\u00e7a entre o PCI DSS 3.2.1 e o PCI DSS 4.0?<\/strong><\/li>\n<\/ul>\n<p>O PCI DSS 4.0 apresenta uma abordagem mais flex\u00edvel e baseada em riscos. Ele permite que as organiza\u00e7\u00f5es usem estrat\u00e9gias de seguran\u00e7a personalizadas para atender aos objetivos da PCI.<\/p>\n<h2>O valor da conformidade com a PCI<\/h2>\n<p><span style=\"font-weight: 400;\">A conformidade com a PCI \u00e9 fundamental para a execu\u00e7\u00e3o de qualquer neg\u00f3cio com transa\u00e7\u00f5es de cart\u00e3o de cr\u00e9dito. Ele garante o manuseio seguro de informa\u00e7\u00f5es confidenciais, protege contra poss\u00edveis perdas financeiras e aumenta a confian\u00e7a do cliente. Embora alcan\u00e7ar a conformidade possa parecer assustador, os benef\u00edcios superam em muito o esfor\u00e7o. As empresas devem considerar a conformidade com a PCI n\u00e3o como um fardo, mas como um componente essencial de sua estrat\u00e9gia geral de neg\u00f3cios.<\/span><\/p>\n","protected":false},"author":72,"featured_media":174412,"parent":0,"template":"","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":""},"hub_categories":[12415],"class_list":["post-811807","content_hub","type-content_hub","status-publish","has-post-thumbnail","hentry","content_hub_category-seguranca-de-endpoints"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/pt-br\/wp-json\/wp\/v2\/content_hub\/811807","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/pt-br\/wp-json\/wp\/v2\/content_hub"}],"about":[{"href":"https:\/\/www.ninjaone.com\/pt-br\/wp-json\/wp\/v2\/types\/content_hub"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/pt-br\/wp-json\/wp\/v2\/users\/72"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/pt-br\/wp-json\/wp\/v2\/media\/174412"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/pt-br\/wp-json\/wp\/v2\/media?parent=811807"}],"wp:term":[{"taxonomy":"content_hub_category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/pt-br\/wp-json\/wp\/v2\/hub_categories?post=811807"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}