Quem usa gateway de pagamento e não armazena dados de cartão precisa se certificar no PCI 4.0?

Sim. Mesmo não armazenando dados, se o seu site exibe a página de pagamento (via iframe, redirecionamento ou API transparente), você influencia a segurança da transação. Você precisará preencher um questionário de autoavaliação (como o SAQ-A), que no PCI 4.0 exige proteções contra malwares no seu servidor e senhas fortes, mesmo que o processamento seja feito por terceiros.

Qual o custo médio para certificar um e-commerce no PCI DSS no Brasil?

O custo varia conforme o tamanho e complexidade do ambiente. Para lojistas Nível 1 (auditoria QSA presencial), o investimento apenas na consultoria e auditoria varia de R$ 80.000 a R$ 250.000, sem contar os custos internos de adequação de software. Para PMEs (Nível 3 e 4) usando SAQ, o custo é majoritariamente o tempo da equipe técnica e ferramentas de scan de vulnerabilidades, podendo custar de R$ 5.000 a R$ 15.000 anuais.

O PIX entra no escopo de auditoria do PCI DSS?

Não. O PCI DSS é uma regulamentação exclusiva do conselho formado pelas bandeiras de cartão de crédito (Visa, Mastercard, Amex, Discover, JCB). O PIX é regulado diretamente pelo Banco Central do Brasil e possui seus próprios protocolos de segurança e criptografia estipulados no manual do BACEN.

O que acontece exatamente se a minha loja perder o prazo de março de 2024?

A partir de abril de 2024, a sua adquirente (Cielo, Stone, Rede, etc.) não aceitará mais certificados da versão 3.2.1. Se o seu certificado vencer após essa data e você não renovar na versão 4.0, você entrará em status de 'não conformidade'. Isso sujeita a empresa a multas mensais repassadas pela adquirente e, em casos extremos, ao bloqueio do seu TPV (suspensão do processamento de cartões).

PCI DSS 4.0: O Que Muda no E-commerce Brasileiro e o Prazo Real de Adequação

A bomba-relógio da segurança em pagamentos

Imagine acordar numa terça-feira com um e-mail da sua adquirente — seja Cielo, Stone ou Rede — informando uma multa de US$ 50.000. O motivo? O seu e-commerce sofreu um vazamento silencioso de dados de cartão de crédito durante a última Black Friday. Ninguém invadiu seu banco de dados. Um script malicioso de terceiros, escondido na sua página de checkout, copiou silenciosamente os números dos cartões digitados pelos seus clientes.

Essa não é uma história de ficção. Acompanhamos casos idênticos acontecendo com frequência no varejo digital brasileiro. E é exatamente para combater esse nível de sofisticação cibernética que o Payment Card Industry Security Standards Council (PCI SSC) desenhou o PCI DSS 4.0.

Se você opera um e-commerce no Brasil, preste atenção aqui: a era do compliance como um mero "checklist anual" acabou. A versão 3.2.1 do padrão de segurança de cartões, lançada em 2018, envelheceu mal. Naquela época, o uso de APIs, ambientes multi-cloud e integrações serverless engatinhava. Hoje, o mercado brasileiro processa bilhões de reais em infraestruturas descentralizadas.

Nossa análise na Ouro Capital aponta um cenário de urgência. O prazo final para a aposentadoria da versão 3.2.1 é 31 de março de 2024. A partir dessa data, o PCI DSS 4.0 passa a ser a única regra do jogo. Quem não estiver preparado corre o risco de perder a licença para processar cartões de crédito — uma sentença de morte para qualquer varejista digital.

O que enterrou o PCI DSS 3.2.1?

O mundo mudou radicalmente desde 2018. O Brasil viu o nascimento e a explosão do PIX, mas o cartão de crédito continua sendo o rei absoluto no e-commerce para compras de ticket médio alto, parcelamentos e assinaturas recorrentes. Segundo dados da ABComm (Associação Brasileira de Comércio Eletrônico), os cartões ainda respondem por mais da metade do volume financeiro (TPV) no varejo online.

O problema da versão 3.2.1 era a sua rigidez. Ela exigia que as empresas cumprissem controles de segurança específicos que, muitas vezes, não faziam mais sentido em arquiteturas modernas. Uma loja rodando na VTEX ou Shopify, útilizando microsserviços na AWS, precisava fazer malabarismos técnicos para provar conformidade com regras desenhadas para servidores físicos alocados no porão da empresa.

O golpe de misericórdia na versão antiga foram os ataques de Magecart (skimming digital). Criminosos pararam de tentar invadir bancos de dados ultraprotegidos. Em vez disso, eles começaram a injetar códigos JavaScript maliciosos diretamente no navegador do consumidor, bem na hora do checkout. O PCI 3.2.1 era cego para isso.

O PCI DSS 4.0 nasceu para tapar esses buracos. O novo padrão traz 64 novos requisitos e muda a filosofia da regulamentação. Sai a obrigação de usar uma tecnologia X, entra a obrigação de provar que o objetivo de segurança foi atingido, independentemente do método. É o que o conselho chama de "Abordagem Customizada".

As 4 grandes mudanças do PCI DSS 4.0 para o varejo

Traduzir as mais de 300 páginas do manual do PCI para a linguagem de negócios é o nosso trabalho diário. Para o C-level de um e-commerce brasileiro, existem quatro mudanças estruturais que vão impactar o orçamento de TI e a rotina de operações.

1. Foco cirúrgico em scripts e skimming

Esta é a mudança mais agressiva. O PCI 4.0 exige que os e-commerces gerenciem e monitorem ativamente todos os scripts executados na página de pagamento. Se você usa ferramentas de analytics, chat de atendimento ou widgets de recomendação no seu checkout, você agora é responsável por garantir que eles não alterem o comportamento da página de pagamento.

Na prática, isso exige ferramentas de monitoramento de integridade de página (Page Integrity Monitoring). Se um JavaScript do Google Tag Manager for sequestrado e tentar capturar um PAN (Primary Account Number), seu sistema precisa bloquear e alertar em tempo real.

2. Autenticação Multifator (MFA) onipresente

Na versão anterior, a exigência de MFA era focada em acessos remotos ou administrativos. O PCI DSS 4.0 não deixa margem para interpretação: qualquer acesso ao Ambiente de Dados do Titular do Cartão (CDE) exige duplo fator de autenticação.

Isso impacta desde o desenvolvedor sênior até o analista de atendimento ao cliente que precisa acessar o portal do gateway de pagamento (como Pagar.me, Adyen ou Mercado Pago) para realizar um estorno. As senhas isoladas morreram.

3. Senhas mais robustas e contas de serviço

Esqueça senhas de 8 caracteres. O novo padrão aumenta o comprimento mínimo para 12 caracteres alfanuméricos. Além disso, as contas de sistemas e aplicações (aquelas usadas por APIs para se comúnicarem entre si) agora possuem regras estritas de rotação e proteção. Vazamentos recentes no Brasil ocorreram justamente porque tokens de acesso de APIs ficaram expostos em repositórios públicos do GitHub.

4. A Abordagem Customizada (Customized Approach)

O fim do checklist burro. Se o PCI exige que você troque senhas a cada 90 dias, mas a sua empresa usa uma arquitetura de Zero Trust com autenticação biométrica contínua, você não precisa mais forçar a troca de senhas. Você documenta sua abordagem, o avaliador (QSA) testa o risco, e se for seguro, está aprovado. Isso dá flexibilidade para fintechs e grandes varejistas inovarem sem quebrar o compliance.

Níveis de Merchant: O que a sua loja precisa fazer?

A adequação não é igual para todo mundo. O mercado divide os lojistas em quatro níveis, baseados no volume de transações processadas anualmente com bandeiras Visa e Mastercard. Mapeamos o que cada nível precisa entregar agora no Brasil.

Nível 1: Os gigantes do e-commerce (Mais de 6 milhões de transações/ano)

Aqui estão players como Mercado Livre, Amazon, Magalu e grandes gateways. O nível de exigência é máximo. Esses players precisam passar por uma auditoria presencial anual conduzida por um QSA (Qualified Security Assessor) independente. O resultado é o ROC (Report on Compliance).

Para essas empresas, a transição para o PCI 4.0 já está consumindo milhões de reais em consultoria e adequação de sistemas legados. A auditoria agora exige testes de penetração (pentests) muito mais sofisticados, simulando ataques de engenharia social e exploração de vulnerabilidades em APIs.

Nível 2: O middle market (1 a 6 milhões de transações/ano)

Grandes marcas regionais, redes de supermercados com delivery próprio e e-commerces de nicho bem estabelecidos. A exigência principal é o preenchimento do SAQ (Self-Assessment Questionnaire), o questionário de autoavaliação.

Porém, adquirentes brasileiras (como Stone e Cielo) frequentemente exigem que lojistas Nível 2 também passem por auditoria de um QSA para mitigar riscos, dependendo do histórico de fraudes da empresa. O custo de uma certificação para esse grupo varia entre R$ 80.000 e R$ 150.000, fora os custos de adequação tecnológica.

Níveis 3 e 4: O varejo de massa (Menos de 1 milhão de transações/ano)

A grande massa do e-commerce brasileiro (PMEs rodando em Nuvemshop, Tray, Loja Integrada). Historicamente, esses lojistas terceirizam o risco útilizando iframes ou redirecionamentos para o gateway de pagamento (o famoso checkout transparente via API segura).

Para esses merchants, o questionário aplicável costuma ser o SAQ-A. A grande armadilha do PCI 4.0 está aqui. O SAQ-A ficou mais rigoroso. Mesmo terceirizando o pagamento, a loja agora precisa provar que o servidor que hospeda o site (onde o iframe é carregado) é seguro, possui senhas fortes e passa por varreduras de vulnerabilidades (ASV scans). O lojista não toca no cartão, mas se o site dele for invadido, o iframe pode ser substituído por um falso.

O cronograma real: Prazos que você não pode ignorar

Existe muita desinformação sobre os prazos do PCI 4.0 circulando no mercado brasileiro. Vamos aos fatos documentados pelo conselho de segurança.

O período de transição começou em março de 2022. O marco crítico, a morte da versão 3.2.1, ocorre em 31 de março de 2024. A partir de 1º de abril de 2024, todas as avaliações (seja SAQ ou RoC) devem ser feitas obrigatoriamente no padrão 4.0.

No entanto, o conselho criou uma categoria de requisitos chamados future-dated (datados para o futuro). São as regras mais complexas e caras de implementar, como o monitoramento automatizado de scripts e algumas regras avançadas de criptografia.

Até 31 de março de 2025, esses requisitos future-dated são considerados "melhores práticas". Você não reprova na auditoria se não os tiver. Mas, a partir de 1º de abril de 2025, eles se tornam obrigatórios e mandatórios para a certificação.

O impacto prático no caixa e na operação

Segurança da informação deixou de ser um problema exclusivo do CTO. Hoje, é um problema do CFO. A perda do certificado PCI DSS deflagra uma reação em cadeia destrutiva para o fluxo de caixa de uma empresa.

Primeiro, as bandeiras (Visa, Mastercard) multam as adquirentes por processarem transações de um lojista não conforme. As adquirentes, amparadas por contrato, repassam essa multa para o lojista. Os valores variam de US$ 5.000 a US$ 100.000 por mês de não-conformidade.

Segundo, em caso de vazamento de dados, a empresa enfrentará simultaneamente a fúria do Banco Central, as multas da LGPD (Autoridade Nacional de Proteção de Dados) que podem chegar a 2% do faturamento (limitado a R$ 50 milhões), e processos civis de consumidores.

Terceiro, e mais grave: a revogação do contrato de afiliação. Uma adquirente pode simplesmente desligar a sua chave de API. Sem processar cartão, seu e-commerce fecha as portas em questão de dias.

Recomendamos que os lojistas exijam de suas plataformas de e-commerce e gateways de pagamento um roadmap claro de adequação ao PCI 4.0. Se o seu fornecedor atual está empurrando o assunto com a barriga, é hora de buscar alternativas no mercado. Empresas como Vtex, Adyen e Stripe já públicaram farta documentação sobre suas atualizações de segurança.

A nossa visão sobre o futuro dos pagamentos seguros

O PCI DSS 4.0 é rigoroso, mas é apenas uma ponte para o futuro real dos pagamentos digitais: a tokenização ponta a ponta. Observamos um movimento forte do Banco Central e das bandeiras para eliminar o tráfego do número real do cartão (PAN) na internet.

A adoção de Network Tokens (tokens de bandeira) e ferramentas como o Click to Pay visa transformar o número do cartão impresso no plástico em um dado inútil para fraudadores. Quando o seu e-commerce transacionar apenas tokens criptografados que só têm validade no seu ambiente específico, o escopo do PCI DSS será reduzido drasticamente.

Até que esse futuro sem senhas e 100% tokenizado chegue, o PCI 4.0 é a regra do jogo. A adequação exige orçamento, tempo e mudança de cultura. O prazo final já está batendo à porta. Quem deixar para a última hora vai pagar muito mais caro pelas consultorias escassas no mercado ou, pior, vai pagar com a própria reputação do negócio.