Empresas que lidam com dados de pagamento por cartão precisam se adaptar às novas exigências do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), cuja versão 4.0 entrou em vigor com mudanças significativas.
Estabelecida pelo PCI Security Standards Council (PCI SSC), a atualização tem como objetivo reforçar a segurança digital no processamento, armazenamento e transmissão de dados sensíveis.
A nova versão do padrão introduz requisitos mais rigorosos, como a adoção obrigatória de tecnologias avançadas, incluindo criptografia aprimorada e autenticação multifatorial.
Este último método exige pelo menos dois fatores distintos para validar a identidade do usuário, aumentando a proteção contra acessos não autorizados mesmo em caso de vazamento de senhas.
O que muda na prática
Entre os principais fatores de autenticação exigidos estão:
- Algo que o usuário sabe: senhas, PINs ou respostas a perguntas de segurança;
- Algo que o usuário possui: tokens físicos, códigos enviados por SMS ou aplicativos autenticadores;
- Algo que o usuário é: métodos biométricos, como impressão digital, reconhecimento facial ou de voz.
Com o novo modelo, empresas precisarão implementar uma série de medidas preventivas, como sistemas de firewall atualizados, criptografia na transmissão e armazenamento de dados, monitoramento contínuo de acessos e testes regulares de vulnerabilidades.
De acordo com Wagner Elias, CEO da Conviso, especializada em segurança de aplicações, as mudanças não devem ser encaradas como opcionais. “Não é mais uma questão de se adaptar quando for necessário, mas de agir preventivamente. Reforçar a proteção dos dados dos clientes é urgente”, afirma.
Prazos e fases de implementação
A atualização do PCI DSS 4.0 será realizada em duas etapas:
- Fase 1: com 13 novos requisitos obrigatórios, teve o prazo de implementação encerrado em março de 2024;
- Fase 2: composta por 51 exigências adicionais, deve ser cumprida até 31 de março de 2025.
O não cumprimento dentro do prazo pode acarretar penalidades severas, incluindo restrições operacionais e danos reputacionais.
Impacto no setor e necessidade de adaptação
As mudanças afetam todo o ecossistema de pagamentos — desde pequenos e-commerces até bancos e fintechs. Todos precisarão revisar suas estruturas de segurança, atualizar sistemas e treinar equipes. A adaptação inclui práticas como:
- Revisão de políticas internas de segurança da informação;
- Implementação de tecnologias de autenticação biométrica;
- Adoção de protocolos de monitoramento contra fraudes;
- Criptografia ponta a ponta dos dados de transações.
“O objetivo é aumentar a segurança sem comprometer a experiência do usuário. Trata-se de equilibrar proteção e usabilidade, algo que o setor financeiro já vem tentando aprimorar”, explica Elias.
Fraudes digitais impulsionam medidas
A crescente sofisticação das fraudes digitais justifica a rigidez das novas diretrizes. Vazamentos de dados podem gerar prejuízos financeiros expressivos e comprometer a confiança dos consumidores.
Segundo Elias, muitas empresas ainda adotam uma postura reativa, atuando apenas após incidentes de segurança. “É uma abordagem arriscada. O ideal é incorporar práticas de segurança desde o início do desenvolvimento de sistemas e aplicativos”, afirma.
Nesse contexto, o conceito de Application Security (segurança de aplicações) ganha relevância. “Incorporar medidas de proteção durante todo o ciclo de vida do software é mais eficaz e menos custoso do que corrigir falhas após um ataque”, explica o executivo.
Mercado em expansão
O mercado global de segurança de aplicações movimenta atualmente cerca de US$ 11,62 bilhões e deve alcançar US$ 25,92 bilhões até 2029, segundo dados da consultoria Mordor Intelligence. Soluções como DevSecOps, testes de invasão e mitigação automatizada de vulnerabilidades fazem parte desse movimento.
Além disso, consultorias especializadas vêm sendo procuradas para ajudar empresas a atender às exigências do PCI DSS 4.0, com serviços como Penetration Testing, Red Team e auditorias de segurança de terceiros.
A implementação das novas diretrizes de segurança digital é considerada um passo fundamental para proteger dados sensíveis, preservar a reputação empresarial e aumentar a confiança dos consumidores.
“Empresas que investem em prevenção se destacam no mercado. Ignorar a segurança digital não é mais uma opção viável”, conclui Wagner Elias.