Níveis de conformidade PCI DSS: o que significam e como se qualificar

Níveis de conformidade PCI DSS em um relance

Visão geral dos níveis de comerciante 1-4

O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) categoriza as organizações em quatro níveis de comerciantes com base no volume anual de transações com cartão e na exposição geral ao risco para determinar os requisitos adequados de validação. Entender seu nível de conformidade é fundamental para cumprir as obrigações e manter as medidas de segurança adequadas para preservar a capacidade de processar pagamentos com cartão.

Os comerciantes de Nível 1 processam o maior volume de transações, normalmente mais de 6 milhões de transações por ano, e enfrentam os requisitos de validação mais rigorosos. Os comerciantes de Nível 2 gerenciam volumes altos de transações, mas inferiores ao Nível 1, normalmente entre 1 e 6 milhões de transações com cartão por ano, e são validados por meio de autoavaliação com supervisão adicional. Os comerciantes de Nível 3 são geralmente empresas de comércio eletrônico de médio porte que normalmente processam entre 20.000 e 1 milhão de transações com cartão e são validados por meio de autoavaliação. Os comerciantes de Nível 4 são pequenas empresas com os menores volumes de transações, menos de 20.000 transações de comércio eletrônico ou até 1 milhão de transações totais anualmente, e são validados com autoavaliação com as obrigações de conformidade mais simples.

É importante notar que as organizações que processam ou armazenam dados de cartão em nome de outras organizações (prestadores de serviços) seguem um sistema separado de dois níveis para os requisitos de validação, distinto da validação de comerciantes e que depende do volume anual de transações com cartão. Prestadores de serviços Nível 1 processam mais de 300.000 transações por ano ou armazenam dados do titular do cartão para terceiros. Prestadores de serviços Nível 2 processam menos de 300.000 transações anualmente.

Por que seu nível importa

O seu nível de conformidade determina diretamente como sua organização deve validar a conformidade e o esforço envolvido em mantê-la. O nível do comerciante define se uma organização deve completar um Report on Compliance (ROC) por meio de um Qualified Security Assessor ou um Self-Assessment Questionnaire (SAQ), bem como a profundidade e o tipo de evidência de conformidade que deve manter.

Níveis mais altos de comerciantes exigem mais evidências documentadas e testes regulares dos controles de segurança. Por exemplo, comerciantes do Nível 1 exigem uma Attestation of Compliance (AOC) formal assinada por um Qualified Security Assessor (QSA). Embora a conformidade seja uma obrigação contínua, o nível do comerciante também influencia a frequência das avaliações necessárias, como varreduras de rede trimestrais por um Approved Scanning Vendor. Marcas de cartão e bancos adquirentes podem impor requisitos adicionais com base no nível de conformidade. É fundamental identificar e manter corretamente seu nível de conformidade para atender às expectativas regulatórias, evitar penalidades e demonstrar de forma eficiente a devida diligência necessária na proteção dos dados do titular do cartão.

Como as bandeiras de cartão determinam seu nível de conformidade com PCI DSS

Limites de volume de transações

As bandeiras de cartão usam principalmente o volume anual de transações com cartão para estabelecer o nível de conformidade de uma organização. Esses limites ajudam a determinar que tipo de validação e estrutura de relatórios uma organização deve seguir para manter a conformidade com o PCI DSS:

• Nível 1: Comerciantes que processam mais de 6 milhões de transações anualmente em todos os canais (loja física e online)
• Nível 2: Comerciantes que processam entre 1 e 6 milhões de transações anualmente
• Nível 3: Comerciantes que processam entre 20.000 e 1 milhão de transações de comércio eletrônico anualmente
• Nível 4: Comerciantes que processam menos de 20.000 transações de comércio eletrônico por ano ou até 1 milhão de transações totais em todos os canais

Comerciantes de nível 1 normalmente precisam de avaliações anuais no local por um Avaliador de Segurança Qualificado (QSA), enquanto níveis inferiores exigem autoavaliações usando questionários (SAQ) e requisitos adicionais, como varreduras trimestrais da rede.

Escalonamento de violação e incidente

O volume anual de transações é o principal fator para estabelecer o nível de conformidade, mas não é o único. As marcas de cartão reservam o direito de escalar manualmente qualquer comerciante para o Nível 1 se perceberem um alto risco para o ecossistema de pagamentos. Se um comerciante sofreu uma violação de dados ou incidente de segurança que comprometeu os dados do titular do cartão, as marcas de cartão podem escalar o comerciante para o Nível 1 independentemente do volume de transações. Além disso, se a marca do cartão identificar vulnerabilidades sistêmicas, como controles de segurança inadequados, falta de evidências de conformidade ou um perfil de alto risco baseado em padrões de transação, tipo de indústria ou histórico de fraude, eles podem exigir os requisitos de validação do Nível 1.

Papel do banco adquirente

Embora as marcas de cartão definam padrões globais de segurança, os bancos adquirentes têm a autoridade final para atribuir o nível PCI DSS. O banco adquirente é responsável por garantir o nível correto do comerciante na organização e revisa os dados reais das transações e quaisquer critérios específicos da marca do cartão para confirmar o nível de conformidade. O adquirente coleta e revisa documentos de validação de conformidade, como Attestation of Compliance, SAQ ou Reports on Compliance, e pode impor requisitos adicionais além dos padrões mínimos da marca do cartão. Diferentes marcas de cartão, como Visa, Mastercard, Discover e American Express, possuem limites ligeiramente diferentes para os níveis de conformidade PCI. Comerciantes que processam com várias marcas devem seguir todos os níveis de conformidade das marcas de cartão, e o banco adquirente media e aplica esses requisitos.

Os quatro níveis de comerciante: requisitos e evidências

Nível 1: maior garantia

Quem se qualifica: Comerciantes que processam mais de 6 milhões de transações com cartão anualmente em todos os canais combinados (cartão presente, e-commerce, pedidos por correio ou telefone), incluindo todos os tipos de transação, como compras, reembolsos, créditos e autorizações. Além disso, qualquer comerciante que tenha sofrido uma violação de dados envolvendo comprometimento de dados ou que tenha sido designado como Nível 1 pelas marcas de cartão com base em avaliações de risco, violações anteriores de conformidade ou um modelo de negócio que apresenta risco substancial, independentemente do volume de transações.

Requisitos de validação: A conformidade com PCI DSS Nível 1 representa a maior exposição ao risco e, portanto, requer a validação mais rigorosa:

Nível 2: alto volume sem QSA por padrão

Quem se qualifica: Comerciantes de Nível 2, como varejistas de comércio eletrônico de médio a grande porte, redes regionais de varejo e hotéis e restaurantes com várias unidades representam um risco substancial, mas têm permissão para auto validar, a menos que sejam instruídos de outra forma pelo banco adquirente.

Requisitos de validação:

Nota: Bancos adquirentes ou bandeiras de cartão podem exigir uma avaliação completa ROC e conduzida por QSA para comerciantes Nível 2 com base no perfil de risco, histórico de violação de segurança, infraestrutura complexa ou postura de conformidade deficiente.

Nível 3: foco em comércio eletrônico de mercado médio

Quem se qualifica: Comerciantes que processam de 20.000 a 1 milhão de transações de comércio eletrônico anualmente, especialmente aqueles com uma presença online significativa em cenários Card-Not-Present (CNP).

Requisitos de validação: Comerciantes de Nível 3 geralmente incluem negócios de comércio eletrônico em crescimento, empresas SaaS com integrações de pagamento, marketplaces digitais e negócios baseados em assinaturas. Eles devem fornecer as seguintes validações:

Nível 4: linha de base para pequenos comerciantes

Quem se qualifica: Comerciantes que processam menos de 20.000 transações de comércio eletrônico ou até 1 milhão de transações totais para todos os canais anualmente se qualificam para a conformidade Nível 4.

Requisitos de validação: Comerciantes de nível 4 geralmente incluem pequenas empresas, lojas de varejo locais, hotéis e restaurantes de uma única localização e pequenos varejistas online. Eles devem completar as seguintes validações:

Concepção errada comum: Comerciantes do nível 4 são obrigados a cumprir todos os requisitos aplicáveis do PCI DSS, como manter uma rede segura com firewalls e tecnologias de criptografia, proteger dados do titular do cartão, gerenciamento de vulnerabilidades, controles de acesso, monitoramento contínuo e testes de rede. O nível afeta apenas o método de validação, não as obrigações de segurança.

Níveis PCI DSS para provedores de serviços

Modelo de provedor de serviço em dois níveis

Os prestadores de serviços desempenham um papel significativo no ecossistema de processamento de pagamentos porque armazenam, processam ou transmitem dados do titular do cartão em nome dos comerciantes e podem afetar a segurança dos dados do titular do cartão. Enquanto os comerciantes são categorizados em quatro níveis de conformidade, os prestadores de serviços seguem um modelo de classificação de dois níveis com requisitos rigorosos de validação devido ao seu papel de responsabilidade compartilhada entre vários clientes.

Provedores de serviço de Nível 1: Qualquer organização que processe, armazene ou transmita mais de 300.000 transações com cartão anualmente em nome de comerciantes, ou qualquer organização especificamente designada por uma marca de cartão de pagamento independentemente do volume de transações. Eles devem passar por uma auditoria no local realizada por um Avaliador de Segurança Qualificado (QSA) para o ROC, enviar o AOC, realizar varreduras ASV trimestrais e executar testes de penetração anuais obrigatórios. Essa categoria de provedores de serviço normalmente inclui gateways de pagamento, provedores de serviços gerenciados e provedores de nuvem e hospedagem.

Provedores de serviço de Nível 2: Qualquer organização que processe, armazene ou transmita menos de 300.000 transações totais anualmente e que não seja designada como provedor de serviço de Nível 1 pelas bandeiras de cartão. Os provedores de serviço de Nível 2 devem cumprir os requisitos de validação por meio do SAQ D anual para Provedores de Serviço para atender a todos os requisitos PCI DSS, enviar o AOC, fornecer relatórios trimestrais de varredura ASV e realizar testes de penetração anuais.

Quem valida os provedores de serviço

A conformidade do provedor de serviços pode ser validada por meio de múltiplos mecanismos, dependendo das obrigações contratuais e das considerações de risco:

• Autoavaliação vs. QSA: Os provedores de Nível 1 devem ser validados por um QSA externo, enquanto os provedores de Nível 2 podem fazer a autoavaliação usando o SAQ D. No entanto, seus clientes, comerciantes ou as bandeiras de cartão ainda podem exigir um ROC assinado por QSA, dependendo da sensibilidade do serviço fornecido. Em alguns casos, os QSAs dos comerciantes revisarão os controles do provedor de serviços durante as próprias avaliações PCI do comerciante devido à natureza da responsabilidade compartilhada.
• Registros de conformidade das marcas de cartão: Marcas de cartão renomadas, como Visa e Mastercard, mantêm listas oficiais de fornecedores de serviços em conformidade. Os comerciantes são incentivados e frequentemente obrigados a usar apenas esses fornecedores de serviços
• Responsabilidade do comerciante: Os comerciantes devem manter uma lista de seus prestadores de serviços, ter acordos escritos com eles e são responsáveis por verificar o status de conformidade de seus prestadores de serviços pelo menos uma vez por ano. A falha em usar um prestador de serviços em conformidade não transfere a obrigação PCI; os comerciantes continuam responsáveis por proteger os dados do titular do cartão

Escolhendo o SAQ certo para o seu ambiente

Matriz de seleção SAQ

Questionários de Autoavaliação são ferramentas de validação definidas pelo PCI Security Standards Council (PCI SSC) para ajudar comerciantes e prestadores de serviços a autoavaliarem a conformidade com o PCI DSS. O SAQ correto depende de como os comerciantes aceitam, processam, transmitem e armazenam os dados do titular do cartão.

Dicas para evitar o aumento do escopo

Escolher o tipo errado de SAQ pode aumentar o ônus de conformidade, criar lacunas de segurança e causar rejeições na auditoria.

Mapeie seus fluxos de pagamento: Documente cada ponto onde os dados do titular do cartão entram na sua organização, como são processados e armazenados, e onde saem do seu ambiente. Identifique todos os sistemas e serviços envolvidos na captura e processamento de dados, incluindo sistemas de backup, logs ou arquivos.

Entenda os pontos de contato dos dados do titular do cartão: Se qualquer parte da sua infraestrutura tocar nos dados do titular do cartão, isso pode alterar o tipo de SAQ de um SAQ mais leve para o SAQ D. Se qualquer sistema armazenar, processar ou transmitir dados do titular do cartão, isso pode influenciar a segurança dos dados do titular do cartão. Considere também sistemas que podem acessar o ambiente dos dados do titular do cartão e sistemas que estão no mesmo segmento de rede que o CDE.

Use segmentação: A segmentação adequada de rede e sistema pode reduzir o escopo do PCI DSS, diminuindo o esforço necessário para conformidade. Use firewalls e VLANs para isolar terminais de pagamento ou sistemas POS do restante da rede corporativa. Sempre documente as mudanças e valide regularmente a eficácia para apoiar a conformidade contínua.

Consulte um QSA: Se um comerciante oferece serviços tanto em loja física quanto em comércio eletrônico, pode ser necessário preencher vários SAQs ou um único SAQ D. Sempre é uma boa ideia envolver um QSA que possa ajudar a evitar esforços de conformidade excessivos ou insuficientes.

Do escopo à evidência: o que os auditores esperam por nível

Definição de escopo e documentação

Auditores que avaliam a conformidade com PCI DSS concentram-se primeiro na validação do escopo e na documentação fundamental, pois todas as evidências relevantes dependem de uma definição exata do Cardholder Data Environment (CDE).

Escopo preciso do CDE: Os auditores exigem identificação clara de todos os sistemas, redes e locais que armazenam, processam ou transmitem dados do titular do cartão. Limites claros do CDE devem ser documentados. Quais sistemas estão no escopo, como terminais de ponto de venda, gateways de pagamento e bancos de dados, e quais sistemas estão fora do escopo devem ter evidências de exclusão, como segmentação de rede e regras de firewall. O escopo do CDE deve ser revisado pelo menos anualmente e após cada mudança significativa no CDE ou na infraestrutura associada.

Diagramas de fluxo de dados: Os DFDs devem mostrar o movimento de dados do titular do cartão de ponta a ponta, desde os pontos de entrada até o movimento interno, armazenamento e pontos de saída. Os DFDs devem conter fluxos de dados em alto nível e detalhados com descrições breves, marcando rotas criptografadas e não criptografadas e mapeando para dispositivos reais com endereços IP e nomes de host.

Documentação de segmentação de rede: Se determinados servidores e dispositivos forem considerados fora do escopo, evidências técnicas devem ser incluídas na documentação para comprovar que o CDE não é afetado. Por exemplo, configurações de firewall que restringem o tráfego de rede entre redes CDE e não-CDE, configurações de VLAN que separam logicamente as redes e resultados anuais de testes de penetração.

Inventário do sistema: Deve ser documentado um inventário completo e atualizado de todos os ativos de TI, como servidores, estações de trabalho, dispositivos de rede e terminais, com sistemas operacionais instalados, aplicações, versões e níveis de patch para tudo que possa afetar o CDE. Mecanismos de gerenciamento de mudanças devem ser implementados para mostrar logs como evidência para atualizações do sistema, patches e descomissionamento de hardware.

Sincronização de tempo: Todos os sistemas devem ter tempo preciso e sincronizado usando Network Time Protocol (NTP), pois a sincronização de tempo é crítica para a correlação de logs e análise forense. A documentação deve conter a configuração do servidor NTP, a fonte de tempo e as configurações de frequência de sincronização, com logs de suporte para mostrar a sincronização de tempo bem-sucedida.

Principais artefatos por nível

Diferentes níveis de relatório exigem tipos e profundidades diferentes de evidências, mas os artefatos principais permanecem consistentes; apenas os métodos de validação variam com base no nível do comerciante. A seguir estão os artefatos comuns que os auditores esperam em todos os níveis:

• Políticas de segurança da informação: Políticas de segurança documentadas abrangendo todos os requisitos aplicáveis do PCI DSS, incluindo política de uso aceitável, política de retenção de dados, mecanismos de gerenciamento de chaves de criptografia, política de acesso remoto, política de gerenciamento de mudanças, segurança física e procedimentos de resposta a incidentes
• Documentação de controle de acesso: Políticas de acesso do usuário e relatórios que mostram quem tem acesso a quais sistemas e dados, implementação de role-based access control (RBAC) e se os papéis e permissões seguem o princípio do menor privilégio. Autenticação multifator (MFA) aplicada em todos os caminhos de acesso no CDE, mecanismos de Privileged Access Management com gravação de sessão e trilha de auditoria completa do acesso administrativo ao CDE
• Logs de monitoramento da integridade de arquivos (FIM): Evidências de que arquivos críticos do sistema e configurações são monitorados para alterações não autorizadas, incluindo alertas e relatórios do FIM, definições de configuração base e registros de investigação para alterações legítimas
• Revisões de acesso do usuário: Revisões periódicas de contas de usuários e contas administrativas, incluindo relatórios aprovados pelos chefes de departamento, evidências de remediação para privilégios excessivos e remoção de acesso de usuários desligados
• Resultados da varredura de vulnerabilidades: Relatórios trimestrais por ferramentas internas de varredura e fornecedores externos aprovados de varredura (Approved Scanning Vendors - ASV) que mostram que não foram encontradas vulnerabilidades de alto risco, ou que as vulnerabilidades foram corrigidas e as novas varreduras mostram que as vulnerabilidades foram resolvidas
• Relatórios de teste de penetração: Relatórios formais dos resultados de testes de penetração internos ou externos, incluindo testes na camada de rede, testes na camada de aplicação e validação de segmentação. As descobertas devem identificar claramente as vulnerabilidades com classificações de severidade e validações de remediação após novos testes.
• Procedimentos de resposta a incidentes: Um plano documentado para lidar com incidentes de segurança, incluindo como classificar incidentes, caminhos de escalonamento, papéis e responsabilidades da equipe de resposta, protocolos de comunicação, procedimentos de coleta de evidências forenses e medidas de continuidade de negócios
• Registros de gerenciamento de mudanças: Rastro completo de auditoria das alterações feitas em sistemas e aplicações, incluindo formulários de solicitação de mudança, formulários de avaliação de risco, registros de aprovação, validação pós-implementação e justificativas para execução de procedimentos de emergência

As capacidades de auditoria e conformidade da Netwrix ajudam as organizações a gerar evidências para todos os requisitos do PCI DSS, desde a definição precisa do escopo e descoberta de dados até o controle de acesso e autenticação multifator, Privileged Access Management, além de registro extensivo e monitoramento contínuo. As capacidades automatizadas de descoberta de dados encontram e classificam Números de Conta Primária (PAN) e outros dados sensíveis de titulares de cartão. A minimização de dados ajuda a identificar dados de titulares de cartão obsoletos ou retidos em excesso para apoiar processos seguros de exclusão. Campanhas regulares de revisão de acesso de usuários automatizam a atestação de acesso para limitar o acesso ao CDE aplicando o princípio do menor privilégio. As soluções Netwrix capturam trilhas de auditoria abrangentes audit trails da atividade do usuário, mudanças no sistema e eventos de acesso, com capacidades para exportar esses logs e relatórios de conformidade para atender aos requisitos do PCI DSS.

Como os níveis mudam: gatilhos para subir ou descer

Gatilhos para mudanças de nível

Os níveis de conformidade PCI DSS não são estáticos; eles podem subir ou descer com base nas atividades comerciais, eventos de risco ou decisões tomadas pelas bandeiras de cartão ou pelo banco adquirente. Os níveis de conformidade de comerciantes e prestadores de serviços são determinados principalmente pelo volume de transações por ano. Se uma campanha de marketing durante a temporada de festas aumentar dramaticamente o volume de transações e ultrapassar a marca de 6 milhões de transações, o banco adquirente notificará o comerciante de que ele deve agora atender aos requisitos de conformidade do PCI DSS Nível 1.

Da mesma forma, se o volume de transações de um comerciante diminuir significativamente, ele pode ser elegível para rebaixar seu nível de conformidade, reduzindo a complexidade e o custo da auditoria. Fusões e aquisições podem combinar volumes de transações de vários comerciantes, e novos canais de pagamento ou marcas herdadas por meio de aquisição podem afetar o total de transações.

Qualquer incidente de segurança ou violação de dados pode desencadear uma ação rigorosa de conformidade por parte das bandeiras de cartão ou do banco adquirente, aumentando o nível e possivelmente exigindo investigação forense com esforços de remediação antes que o nível de conformidade possa ser restaurado ao normal. Se um comerciante começar a usar um novo provedor de serviços terceirizado ou alterar o processamento de pagamentos terceirizado, isso pode afetar o nível de conformidade. Por exemplo, mudar de uma página de pagamento terceirizada para um modelo parcialmente hospedado pode aumentar as obrigações de conformidade, enquanto mudar de um serviço de gerenciamento de pagamentos interno para processamento de pagamentos terceirizado pode simplificar as obrigações de conformidade. As bandeiras de cartão reservam-se o direito de reclassificar qualquer comerciante ou provedor de serviços com base em altas taxas de fraude, não conformidade repetida ou um modelo de negócio de alto risco.

Melhor prática de governança

Conformidade não é um evento único; é um processo contínuo. Para evitar falhas súbitas, as organizações devem integrar os controles e políticas exigidos pelo nível de conformidade PCI em seu modelo de governança empresarial.

Evite surpresas: Ao monitorar o volume de transações trimestralmente ou mensalmente, os comerciantes podem prever quando podem atingir o próximo nível antes que isso aconteça. Mantenha evidências das transações para reclassificação, como diagramas de fluxo de dados das novas adições de canais, registros de incidentes e registros de remediação em caso de um evento de violação de segurança.

Planejamento da validação: A transição do Nível 2 para o Nível 1 exige a contratação de um Qualified Security Assessor (QSA) e acarreta custos técnicos para garantir a segurança do CDE. Essas mudanças requerem um planejamento significativo e eficiente para assegurar o orçamento adequado e que os recursos, como equipe e equipamentos, sejam distribuídos corretamente.

Comunicação proativa: Mantenha um relacionamento transparente com seu banco adquirente, o que ajuda na negociação dos prazos para implementação dos controles de segurança caso ocorra uma mudança inesperada no nível de conformidade. Sempre notifique o adquirente antes de lançar novas plataformas de comércio eletrônico, mudanças na tokenização ou substituições de gateway de pagamento.

Erros comuns por nível e como evitá-los

Armadilhas do Nível 1

Gerenciamento fraco de privileged access: Ambientes de portadores de cartão Nível 1 e infraestrutura associada exigem controle rigoroso de acesso para reduzir a superfície de ataque. Um gerenciamento de acesso abrangente é um fator chave na segurança dos dados dos portadores de cartão. Problemas comuns incluem o uso de contas administrativas compartilhadas, ausência de MFA implementado para contas administrativas ou de serviço e acesso remoto, privilégios permanentes excessivos, falta de campanhas de revisão de acesso de usuários, controle de acesso baseado em função (RBAC) que não segue o princípio do menor privilégio e falta de monitoramento das atividades administrativas.

Registro incompleto: Os registros desempenham um papel crítico na investigação forense de eventos de violação de dados e na validação da eficiência dos controles de segurança. Problemas comuns incluem a ausência de trilhas de autenticação, como eventos importantes de falha de autenticação, escalonamento de privilégios ou acesso a dados. Os registros são coletados, mas não agregados em uma plataforma centralizada para análise e armazenamento automatizados. Os registros estão presentes, mas não conseguem distinguir trilhas de eventos com base em IDs únicos vinculados a contas específicas.

Eficácia da segmentação: Problemas comuns incluem redes rotuladas como fora do escopo sem evidências de que não podem acessar o CDE, ausência de relatórios anuais de testes de penetração e regras incorretas de firewall que podem permitir o acesso à rede.

Evidência de gerenciamento de mudanças: Problemas comuns incluem registros de mudanças emergenciais implementadas sem aprovação adequada, impacto PCI não avaliado após a implementação, atualizações ou substituição de hardware e software sem backup adequado, e ausência de relatório de avaliação da postura de segurança após eventos legítimos de gerenciamento de mudanças.

Armadilhas dos níveis 2-4

Seleção incorreta do SAQ: Os comerciantes frequentemente escolhem o Questionário de Autoavaliação (SAQ) mais fácil ou mais curto sem perceber que seu ambiente realmente exige avaliações técnicas mais detalhadas e relevantes. Escolher um tipo incorreto de SAQ leva a uma avaliação de conformidade incompleta, especialmente quando os fluxos de pagamento são mal compreendidos e representados incorretamente na documentação. Sempre mapeie os fluxos completos de dados do cartão de pagamento antes da seleção do SAQ, documente onde os PANs são transmitidos, processados e armazenados, e verifique os métodos de integração do processador terceirizado. Em caso de dúvida, sempre consulte o guia de seleção do SAQ ou contrate um QSA para ajudar no processo de seleção do SAQ.

Escaneamentos trimestrais ASV perdidos: Os escaneamentos de vulnerabilidades devem ser realizados por um Approved Scanning Vendor (ASV) a cada 90 dias. Os comerciantes assumem que é uma tarefa anual ou não corrigem as vulnerabilidades identificadas no escaneamento dentro do prazo exigido para manter o status de conformidade. Sempre agende os escaneamentos para o primeiro mês de cada trimestre para permitir tempo suficiente para corrigir quaisquer vulnerabilidades identificadas e realizar um novo escaneamento após os esforços de correção para obter o relatório aprovado antes do final do mesmo trimestre. Defina lembretes no calendário de 2 a 3 semanas antes da data de vencimento, acompanhe os prazos de correção (30 dias para vulnerabilidades de alto risco), mantenha evidências documentadas dos resultados do escaneamento e da correção, e use apenas fornecedores de escaneamento aprovados pelo PCI SSC para os escaneamentos trimestrais.

PAN em logs e exportações: Informações do Primary Account Number (PAN) podem vazar para locais onde não deveriam ser armazenadas, como logs de aplicativos, transcrições de chats de atendimento ao cliente, gravações de chamadas de áudio, exportações de CRM ou exportações CSV usadas pelo departamento de contabilidade. Use ferramentas automatizadas de data discovery tools para escanear a infraestrutura em busca de PAN não criptografado pelo menos uma vez por ano. Garanta que as soluções de software mascaram os números dos cartões, mostrando apenas os 4 primeiros ou últimos dígitos. Revise as funções de exportação e ferramentas de relatório para truncar o PAN, treine desenvolvedores em práticas seguras de codificação para evitar o armazenamento de informações sensíveis em logs de depuração e revise regularmente os logs para identificar qualquer informação sensível não criptografada.

Onde a Netwrix acelera o PCI DSS em todos os níveis

Requisito 3: proteger os dados armazenados do titular do cartão

Netwrix Data Security Posture Management solutions help organizations perform automated data discovery and classification across hybrid environments to find Primary Account Numbers (PAN) and other sensitive cardholder data. Data classification is done using compound term processing and statistical analysis rather than simple keyword matching. Automated redaction capabilities mask card digits when there is no business need to display them. Data minimization and retention tracking demonstrates that only necessary cardholder data is stored and unnecessary data is not retained. Automated workflows allow organizations to quarantine sensitive data in insecure locations and help remove permissions from global access groups.

Requirements 7 and 8: access control and authentication

Netwrix Identity Governance solutions provide visibility into user, service accounts, and admin accounts permissions across premises and cloud platforms. Privilege attestation reporting certifies user privileges to enforce least privilege and ensure that access to the cardholder environment is strictly role-based and documented. Identity governance solutions automate the lifecycle of user identities to ensure that every person has a unique ID, all activities are tracked with that unique ID, and access can be instantly revoked in case of suspicious activity or termination. Privileged account monitoring capabilities allow organizations to monitor and record privileged sessions in the CDE to detect any unauthorized changes or data exfiltration attempts.

Requisito 10: registro e monitoramento

Netwrix Auditor provides unified auditing and activity monitoring capabilities across hybrid infrastructure including file systems, Active Directory, and cloud services. Change tracking solutions integrate file integrity monitoring (FIM) features to detect unauthorized changes to critical system files and security configurations and generate alerts when log data is modified. Netwrix solutions provide exportable, audit-ready logs and reports that serve as evidence in Attestation of Compliance and Report on Compliance submissions, significantly reducing audit preparation time.

Requirements 6 and 11: secure systems and testing

Netwrix Change Tracker continuously tracks system configuration, detects misconfigurations that deviate from security baselines, and ensures that servers, endpoints, and network devices always stay secure. Change tracking with before-and-after configuration values shows what changed, when, and by whom to provide a comprehensive evidence-based report on the CDE. These evidence-based reports support secure system maintenance, verification of consistent configuration, and continuous testing to satisfy PCI scanning and testing requirements.

PCI DSS Level 1 deep dive (for enterprises and service providers)

Additional rigor for Level 1

Level 1 merchants and service providers face a higher level of scrutiny because they represent the highest risk to the payment ecosystem. At Level 1, organizations are expected to go beyond the 12 core requirements of PCI compliance; they must implement enhanced controls, documented discipline, and continuous monitoring to fulfill validation requirements properly.

Sampling strategy considerations: When an enterprise has hundreds or thousands of infrastructure components, a QSA cannot evaluate every single one. PCI DSS does not mandate one specific sampling formula, but Level 1 audits inherently require representative sampling across the most critical systems, such as the CDE, segmentation controls, access control, and logging. Standardize sampling by grouping systems with identical configuration. Sampling must include every business process and geographic location that handles cardholder data. Maintain sampling method documentation including population definition, selection criteria, statistical justification, and traceability of the sample to specific PCI requirements with evidence to demonstrate completeness to the QSA. If sampling reveals failure, expand testing or evaluate the entire system class. Level 1 entities should avoid assuming a single representative system covers the whole class.

Expanded penetration testing scope: Level 1 entities must include internal networks, perimeter networks, VPN, cloud infrastructure, APIs, and endpoints annually and in case of any significant change in the network, such as new hardware addition, software upgrades, or migration to a new cloud platform. At minimum, targeted penetration testing is required again. Organizations must prove network segmentation with evidence such as firewall rules and VLAN isolation. Authentication and authorization processes must be assessed from both internal user and external attacker perspectives. After remediation, targeted re-testing is needed to confirm that vulnerabilities are resolved.

Evidence repository best practices: A Level 1 audit can require thousands of pieces of evidence. Organizations must move away from spreadsheets to a proper Governance, Risk and Compliance (GRC) tool to automate the entire process with a centralized data repository. Use automated tools to generate baseline artifacts for every requirement, such as policies, configuration files, logs, and procedures. Organize evidence according to the 12 PCI DSS requirements and sub-requirements. Maintain dated versions of all configurations and policies, role-based access permissions details, quarterly scan reports, log analysis, file integrity monitoring alerts, firewall rules, and encryption implementations.

Continuous compliance: Unlike older point-in-time compliance, PCI DSS emphasizes continuous security. For Level 1 organizations, continuous monitoring must be built into every business process. Apart from quarterly external ASV vulnerability scanning and internal vulnerability scans, logs must be reviewed daily or at least twice a week with implementation of SIEM tools for aggregate analysis. Real-time alert generation mechanisms should be deployed for file integrity monitoring. A formal change management process with documented approval must be in place for every change in the CDE. On a monthly basis, user access review campaigns must be triggered, firewall and router rules must be reviewed, and service provider compliance should be validated.

Maintain organized documentation: Organizations must not wait for audit season; they must create and update documentation periodically for all 12 PCI DSS requirements throughout the year with proper version control and summary change logs. A QSA's first task is often scope discovery. If they find a system or requirement that was not documented, the audit will most likely be delayed or fail.

Working with QSAs

Level 1 validations require an external Qualified Security Assessor (QSA). However, the QSA should not be viewed as an auditor but rather as a partner in reducing risk. Successful engagement requires preparation in advance and efficient collaboration to maximize output from this process.

Prepare evidence in advance: Organizations must conduct internal assessments using the ROC template to identify gaps. Create a checklist mapping each requirement to corresponding evidence. Prepare a complete and up-to-date asset inventory with data flow diagrams, and scoping documentation must include detailed network segmentation to justify scope.

Establish clear communication channels: Appoint a single point of contact for QSA coordination. Identify subject matter specialists for each requirement domain for details. Set up preferred communication channels such as email, video conferencing, and documentation portals. Run pre-audit walkthrough sessions, define escalation paths for disputes or delays in evidence requests, and establish turnaround time for evidence requests, such as 48 or 72 hours.

Address findings promptly: If a QSA finds a gap during the audit, try to remediate it immediately while they are on site. This can often result in a successful pass in the final ROC rather than a non-compliance status. The remediation process should be formal, including confirming receipt that findings are understood, root cause analysis of why non-compliance occurred, and documented actions that were taken to remediate the issue with evidence such as screenshots, configuration details, and new policies.

Next steps: validate your PCI DSS compliance level

Action plan

Understanding your merchant or service level is critical for PCI DSS compliance. Once the level is evaluated correctly, the compliance path forward is about validation, evidence, and continuous monitoring.

Ready to streamline PCI DSS compliance at any level? Visit the Netwrix PCI DSS solution page to see mapped report samples and discover how our data security and audit capabilities accelerate your validation.