Beancount.io LogoBeancount.io

PCI DSS 4.0.1 em 2026: O Guia do Pequeno Comerciante para SAQ A, Adulteração de Scripts e MFA

15 min para lerMike ThriftMike Thrift
PCI DSS 4.0.1 em 2026: O Guia do Pequeno Comerciante para SAQ A, Adulteração de Scripts e MFA

Se a sua loja online carrega sequer um script de terceiros na página que acessa um formulário de pagamento, você não pode mais presumir que a versão mais simples da conformidade PCI se aplica a você. Essa única linha, enterrada no FAQ do PCI DSS v4.0.1, redesenhou silenciosamente o mapa de conformidade para centenas de milhares de pequenos lojistas em 2026 — e muitos deles não perceberão isso até que o seu adquirente solicite evidências que eles não podem produzir.

O PCI DSS v4.0.1 não é uma atualização sutil. Os 64 requisitos novos ou atualizados são obrigatórios desde 31 de março de 2025; cada avaliação em 2026 é realizada em relação ao novo padrão, e as regras de elegibilidade para o questionário de autoavaliação mais amigável tornaram-se mais rígidas de formas que pegam a maioria das lojas de e-commerce terceirizadas de surpresa. A boa notícia é que o padrão ainda é navegável para uma pequena empresa com a mente clara e um checklist. A má notícia é que "usamos o Stripe Checkout, então estamos bem" não é mais uma resposta automática.

Este guia percorre o que mudou, qual questionário sua empresa realmente precisa, os dois novos requisitos (6.4.3 e 11.6.1) que consumiram o antigo SAQ A, as regras de autenticação que confundem pequenas equipes e o custo realista de errar em qualquer um desses pontos.

O Estado do PCI DSS em 2026

O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) é o livro de regras contratuais que as principais bandeiras de cartões — Visa, Mastercard, American Express, Discover, JCB — impõem a qualquer empresa que armazene, processe ou transmita dados de titulares de cartões. Você não o "submete ao governo". Seu adquirente (o banco ou processador que permite que você aceite cartões) o aplica através do seu contrato de lojista, e eles são quem coletam as multas se algo der errado.

O PCI DSS v4.0 foi publicado em março de 2022. A versão 4.0.1 — uma versão de esclarecimento em vez de um novo padrão — tornou-se a versão ativa em meados de 2024. O cronograma de transição terminou em 31 de março de 2025: a partir dessa data, cada um dos 51 requisitos datados para o futuro está no escopo sem período de carência, e cada avaliação realizada durante 2026 é conduzida de acordo com a v4.0.1. Não existe mais uma opção de recorrer à v3.2.1.

As 12 famílias de requisitos de alto nível permanecem as mesmas, organizadas em seis objetivos de controle:

  • Construir e manter uma rede segura: firewalls e padrões de fábrica de fornecedores (Requisitos 1–2)
  • Proteger os dados do titular do cartão: dados armazenados e dados em trânsito (Requisitos 3–4)
  • Manter um programa de gestão de vulnerabilidades: antimalware e desenvolvimento seguro (Requisitos 5–6)
  • Implementar controle de acesso forte: necessidade de saber, identificação, acesso físico (Requisitos 7–9)
  • Monitorar e testar redes regularmente: registros (logs) e testes (Requisitos 10–11)
  • Manter uma política de segurança da informação: governança (Requisito 12)

O que mudou na v4.0.1 foi a profundidade, não a amplitude. O padrão agora espera que você pense sobre como os scripts são executados nas páginas de pagamento, com que frequência você revisa seus próprios controles, como você autentica administradores e se a senha que seu contador escolheu há cinco anos ainda é aceitável.

Níveis de Lojistas: Onde a Maioria das Pequenas Empresas se Encontra

As bandeiras de cartão atribuem cada lojista a um dos quatro níveis com base no volume anual de transações. O nível dita como a conformidade é validada, não se o padrão se aplica.

  • Nível 1: mais de 6 milhões de transações com cartão por ano, ou qualquer lojista que tenha sofrido um comprometimento confirmado de dados de conta. Requer uma avaliação anual no local por um Assessor de Segurança Qualificado (QSA) e uma varredura trimestral de um Fornecedor de Varredura Aprovado (ASV).
  • Nível 2: de 1 milhão a 6 milhões de transações por ano. Geralmente SAQ anual ou uma avaliação QSA no local, dependendo da bandeira.
  • Nível 3: de 20.000 a 1 milhão de transações de e-commerce por ano. SAQ anual mais varreduras ASV trimestrais.
  • Nível 4: menos de 20.000 transações de e-commerce por ano, ou até 1 milhão de transações totais em todos os canais. SAQ anual e, para a maioria dos canais, varreduras ASV trimestrais.

Se você administra uma boutique online, um fluxo de faturamento SaaS, um negócio de serviços regionais ou um restaurante com uma única unidade, você é quase certamente Nível 4. Essa é a vasta maioria dos lojistas em todo o mundo. A validação é mais simples, mas o padrão subjacente é idêntico — um número de cartão vazado de um lojista com 200 transações por ano é tratado da mesma forma que um vazamento de uma grande empresa.

Questionários de Autoavaliação: Escolha o Correto

O Questionário de Autoavaliação (SAQ) é como os lojistas de Níveis 2–4 atestam a conformidade. O PCI Council mantém nove SAQs, e o correto depende de exatamente como fluem seus dados de pagamento. Escolher o SAQ errado é o erro individual mais comum que os pequenos lojistas cometem.

  • SAQ A: lojistas de e-commerce ou pedidos por correio/telefone que terceirizam totalmente todas as funções de dados do titular do cartão para terceiros validados pelo PCI DSS. Costumava ser o "botão fácil" para lojistas de Shopify, Stripe Checkout e PayPal — mas veja a próxima seção, pois as regras de elegibilidade ficaram mais rígidas.
  • SAQ A-EP: lojistas de e-commerce que terceirizam parcialmente o processamento de pagamentos, mas cujo site ainda afeta a segurança da transação (por exemplo, sites que constroem sua própria página de checkout e chamam uma API de pagamento).
  • SAQ B: lojistas que utilizam apenas máquinas de decalque ou terminais independentes de discagem. Nenhuma conexão de internet toca os dados do cartão.
  • SAQ B-IP: lojistas que utilizam terminais de pagamento independentes conectados por IP (a maioria dos terminais de balcão modernos).
  • SAQ C-VT: lojistas que inserem dados de cartão através de um terminal virtual em uma estação de trabalho isolada.
  • SAQ C: lojistas com um aplicativo de pagamento conectado à internet, onde os dados não são armazenados.
  • SAQ P2PE: lojistas que utilizam uma solução de criptografia ponto a ponto validada.
  • SAQ D-Merchant: categoria geral para lojistas que não se encaixam em nenhum outro SAQ — e, de longe, o mais longo.
  • SAQ D-Service Provider: para prestadores de serviços qualificados para autoavaliação.

Cada SAQ pergunta apenas o subconjunto dos mais de 300 controles relevantes para aquele modelo de aceitação. O SAQ A tem menos de 30 perguntas; o SAQ D-Merchant tem mais de 250. A diferença no esforço é enorme, e é por isso que os lojistas querem se qualificar para o SAQ A sempre que legitimamente puderem.

A Armadilha da Elegibilidade para o SAQ A

A maior mudança que os pequenos lojistas de e-commerce precisam entender em 2026 é quem realmente se qualifica para o SAQ A. O Conselho de Padrões de Segurança PCI publicou o FAQ 1588 no início de 2025 e endureceu significativamente os critérios.

Sob a v4.0.1, o SAQ A só está disponível se você puder confirmar que suas páginas de e-commerce — incluindo a página que contém seu iframe de pagamento incorporado ou redirecionamento — não são suscetíveis a ataques de scripts que possam afetar seu ambiente de pagamento. Esta é uma reação à onda de ataques de skimming digital (frequentemente chamados de "Magecart"), nos quais os invasores comprometem uma biblioteca JavaScript de terceiros e exfiltram dados de cartões mesmo de sites que acreditavam ter terceirizado tudo.

Na prática, você pode satisfazer isso de uma de duas formas:

  1. Implementar você mesmo as proteções de script nos Requisitos 6.4.3 e 11.6.1. Inventariar cada script que carrega em sua página de pagamento, autorizar cada um, justificar por que é necessário e implantar um mecanismo de detecção de alterações e violações que o alerte quando um cabeçalho HTTP ou o conteúdo da página mudar inesperadamente. O mecanismo deve avaliar a página de pagamento pelo menos a cada sete dias, ou em uma frequência que você justifique por meio de uma análise de risco direcionada.
  2. Obter confirmação por escrito do seu processador de pagamentos de que a solução incorporada deles inclui proteções integradas contra ataques baseados em script em seu nome.

O segundo caminho é o que a maioria dos pequenos lojistas seguirá, mas não é automático. Você precisa de uma declaração documentada do processador — não de uma página de marketing. Muitos lojistas do Stripe, Adyen, Braintree e Square descobrirão que seu processador publicou uma atestação; alguns gateways menores não o fizeram. Se o seu processador não puder fornecer essa confirmação por escrito, você terá que recorrer ao SAQ A-EP ou construir os controles você mesmo.

Se o seu checkout "terceirizado", na verdade, carrega qualquer JavaScript controlado pelo lojista que possa influenciar o formulário de pagamento — análises, testes A/B, widgets de chat, gerenciadores de tags — a leitura conservadora é que você não se qualifica mais para o SAQ A, independentemente do que o seu processador diga.

Autenticação: As Duas Regras Que Pegam Pequenas Equipes

Independentemente de qual SAQ se aplique, duas mudanças no controle de acesso na v4.0.1 pegam quase todas as pequenas empresas desprevenidas.

Requisito 8.3.6: as senhas devem ter pelo menos 12 caracteres. Se o sistema suportar apenas 8 caracteres, você pode manter 8, mas qualquer sistema mais capaz deve ter o limite aumentado. As senhas devem incluir caracteres numéricos e alfabéticos. O antigo mínimo de 7 caracteres da v3.2.1 não existe mais.

Requisito 8.4.2: autenticação de múltiplos fatores para todo o acesso ao ambiente de dados do portador de cartão. Anteriormente, a MFA era exigida apenas para acesso remoto por administradores. Sob a v4.0.1, qualquer pessoa — administrador, desenvolvedor, suporte de terceiros, você mesmo — precisa de MFA toda vez que acessar qualquer componente do sistema dentro do ambiente de dados do portador de cartão, não apenas ao se conectar de fora da rede. A própria MFA deve ser resistente a ataques de repetição (replay) e exigir pelo menos dois de: algo que você sabe, algo que você tem, algo que você é.

Para um pequeno lojista, a tradução prática é: ative a MFA no portal do seu processador, no painel de controle da sua hospedagem, no registrador de domínios, no provedor de DNS, na administração do seu e-commerce, no back-office do ponto de venda e em qualquer laptop que toque esses sistemas. Use um aplicativo autenticador ou chave de hardware — a MFA baseada em SMS é cada vez mais vista como inadequada, embora o padrão ainda a permita tecnicamente.

Análise de Risco Direcionada: O Documento Que Você Provavelmente Precisa

O PCI DSS v4.x introduz a análise de risco direcionada (TRA) — uma análise curta e documentada que permite justificar com que frequência você executa certos controles. Cerca de uma dúzia de requisitos incluem a "frequência definida na análise de risco direcionada da entidade" como uma opção.

O Requisito 12.3.1 detalha o que uma TRA deve conter: identificação do ativo que está sendo protegido, a ameaça que está sendo mitigada, os fatores que influenciam a probabilidade e o impacto, e a justificativa para a frequência escolhida. O Conselho PCI publica um modelo no Apêndice E2 da norma.

Para um lojista de Nível 4, isso geralmente é um documento de uma página por controle. O erro a evitar é ignorá-lo completamente. Se o seu avaliador ou adquirente perguntar por que você verifica se há adulteração na sua página de pagamento a cada 30 dias em vez de a cada 7, "achamos que era o suficiente" não é uma resposta aceitável; "aqui está nossa TRA datada de 14 de janeiro de 2026, assinada pelo proprietário" é.

Fique longe da abordagem personalizada da v4.0. Ela existe para empresas com maturidade de risco e equipes de segurança dedicadas; para pequenos lojistas, a abordagem definida, com sua lista de verificação explícita, é mais rápida, barata e fácil de defender.

Quanto a Não Conformidade Realmente Custa

Os pequenos lojistas subestimam a exposição financeira porque as multas parecem hipotéticas até deixarem de ser. Os números, obtidos de tabelas de adquirentes e relatórios do setor, são preocupantes.

A não conformidade rotineira — falha no envio de um SAQ, scans ASV expirados — normalmente dispara multas mensais do seu adquirente começando em US5.000aUS 5.000 a US 10.000 por mês. Após três a seis meses de não conformidade, essas penalidades comumente escalam para US25.000aUS 25.000 a US 50.000 por mês, e violações crônicas podem chegar a mais de US50.000aUS 50.000 a US 100.000 por mês. O adquirente também pode aumentar suas taxas de processamento por transação ou encerrar a conta de comerciante, o que geralmente é mais prejudicial do que as multas.

Uma violação confirmada está em outro patamar. As bandeiras de cartão aplicam penalidades de aproximadamente US50aUS 50 a US 90 por registro comprometido, além de custos obrigatórios de investigação forense (US15.000oumais),taxasdereemissa~odecarto~esqueasbandeirasrepassamaolojistaeosestornos(chargebacks)detransac\co~esfraudulentas.Estudosdosetorestimamocustototalmeˊdiodeumaviolac\ca~odedadosdecarta~odepagamentoparaumlojistademeˊdioporteentreUS 15.000 ou mais), taxas de reemissão de cartões que as bandeiras repassam ao lojista e os estornos (chargebacks) de transações fraudulentas. Estudos do setor estimam o custo total médio de uma violação de dados de cartão de pagamento para um lojista de médio porte entre US 150.000 e US3milho~es,eovalorparaumagrandeviolac\ca~ochegaaosmilho~es.ParaumlojistadeNıˊvel4,aconformidadeanualpodecustarUS 3 milhões, e o valor para uma grande violação chega aos milhões. Para um lojista de Nível 4, a conformidade anual pode custar US 3.000 por ano, enquanto uma única violação pode anular uma década de lucro.

As leis estaduais e a FTC também se somam a isso. Custos de notificação, honorários advocatícios, exposição a ações coletivas e acompanhamento de órgãos reguladores rotineiramente excedem as próprias penalidades das bandeiras de cartão.

Um Checklist Prático de Conformidade para 2026 para Pequenos Comerciantes

A norma é intimidante no seu conjunto, mas o checklist para um pequeno comerciante típico de e-commerce ou serviços é finito. Trabalhe nele por esta ordem.

  1. Confirme o seu nível de comerciante com o seu adquirente por escrito. Os níveis são atribuídos por relação com o adquirente, não globalmente.
  2. Mapeie o seu fluxo de dados do titular do cartão. Desenhe um diagrama mostrando onde os dados do cartão entram, para onde se movem e por onde saem. Se os dados do cartão alguma vez passarem pelos seus servidores, o seu âmbito expande-se enormemente.
  3. Selecione o SAQ correto. Leia cada opção cuidadosamente. Se for um comerciante de e-commerce que reivindica o SAQ A, verifique a sua elegibilidade face à FAQ 1588.
  4. Obtenha confirmação por escrito do seu processador de pagamentos sobre as proteções contra ataques de script na sua solução incorporada. Arquive-a com os seus registos de conformidade.
  5. Inventarie cada script nas suas páginas de pagamento. Se não conseguir obter a confirmação do processador, prepare-se para implementar o Requisito 6.4.3 (scripts autorizados) e 11.6.1 (deteção de adulteração).
  6. Ative o MFA em todos os locais onde um administrador possa tocar nos sistemas de pagamento. Utilize uma aplicação de autenticação, não SMS.
  7. Aumente as palavras-passe para 12+ caracteres com conteúdo misto numérico e alfabético.
  8. Agende varreduras ASV trimestrais se o seu SAQ as exigir (a maioria exige para sistemas virados para a internet).
  9. Documente uma análise de risco direcionada para qualquer controlo onde você mesmo defina a frequência.
  10. Escreva uma política de segurança da informação (Requisito 12). Um documento simples de uma página que cubra a utilização aceitável, contactos de resposta a incidentes e um calendário de revisão anual satisfaz o básico para um pequeno comerciante.
  11. Dê formação anual a todos os funcionários que lidam com pagamentos. Mantenha folhas de presença ou registos de e-learning.
  12. Envie o SAQ e o Atestado de Conformidade ao seu adquirente dentro do prazo. Registe-o no seu calendário.

Mesmo neste nível de detalhe, um fim de semana de trabalho focado, somado a algumas centenas de dólares para uma varredura ASV, cobre a maioria dos pequenos comerciantes.

Como a Contabilidade se Liga a este Cenário

A conformidade com o PCI não é apenas um exercício de segurança — tem consequências contábeis diretas. Os custos de conformidade (ferramentas SAQ, varreduras ASV, hardware MFA, serviços de deteção de adulteração), as taxas do processador que variam de acordo com o seu estado de conformidade e quaisquer multas ou despesas de remediação fluem através dos seus livros. O mesmo acontece com os efeitos nas receitas de uma violação: chargebacks, reembolsos, taxas de reemissão passadas pelo seu adquirente e vendas perdidas durante a resposta ao incidente.

Manter uma contabilidade limpa e detalhada para cada despesa relacionada com pagamentos — discriminada por processador, ferramentas de segurança e serviços de conformidade — compensa de três formas. Documenta que os investimentos em conformidade estão a ser realizados (útil quando um adquirente ou seguradora pergunta). Revela o custo real de cada canal de aceitação, o que o ajuda a negociar as taxas do processador. E se ocorrer uma violação, fornece ao seu contabilista forense um rasto limpo para quantificar os danos para a recuperação do seguro.

Mantenha os seus Registos de Conformidade Prontos para Auditoria

Quer esteja a responder a um questionário de adquirente, a um subscritor de ciberseguro ou a um contabilista forense pós-violação, os comerciantes que superam bem os eventos PCI são aqueles cujos livros e registos contam uma história clara. Beancount.io oferece contabilidade em texto simples com controlo de versões que lhe dá um rasto transparente e datado de cada taxa de processamento de pagamentos, ferramenta de segurança e despesa de conformidade — sem caixas pretas, sem dependência de fornecedores e pronto para a era das finanças assistidas por IA. Comece gratuitamente e combine o seu trabalho de conformidade com uma contabilidade que resista ao escrutínio.