26/06/2026 · Equipe GálagoTEF

PCI DSS: o que o lojista precisa saber

Se o seu negócio aceita cartão, você está sujeito ao PCI DSS — o padrão de segurança de dados que rege como informações de cartão devem ser tratadas. Não é uma lei brasileira, mas é uma exigência contratual das bandeiras e adquirentes, e ignorá-la pode custar caro em multas e em risco de vazamento. Este guia explica, sem juridiquês, o que o lojista precisa saber sobre PCI DSS.

O que é PCI DSS

PCI DSS significa Payment Card Industry Data Security Standard. É um conjunto de requisitos de segurança criado pelas principais bandeiras (Visa, Mastercard e outras) para proteger os dados do portador do cartão em qualquer ponto onde eles sejam armazenados, processados ou transmitidos.

A ideia central é simples: dados de cartão são um alvo valioso para fraudadores, e quem lida com eles precisa de controles mínimos para não virar porta de entrada de vazamento. O padrão se aplica a todo o ecossistema — lojista, adquirente, gateway, provedor de TEF — cada um com sua parcela de responsabilidade.

Quem precisa cumprir

Qualquer estabelecimento que aceite cartão está no escopo. O que muda é o nível de exigência, geralmente definido pelo volume anual de transações. Grandes processadores enfrentam auditorias presenciais rigorosas; pequenos lojistas costumam preencher um questionário de autoavaliação (SAQ).

De forma resumida, os níveis funcionam assim:

O tipo de SAQ também varia conforme como você aceita o cartão — presencial com maquininha, e-commerce, digitação manual etc. Quanto menos você toca no dado do cartão, mais simples é o seu questionário.

Os pilares do padrão

O PCI DSS se organiza em objetivos que se traduzem em controles práticos. Em linhas gerais, ele cobre:

O ponto mais importante para o lojista comum é o segundo: não armazene dado de cartão que você não precisa. Guardar número completo do cartão em planilha, sistema caseiro ou anotação é o erro que mais gera incidente.

Como reduzir seu escopo (a melhor estratégia)

A conformidade fica muito mais fácil quando os dados sensíveis não passam pelo seu ambiente. É por isso que soluções de TEF e pagamento usam recursos como tokenização e criptografia ponta a ponta: o número do cartão nunca fica “solto” no seu sistema, e você lida apenas com uma referência (token) que não serve para fraude. Para entender esses mecanismos, veja segurança em TEF: tokenização e criptografia.

Reduzir escopo, na prática, significa:

Quanto menos dado de cartão você toca, menor o seu escopo PCI — e menor o seu risco.

PCI, fraude e chargeback andam juntos

Conformidade não é burocracia solta: dado de cartão vazado vira fraude, e fraude vira chargeback, com prejuízo direto para você. Tratar segurança a sério reduz os dois. Vale conectar este tema com como se proteger de chargeback, porque prevenção de fraude e conformidade PCI são faces da mesma moeda.

PCI DSS não é LGPD

Um esclarecimento comum: PCI DSS cuida especificamente de dados de cartão, enquanto a LGPD trata de dados pessoais em geral. Você precisa dos dois. Um estabelecimento pode estar em conformidade com PCI e ainda assim descumprir a LGPD em outros dados de clientes — e vice-versa. Trate-os como camadas complementares de responsabilidade.

Resumindo

PCI DSS é o padrão que rege a segurança de dados de cartão, exigido por contrato de bandeiras e adquirentes. Todo lojista que aceita cartão está no escopo, com nível conforme o volume. A melhor estratégia não é blindar dados de cartão que você guarda — é não guardá-los, reduzindo seu escopo com tokenização, criptografia e provedores certificados.

Com o GálagoTEF, os dados sensíveis do cartão trafegam de forma segura entre a maquininha e a administradora — seu sistema lida com referências de transação, não com o número do cartão. Reduza seu escopo PCI centralizando os pagamentos: comece pelo painel ou veja a documentação da API.


← Voltar ao blog