26/06/2026 · Equipe GálagoTEF
PCI DSS: o que o lojista precisa saber
Se o seu negócio aceita cartão, você está sujeito ao PCI DSS — o padrão de segurança de dados que rege como informações de cartão devem ser tratadas. Não é uma lei brasileira, mas é uma exigência contratual das bandeiras e adquirentes, e ignorá-la pode custar caro em multas e em risco de vazamento. Este guia explica, sem juridiquês, o que o lojista precisa saber sobre PCI DSS.
O que é PCI DSS
PCI DSS significa Payment Card Industry Data Security Standard. É um conjunto de requisitos de segurança criado pelas principais bandeiras (Visa, Mastercard e outras) para proteger os dados do portador do cartão em qualquer ponto onde eles sejam armazenados, processados ou transmitidos.
A ideia central é simples: dados de cartão são um alvo valioso para fraudadores, e quem lida com eles precisa de controles mínimos para não virar porta de entrada de vazamento. O padrão se aplica a todo o ecossistema — lojista, adquirente, gateway, provedor de TEF — cada um com sua parcela de responsabilidade.
Quem precisa cumprir
Qualquer estabelecimento que aceite cartão está no escopo. O que muda é o nível de exigência, geralmente definido pelo volume anual de transações. Grandes processadores enfrentam auditorias presenciais rigorosas; pequenos lojistas costumam preencher um questionário de autoavaliação (SAQ).
De forma resumida, os níveis funcionam assim:
- Nível 1: maior volume de transações; exige auditoria formal por avaliador qualificado.
- Níveis 2 a 4: volumes menores; normalmente atendidos por autoavaliação (SAQ) e scans.
O tipo de SAQ também varia conforme como você aceita o cartão — presencial com maquininha, e-commerce, digitação manual etc. Quanto menos você toca no dado do cartão, mais simples é o seu questionário.
Os pilares do padrão
O PCI DSS se organiza em objetivos que se traduzem em controles práticos. Em linhas gerais, ele cobre:
- Rede segura: firewall e configuração adequada dos sistemas.
- Proteção do dado do portador: não armazenar o que não precisa; criptografar o que transmite.
- Controle de acesso: cada pessoa com seu login, acesso mínimo necessário.
- Monitoramento: registrar e acompanhar acessos aos dados de cartão.
- Gestão de vulnerabilidades: antivírus, atualizações e testes regulares.
- Política de segurança: processos e responsabilidades documentados.
O ponto mais importante para o lojista comum é o segundo: não armazene dado de cartão que você não precisa. Guardar número completo do cartão em planilha, sistema caseiro ou anotação é o erro que mais gera incidente.
Como reduzir seu escopo (a melhor estratégia)
A conformidade fica muito mais fácil quando os dados sensíveis não passam pelo seu ambiente. É por isso que soluções de TEF e pagamento usam recursos como tokenização e criptografia ponta a ponta: o número do cartão nunca fica “solto” no seu sistema, e você lida apenas com uma referência (token) que não serve para fraude. Para entender esses mecanismos, veja segurança em TEF: tokenização e criptografia.
Reduzir escopo, na prática, significa:
- Nunca digitar nem armazenar o número completo do cartão em sistemas próprios.
- Usar maquininha/TEF que trafega o dado de forma criptografada até a adquirente.
- Trabalhar com tokens em vez do PAN (número real) sempre que precisar referenciar uma venda.
- Terceirizar a parte sensível para provedores que já são certificados.
Quanto menos dado de cartão você toca, menor o seu escopo PCI — e menor o seu risco.
PCI, fraude e chargeback andam juntos
Conformidade não é burocracia solta: dado de cartão vazado vira fraude, e fraude vira chargeback, com prejuízo direto para você. Tratar segurança a sério reduz os dois. Vale conectar este tema com como se proteger de chargeback, porque prevenção de fraude e conformidade PCI são faces da mesma moeda.
PCI DSS não é LGPD
Um esclarecimento comum: PCI DSS cuida especificamente de dados de cartão, enquanto a LGPD trata de dados pessoais em geral. Você precisa dos dois. Um estabelecimento pode estar em conformidade com PCI e ainda assim descumprir a LGPD em outros dados de clientes — e vice-versa. Trate-os como camadas complementares de responsabilidade.
Resumindo
PCI DSS é o padrão que rege a segurança de dados de cartão, exigido por contrato de bandeiras e adquirentes. Todo lojista que aceita cartão está no escopo, com nível conforme o volume. A melhor estratégia não é blindar dados de cartão que você guarda — é não guardá-los, reduzindo seu escopo com tokenização, criptografia e provedores certificados.
Com o GálagoTEF, os dados sensíveis do cartão trafegam de forma segura entre a maquininha e a administradora — seu sistema lida com referências de transação, não com o número do cartão. Reduza seu escopo PCI centralizando os pagamentos: comece pelo painel ou veja a documentação da API.