PCI DSS v4.0.1: principais mudanças e preparação para 2025

O PCI DSS (Payment Card Industry Data Security Standard) segue evoluindo para acompanhar as novas ameaças de segurança digital. Com o lançamento da versão PCI DSS 4.0.1, empresas que lidam com dados de cartão precisam atender às novas exigências estipuladas com o prazo final de transição em março de 2025. Se ainda não está adequado, está atrasado e pode se prejudicar,

Se você ainda está adaptando seus processos, este artigo traz um resumo claro das principais mudanças da PCI DSS v4.0.1, além de um roteiro prático para migrar da versão 3.2.1 ou 4.0 para a nova revisão. 

A PCI DSS versão 4.0.1 foi publicada pelo PCI Security Standards Council como uma atualização de manutenção para corrigir erros menores e melhorar a clareza de requisitos que causavam dúvidas na versão 4.0. 

Embora não tenha trazido mudanças estruturais nos requisitos, a 4.0.1 trouxe ajustes importantes em definições, notas explicativas e exemplos de implementação. Isso é fundamental para garantir uma interpretação mais uniforme durante auditorias. 

A seguir, um resumo objetivo do que mudou com a nova versão: 

A PCI DSS 4.0.1 fez correções em termos técnicos para garantir consistência em todos os documentos oficiais. 

Exemplos de ajustes: 

• Uniformização de termos como "acesso remoto" e "acesso administrativo"; 

• Esclarecimentos sobre o uso de "fatores de autenticação" no contexto de MFA. 

Vários requisitos receberam notas adicionais para esclarecer dúvidas frequentes de QSAs e empresas durante o processo de auditoria. 

Destaques: 

• Explicações mais detalhadas sobre exceções permitidas;

• Ajustes nos exemplos de implementação; 

• Revisões em anexos e tabelas de referência. 

A nova versão reforçou o entendimento sobre a frequência mínima exigida para relatórios de monitoramento, testes de segurança e revisões de acesso. 

Impacto prático: 

• Empresas agora têm um direcionamento mais claro sobre quando realizar varreduras, pentests e revisões de acesso; 

• Redução de ambiguidades que causavam interpretações conflitantes entre auditores. 

O PCI DSS 4.0 já havia trazido uma grande mudança ao exigir MFA para todos os acessos administrativos e de usuários com privilégio. A versão 4.0.1 reforçou e detalhou ainda mais esse requisito. 

Exemplos de ajustes: 

• Clarificação de quando o MFA deve ser aplicado em ambientes segmentados; 

• Mais exemplos de métodos de autenticação aceitos. 

Foram feitas correções de pequenos erros em anexos, como: 

• Tabela de controle de requisitos; 

• Referências cruzadas entre requisitos e exemplos; 

• Ajustes de formatação. 

O prazo de transição para a PCI DSS versão 4.0.1 terminou oficialmente em 31 de março de 2025. A partir dessa data, todas as avaliações e auditorias deverão ser feitas com base exclusivamente na nova versão. 

Veja abaixo um passo a passo para uma migração bem-sucedida: 

Antes de tudo, avalie onde sua empresa está em relação aos novos requisitos. 

Dicas práticas: 

• Revise todos os 12 requisitos principais; 

• Compare os controles atuais com as exigências da versão 4.0.1; 

• Liste os ajustes necessários. 

A Cipher pode realizar uma Gap Analysis detalhada para sua empresa 

Muitos dos ajustes da versão 4.0.1 impactam a forma como as políticas internas devem ser escritas e apresentadas. 

O que revisar: 

• Políticas de segurança da informação; 

• Procedimentos operacionais; 

• Frequência de testes e relatórios. 

Se sua empresa ainda não implementou MFA para todos os acessos administrativos e privilegiados, essa é a hora. 

Checklist para MFA: 

✅ MFA aplicado em ambientes de produção; 
✅ MFA exigido para usuários administrativos; 
✅ Documentação das configurações de autenticação; 
✅ Testes de validação do funcionamento do MFA. 

Garanta que seus sistemas de SIEM ou logging atendam às frequências mínimas exigidas pela nova versão. 

Inclua no plano de ação: 

• Revisão dos alertas configurados; 

• Verificação da integridade dos logs; 

• Auditoria interna de eventos recentes. 

A PCI DSS v4.0.1 reforça a importância da execução de testes de vulnerabilidade, pentests e revisões de acesso dentro dos prazos recomendados. 

Cronograma sugerido: 

Teste	Frequência
Varredura de vulnerabilidades	Trimestral
Pentest	Anual
Revisão de acesso	Semestral ou conforme política interna

As mudanças de versão impactam diretamente os times de: 

• Segurança da informação; 

• Infraestrutura; 

• Desenvolvimento de sistemas; 

• Compliance. 

Dica: Promova workshops internos sobre as mudanças da PCI DSS v4.0.1. 

Antes da auditoria oficial, agende uma pré-avaliação com um QSA (Qualified Security Assessor). 

Benefícios: 

• Reduz o risco de não conformidade; 

• Permite ajustes de última hora; 

• Garante que a documentação e os controles estejam alinhados à nova versão. 

Ignorar o prazo de migração pode gerar uma série de problemas: 

Risco	Impacto
Reprovação na auditoria PCI	Perda do atestado de conformidade PCI DSS
Multas contratuais	Sanções de adquirentes ou bandeiras
Interrupção na capacidade de processar pagamentos	Suspensão de credenciamento junto a processadoras
Riscos legais	Em caso de incidentes, sua empresa pode ser responsabilizada por não seguir a versão vigente

A Cipher oferece suporte completo para ajudar sua empresa a migrar da versão anterior para a PCI DSS versão 4.0.1, com serviços como: 

• Análise de gaps; 

• Atualização de políticas; 

• Implementação de controles técnicos; 

• Treinamentos para times internos; 

• Suporte em auditorias com QSAs parceiros. 

A PCI DSS v4.0.1 não é apenas uma atualização técnica: ela representa a evolução das boas práticas de segurança para pagamentos. Com o prazo de transição se encerrando em março de 2025, as empresas que começarem a migração agora terão tempo hábil para se adequar sem correr riscos. 

Prepare sua empresa, atualize seus processos e conte com especialistas para garantir sua conformidade PCI DSS no próximo ciclo de auditoria. 

Entre em contato com a Cipher e garanta sua conformidade até 2025