Conformidade de cartões e LGPD: como o PCI DSS protege seus dados

O PCI DSS (Payment Card Industry Data Security Standard) é uma norma global criada pelas principais bandeiras de cartão (Visa, Mastercard, American Express, Discover e JCB). Seu objetivo é proteger os dados de pagamento dos consumidores. 

Os 12 requisitos do PCI DSS tratam de controles técnicos, organizacionais e operacionais, que vão desde segmentação de rede até controle de acesso, criptografia e monitoramento. 

A LGPD (Lei Geral de Proteção de Dados) é a legislação brasileira que regula o tratamento de dados pessoais. Entrou em vigor em setembro de 2020 e se aplica a qualquer empresa que colete, armazene ou trate dados de pessoas físicas no Brasil. 

A LGPD traz conceitos como: 

• Consentimento; 

• Bases legais para tratamento de dados; 

• Direitos dos titulares; 

• Relatório de impacto; 

• Notificação de incidentes. 

Embora tenham finalidades distintas, as duas normas têm pontos de convergência importantes. 

Item	PCI DSS	LGPD
Foco principal	Proteção de dados de cartão	Proteção de qualquer dado pessoal
Natureza	Norma de segurança internacional	Legislação nacional
Obrigatoriedade	Exigido pelas bandeiras de cartão	Exigido por lei no Brasil
Tipo de dados protegido	Dados de cartões (PAN, CVV, etc.)	Dados pessoais em geral (nome, CPF, e-mail, etc.)
Responsabilidade	Proteção técnica e operacional dos dados de pagamento	Transparência, consentimento e direitos do titular

1. Proteção de dados sensíveis 

Ambas as normas exigem proteção de dados sensíveis. Embora o PCI DSS foque em informações de pagamento, a LGPD inclui qualquer dado pessoal que possa identificar um indivíduo. 

Exemplo prático: Dados de cartão são considerados dados sensíveis tanto pelo PCI quanto pela LGPD. Logo, proteger esses dados com criptografia e controle de acesso é uma obrigação em ambas as frentes. 

 

2. Registro de atividades 

O PCI DSS, em seu Requisito 10, exige o registro de logs e o monitoramento de acessos. A LGPD, por sua vez, também valoriza a rastreabilidade de quem acessou e como os dados foram usados, especialmente em caso de incidentes. 

Conclusão: Ter um sistema de logs robusto atende a ambos os requisitos. 

 

3. Gestão de incidentes 

O PCI DSS pede que empresas tenham um plano de resposta a incidentes documentado e testado. A LGPD exige a notificação à ANPD (Autoridade Nacional de Proteção de Dados) em caso de violação de dados pessoais. 

Sinergia: Um bom plano de resposta a incidentes que siga o PCI DSS já ajuda sua empresa a estar mais preparada para cumprir a LGPD em caso de vazamentos. 

 

4. Minimização de dados 

O PCI recomenda não armazenar dados desnecessários de cartão (ex: CVV, dados de trilha). A LGPD também prega a minimização, ou seja, só manter dados estritamente necessários ao propósito declarado. 

Dica: Reavalie seus fluxos de dados e elimine armazenamentos desnecessários. 

Apesar das semelhanças, é importante entender as diferenças: 

Aspecto	PCI DSS	LGPD
Escopo de dados	Somente dados de cartão	Todos os dados pessoais
Foco	Controles técnicos e segurança	Direitos do titular e bases legais
Auditoria	Avaliação feita por QSA (auditoria técnica)	Pode envolver fiscalização da ANPD ou processos judiciais
Penalidades	Multas das bandeiras de cartão	Multas administrativas, ações civis e sanções da ANPD
Consentimento	Não é foco do PCI DSS	Um dos pilares da LGPD

Abaixo, um resumo visual de como se distribuem as responsabilidades: 

Área	Responsável principal
Criptografia de dados de cartão	PCI DSS
Controle de acesso a dados de cartão	PCI DSS
Log e monitoramento de acessos	Ambos
Plano de resposta a incidentes	Ambos
Consentimento para coleta de dados	LGPD
Direitos dos titulares (acesso, correção, exclusão)	LGPD
Notificação de vazamento de dados pessoais	LGPD
Minimização de armazenamento	Ambos
Testes de segurança (vulnerabilidades e pen tests)	PCI DSS

Se sua empresa já está trabalhando para conquistar a certificação PCI DSS, você já tem meio caminho andado em termos de segurança da informação. 

Exemplos de boas práticas PCI que ajudam na LGPD: 

✅ Controle de acesso rígido aos dados; 
✅ Monitoramento contínuo de sistemas; 
✅ Registro de logs detalhados; 
✅ Criptografia de dados sensíveis; 
✅ Plano formal de resposta a incidentes. 

Mas atenção: o PCI DSS não cobre aspectos como consentimento, bases legais e direitos dos titulares, que são exigências específicas da LGPD. 

A Cipher oferece soluções completas para compliance de cartões e LGPD, incluindo: 

• Consultoria PCI DSS: Análise de gaps, implementação de controles e suporte na certificação; 

• Adequação LGPD: Mapeamento de dados, definição de bases legais, revisão de políticas de privacidade; 

• Gestão de Riscos Integrada: Abordagem unificada para atender aos dois regulamentos; 

• Serviços de monitoramento contínuo: SOC, SIEM e resposta a incidentes.

Atender ao PCI DSS e à LGPD ao mesmo tempo é uma realidade para empresas que operam no Brasil e processam dados de cartão. Embora sejam normas diferentes, existe uma grande sinergia entre elas no que diz respeito à proteção de dados. 

Com uma abordagem integrada, sua empresa consegue maximizar investimentos em segurança, reduzir riscos legais e proteger tanto os dados de pagamento quanto os dados pessoais dos seus clientes. 

Entre em contato com a Cipher e saiba como podemos ajudar na sua jornada de compliance