Blog > Cipher

PCI DSS v4.0: O que mudou desde abril de 2025?

Na Cipher, incentivamos nossos especialistas a compartilharem conhecimento prático e atualizado sobre segurança da informação, compliance e tendências do setor. Este artigo foi elaborado por Marcelo Santos, Especialista em Segurança da Informação, que atua diretamente com projetos de certificação PCI DSS em diferentes segmentos de mercado. A partir de sua experiência em consultoria, Marcelo traz uma visão clara e objetiva sobre as mudanças mais recentes do PCI DSS v4.0 e como elas impactam empresas que lidam com dados de pagamento.

-------------------------------------------------------------------------------------------------

Desde o dia 1 de abril de 2025 o PCI DSS (Payment Card Industry Data Security Standard) entrou em uma nova fase, diversos requisitos que eram considerados “melhores práticas” desde a publicação da versão 4.0 se tornam obrigatórios para todas as organizações que armazenam, processam ou transmitem dados de titulares de cartões.

Essa transição representa um marco importante no ecossistema de segurança da informação voltado à proteção de dados de pagamento. E como líderes de consultoria em certificação PCI DSS, entendemos que este é o momento certo para esclarecer o impacto dessas mudanças e apoiar nossos clientes na jornada de adaptação e conformidade.

 

Por que essa mudança importa?

 

Os novos requisitos obrigatórios visam fortalecer controles técnicos e processos operacionais, especialmente em áreas críticas como, por exemplo:

  • Proteção criptográfica de dados sensíveis;

  • Autenticação robusta de usuários;

  • Monitoramento contínuo de segurança;

  • Automatização de processos de detecção e resposta a incidentes;

  • Segurança em ambientes em nuvem e sistemas modernos.

 

O que acontece se as empresas não se adequarem?

 

Empresas que não se adequarem correm riscos significativos, incluindo:

  • Perda da certificação PCI DSS;

  • Possíveis multas aplicadas por bandeiras e adquirentes;

  • Aumento de exposição a ataques cibernéticos;

  • Impacto negativo na reputação da marca.

 

Com este artigo, damos início a uma série especial que abordará, em detalhes, cada um dos requisitos que passaram a ser obrigatórios desde abril de 2025, como:

  • Explicações práticas e diretas sobre o que cada requisito exige;

  • Casos comuns de não conformidade e como evitá-los;

  • Dicas de implementação baseadas em experiências reais de consultoria;

  • Como nossa equipe pode apoiar sua empresa na adequação, validação e manutenção da conformidade.

 

 

Como nossa consultoria pode ajudar?

 

Nosso time atua lado a lado com empresas de variados portes e segmentos, oferecendo:

  • Serviços de gap analysis;

  • Construção de plano de ação personalizados;

  • Suporte técnico e estratégico para implementação de controles;

  • Workshops e treinamentos sobre PCI DSS;

  • Serviços de certificação oficial com QSAs experientes e qualificados.

Fique atento, o próximo artigo da série abordará os requisitos relacionados à proteção de dados sensíveis (SAD) com criptografia e gerenciamento de chaves (3.2.1 e 3.3.2).

Se você é responsável por segurança da informação, governança, compliance ou tecnologia, não perca os próximos conteúdos.

Autor: Marcelo Santos – Especialista em Segurança da Informação na Cipher