O PCI DSS exige backup criptografado?

Sim. O requisito 3 do PCI DSS determina que dados de cartão armazenados devem ser protegidos com criptografia forte. Isso inclui backups que contenham PAN (Primary Account Number), CVV ou qualquer dado de autenticação. O padrão mínimo aceito é AES-256, e as chaves de criptografia devem ser gerenciadas separadamente dos dados.

O que acontece se minha empresa não cumprir o PCI DSS?

As consequências incluem multas das bandeiras de cartão (Visa, Mastercard) que podem chegar a US$ 100.000 por mês, aumento nas taxas de processamento, perda do direito de aceitar pagamentos com cartão e responsabilidade legal em caso de vazamento. Além disso, a empresa pode enfrentar danos reputacionais severos.

Posso armazenar o CVV nos backups?

Não. O PCI DSS proíbe explicitamente o armazenamento de dados de autenticação sensíveis após a autorização da transação. Isso inclui o CVV/CVC, dados da tarja magnética e PIN. Mesmo em backups, esses dados devem ser eliminados. Se seu sistema captura esses dados e eles acabam no backup, você está em não conformidade.

Backup em nuvem é compatível com PCI DSS?

Sim, desde que o provedor de nuvem atenda aos requisitos PCI DSS e possua certificação adequada. É necessário garantir criptografia em trânsito e em repouso, controle de acesso rigoroso, segregação de ambientes e logs de auditoria. O provedor de nuvem se torna parte do escopo PCI DSS e deve ser avaliado como tal.

Com que frequência devo testar a restauração de backups PCI DSS?

O PCI DSS exige testes periódicos de restauração como parte do requisito 12 (manutenção de uma política de segurança da informação). A recomendação é realizar testes trimestrais para backups críticos e pelo menos anuais para backups gerais. Todos os testes devem ser documentados com evidências para auditoria.

PCI DSS e LGPD se sobrepõem no backup?

Sim. Dados de portadores de cartão são dados pessoais sob a LGPD. Portanto, backups que contenham esses dados precisam atender ambas as regulamentações simultaneamente. Na prática, o PCI DSS é mais prescritivo e técnico, enquanto a LGPD foca em direitos dos titulares e bases legais. Cumprir o PCI DSS facilita a conformidade LGPD, mas não a substitui.

Como reduzir o escopo PCI DSS nos backups?

A estratégia mais eficaz é minimizar a presença de dados de cartão nos backups. Use tokenização para substituir o PAN por tokens nos backups, truncamento para armazenar apenas os primeiros 6 e últimos 4 dígitos, segregação de backups (separar backups do CDE dos backups gerais) e exclusão seletiva de tabelas com dados sensíveis. Quanto menos dados de cartão nos backups, menor o escopo PCI DSS e menor o custo de compliance.

Quais evidências de backup o QSA solicita na auditoria PCI DSS?

O QSA (Qualified Security Assessor) tipicamente solicita: logs de execução de backup dos últimos 12 meses, relatórios de testes de restauração com datas e resultados, evidência de criptografia ativa (AES-256) em backups com PAN, inventário de mídias com dados de cartão, registros de destruição segura de mídias obsoletas, logs de acesso ao sistema de backup com evidência de MFA, política de backup formalizada com data de última revisão e evidência de revisão trimestral de acessos.

PCI DSS e Backup: Proteger Dados de Cartão

Q: Quem precisa cumprir o PCI DSS?

Toda empresa que armazena, processa ou transmite dados de cartão de pagamento precisa cumprir o PCI DSS. Isso inclui e-commerces, varejistas, fintechs, processadores de pagamento, gateways, adquirentes e qualquer prestador de serviço que tenha contato com dados de portadores de cartão — independentemente do volume de transações.

O PCI DSS exige controles rigorosos sobre backup de dados de cartão. Descubra quais requisitos afetam diretamente sua empresa, como implementar backups em conformidade e evitar multas das bandeiras de cartão.

PCI DSS e Backup: O Que Está em Jogo Quando Você Armazena Dados de Cartão

Pontos-Chave

O PCI-DSS v4.0 está em vigor — acesse a biblioteca oficial do PCI Security Standards Council

Multas das bandeiras podem chegar a US$ 100.000/mês, além de suspensão do direito de processar cartões

O requisito 3 impõe criptografia AES-256 para PAN armazenado — incluindo backups

CVV, tarja magnética e PIN nunca podem ser armazenados após autorização — nem em backup

Dados de cartão também são dados pessoais sob a LGPD, gerando dupla camada de compliance

O PCI-DSS (Payment Card Industry Data Security Standard) é o padrão global de segurança para empresas que lidam com dados de cartão de pagamento. Criado pelo PCI Security Standards Council — consórcio formado por Visa, Mastercard, American Express, Discover e JCB — o padrão define controles obrigatórios para proteger dados de portadores de cartão em todo o ciclo de vida da informação.

E aqui está o ponto que muitas empresas ignoram: o backup é parte do escopo PCI-DSS. Se sua empresa armazena, processa ou transmite dados de cartão, qualquer cópia de segurança que contenha esses dados precisa cumprir os mesmos requisitos de proteção dos dados em produção. Um backup sem controles adequados não é apenas risco de segurança — é violação direta do padrão.

O PCI-DSS v4.0, em vigor desde março de 2024 com implementação completa obrigatória em março de 2026, trouxe requisitos ainda mais rigorosos sobre criptografia, autenticação e monitoramento — todos com impacto direto na estratégia de backup corporativo. Empresas que não adequaram seus backups estão operando em não conformidade.

Quem precisa cumprir o PCI DSS?

O PCI-DSS se aplica a toda entidade que armazena, processa ou transmite CHD (Cardholder Data) ou SAD (Sensitive Authentication Data):

E-commerces que processam pagamentos com cartão
Varejistas com terminais POS
Fintechs e processadores de pagamento
Adquirentes e subadquirentes
Prestadores de serviço que acessam ambientes com dados de cartão — incluindo provedores de backup
Empresas de e-commerce que armazenam cartões para compras recorrentes

A obrigatoriedade independe do volume de transações. Empresas menores podem usar questionários simplificados (SAQ), mas os requisitos para dados armazenados se aplicam a todos.

Os 12 Requisitos do PCI DSS (Foco em Backup: 3, 9, 10, 12)

O PCI-DSS é estruturado em 12 requisitos organizados em 6 objetivos de controle. Quatro impactam diretamente o backup:

Requisito	Descrição	Impacto no Backup
Req. 1	Controles de segurança de rede	Rede de backup segmentada
Req. 2	Configurações seguras	Servidores de backup hardened
Req. 3	Proteger dados armazenados	Criptografia obrigatória em backups com PAN
Req. 4	Criptografia em trânsito	Transferência com `TLS 1.2`+
Req. 5	Proteger contra malware	Backups verificados
Req. 6	Sistemas seguros	Software de backup atualizado
Req. 7	Restringir acesso	Somente pessoal autorizado
Req. 8	Autenticação	MFA para acesso ao backup
Req. 9	Acesso físico	Controle físico rigoroso de mídias
Req. 10	Logs e monitoramento	Logs de todas as operações
Req. 11	Testar segurança	Testes de restauração documentados
Req. 12	Política de segurança	Política de backup formalizada

Requisito 3 — Proteger Dados Armazenados

O que mais diretamente impacta o backup. Dados de portadores de cartão armazenados devem ser protegidos com criptografia forte:

O PAN deve ser ilegível onde estiver armazenado — incluindo backups, logs e arquivos temporários
Dados de autenticação sensíveis (CVV, tarja, PIN) não podem ser armazenados após a autorização, nem mesmo criptografados
Criptografia deve usar algoritmos reconhecidos: AES-256, RSA 2048+ ou equivalente
Chaves gerenciadas com processos documentados (geração, distribuição, rotação, destruição)

Requisito 9 — Controle de Acesso Físico

Inventário de todas as mídias de backup com dados de cartão
Armazenamento em local seguro com acesso restrito
Registro de entrada e saída de mídias
Destruição segura (desmagnetização, trituração ou incineração)
Rastreamento de mídias enviadas para armazenamento externo

Requisito 10 — Logs e Monitoramento

Logs de criação, acesso, modificação e exclusão de backups
Registro de quem acessou, quando e por quê
Logs de restauração com solicitante e aprovador
Retenção de logs por no mínimo 12 meses (3 meses imediatamente acessíveis)
Revisão diária para detectar anomalias

Requisito 12 — Política de Segurança

Procedimentos documentados para criação, armazenamento e restauração
Definição de responsabilidades e aprovações
Plano de resposta a incidentes
Revisão anual (mínimo) da política
Treinamento da equipe sobre procedimentos PCI-DSS

Requisitos Específicos de Backup no PCI DSS v4.0

Além dos 12 requisitos gerais, o PCI-DSS v4.0 detalha sub-requisitos que impactam a operação de backup:

Sub-Requisito	Exigência	Aplicação ao Backup
3.1	Processos para proteger dados armazenados	Política de retenção definida e aplicada
3.4	PAN ilegível onde armazenado	Criptografia forte (`AES-256`+)
3.5	Proteger chaves de criptografia	Chaves armazenadas separadamente
9.4	Proteger mídias com dados de cartão	Fitas/discos com inventário
9.4.6	Destruição segura	Procedimento documentado
10.2	Trilhas de auditoria	Log de todas as operações
10.7	Reter histórico por 12 meses	Logs retidos por no mínimo 1 ano
12.10	Plano de resposta a incidentes	Backup integrado à recuperação

CDE: Ambiente de Dados de Cartão

Conceito fundamental: o CDE (Cardholder Data Environment) é o conjunto de sistemas, processos e pessoas que tocam dados de cartão. Todo componente dentro do CDE está no escopo PCI-DSS.

Se o seu servidor de backup recebe dados do CDE, ele passa a fazer parte do CDE. Implicações:

Segregação de backups: idealmente separados de backups gerais
Escopo do provedor: seu provedor de backup entra no escopo
Segmentação de rede: rede de backup do CDE segmentada

Boa prática: minimizar o escopo do CDE. Tokenização e truncamento de PAN reduzem significativamente os dados de cartão nos backups.

Retenção e Descarte

Definir por quanto tempo dados de cartão podem ser retidos em backups
Processo trimestral de identificação e exclusão segura
Procedimentos de destruição de mídias obsoletas
Documentação de ações de descarte

Backup de Dados de Cartão: Boas Práticas

1. Criptografia em todas as camadas

Em repouso: AES-256 para todos os backups com PAN
Em trânsito: TLS 1.2 ou superior
Gestão de chaves: separadas dos dados, com rotação documentada
Backup das chaves: armazenadas em local diferente dos dados

Um erro comum? Usar a mesma chave para produção e backup. Se um ambiente for comprometido, o outro permanece protegido com chaves independentes.

2. Minimização de dados

A melhor forma de proteger é reduzir ou eliminar a presença de dados de cartão nos backups:

Tokenização: substitua o PAN por tokens — o backup armazena apenas tokens
Truncamento: armazene apenas BIN (6 primeiros) + últimos 4 dígitos
Mascaramento: configure o software para mascarar campos sensíveis
Exclusão seletiva: separe tabelas com dados de cartão em backups específicos

3. Backup imutável para integridade

Backup imutável atende ao requisito de proteção contra alteração e adiciona proteção contra ransomware:

WORM (Write Once Read Many) não pode ser alterado ou excluído
Protege contra atacantes que comprometem credenciais administrativas
Garante integridade para auditoria e forense
Facilita comprovação de compliance em auditorias QSA

4. Controle de acesso granular

MFA obrigatória no PCI-DSS v4.0 para todo acesso ao CDE
Contas individuais: nunca compartilhar
Aprovação dupla para restauração de backups com dados de cartão
Revisão trimestral de quem tem acesso

5. Testes de restauração documentados

Um backup não testado não é confiável — o PCI-DSS exige processos verificáveis:

Testes trimestrais para dados críticos do CDE
Verificação de integridade dos dados restaurados
Medição de RTO e RPO reais versus definidos — veja RTO e RPO
Documentação completa para auditorias

6. Monitoramento contínuo

Alertas automáticos para falhas
Detecção de acessos em horários atípicos
Monitoramento de alterações no agendamento
Revisão diária de logs
Integração com SIEM corporativo

Como a DataBackup Atende o PCI DSS

A DataBackup oferece soluções de backup corporativo projetadas para atender os requisitos do PCI-DSS de forma nativa:

Requisito	Recurso DataBackup
Criptografia armazenada (Req. 3)	`AES-256` com gestão de chaves dedicada
Criptografia em trânsito (Req. 4)	`TLS 1.3` para todas as transferências
Controle de acesso (Req. 7-8)	RBAC granular com MFA obrigatório
Controle físico (Req. 9)	Data centers certificados 24/7
Logs e auditoria (Req. 10)	Trilha completa com retenção de 12+ meses
Testes de segurança (Req. 11)	Testes automatizados com relatórios
Política de segurança (Req. 12)	Templates e suporte à documentação
Proteção contra alteração	Backup imutável WORM
Segregação de ambiente	Ambientes isolados para CDE

Backup de banco de dados com compliance

Para empresas que armazenam dados de cartão em bancos, o backup de banco de dados oferece:

Backup granular para excluir ou criptografar seletivamente tabelas
Suporte a SQL Server, PostgreSQL, MySQL, Oracle e MongoDB
Restauração point-in-time para RPO reduzido
Logs detalhados de cada operação

Relatórios de compliance

Relatório de criptografia
Relatório de acesso (quem, quando, por quê)
Relatório de retenção
Relatório de testes de restauração
Relatório de integridade

PCI DSS e LGPD: Conformidade dupla

Dados de cartão são também dados pessoais sob a LGPD. Consulte nosso guia sobre LGPD e backup e, se você é fintech, também o guia de compliance BACEN. Para framework técnico integrado, veja ISO 27001 e backup. Uma estratégia bem implementada cobre múltiplos padrões simultaneamente. Segundo o Verizon DBIR, incidentes envolvendo dados de pagamento estão entre os mais custosos do mercado.

Requisitos de Criptografia do PCI DSS v4.0 em Detalhe

A criptografia é o controle mais crítico do PCI-DSS para backup. O v4.0 endureceu significativamente os requisitos, e muitas empresas que estavam em conformidade com o v3.2.1 descobriram gaps ao migrar. Abaixo, uma tabela detalhada dos requisitos criptográficos aplicáveis a backup.

Cenário	Algoritmo Mínimo	Comprimento de Chave	Requisito Adicional	Sub-Requisito PCI DSS
PAN armazenado em backup (disco)	`AES`	256 bits	Chaves gerenciadas separadamente dos dados criptografados	3.5.1
PAN armazenado em backup (fita/mídia removível)	`AES`	256 bits	Mídia deve ter inventário e controle de acesso físico	3.5.1 + 9.4
Transferência de backup pela rede (LAN)	`TLS`	1.2 ou superior	Certificados válidos, suítes de cifra fortes, sem SSL/TLS 1.0/1.1	4.2.1
Transferência de backup pela internet (WAN)	`TLS`	1.2 ou superior (recomendado 1.3)	Autenticação mútua (mTLS) recomendada para conexões entre servidores	4.2.1
Chaves de criptografia do backup	RSA ou equivalente	2048+ bits	Rotação anual mínima, destruição segura de chaves antigas, split knowledge para chaves mestras	3.6.1 a 3.6.8
Backup de chaves de criptografia	`AES` (key-wrapping)	256 bits	Armazenadas em localização separada dos dados, com acesso restrito e documentado	3.6.6

Armadilhas criptográficas comuns em backup

Criptografia apenas no destino: o backup é transferido sem TLS pela rede e criptografado apenas ao chegar ao destino. O PAN trafegou em texto plano — violação do requisito 4
Mesma chave para produção e backup: se o ambiente de produção for comprometido e o atacante obtiver a chave, todos os backups ficam expostos
Chave armazenada junto com o backup: equivalente a trancar o cofre e colar a chave na porta. Surpreendentemente comum
Sem rotação de chaves: chaves de criptografia de backup que nunca são rotacionadas acumulam risco ao longo dos anos
Deduplicação antes de criptografia: a deduplicação exige ver o conteúdo dos blocos — se você criptografa depois, os blocos idênticos são visíveis antes da criptografia, potencialmente expondo padrões de dados

A abordagem recomendada: criptografar no agente de backup antes de qualquer transferência, usando chave exclusiva para o ambiente de backup. Isso garante que o PAN esteja protegido em todas as etapas — do servidor de origem ao armazenamento final.

Requisitos Especiais para Dados de Portador de Cartão em Backup

O PCI-DSS faz distinção clara entre dois tipos de dados que podem aparecer em backups, com regras fundamentalmente diferentes para cada um.

CHD vs SAD: O que pode e o que não pode ser armazenado

Dado	Classificação	Pode Estar no Backup?	Requisitos se Presente
PAN (Primary Account Number)	CHD (Cardholder Data)	Sim, com criptografia	`AES-256`, truncamento ou tokenização. Deve ser ilegível onde armazenado
Nome do portador	CHD	Sim	Proteção proporcional — criptografia recomendada mas não obrigatória se não acompanhado de PAN
Data de validade	CHD	Sim	Proteção proporcional quando associado a PAN
Código de serviço	CHD	Sim	Proteção quando associado a PAN
CVV/CVC/CVV2	SAD	NÃO — proibido	Deve ser excluído antes do backup. Se aparecer, é violação imediata
Dados da tarja magnética (track data)	SAD	NÃO — proibido	Nunca pode ser armazenado após autorização, em nenhum formato
PIN e PIN block	SAD	NÃO — proibido	Deve existir apenas em memória durante a transação

Atenção crítica: muitos sistemas capturam SAD temporariamente durante o processamento da transação. Se o backup ocorre durante essa janela, o SAD pode acabar incluído inadvertidamente. A solução é garantir que o backup das tabelas/logs transacionais exclua esses campos ou que o SAD seja purgado antes da janela de backup.

Processos de sanitização para backup

Tokenização pré-backup: substituir o PAN por token antes de o registro ser incluído no backup — o token é inútil fora do sistema de tokenização
Truncamento: armazenar apenas BIN (6 primeiros dígitos) + últimos 4 dígitos. Essa representação não é classificada como PAN pelo PCI-DSS
Mascaramento seletivo: configurar o agente de backup para mascarar campos específicos de tabelas do CDE antes de iniciar a cópia
Exclusão de tabelas/colunas: para bancos de dados, fazer backup seletivo que exclua tabelas contendo SAD ou PAN — essas tabelas são backupeadas separadamente com controles adicionais

Checklist de Evidências para Auditoria PCI DSS (Foco em Backup)

A auditoria PCI-DSS pode ser conduzida por um QSA (Qualified Security Assessor) ou via SAQ (Self-Assessment Questionnaire), dependendo do nível da empresa. Em ambos os casos, evidências sólidas são essenciais. Abaixo, o checklist completo organizado por requisito.

Evidências por requisito

Requisito	Evidência Esperada	Formato Aceitável	Frequência
Req. 3 — Proteção de dados armazenados	Configuração de criptografia ativa nos backups, evidência de que PAN é ilegível em mídias de backup	Screenshot da configuração, resultado de scan/teste	A cada auditoria + após mudanças
Req. 3.5 — Gestão de chaves	Procedimento de gestão de chaves, registro de rotação, evidência de armazenamento segregado	Documento + logs	Anual (rotação) + contínuo (logs)
Req. 4 — Criptografia em trânsito	Configuração de `TLS 1.2`+ nas conexões de backup, resultado de scan SSL	Relatório de scan, configuração do servidor	Trimestral (scan) + após mudanças
Req. 7-8 — Acesso e autenticação	Lista de usuários com acesso ao backup, evidência de MFA ativo, registro de revisão trimestral	Screenshot, relatório de auditoria de acesso	Trimestral
Req. 9.4 — Controle de mídias	Inventário de mídias físicas com dados de cartão, registro de movimentação, certificados de destruição	Planilha de inventário, formulários assinados	Contínuo + inventário anual
Req. 10 — Logs	Logs de operações de backup (criação, acesso, restauração, exclusão) dos últimos 12 meses, com 3 meses imediatamente acessíveis	Exportação de logs, integração com SIEM	Contínuo, revisão diária
Req. 11 — Testes	Relatórios de testes de restauração com datas, escopo, resultados e ações corretivas	Relatório formal assinado	Trimestral (críticos) + anual (gerais)
Req. 12 — Política	Política de backup formalizada, aprovada, com data de última revisão. Evidência de treinamento da equipe	Documento versionado + lista de presença de treinamento	Revisão anual + treinamento anual

Dicas para preparação de auditoria

Organize antecipadamente: crie uma pasta digital com todas as evidências organizadas por requisito. O QSA agradece — e a auditoria anda mais rápido
Mantenha evidências contínuas: não tente gerar 12 meses de evidências na semana anterior à auditoria. Logs e relatórios devem ser gerados continuamente
Evidência negativa é evidência: se um backup falhou e foi corrigido, documente a falha e a correção. Mostrar que falhas são detectadas e tratadas é mais convincente do que mostrar 100% de sucesso (que parece suspeito)
Automatize relatórios: soluções como a DataBackup geram relatórios de compliance automaticamente — menos trabalho manual e menos risco de erro ou esquecimento

Estratégias de Redução de Escopo PCI DSS para Backup

O escopo do PCI-DSS — ou seja, quais sistemas e processos precisam cumprir todos os requisitos — é um dos maiores fatores de custo de compliance. Quanto mais sistemas estão no escopo, mais controles precisam ser implementados, auditados e mantidos. Para backup, reduzir o escopo significa reduzir dramaticamente o custo e a complexidade.

Estratégias de redução de escopo

Estratégia	Como Funciona	Redução de Escopo	Complexidade de Implementação
Tokenização completa	Substituir todo PAN por tokens no banco antes do backup. O backup armazena apenas tokens — sem dados de cartão reais	Alta — backup sai completamente do escopo CDE	Média — requer integração com provedor de tokenização
Segregação de backups CDE	Separar backups que contêm PAN de backups gerais. Apenas os backups CDE precisam de todos os controles `PCI-DSS`	Média — reduz o volume de backups no escopo	Baixa — configuração no software de backup
Truncamento pré-backup	Armazenar apenas BIN + últimos 4 dígitos. Dado truncado não é PAN e sai do escopo	Alta — dados truncados não são cobertos pelo `PCI-DSS`	Média — requer alteração no banco de dados
P2PE (Point-to-Point Encryption)	Usar terminal POS certificado P2PE. O PAN nunca é decriptado no ambiente da empresa — logo nunca está nos backups	Máxima — elimina PAN de todo o ambiente	Baixa para novas implementações, alta para migração
Terceirização do processamento	Usar gateway de pagamento que processa e armazena dados de cartão. A empresa nunca toca no PAN	Máxima — SAQ A (mais simples)	Baixa — mudança de fornecedor/configuração

Impacto no custo de compliance

Para uma PME de e-commerce que processa 100.000 transações/ano, a diferença de custo é significativa:

Sem redução de escopo (PAN nos backups): custo anual de compliance de backup estimado em R$ 80.000-150.000 (controles técnicos + auditoria QSA + manutenção contínua)
Com tokenização completa (sem PAN nos backups): custo anual de compliance de backup estimado em R$ 15.000-30.000 (backup fora do escopo CDE, SAQ simplificado)

A diferença de R$ 50.000-120.000/ano geralmente justifica o investimento em tokenização ou migração para gateway externo. Consulte nossa equipe para entender qual estratégia se aplica ao seu cenário — entre em contato ou conheça os planos DataBackup com controles PCI-DSS integrados.

Conclusão

O PCI-DSS não é opcional para empresas que lidam com cartões — e o backup está no centro dos requisitos. Criptografia forte, controle de acesso, logs, testes e políticas formalizadas são exigências mínimas, não diferenciais.

O custo da não conformidade é alto: multas das bandeiras, aumento de taxas, perda do direito de processar pagamentos e responsabilidade legal. Em contrapartida, backup bem estruturado protege a empresa, fortalece a segurança e facilita auditorias.

Passos essenciais:

Mapeie o CDE
Minimize o escopo: tokenização e truncamento
Criptografe tudo: AES-256 + TLS 1.2+
Implemente imutabilidade: backup imutável
Documente e teste: políticas formalizadas e testes trimestrais
Monitore continuamente

Precisa adequar seu backup ao PCI-DSS? Fale com os especialistas da DataBackup via WhatsApp para uma consultoria personalizada, ou conheça nossos planos com criptografia, imutabilidade e auditoria integradas.

Backup em Conformidade com PCI DSS

Criptografia AES-256, imutabilidade e logs de auditoria integrados. Proteja dados de cartão com a DataBackup e simplifique sua conformidade PCI DSS. Teste 14 dias grátis.

Ver Planos e Preços Falar com Especialista