Depois de uma multa de PCI
Multas de PCI escalam. A primeira geralmente é um aviso. Ajudamos fintechs e empresas que processam cartões a fechar a brecha apontada pelo adquirente, documentar a correção e seguir em conformidade — sem o peso de consultoria tradicional.
Compartilhe o controle apontado, seu adquirente e qualquer prazo com o qual está lidando. Geralmente respondemos em um dia útil.
Por que a multa veio — em português simples
A maior parte das multas de PCI em fintechs ou e-commerces vem de uma de quatro causas recorrentes: uma varredura ASV trimestral vencida, um SAQ fora do escopo, segmentação de rede fraca ou uma brecha de logs. A carta do seu adquirente costuma nomear o controle.
Adquirentes tendem a escalar rápido: um aviso mais um curto período de cura, depois multa mensal recorrente, depois suspensão dos privilégios de processamento de cartão. O efeito composto é mais doloroso que o primeiro impacto.
A maioria dos times trata PCI como declaração de renda — uma vez por ano, em pânico. É exatamente onde a brecha aparece, e é o hábito que ajudamos a substituir por um programa contínuo de verdade.
Como ajudamos
Etapa 1 · Semana 1
Lemos a carta do seu adquirente, mapeamos o(s) controle(s) específico(s) de PCI em falha (SAQ-A, A-EP, D — dizemos qual se aplica ao seu ambiente) e escrevemos um plano de remediação que você pode devolver para o adquirente.
Etapa 2 · Semanas 2–4
Revisão de segmentação de rede, revisão de segredos e logs, coleta de evidências. Trabalhamos junto com seu time de devs — não substituímos seu time, e não cobramos por hora.
Etapa 3 · Contínuo
Varreduras trimestrais no ritmo certo, renovação anual do SAQ, testes de phishing para os times de finanças e operações, e um pacote de revisão pronto sempre que o adquirente pedir. PCI vira rotina, não corrida de última hora.
Por que nós
Nossa equipe passou mais de 10 anos protegendo operações financeiras conectadas às maiores instituições do mundo — programas PCI-DSS, ISO 27001, pentests e interações reais com reguladores. Construímos esses programas do zero e rodamos em escala; agora trazemos a mesma caixa de ferramentas para fintechs que não têm uma área de segurança de 10 pessoas.
Preços
Trabalho de PCI é dimensionado ao seu ambiente, ao que o adquirente apontou e ao seu prazo. Conversamos sobre o que foi sinalizado, definimos a remediação com honestidade e colocamos um orçamento real no papel.
Perguntas comuns
Os dois, dependendo do seu nível. Para SAQ-A e A-EP, preparamos o documento e revisamos com você. Para SAQ-D ou engajamentos formais de Report on Compliance (ROC), trabalhamos com um QSA parceiro.
Sim. SAQ-D é a maior parte do que vemos em fintechs. Mapeamos cada requisito que se aplica ao seu ambiente, identificamos os que geraram a multa e produzimos um plano de remediação documentado que você pode devolver ao seu adquirente.
Trabalhamos a partir dele. A entrega da primeira semana é o plano de remediação que a carta do seu adquirente está pedindo, com prazos realistas para cada controle. A maioria dos adquirentes concede um período de cura quando vê um plano crível somado a evidências de progresso — garantimos que o seu se qualifique.
Às vezes. Self-Assessment Questionnaires (SAQ-A até SAQ-D) não exigem QSA — seu time atesta. Engajamentos completos de Report on Compliance exigem, e trabalhamos com vários QSA parceiros. Nosso papel é o mesmo nos dois casos: remediação, evidências e a trilha documental.
Depende da brecha. Uma multa por varredura vencida costuma ser de 2 a 4 semanas de trabalho. Um problema de escopo ou segmentação fica entre 6 e 12 semanas. Depois da correção imediata, a maioria dos clientes nos mantém em base recorrente para rodar as varreduras trimestrais, renovar o SAQ anual e fazer os testes de phishing que impedem o próximo problema.