SkillProgramaçãoRevisão
Conformidade PCI DSS
Implementa controles PCI DSS para dados de cartão de pagamento, com ênfase em redução de escopo, tokenização, segmentação de rede e trilha de auditoria. Use ao projetar ou auditar um sistema que processa, transmite ou armazena cartões.
Ações
PerfilDev
ProfundidadeAlta
IdiomaInglês (skill original)
Objetivo
Em uma frase.
Garantir que um sistema que lida com cartões de pagamento atenda ao PCI DSS, priorizando a redução de escopo (evitar tocar em cartões brutos sempre que possível) e aplicando os controles necessários para as partes inevitáveis do fluxo.
Aplicação
Quando
faz sentido.
Usar
- Projetar um sistema que vai processar, transmitir ou armazenar dados de cartão.
- Auditar fluxos de pagamento existentes em busca de escopo PCI e lacunas.
- Escolher um modelo de integração de pagamento (hosted fields vs server-side).
- Preparar o lançamento de um novo produto de pagamento.
Não usar
- Revisão de segurança geral — use applying-stride-threat-analysis.
- Métodos de pagamento sem cartão (ACH, carteiras sem cartão arquivado) — PCI não se aplica.
- Gestão pura de segredos — use secrets-management.
Prompt
Instruções
para a IA.
### Primeiro princípio: reduzir o escopo
Quanto menos do seu sistema toca em dados brutos de cartão, menor o escopo PCI. Use tokenização (Stripe / Braintree / Adyen processam o cartão e devolvem tokens), hosted fields / iframes (o cartão nunca toca seu DOM) e Stripe Checkout / Payment Element (zero dado de cartão nos seus servidores). Com tokenização, o escopo cai drasticamente — SAQ A em vez de SAQ D.
### Controles centrais quando o escopo é inevitável
Segmentação de rede: ambiente de dados de cartão (CDE) isolado, regras de firewall estritas e sem acesso à internet a partir do CDE. Criptografia: TLS 1.2+ em trânsito, AES-256 em repouso e gestão de chaves via HSM ou KMS. Acesso: multifator para o CDE, menor privilégio, contas por usuário (sem compartilhamento) e revisão trimestral. Trilha de auditoria: todo acesso ao CDE registrado em armazenamento imutável, com retenção de 1 ano online e 3 anos no total. Gestão de vulnerabilidades: scan ASV externo trimestral, pentest anual e patch em até 30 dias para itens críticos. Conscientização: treinamento anual para todos com acesso ao CDE.
### Níveis de SAQ e anti-padrões
Mapeie o nível-alvo: SAQ A (terceiriza o cartão), SAQ A-EP (e-commerce com redirect) ou SAQ D (CDE completo, mais rigoroso). Evite anti-padrões como "não somos grandes o bastante para PCI" (aplica-se desde o primeiro cartão), dados de cartão em logs/Slack/e-mail, armazenar CVV (nunca permitido) ou guardar PAN sem criptografia e tokenização.
Quanto menos do seu sistema toca em dados brutos de cartão, menor o escopo PCI. Use tokenização (Stripe / Braintree / Adyen processam o cartão e devolvem tokens), hosted fields / iframes (o cartão nunca toca seu DOM) e Stripe Checkout / Payment Element (zero dado de cartão nos seus servidores). Com tokenização, o escopo cai drasticamente — SAQ A em vez de SAQ D.
### Controles centrais quando o escopo é inevitável
Segmentação de rede: ambiente de dados de cartão (CDE) isolado, regras de firewall estritas e sem acesso à internet a partir do CDE. Criptografia: TLS 1.2+ em trânsito, AES-256 em repouso e gestão de chaves via HSM ou KMS. Acesso: multifator para o CDE, menor privilégio, contas por usuário (sem compartilhamento) e revisão trimestral. Trilha de auditoria: todo acesso ao CDE registrado em armazenamento imutável, com retenção de 1 ano online e 3 anos no total. Gestão de vulnerabilidades: scan ASV externo trimestral, pentest anual e patch em até 30 dias para itens críticos. Conscientização: treinamento anual para todos com acesso ao CDE.
### Níveis de SAQ e anti-padrões
Mapeie o nível-alvo: SAQ A (terceiriza o cartão), SAQ A-EP (e-commerce com redirect) ou SAQ D (CDE completo, mais rigoroso). Evite anti-padrões como "não somos grandes o bastante para PCI" (aplica-se desde o primeiro cartão), dados de cartão em logs/Slack/e-mail, armazenar CVV (nunca permitido) ou guardar PAN sem criptografia e tokenização.
Constelação
Onde
ela vive.
Bundles que incluem
Execução
Como usar
com IA.
- 01Copie a skill (botão "Copiar skill para IA", no topo): o texto copiado já é a skill completa, não um resumo.
- 02Abra o Claude ou Claude Code e cole — a IA recebe todas as instruções e fica pronta para a tarefa.
- 03Prefere usar como arquivo reutilizável? Baixe o .zip e coloque o
SKILL.mdem.claude/skills/(Claude Code) ou anexe o arquivo no Claude (claude.ai).