SkillProgramaçãoRevisão

Conformidade PCI DSS

Implementa controles PCI DSS para dados de cartão de pagamento, com ênfase em redução de escopo, tokenização, segmentação de rede e trilha de auditoria. Use ao projetar ou auditar um sistema que processa, transmite ou armazena cartões.

Ações
PerfilDev
ProfundidadeAlta
IdiomaInglês (skill original)
Objetivo

Em uma frase.

Garantir que um sistema que lida com cartões de pagamento atenda ao PCI DSS, priorizando a redução de escopo (evitar tocar em cartões brutos sempre que possível) e aplicando os controles necessários para as partes inevitáveis do fluxo.

Aplicação

Quando
faz sentido.

Usar
  • Projetar um sistema que vai processar, transmitir ou armazenar dados de cartão.
  • Auditar fluxos de pagamento existentes em busca de escopo PCI e lacunas.
  • Escolher um modelo de integração de pagamento (hosted fields vs server-side).
  • Preparar o lançamento de um novo produto de pagamento.
Não usar
Prompt

Instruções
para a IA.

### Primeiro princípio: reduzir o escopo

Quanto menos do seu sistema toca em dados brutos de cartão, menor o escopo PCI. Use tokenização (Stripe / Braintree / Adyen processam o cartão e devolvem tokens), hosted fields / iframes (o cartão nunca toca seu DOM) e Stripe Checkout / Payment Element (zero dado de cartão nos seus servidores). Com tokenização, o escopo cai drasticamente — SAQ A em vez de SAQ D.

### Controles centrais quando o escopo é inevitável

Segmentação de rede: ambiente de dados de cartão (CDE) isolado, regras de firewall estritas e sem acesso à internet a partir do CDE. Criptografia: TLS 1.2+ em trânsito, AES-256 em repouso e gestão de chaves via HSM ou KMS. Acesso: multifator para o CDE, menor privilégio, contas por usuário (sem compartilhamento) e revisão trimestral. Trilha de auditoria: todo acesso ao CDE registrado em armazenamento imutável, com retenção de 1 ano online e 3 anos no total. Gestão de vulnerabilidades: scan ASV externo trimestral, pentest anual e patch em até 30 dias para itens críticos. Conscientização: treinamento anual para todos com acesso ao CDE.

### Níveis de SAQ e anti-padrões

Mapeie o nível-alvo: SAQ A (terceiriza o cartão), SAQ A-EP (e-commerce com redirect) ou SAQ D (CDE completo, mais rigoroso). Evite anti-padrões como "não somos grandes o bastante para PCI" (aplica-se desde o primeiro cartão), dados de cartão em logs/Slack/e-mail, armazenar CVV (nunca permitido) ou guardar PAN sem criptografia e tokenização.
Constelação

Onde
ela vive.

Execução

Como usar
com IA.

  1. 01Copie a skill (botão "Copiar skill para IA", no topo): o texto copiado já é a skill completa, não um resumo.
  2. 02Abra o Claude ou Claude Code e cole — a IA recebe todas as instruções e fica pronta para a tarefa.
  3. 03Prefere usar como arquivo reutilizável? Baixe o .zip e coloque o SKILL.md em .claude/skills/ (Claude Code) ou anexe o arquivo no Claude (claude.ai).