Auditoria End-to-End · PCI PIN Security

Garanta sua certificação PIN Security e mantenha sua licença para processar.

Sem PIN Security, uma empresa sequer pode fazer parte do arranjo de pagamentos. Como QPA (Qualified PIN Assessor), a Cipher conduz a auditoria com a maior equipe técnica do Brasil — do diagnóstico ao Atestado de Conformidade.

Falar com um auditor QPA→Ver jornada de certificação

#1MSSP · 6 anos consecutivos

+200Especialistas dedicados

+18Países com operação ativa

+20Padrões globais operados

Portfólio de sub-serviços PIN Security.

Atendemos adquirentes, processadoras, emissores e fabricantes de terminais de pagamento — da arquitetura inicial à manutenção pós-certificação.

Definição de Arquitetura

Compreendemos o negócio do cliente e seus parceiros, mapeando o fluxo de dados do PIN, responsabilidades e controles aplicáveis.

Análise de Gaps

Avaliação de todos os requisitos aplicáveis para identificar o que já está implementado e o que ainda precisa ser tratado.

Planos de Ação

Recomendações detalhadas para que a empresa saiba o que precisa fazer e quais evidências serão coletadas na certificação.

Certificação

Processo de auditoria final que, sem não-conformidades, resulta no Atestado de Conformidade em PIN Security.

Manutenção da Conformidade

Revisões periódicas dos controles aplicáveis para garantir aderência contínua ao padrão após a certificação.

Ponte com as Bandeiras

Atuamos como ponto de contato técnico com as bandeiras, enviando relatórios e negociando alternativas e prazos.

Cibersegurança é um evento financeiro.

O PIN Security protege as senhas digitadas em terminais de pagamento e ATMs. É exigência mandatória para operar no ecossistema de cartões — e cada minuto fora de conformidade é receita em risco.

Habilitamos

Licença para operar

Sem PIN Security a empresa não pode fazer parte do arranjo de pagamentos. Garantimos a premissa que viabiliza sua operação.

Evitamos

Sanções e bloqueios

A perda da certificação gera multas variáveis por bandeira e, em último caso, impedimento de transacionar pelas bandeiras de cartão.

Protegemos

Controles físicos e lógicos

Visão end-to-end exigida pelo padrão: salas seguras, datacenters e a lógica de rede no escopo de avaliação.

Adaptamos

Sem travar o negócio

Nossa experiência permite encontrar alternativas que viabilizam sua operação enquanto atendem ao que o padrão exige.

Cibersegurança para quem não pode parar✦Cipher, a Prosegur Company✦Gestão de Riscos · GRC · Conformidade✦Da política ao monitoramento contínuo✦Cibersegurança para quem não pode parar✦Cipher, a Prosegur Company✦Gestão de Riscos · GRC · Conformidade✦Da política ao monitoramento contínuo✦Cibersegurança para quem não pode parar✦Cipher, a Prosegur Company✦Gestão de Riscos · GRC · Conformidade✦Da política ao monitoramento contínuo✦Cibersegurança para quem não pode parar✦Cipher, a Prosegur Company✦Gestão de Riscos · GRC · Conformidade✦Da política ao monitoramento contínuo✦

~50%

do mercado nacional certificado pela nossa equipe

QPAs no Brasil — a Cipher está entre elas

QPAs em toda a América Latina

Do scoping ao Report on Compliance.

Processo estruturado conduzido por QPAs seniores — responsáveis pela certificação de cerca de 50% das empresas no mercado nacional.

Scoping

Definição do ambiente, fluxo do PIN e fronteiras de responsabilidade entre cliente e parceiros.

EscopoArquitetura

Gap Analysis

Avaliação dos requisitos aplicáveis para identificar o que está implementado e o que precisa ser remediado.

AvaliaçãoChecklist

Remediation

Suporte ao plano de ação com recomendações práticas e definição das evidências para a auditoria.

ControlesEvidências

Formal Assessment

Auditoria conduzida por QPAs seniores com coleta de evidências e testes de estresse dos controles.

QPAOn-site

Report on Compliance

Emissão do Atestado de Conformidade em PIN Security e envio às bandeiras quando solicitado.

RoCBandeiras

O estágio atual define o cronograma.

A duração do projeto depende da prontidão técnica e operacional. Veja como o estágio atual da sua empresa impacta a velocidade da certificação.

Baixa Maturidade

Fase de estruturação intensa — definição de arquitetura, aquisição de equipamentos e formação do ambiente.

↓ Cronograma estendido

Média Maturidade

Ajustes e refinamento de controles — adequação de processos, evidências e operação da Sala Segura.

↓ Cronograma intermediário

Alta Maturidade

Auditoria direta e emissão — ambiente já aderente, foco em validação técnica e emissão do Atestado.

↓ Cronograma acelerado

Projetos críticos que viabilizaram operações inteiras.

Da criação de ambientes de adquirência do zero ao pioneirismo em HSM-as-a-Service: a Cipher é responsável pela certificação de cerca de 50% das empresas no mercado nacional.

Ver todos os cases →

DOCK

Adquirência criada do zero

Projeto de seis meses: apoiamos a empresa desde a gênese da proposta de negócio, aquisição de HSMs, montagem da Sala Segura e operacionalização do ambiente de adquirência.

6 meses · end-to-end

ASAPCARD

Primeira certificada com HSM-as-a-Service

Primeira empresa certificada em PIN Security utilizando um HSM como um serviço da AWS — abrindo um novo caminho de adequação para fintechs e novos entrantes.

HSMaaS · AWS

Perguntas que surgem antes de contratar.

Para quem o PCI PIN Security é obrigatório?

Para qualquer entidade que processe, transmita ou armazene PINs em arranjos de pagamento — adquirentes, sub-adquirentes, processadoras, ISOs, KIFs e fornecedores de HSM e POS. O arranjo de pagamentos exige AoC PIN válido para manter a habilitação.

Qual o prazo típico de certificação PCI PIN?

De 4 a 8 meses. Gap analysis e desenho de cerimônia de chaves consomem as primeiras 6 a 10 semanas; auditoria oficial conduzida por QPA leva tipicamente 4 a 6 semanas, dependendo da complexidade do parque de HSMs e do ciclo de vida de chaves.

Quem conduz a auditoria — a Cipher é QPA reconhecida?

Sim. A Cipher tem uma das maiores equipes QPA do Brasil, reconhecida pelo PCI Security Standards Council, com experiência em adquirência, processadoras e KIFs nacionais e internacionais.

O que entra no escopo do PCI PIN — só o HSM?

Vai muito além: cerimônia de geração e injeção de chaves, custódia, KLD/KIF, transporte de TR-31, controles físicos do data center, separação de funções, descarte seguro de componentes e procedimentos operacionais de toda a cadeia de pagamentos.

Como o PCI PIN se relaciona com PCI DSS e PCI P2PE?

São padrões complementares: DSS cobre dados do titular, PIN cobre o ciclo de vida de chaves criptográficas de PIN, e P2PE cobre a criptografia ponto-a-ponto. Quem opera adquirência precisa, na prática, dos três — e a Cipher conduz os programas de forma integrada.

Como manter a conformidade entre os ciclos de auditoria?

Calendário anual de cerimônias de chaves, revisão semestral de inventário de HSMs, monitoração de logs de KLD, treinamento contínuo dos custodiantes e revisão de procedimentos. A Cipher disponibiliza acompanhamento entre auditorias para evitar surpresas no próximo AoC.

Vamos mapear sua exposição real.

Uma conversa de 30 minutos com um consultor sênior. Levantamos as três frentes mais críticas do seu cenário e devolvemos um plano inicial em até 5 dias úteis.

Formulário · DiagnósticoDados protegidos