Decripte — Cibersegurança Enterprise
Financeiro · Case de Cibersegurança

Segurança para Subadquirentes de Pagamento: o elo do arranjo que concentra dados de cartão e dinheiro

Subadquirentes processam transações de milhares de lojistas sem ser a adquirente principal — e por isso herdam o risco PCI-DSS, o checkout de terceiros e o fluxo de antecipação num só ponto. Veja como a Decripte detecta magecart via SOC, contém em menos de 1 hora, conduz forense PCI e reestrutura a segregação do ambiente de dados de portador.

Resposta direta

Para proteger um subadquirente de pagamento, comece tratando o checkout integrado dos lojistas e o fluxo de tokenização como o seu Cardholder Data Environment (CDE) sob PCI-DSS — porque é exatamente ali que o magecart captura PAN e CVV antes de qualquer criptografia. Na prática isso significa: (1) segregar logicamente o ambiente que toca dado de cartão do restante da plataforma, com firewalls de aplicação e controle de egresso; (2) instrumentar SOC 24x7 com detecção de injeção de script e exfiltração no front-end do checkout (Subresource Integrity, Content Security Policy e monitoração de scripts de terceiros); (3) blindar o fluxo de split de pagamento e antecipação de recebíveis contra fraude de regras de negócio, não só contra invasão de rede; (4) proteger as chaves de criptografia em HSM com segregação de funções e dual control; e (5) manter um plano de resposta a incidentes com SLA de contenção que pare a exfiltração antes de o vazamento virar violação reportável à ANPD e às bandeiras. A Decripte faz esse ciclo de ponta a ponta — da detecção à forense PCI e à reestruturação. O primeiro passo, gratuito, é mapear sua superfície de exposição: comece o diagnóstico em decripte.io/free.

Comece grátis agora Ver planos pagos

24/7

SOC monitorando transações e checkout

<=1h

SLA de contenção em incidentes

PCI-DSS

Conformidade exigida para dados de cartão

LGPD

PAN é dado pessoal sob a ANPD

Em resumo

  • O subadquirente é o elo fraco do arranjo de pagamento: concentra tokenização, split e antecipação, e herda o risco PCI-DSS de milhares de checkouts de lojistas que não controla diretamente.
  • Magecart (web skimming) é a ameaça que mais ignora firewall de rede: o script malicioso roda no navegador do comprador, captura PAN e CVV antes da tokenização e exfiltra para domínios de atacante — só detecção no front-end e SOC pegam.
  • Fraude de split e antecipação não é invasão: é abuso de regra de negócio. Exige monitoramento antifraude transacional, não apenas defesa de perímetro.
  • Conformidade PCI-DSS não é checklist anual: é segregação real do CDE, controle de scripts de terceiros (requisitos 6.4.3 e 11.6.1 do PCI-DSS v4.0.1) e gestão de chaves em HSM com dual control.
  • Quando o incidente acontece, o relógio corre contra dois prazos: o SLA de contenção técnica (<=1h na Decripte) e a janela de notificação à ANPD e às bandeiras — a forense precisa começar enquanto a evidência ainda existe.
Financeiro

Cibersegurança para Subadquirentes

Subadquirentes processam transações de milhares de lojistas sem ser a adquirente principal — e por isso herdam o risco PCI-DSS, o checkout de terceiros e o fluxo de antecipação num só ponto. Veja como a Decripte detecta magecart via SOC, contém em menos de 1 hora, conduz forense PCI e reestrutura a segregação do ambiente de dados de portador.

Comece grátis agora Ver planos pagos

Por que o subadquirente virou o elo mais visado do arranjo de pagamento

O arranjo de pagamento brasileiro foi desenhado em camadas. No topo estão os instituidores de arranjo (as bandeiras), abaixo as credenciadoras/adquirentes principais, e na ponta operacional os subadquirentes — também chamados de facilitadores ou gateways de subadquirência. O subadquirente é quem habilita milhares de pequenos e médios lojistas a aceitar cartão sem que cada um precise ter contrato direto com uma adquirente. Ele agrega, liquida, faz o split entre lojista e marketplace, antecipa recebíveis e, crucialmente, toca o dado de cartão no caminho. Essa posição intermediária é justamente o que faz dele um alvo desproporcional: ele concentra, num único ambiente, três coisas que atacantes querem — dados de portador (PAN, validade, CVV), dinheiro em trânsito (liquidação e antecipação) e a confiança de milhares de checkouts que ele não controla diretamente.

A assimetria é o problema central. O subadquirente é contratualmente responsável pela segurança do fluxo de pagamento perante a adquirente e as bandeiras, mas o ponto de entrada do dado de cartão muitas vezes é o checkout do lojista — código que roda no site de um terceiro, hospedado em infraestrutura que o subadquirente não administra, mantido por equipes que raramente têm maturidade de segurança. O subadquirente fornece o SDK, o iframe, o botão de pagamento ou o redirect; o lojista monta a página ao redor. Se a página do lojista for comprometida, o atacante captura o dado antes que ele chegue ao ambiente tokenizado do subadquirente. O risco é do lojista na origem, mas a violação PCI e o dano reputacional respingam no subadquirente.

O que o subadquirente realmente protege

  • PAN (Primary Account Number) e dados de portador em trânsito no checkout
  • Tokens de cartão e o mapeamento token-PAN no cofre de tokenização
  • Chaves de criptografia que protegem o vault, normalmente em HSM
  • Regras de split de pagamento entre lojista, marketplace e o próprio subadquirente
  • Operação de antecipação de recebíveis (dinheiro real adiantado contra fluxo futuro)
  • Credenciais de API que milhares de lojistas usam para integrar o checkout

Some-se a isso o contexto regulatório. O PAN é, simultaneamente, dado regulado por PCI-DSS (padrão das bandeiras), dado pessoal sob a LGPD (e portanto sujeito à ANPD), e parte de uma operação fiscalizada pelo Banco Central no que toca arranjos de pagamento. Um único vazamento de cartões dispara três frentes ao mesmo tempo: a obrigação contratual com a adquirente e as bandeiras (que podem aplicar multas e até descredenciar), a notificação à ANPD por incidente com dado pessoal, e o escrutínio prudencial. O subadquirente que trata segurança como custo de TI descobre, no pior momento, que ela era custo de licença para operar.

As quatro ameaças que definem o risco do subadquirente

1. Skimming / Magecart no checkout integrado dos lojistas

Magecart é o nome genérico para web skimming: o atacante injeta um trecho de JavaScript malicioso na página de checkout e esse script, rodando no navegador do comprador, lê os campos do formulário de cartão (número, validade, CVV, nome) e os envia para um domínio controlado pelo criminoso. O detalhe que torna o magecart devastador para subadquirentes é o ponto de captura: o dado é roubado no front-end, antes de qualquer tokenização ou criptografia do lado servidor. Firewall de rede não vê, WAF do gateway não vê, criptografia em trânsito TLS não ajuda — o TLS protege o canal até o atacante, que coleta o dado em claro porque o script está dentro da própria página. A injeção raramente acontece no código do subadquirente; ela acontece em uma biblioteca de terceiros que o lojista carregou (uma tag de analytics, um chat, um plugin de e-commerce desatualizado) ou no CMS do lojista comprometido. A contramedida é controle de integridade de scripts no front-end (Subresource Integrity, Content Security Policy, monitoramento de scripts de terceiros — requisitos 6.4.3 e 11.6.1 do PCI-DSS v4.0.1) somado a um SOC capaz de correlacionar exfiltração e comportamento anômalo de checkout em tempo real.

Por que magecart escapa das defesas tradicionais

O script malicioso é servido pela própria página do lojista e roda no navegador do comprador. Ele captura PAN e CVV antes da tokenização. A exfiltração sai direto do browser para o domínio do atacante, sem nunca passar pela sua rede. Por isso firewall, WAF e TLS não pegam: só integridade de scripts no front-end e SOC em tempo real detectam.

2. Vazamento de PAN no fluxo de tokenização e 3. Fraude de split e antecipação

A tokenização existe para que o subadquirente não precise guardar o PAN em claro: o número real do cartão vira um token e o mapeamento token-PAN fica num cofre protegido (token vault). O risco surge nas bordas: se o PAN aparece em log de aplicação por engano, em cache, em mensagem de fila, em backup não cifrado, em homologação povoada com dado de produção, ou se a API aceita detokenização sem controle de acesso rigoroso, o vault vira irrelevante — o dado vazou pela fresta. Violações PCI no fluxo de tokenização quase nunca são falha do algoritmo; são falha de disciplina operacional. Já a fraude de split e antecipação muda de natureza: não é invasão, é abuso de regra de negócio. No split, o valor de uma transação é dividido entre partes; manipular o destino de um repasse, inflar comissão de conta cúmplice ou criar lojistas-fantasma desvia dinheiro real sem disparar alarme de intrusão. Na antecipação, injetar transações falsas ou coordenar chargebacks após antecipar saca dinheiro que nunca existirá. Essas fraudes vivem na camada transacional e só são detectadas por análise de comportamento.

Fraude de regra de negócio não dispara alarme de invasão

Manipulação de split, lojista-fantasma, antecipação contra recebível falso e chargeback coordenado parecem transações legítimas para a infraestrutura. Não há exploit, malware ou porta aberta. A detecção exige SOC antifraude transacional com modelagem de comportamento, baselines por lojista e correlação entre o evento financeiro e o contexto técnico (dispositivo, IP, velocidade, padrão de split).

4. Comprometimento de chave de criptografia em HSM

O HSM (Hardware Security Module) é o cofre físico-lógico que guarda e usa as chaves que protegem o token vault e as operações criptográficas do subadquirente. Comprometer uma chave-mestra é o cenário mais catastrófico: com ela, o atacante potencialmente detokeniza cartões em massa, forja autenticações ou decifra dados em repouso. O comprometimento raramente é a quebra criptográfica do HSM em si — é o entorno: credenciais administrativas mal protegidas, ausência de dual control e segregação de funções na operação de chaves, procedimentos de rotação inexistentes, ou um operador com privilégio excessivo. A defesa é menos sobre o hardware e mais sobre governança de chaves: quem pode invocar quais operações, sob qual aprovação, com qual auditoria.

Gestão de Ameaças · Grátis

Os dados de subadquirentes já estão expostos ou à venda? Descubra agora — de graça.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

Comece grátis agora Ver planos pagos

Como a Decripte enxerga o ambiente de dados de portador (CDE)

Toda a estratégia de segurança de um subadquirente gira em torno de uma pergunta: onde, exatamente, o dado de cartão existe em claro, ainda que por milissegundos? A resposta define o Cardholder Data Environment — o conjunto de sistemas, redes e processos que armazenam, processam ou transmitem dados de portador. Em PCI-DSS, tudo que está dentro do CDE está em escopo de avaliação; tudo que está conectado ao CDE sem segregação adequada também entra em escopo. O erro recorrente de subadquirentes é subestimar o tamanho do CDE — esquecer que o checkout do lojista, o SDK que eles distribuem, a função de detokenização e até o ambiente de homologação com dado real fazem parte dele.

Mapa de escopo que a Decripte levanta primeiro

  • Pontos de captura de cartão: checkout integrado, SDK distribuído, iframe, redirect, API direta
  • Fluxo de tokenização: onde o PAN entra, onde vira token, onde o vault e o HSM ficam
  • Caminhos de detokenização: quem pode reverter token em PAN e sob qual controle
  • Logs, filas, caches e backups que possam conter PAN por acidente
  • Ambientes de não-produção povoados com dado de produção
  • Conectividade entre o CDE e a rede corporativa (segmentação real vs. presumida)
  • Scripts de terceiros carregados nas páginas de checkout (inventário e integridade)
  • Regras de split e motor de antecipação como superfície de fraude de negócio

Com esse mapa, a segregação deixa de ser uma palavra de auditoria e vira arquitetura. A Decripte trabalha para que o CDE seja o menor ambiente possível, isolado por controles de rede e identidade, com egresso controlado (o CDE não deveria poder falar com a internet livremente — isso por si só dificulta exfiltração), e com o front-end de checkout instrumentado para detectar e bloquear scripts não autorizados. Reduzir o escopo do CDE não é só conformidade barata: é redução de superfície de ataque real. Quanto menos lugares onde o PAN existe em claro, menos lugares para o magecart e o vazamento acontecerem.

Detecção: o que o SOC 24x7 da Decripte observa num subadquirente

Detectar incidentes num subadquirente exige juntar dois mundos que muitas operações tratam separadamente: a telemetria técnica (logs de aplicação, rede, identidade, WAF) e a telemetria transacional (padrões de pagamento, split, antecipação, chargeback). O SOC da Decripte correlaciona os dois. Um pico de detokenizações fora do horário típico, vindo de um IP novo, associado a um operador que normalmente não faz aquilo, e seguido de uma transferência de antecipação incomum — nenhum desses sinais isolado é alarme, mas a sequência é. É essa correlação que separa monitoramento de log de detecção de incidente real.

Sinais que o SOC prioriza no contexto de subadquirência

  • Carregamento de script não inventariado ou alteração de hash em página de checkout (quebra de Subresource Integrity)
  • Requisições de exfiltração: beacons para domínios novos a partir do contexto do checkout
  • Detokenização em volume ou horário anômalo, ou por identidade fora do baseline
  • Acesso à API de tokenização com padrão de enumeração ou força bruta
  • Operações de HSM fora do procedimento (invocação de chave sem aprovação esperada)
  • Anomalias de split: destino de repasse alterado, comissão fora de faixa, lojista recém-criado movimentando alto
  • Antecipação de recebíveis contra fluxo transacional estatisticamente improvável
  • Chargebacks coordenados após eventos de antecipação

A diferença prática do SOC 24x7 é o tempo. Magecart e desvio de antecipação são operações que rendem ao atacante enquanto não são detectadas — cada hora a mais é mais cartão capturado ou mais dinheiro desviado. Um SOC que olha o dashboard só em horário comercial entrega ao atacante todas as noites e fins de semana. A Decripte monitora continuamente e aciona a resposta no instante em que o padrão é confirmado, não no próximo dia útil.

Resposta a incidentes: o relógio que corre em duas frentes

Quando um incidente em subadquirente é confirmado, dois relógios começam a contar. O primeiro é técnico: cada minuto sem contenção é mais dado exfiltrado ou mais dinheiro desviado. O segundo é regulatório: a partir da ciência do incidente, abrem-se janelas de notificação — à ANPD por incidente com dado pessoal que possa gerar risco aos titulares, e às bandeiras e à adquirente pelos contratos de credenciamento, que frequentemente exigem comunicação imediata de comprometimento de dados de cartão e podem demandar forense por investigador qualificado (PFI - PCI Forensic Investigator). A resposta da Decripte é desenhada para servir aos dois relógios ao mesmo tempo: conter rápido para parar o sangramento, e preservar evidência para que a forense sustente as obrigações regulatórias e a comunicação com bandeiras e ANPD.

Conter sem destruir evidência

O erro mais caro na resposta a incidente PCI é apagar a evidência ao tentar limpar. Reinstalar o servidor comprometido antes de coletar imagem forense destrói a cadeia de custódia e enfraquece tanto a investigação quanto a defesa perante bandeiras e ANPD. A Decripte contém isolando e preservando: corta a exfiltração e o acesso do atacante mantendo intactos os artefatos que a forense PCI vai precisar.

A contenção em um magecart, por exemplo, não é só remover o script malicioso. É identificar o vetor de injeção (o checkout do lojista comprometido, a biblioteca de terceiros, a tag adulterada), bloquear a exfiltração no ponto de borda, aplicar Content Security Policy restritiva que impeça a comunicação com o domínio do atacante, e — porque o dado já capturado precisa de tratamento — determinar a janela de exposição (desde quando o script estava ativo, quantas transações passaram por aquele checkout) para dimensionar a notificação. Tudo isso dentro do SLA de contenção da Decripte de até 1 hora a partir do acionamento.

Gestão de Ameaças · Grátis

Quanto custaria um incidente em subadquirentes? Veja o seu risco real antes que ele aconteça.

Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.

Comece grátis agora Ver planos pagos

Conformidade PCI-DSS sem teatro de auditoria

PCI-DSS v4.0.1 é o padrão vigente das bandeiras para quem toca dado de cartão. Para subadquirentes, dois conjuntos de requisitos mudaram o jogo recentemente. O primeiro trata de scripts de página de pagamento: o padrão passou a exigir que toda script carregada e executada na página de pagamento seja gerenciada e tenha sua integridade verificada, e que haja mecanismo para detectar alteração não autorizada de cabeçalhos HTTP e do conteúdo da página de pagamento — exatamente a contramedida para magecart. O segundo reforça a segregação de funções, autenticação forte e gestão de criptografia. A Decripte traduz esses requisitos em arquitetura e operação, não em planilha de evidência para o auditor.

O que a conformidade PCI-DSS para subadquirência exige na prática

  • Inventário e verificação de integridade de todo script na página de checkout (Subresource Integrity, monitoramento de mudança)
  • Detecção de adulteração de cabeçalhos HTTP e do conteúdo da página de pagamento
  • Segregação real do CDE com controle de egresso e segmentação validada por teste
  • Tokenização com controle estrito de detokenização e logging que nunca registra PAN em claro
  • Gestão de chaves em HSM com dual control, segregação de funções e rotação documentada
  • Pentest periódico de segmentação e da superfície de pagamento
  • Trilhas de auditoria íntegras e centralizadas para sustentar forense e notificação
  • Plano de resposta a incidentes testado, com papéis e prazos de notificação definidos

A diferença entre conformidade de papel e segurança real aparece no incidente. Um subadquirente que tem o certificado PCI mas nunca testou a segmentação do CDE descobre, no meio de um vazamento, que a rede corporativa conversava com o token vault o tempo todo. A Decripte valida os controles com pentest — não confia que a configuração descrita no documento é a que está rodando em produção.

Pentest de gateway e checkout: provar que o controle funciona

O pentest de um subadquirente tem alvos específicos que um teste genérico de aplicação web não cobre. A Decripte testa o gateway de pagamento e o checkout como o atacante real testaria: tenta injetar script no fluxo de checkout para validar se Content Security Policy e controle de integridade realmente bloqueiam; tenta abusar da API de tokenização e detokenização; tenta manipular regras de split e parâmetros de antecipação para forçar lógica de negócio indevida; tenta atravessar a segmentação do CDE a partir de um ponto fora dele; e verifica se o PAN escapa para logs, mensagens de erro ou respostas de API.

O que um pentest de checkout costuma revelar

  • Páginas de pagamento que aceitam scripts de origens não previstas (CSP ausente ou permissiva)
  • Endpoints de detokenização sem controle de acesso proporcional ao risco
  • Parâmetros de split manipuláveis pelo cliente (valor, destinatário, percentual)
  • Mensagens de erro que devolvem fragmentos de PAN ou estrutura interna do vault
  • Segmentação de CDE que existe no diagrama mas não no firewall
  • Ambientes de homologação acessíveis e povoados com dado de produção

O valor do pentest não é a lista de achados — é a priorização. A Decripte entrega cada achado com contexto de exploração real e impacto regulatório, separando o que permite vazamento de cartão (risco PCI e LGPD imediato) do que é higiene. Para um subadquirente, saber qual furo libera o PAN é a diferença entre corrigir o que importa e gastar trimestre inteiro com ruído de baixa severidade.

Antifraude transacional e governança de chaves: defender o dinheiro e o cofre

A maior parte da literatura de segurança fala de dados; no subadquirente, metade do risco é dinheiro. Split e antecipação são vetores de perda financeira direta que não dependem de invasão técnica. O SOC antifraude da Decripte modela o comportamento normal de cada lojista e de cada operação de split e antecipação, e alarma o desvio: um lojista recém-cadastrado movimentando volume incompatível com seu perfil, um repasse cujo destino mudou sem justificativa, uma antecipação contra um fluxo de recebíveis que estatisticamente não se sustenta, ou um padrão de chargeback que aparece logo após a antecipação ser paga. Esse antifraude também protege a relação com a adquirente: excesso de fraude e chargeback degrada os índices que as bandeiras monitoram e pode levar a penalidades ou descredenciamento.

Antifraude é correlação entre o financeiro e o técnico

O sinal mais forte de fraude de split ou antecipação raramente está só no evento financeiro. Está na combinação: o repasse anômalo veio do mesmo dispositivo que cadastrou três lojistas-fantasma na semana passada; a antecipação fraudulenta usou o mesmo IP de um pico de chargeback. A Decripte cruza a telemetria transacional com a técnica para enxergar a fraude que cada camada, sozinha, deixaria passar.

A última camada estrutural é a que protege o cofre e a borda. A governança de chaves em HSM precisa garantir que nenhuma pessoa sozinha possa invocar operações críticas (dual control), que funções administrativas e operacionais sejam separadas (segregação de funções), que cada operação de chave seja auditável, e que haja procedimento de rotação. Na borda, a segurança de borda (WAF e mitigação de DDoS) protege o gateway de pagamento da indisponibilidade — um DDoS contra o checkout num pico de vendas é tanto perda financeira direta quanto, às vezes, cortina de fumaça para um ataque paralelo. A Decripte integra WAF, mitigação de DDoS e a governança de chaves à mesma operação de SOC, para que borda e cofre não sejam pontos cegos administrados por equipes separadas.

Pilares de governança que sustentam a operação

  • Dual control e segregação de funções para operações de HSM
  • Rotação documentada de chaves e procedimento de comprometimento
  • Egresso controlado no CDE para dificultar exfiltração
  • WAF na borda do gateway com regras ajustadas ao fluxo de pagamento
  • Mitigação de DDoS para garantir disponibilidade do checkout em picos
  • Trilha de auditoria centralizada e íntegra ligando borda, aplicação e cofre

Cenário ilustrativo: magecart no checkout de um lojista de subadquirente

Cenário ilustrativo

Cenário ilustrativo (não é cliente real). Um subadquirente de médio porte processa transações de cartão para alguns milhares de lojistas. Ele distribui um SDK de checkout que cada lojista embute em sua própria loja. Um desses lojistas — um e-commerce com CMS desatualizado — tem o site comprometido. O atacante injeta, na página de checkout, uma biblioteca de terceiros adulterada que carrega um script magecart. Esse script lê os campos de cartão (PAN, validade, CVV, nome) no navegador do comprador, antes da tokenização do SDK, e exfiltra os dados para um domínio controlado pelo atacante. Para a infraestrutura do subadquirente, tudo parece normal: as transações tokenizam e liquidam como sempre. O dado de cartão vaza pela frente, no browser, sem nunca passar pela rede do subadquirente.

  1. Detecção

    O SOC 24x7 da Decripte recebe um alerta de quebra de integridade de script (Subresource Integrity) num conjunto de páginas de checkout: um hash de script mudou sem deploy correspondente. Em paralelo, o monitoramento de exfiltração detecta beacons saindo do contexto do checkout para um domínio registrado dias antes. A correlação confirma: não é falso positivo, é web skimming ativo. O caso é classificado como incidente PCI com exposição de dados de portador.

  2. Acionamento e triagem

    O plano de resposta dispara. A Decripte identifica o escopo: quais lojistas carregavam o script adulterado, desde quando (janela de exposição), e quantas transações passaram por aqueles checkouts no período. Em paralelo, a equipe inicia a preservação de evidência — captura do script malicioso, dos logs de borda e do tráfego de exfiltração — antes de qualquer remediação, para não quebrar a cadeia de custódia exigida pela forense PCI.

  3. Contenção (<=1h)

    Dentro do SLA de contenção de até 1 hora, a Decripte corta a exfiltração: aplica Content Security Policy restritiva que bloqueia a comunicação com o domínio do atacante, neutraliza o script adulterado no ponto de borda e isola o checkout afetado. O sangramento para. Nenhum cartão adicional é capturado a partir daquele momento, mesmo antes de o lojista ter limpado seu próprio site.

  4. Erradicação

    A Decripte rastreia o vetor de injeção até a biblioteca de terceiros comprometida e o CMS vulnerável do lojista, orienta a remoção da raiz no ambiente do lojista, e revisa o SDK de checkout e a política de scripts de todos os lojistas para impedir reincidência. A verificação de integridade de scripts (requisitos 6.4.3 e 11.6.1 do PCI-DSS v4.0.1) passa a bloquear, não só alertar.

  5. Forense PCI e notificação

    A forense determina a janela exata de comprometimento, o universo de cartões potencialmente expostos e a ausência de acesso ao token vault e ao HSM (confirmando que o CDE central não foi tocado — o roubo foi só no front-end do lojista). Com esse laudo, o subadquirente cumpre suas obrigações: comunica bandeiras e adquirente conforme o contrato de credenciamento e notifica a ANPD, já que houve exposição de dado pessoal (PAN) com risco aos titulares. A documentação sustenta cada comunicação.

  6. Recuperação

    O checkout volta a operar com a política de scripts blindada. A Decripte instrumenta monitoramento contínuo de integridade de página de pagamento em toda a base de lojistas, de modo que uma próxima adulteração seja detectada em minutos. O subadquirente acompanha, junto às bandeiras, a reemissão dos cartões potencialmente expostos.

  7. Lições e reestruturação

    A Decripte reestrutura a segregação do ambiente de dados de portador: reduz o escopo do CDE, reforça o controle de egresso, formaliza o inventário e a verificação de integridade de todo script de checkout, e estabelece o monitoramento de página de pagamento como controle permanente. O incidente vira política operacional, não memória.

Desfecho com a Decripte

A exfiltração foi contida em menos de uma hora a partir do acionamento, limitando a janela de captura de cartões. A forense PCI produziu o laudo que sustentou a notificação às bandeiras e à ANPD dentro dos prazos, preservando a relação de credenciamento do subadquirente com a adquirente. E a reestruturação transformou o ponto cego — scripts de terceiros em checkouts que o subadquirente não controlava diretamente — em um controle monitorado 24x7. O subadquirente saiu do incidente com uma postura de segurança que o magecart não consegue mais explorar silenciosamente.

Resposta a Incidentes · 24/7

Não espere o incidente acontecer. Comece a blindar subadquirentes hoje mesmo.

Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.

Comece grátis agora Ver planos pagos

Como a Decripte responde a um incidente em subadquirente

A resposta a incidentes da Decripte para subadquirentes é desenhada para servir simultaneamente ao relógio técnico (parar a exfiltração ou o desvio) e ao relógio regulatório (preservar evidência para notificar ANPD e bandeiras dentro do prazo). O ciclo, do alerta à reestruturação:

  1. Detecção e confirmação no SOC 24x7: correlacionar telemetria técnica (integridade de scripts, exfiltração, acesso a APIs de tokenização, operações de HSM) com telemetria transacional (split, antecipação, chargeback) para distinguir incidente real de ruído.
  2. Triagem e escopo: determinar o que foi comprometido, a janela de exposição, quais lojistas e quantas transações foram afetadas, e se o token vault e o HSM foram tocados ou se o roubo ficou no front-end.
  3. Preservação de evidência: coletar imagens forenses, scripts maliciosos, logs de borda e tráfego de exfiltração antes de qualquer remediação, mantendo a cadeia de custódia exigida pela forense PCI.
  4. Contenção em até 1 hora: cortar a exfiltração e o acesso do atacante isolando o ambiente afetado, aplicando Content Security Policy e bloqueio de borda, sem destruir a evidência.
  5. Erradicação: rastrear e eliminar a raiz (vetor de injeção, biblioteca comprometida, credencial vazada, regra de split abusada) e fechar a porta de reincidência.
  6. Forense PCI e laudo: dimensionar o universo de dados expostos e produzir a documentação que sustenta a comunicação a bandeiras, adquirente e ANPD dentro dos prazos contratuais e legais.
  7. Recuperação monitorada: retornar a operação com os controles reforçados e monitoramento contínuo do ponto que falhou.
  8. Lições e reestruturação: converter o incidente em política — reduzir escopo do CDE, instrumentar verificação permanente de integridade de checkout e ajustar o SOC para detectar o mesmo padrão em minutos.

Como a Decripte estrutura a segurança de um subadquirente

Estruturar a segurança de um subadquirente é encolher o ambiente de dados de portador, monitorar continuamente os pontos onde o cartão e o dinheiro existem, e provar que os controles funcionam antes do incidente. Os pilares:

Segregação real do CDE

Mapear todos os pontos onde o PAN existe em claro (inclusive o checkout do lojista e a detokenização), reduzir o escopo ao mínimo, isolar por rede e identidade, e controlar o egresso para que o ambiente de cartão não converse livremente com a internet — dificultando exfiltração na origem.

Controle de integridade do checkout

Inventariar e verificar a integridade de todo script carregado nas páginas de pagamento (Subresource Integrity, Content Security Policy, detecção de adulteração de cabeçalhos e conteúdo), atendendo aos requisitos 6.4.3 e 11.6.1 do PCI-DSS v4.0.1 e neutralizando a superfície do magecart.

SOC 24x7 técnico e antifraude

Monitorar continuamente e correlacionar a telemetria técnica com a transacional, detectando tanto a injeção de script e o abuso de API quanto a fraude de split e antecipação, com acionamento imediato da resposta a incidentes.

Governança de chaves em HSM

Proteger o cofre com dual control, segregação de funções, auditoria de cada operação de chave e procedimento de rotação e de comprometimento — porque o risco do HSM está no entorno operacional, não no hardware.

Validação por pentest

Testar periodicamente a segmentação do CDE, o gateway, o checkout e a lógica de split e antecipação como um atacante real faria, provando que os controles descritos no papel existem em produção e priorizando o que libera o PAN.

Prontidão de resposta e conformidade

Manter plano de resposta testado com papéis e prazos de notificação definidos, trilhas de auditoria íntegras e o ciclo de conformidade PCI-DSS tratado como arquitetura viva — para que o incidente seja contido em até 1 hora e as obrigações com ANPD e bandeiras sejam cumpridas no prazo.

Planos recomendados para Subadquirentes

Conformidade

Subadquirente toca dado de cartão e responde por PCI-DSS perante bandeiras e adquirente, e por LGPD perante a ANPD. A Decripte traduz a conformidade PCI-DSS para subadquirência em segregação real do CDE, controle de integridade de checkout e gestão de chaves — não em planilha de auditoria.

Ver plano →

SOC 24x7

Magecart, desvio de antecipação e fraude de split rendem ao atacante enquanto não são detectados. O SOC antifraude transacional da Decripte correlaciona telemetria técnica e financeira e monitora continuamente — incluindo noites e fins de semana, quando o atacante mais opera.

Ver plano →

Resposta a Incidentes

Vazamento de cartão dispara dois relógios — contenção técnica e notificação regulatória. O SLA de contenção em até 1 hora da Decripte para a exfiltração preservando a evidência que a forense PCI precisa para sustentar a comunicação com ANPD e bandeiras.

Ver plano →

Pentest

Conformidade no papel não prova que a segmentação do CDE existe em produção nem que o checkout resiste a injeção de script. O pentest de gateway e checkout da Decripte valida os controles e prioriza o que de fato libera o PAN.

Ver plano →

Perguntas frequentes

O magecart acontece no site do meu lojista. Por que a responsabilidade cai sobre mim, o subadquirente?

Porque você é contratualmente responsável pela segurança do fluxo de pagamento perante a adquirente e as bandeiras, e porque o dado vazado é PAN que transita pelo seu arranjo. Mesmo que o ponto de captura seja o checkout do lojista, o requisito do PCI-DSS de integridade de scripts na página de pagamento recai sobre quem controla o fluxo. A Decripte instrumenta a verificação de integridade em toda a base de checkouts para que você detecte e bloqueie a adulteração mesmo no ambiente do lojista.

Eu uso tokenização. Isso não me protege do vazamento de cartão?

A tokenização protege o dado em repouso no seu ambiente, mas não protege o PAN antes da tokenização. No magecart, o script captura o cartão no navegador, antes do SDK tokenizar — o vault nunca é tocado e o vazamento acontece mesmo assim. Tokenização também não cobre PAN que escapa para logs, caches, backups ou homologação com dado de produção. A Decripte mapeia exatamente esses pontos de fuga.

Como a Decripte detecta fraude de split e antecipação se não há invasão?

Fraude de regra de negócio não dispara alarme de intrusão, então o SOC antifraude transacional modela o comportamento normal de cada lojista e operação, e alarma o desvio — destino de repasse alterado, lojista-fantasma, antecipação contra recebível improvável, chargeback coordenado. O sinal forte vem da correlação entre o evento financeiro e o contexto técnico (dispositivo, IP, padrão), não de cada camada isolada.

Qual o prazo para notificar a ANPD e as bandeiras num vazamento de cartão?

São obrigações distintas. À ANPD, a LGPD exige comunicação de incidente que possa acarretar risco ou dano relevante aos titulares, em prazo razoável conforme a orientação da autoridade. Às bandeiras e à adquirente, os contratos de credenciamento costumam exigir comunicação imediata de comprometimento de dados de cartão, às vezes com forense por investigador qualificado. A resposta da Decripte preserva evidência desde o primeiro minuto justamente para você cumprir os dois prazos com laudo que sustente a comunicação.

O que significa o SLA de contenção de até 1 hora na prática?

Significa que, a partir do acionamento de um incidente confirmado, a Decripte para o sangramento — corta a exfiltração e o acesso do atacante isolando o ambiente — em até 60 minutos, sem destruir a evidência forense. Num magecart, isso é bloquear a comunicação com o domínio do atacante e neutralizar o script; num desvio de antecipação, é estancar a operação fraudulenta. Quanto antes a contenção, menos cartão capturado e menos dinheiro desviado.

Preciso de auditoria PCI-DSS ou de segurança real? Não é a mesma coisa?

Não. A certificação atesta um momento; a segurança real é a arquitetura que resiste ao incidente. Muitos subadquirentes têm o certificado mas nunca testaram se a segmentação do CDE descrita no documento existe em produção. A Decripte trata conformidade como arquitetura viva e valida com pentest — porque, no meio de um vazamento, o que importa é se o controle funciona, não se ele estava na planilha.

Como vocês protegem as chaves no meu HSM?

O risco do HSM quase nunca é a quebra criptográfica do hardware — é o entorno: credenciais administrativas mal protegidas, falta de dual control e segregação de funções, rotação inexistente, operador com privilégio excessivo. A Decripte estrutura a governança de chaves: quem pode invocar qual operação, sob qual aprovação, com qual auditoria, e com procedimento definido para comprometimento e rotação.

Por onde eu começo sem fechar contrato agora?

Pelo diagnóstico gratuito de Gestão de Ameaças em decripte.io/free, que mapeia sua superfície de exposição e os pontos de risco do seu arranjo. A partir daí você decide, de forma self-service, quais planos pagos contratar em decripte.io/planos — Conformidade, SOC 24x7, Resposta a Incidentes e Pentest são os mais recomendados para subadquirência. Sem formulário e sem espera.

Termos do setor

Subadquirente
Participante do arranjo de pagamento que habilita milhares de lojistas a aceitar cartão sem contrato direto com a adquirente principal, agregando, liquidando, fazendo split e antecipando recebíveis. Por tocar dado de cartão e dinheiro em trânsito, concentra risco PCI-DSS e financeiro.
Magecart / Web skimming
Ataque em que um JavaScript malicioso é injetado na página de checkout e, rodando no navegador do comprador, captura os dados do cartão (PAN, validade, CVV) antes da tokenização, exfiltrando-os para um domínio do atacante sem nunca passar pela rede do subadquirente.
CDE (Cardholder Data Environment)
Conjunto de sistemas, redes e processos que armazenam, processam ou transmitem dados de portador de cartão. Tudo dentro do CDE — e tudo conectado a ele sem segregação — entra em escopo de avaliação PCI-DSS. Reduzir o CDE reduz a superfície de ataque.
Tokenização
Substituição do número real do cartão (PAN) por um token sem valor fora do contexto, cujo mapeamento token-PAN fica num cofre protegido (token vault). Protege o dado em repouso, mas não cobre o PAN antes da tokenização nem o que escapa para logs e ambientes de teste.
HSM (Hardware Security Module)
Módulo de segurança que guarda e usa as chaves criptográficas que protegem o token vault e as operações do subadquirente. Seu risco principal é a governança do entorno — dual control, segregação de funções, rotação e auditoria — não a quebra do hardware.
Split de pagamento
Divisão automática do valor de uma transação entre as partes (lojista, marketplace, subadquirente). Como é lógica de negócio, vira alvo de fraude por manipulação de destino e percentual, lojista-fantasma e abuso de antecipação — detectável por antifraude transacional, não por defesa de perímetro.

A Decripte protege e responde a incidentes no setor de subadquirentes.

Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.

Comece grátis agora Ver planos pagos