Segurança para Meios de Pagamento: como detectar Magecart, conter a exfiltração de cartões e estruturar conformidade PCI-DSS
Gateways e checkouts processam milhares de transações de cartão e PIX por minuto. Um único script malicioso injetado no checkout pode copiar cada número de cartão digitado sem derrubar nada. Veja a anatomia de um ataque Magecart e como a Decripte responde, contém e blinda.
Resposta direta
Para proteger meios de pagamento contra web skimming (Magecart), fraude de cartão e comprometimento de gateways, a Decripte combina três frentes: conformidade PCI-DSS estruturada (escopo, segmentação e controles de continuidade de varredura), monitoramento de integridade do checkout em tempo real para detectar scripts injetados que exfiltram dados de cartão, e um SOC 24x7 com Resposta a Incidentes que contém o vazamento em até 1 hora. Na prática isso significa: travar a origem dos scripts da página de pagamento (CSP + Subresource Integrity), inventariar todo JavaScript de terceiros que toca o formulário de cartão, vigiar conexões de saída anômalas do checkout e ter um plano de resposta que isola o gateway, remove o código malicioso e preserva evidência forense sem destruir a trilha de auditoria PCI.
24/7
SOC monitorando integridade do checkout
<=1h
SLA de contenção de incidente
PCI-DSS
Conformidade exigida de quem processa cartão
LGPD
Dado de portador é dado pessoal
Em resumo
- ›Web skimming (Magecart) não derruba o site nem dispara alertas óbvios: o checkout continua funcionando enquanto um script de terceiros copia silenciosamente os dados do cartão e os envia para um servidor do atacante.
- ›A maior parte das injeções Magecart entra por componentes de terceiros (tag managers, chat, analytics, bibliotecas JS) e não pelo código da própria loja, o que torna o monitoramento de integridade de página o controle mais decisivo.
- ›A versão 4.0 do PCI-DSS passou a exigir explicitamente o gerenciamento e a verificação de integridade de todos os scripts executados na página de pagamento e mecanismos para detectar alterações em cabeçalhos HTTP do checkout.
- ›Dado de portador de cartão também é dado pessoal sob a LGPD: um vazamento gera, simultaneamente, obrigação de notificação à ANPD/titulares e exposição a penalidades das bandeiras e do adquirente.
- ›A contenção eficaz não é 'tirar o site do ar', e sim cortar o canal de exfiltração e isolar o componente comprometido preservando a evidência forense exigida pela investigação PCI.
- ›Estruturar segurança em meios de pagamento é reduzir e blindar o escopo PCI: quanto menos sistemas tocam o dado de cartão em claro, menor a superfície de skimming, carding e vazamento.
Cibersegurança para Meios de Pagamento
Gateways e checkouts processam milhares de transações de cartão e PIX por minuto. Um único script malicioso injetado no checkout pode copiar cada número de cartão digitado sem derrubar nada. Veja a anatomia de um ataque Magecart e como a Decripte responde, contém e blinda.
Por que meios de pagamento são o alvo de maior valor da internet
Um meio de pagamento — gateway, subadquirente, facilitador, PSP ou checkout de e-commerce de alto volume — concentra a forma mais líquida de dado que existe na internet: o número de cartão (PAN), a data de validade e o código de segurança (CVV/CVC). Diferente de um vazamento de e-mails ou senhas, que ainda exige um passo de monetização, o dado de cartão é convertível em dinheiro quase imediatamente, seja por uso direto, seja por revenda em mercados de carding. Por isso, quem processa transações está permanentemente no centro de mira de grupos especializados.
O agravante estrutural é o volume. Comprometer o servidor de um único usuário rende um cartão. Comprometer o checkout de um gateway que serve centenas de lojas, ou injetar um script no fluxo de pagamento de um varejista grande, rende um fluxo contínuo de milhares de cartões por dia, capturados no exato momento em que o portador os digita, antes de qualquer tokenização ou criptografia de armazenamento. É essa alavancagem — um ponto de comprometimento, milhares de vítimas — que torna o setor tão atraente e tão regulado.
O dado de cartão é dado pessoal
Sob a LGPD, número de cartão, validade e dados do portador são dados pessoais. Um incidente em meio de pagamento aciona simultaneamente três regimes: a obrigação de notificar a ANPD e os titulares, as regras de notificação do adquirente/bandeira, e — quando há armazenamento ou transmissão de dados de cartão — o regime do PCI-DSS. Tratar o incidente como 'só um problema técnico' costuma ser o primeiro erro caro.
Há ainda uma característica que diferencia este setor de quase todos os outros: o ataque mais perigoso é o que não causa nenhum sintoma visível. Ransomware trava operação e chama atenção. DDoS derruba o site. Já o web skimming é projetado para ser invisível: o checkout continua funcionando perfeitamente, a transação é aprovada normalmente, o cliente recebe o produto — e, em paralelo, uma cópia de cada cartão é enviada silenciosamente ao atacante. A descoberta, na maioria dos casos reais, não vem de um alarme interno, mas de uma notificação do adquirente apontando um 'ponto comum de comprometimento' identificado em fraudes de vários portadores.
As ameaças que definem o sub-setor
Web skimming / Magecart
Magecart é o nome genérico para a injeção de JavaScript malicioso na página de pagamento com o objetivo de capturar (skim) os dados do formulário de cartão e exfiltrá-los para um servidor controlado pelo atacante. O nome vem de campanhas originais contra lojas Magento, mas a técnica é agnóstica de plataforma: funciona em qualquer checkout baseado em HTML/JS. O script lê os campos do formulário — muitas vezes via keyloggers de formulário ou hooks no evento de submit — e dispara a cópia para um domínio de coleta, frequentemente disfarçado para parecer um recurso legítimo (analytics, fonte, pixel).
O vetor preferido é o terceiro, não você
A maioria das injeções Magecart não entra pelo código da própria loja. Entra por um componente de terceiro carregado na página de pagamento: uma tag de analytics, um widget de chat, um teste A/B, uma biblioteca JS hospedada em CDN externa, ou o próprio tag manager. Se um desses fornecedores é comprometido, o código malicioso é servido para todos os clientes dele de uma vez — um ataque à cadeia de suprimentos. Por isso o controle decisivo é saber, a cada minuto, exatamente qual script está rodando no seu checkout e se ele mudou.
Fraude de cartão, carding e comprometimento de gateway
Carding é o teste e uso fraudulento de cartões obtidos por skimming, vazamento ou compra em mercados ilícitos. Em meios de pagamento, manifesta-se como ondas de pequenas autorizações de baixo valor (card testing) para validar quais cartões da lista ainda estão ativos, frequentemente automatizadas via bots que abusam de endpoints de autorização. Sem controles de velocidade, fingerprint de dispositivo e detecção de anomalia, o próprio gateway vira a ferramenta de validação dos cartões roubados. Já o comprometimento direto do gateway — via vulnerabilidade na aplicação, credencial de API vazada ou painel administrativo exposto — é o cenário de impacto máximo, porque dá acesso ao fluxo de transações de múltiplos clientes simultaneamente. É aqui que pentest e gestão de vulnerabilidades contínua deixam de ser opcionais.
Vazamento de dados de portador e man-in-the-middle
O vazamento de Cardholder Data (CHD) é o desfecho de praticamente todos os vetores acima. Já o man-in-the-middle ataca o dado em trânsito: TLS mal configurado, downgrade de protocolo, certificados não validados em integrações servidor-a-servidor, ou redes intermediárias comprometidas que interceptam a comunicação entre checkout, gateway e adquirente. A defesa exige criptografia forte ponta a ponta, validação estrita de certificado e segmentação de rede que mantenha o ambiente de dados de cartão (CDE) isolado.
Os dados de meios de pagamento já estão expostos ou à venda? Descubra agora — de graça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
O controle que muda o jogo: integridade de página no checkout
Se há um único controle que separa quem detecta um Magecart em minutos de quem só descobre semanas depois pela notificação do adquirente, é o monitoramento de integridade da página de pagamento. A lógica é simples: o checkout é uma superfície que deveria mudar pouco e de forma controlada. Todo JavaScript que executa ali deveria ser conhecido, inventariado e autorizado. Qualquer script novo, qualquer alteração de hash em um script existente, qualquer nova conexão de saída a partir da página de pagamento é, por padrão, suspeita.
Camadas de defesa de integridade do checkout
- ✓Inventário vivo de scripts: catálogo de todo JS que carrega na página de pagamento, com origem, finalidade e responsável — incluindo os de terceiros.
- ✓Subresource Integrity (SRI): hash criptográfico nos scripts de terceiros para que o navegador recuse qualquer versão adulterada.
- ✓Content Security Policy (CSP) restritiva: allowlist de origens de script e de destinos de conexão, bloqueando exfiltração para domínios não autorizados.
- ✓Monitoramento de alteração: alerta em tempo real quando um script muda de hash, surge um script novo ou um cabeçalho HTTP do checkout é modificado.
- ✓Detecção de exfiltração: vigilância de conexões de saída anômalas (beacons para domínios desconhecidos) originadas no contexto da página de pagamento.
A versão 4.0 do PCI-DSS reconheceu formalmente esse risco e introduziu requisitos específicos voltados a páginas de pagamento: o gerenciamento e a justificativa de todos os scripts carregados e executados no navegador, garantindo sua integridade, e mecanismos para detectar e alertar sobre alterações não autorizadas nos cabeçalhos HTTP e no conteúdo da página de pagamento recebida pelo navegador do consumidor. Em outras palavras, a norma agora exige exatamente a defesa contra Magecart — e quem trata isso como 'item de checklist' em vez de controle operacional contínuo fica exposto entre uma varredura e outra.
Conformidade não é foto, é vídeo
Um relatório de conformidade comprova um estado em uma data. O ataque acontece nos intervalos. A Decripte estrutura PCI-DSS como processo contínuo — varredura de integridade permanente, não trimestral — para que a janela entre 'tudo certo' e 'comprometido' seja medida em minutos, não em semanas.
Como a Decripte estrutura a segurança de um meio de pagamento
Antes de falar em resposta a incidentes, vale entender como a Decripte reduz a probabilidade e o impacto de um incidente. A filosofia é a de reduzir e blindar o escopo PCI: quanto menos sistemas tocam o dado de cartão em claro, e quanto mais isolados eles estão, menor a superfície de skimming, carding, MITM e vazamento.
Reduzir escopo é reduzir risco
Cada sistema que armazena, processa ou transmite dado de cartão entra no CDE (Cardholder Data Environment) e precisa atender ao PCI-DSS. Técnicas como tokenização, redirecionamento/iframe de captura e segmentação de rede tiram sistemas inteiros do escopo, encolhendo simultaneamente o custo de conformidade e a área que um atacante pode explorar.
Sobre essa base, a Decripte aplica defesa em profundidade no checkout (CSP, SRI, integridade de página), endurecimento e monitoramento do gateway, segurança de borda (WAF para bloquear injeção e card testing, mitigação de DDoS) e validação ofensiva regular por pentest. Tudo orquestrado por um SOC 24x7 que correlaciona os sinais — porque um Magecart raramente aparece como um alerta único e óbvio; ele aparece como a soma de um script novo, uma conexão de saída estranha e um pico de fraudes reportado pelo adquirente.
Detecção: como um skimmer invisível é percebido
O desafio central da detecção de web skimming é que ele não quebra nada. Não há erro no log de aplicação, a transação é aprovada, o cliente é atendido. A detecção, portanto, não pode depender de 'sintomas de falha' — precisa depender de monitoramento de estado e de comportamento.
Sinais que o SOC da Decripte correlaciona
- ✓Mudança de integridade: um script da página de pagamento mudou de hash sem deploy autorizado, ou surgiu um script de origem nova.
- ✓Exfiltração: uma conexão de saída para um domínio desconhecido a partir do contexto do checkout (mesmo que o domínio 'pareça' um analytics).
- ✓Cabeçalho adulterado: alteração não autorizada em cabeçalhos HTTP de resposta do checkout.
- ✓Anomalia de fraude: o adquirente reporta um 'common point of purchase' — vários cartões fraudados que passaram pelo mesmo checkout.
- ✓Card testing: rajada de autorizações de baixo valor com alta taxa de recusa, indicando validação automatizada de lista de cartões.
- ✓Mudança de dependência: atualização inesperada em biblioteca de terceiro ou tag manager carregada na página de pagamento.
O ponto crítico é o tempo entre o comprometimento e a detecção. Cada hora com um skimmer ativo é mais um lote de cartões na mão do atacante e mais portadores que terão de ser notificados. Por isso a integridade de página precisa ser monitorada continuamente e os alertas precisam chegar a analistas humanos que saibam distinguir um deploy legítimo de uma injeção — função do SOC 24x7.
Quanto custaria um incidente em meios de pagamento? Veja o seu risco real antes que ele aconteça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Contenção sem destruir evidência
Quando o incidente é confirmado, a tentação imediata é 'limpar tudo' — apagar o script, restaurar o backup, reiniciar o servidor. Em um meio de pagamento, isso é um erro duplo: destrói a evidência forense que a investigação PCI exigirá e pode não cortar o canal real de exfiltração se a injeção veio de um terceiro ou de uma persistência mais profunda.
Não derrube o site cegamente
Contenção em meio de pagamento não é necessariamente 'tirar o checkout do ar' — é cortar o canal de exfiltração (bloquear o domínio de coleta via CSP e na borda), isolar o componente comprometido e congelar o estado para perícia. Derrubar a operação por pânico pode ser desnecessário e ainda apagar a trilha que prova o que aconteceu, quando começou e quais transações foram afetadas.
A contenção correta combina: bloqueio imediato do destino de exfiltração na borda (WAF/CSP), isolamento do componente ou do nó comprometido, captura forense de imagens e logs antes de qualquer remediação, e — só então — a erradicação do código malicioso. Cada passo é registrado para preservar a cronologia exigida pela investigação e pela notificação à ANPD e ao adquirente.
Conformidade PCI-DSS como produto contínuo, não evento anual
Muitos meios de pagamento tratam PCI-DSS como um exercício anual de preencher formulário e passar na varredura trimestral. O problema é que os ataques Magecart e de gateway acontecem justamente nos intervalos. A Decripte estrutura conformidade como um regime operacional contínuo, alinhado ao espírito do PCI-DSS 4.0, que reforça a ideia de segurança como processo permanente.
O que entra na conformidade contínua
- ✓Definição e blindagem de escopo (CDE) com segmentação de rede validada.
- ✓Gerenciamento de vulnerabilidades com varredura recorrente e correção priorizada por risco.
- ✓Pentest periódico de aplicação e de segmentação, validando que o isolamento do CDE realmente se sustenta.
- ✓Inventário e verificação de integridade de scripts da página de pagamento (alinhado aos requisitos de proteção do checkout).
- ✓Detecção de alteração em conteúdo e cabeçalhos do checkout, com alerta em tempo real.
- ✓Gestão de logs e trilha de auditoria suficiente para investigação forense e resposta regulatória.
- ✓Controles de criptografia em trânsito e em repouso, validação de TLS e prevenção de MITM.
LGPD e PCI andam juntas
Conformidade PCI-DSS reduz o risco técnico; conformidade LGPD organiza o dever legal quando o incidente ocorre — quem notificar, em que prazo, com qual evidência. A Decripte estrutura ambas de forma integrada, para que a empresa não descubra na hora do incidente que não tem plano de notificação nem trilha de auditoria.
O papel do SOC 24x7, da borda e do próximo passo
O checkout de um meio de pagamento não dorme, e o atacante sabe disso — injeções e ondas de card testing costumam ser disparadas em madrugadas e finais de semana, justamente quando a vigilância humana é menor. O SOC 24x7 da Decripte existe para fechar essa janela: monitoramento ininterrupto de integridade de página, correlação de sinais de exfiltração e fraude, e acionamento imediato do time de Resposta a Incidentes quando um padrão suspeito é confirmado.
A Segurança de Borda complementa essa vigilância com ação. Um WAF bem configurado bloqueia tentativas de injeção na aplicação, aplica rate limiting contra card testing automatizado, e — combinado com CSP — impede que o navegador do cliente envie dados para domínios de coleta não autorizados. A mitigação de DDoS garante que o canal de pagamento permaneça disponível mesmo sob ataque volumétrico, que muitas vezes é usado como cortina de fumaça para um comprometimento simultâneo.
Borda + SOC + RI: a tríade de pagamento
Borda bloqueia o que é conhecido e detecta o anômalo na entrada e na saída. SOC vê, correlaciona e decide 24/7. Resposta a Incidentes contém em até 1h e erradica sem destruir evidência. Nenhuma dessas três isolada protege um meio de pagamento; juntas, fecham o ciclo.
O primeiro passo prático para qualquer meio de pagamento é enxergar a própria superfície: que scripts carregam no checkout, que componentes de terceiros tocam o formulário de cartão, que portas e painéis estão expostos, e que dados de cartão circulam fora do escopo controlado. A Decripte oferece um diagnóstico gratuito de Gestão de Ameaças em decripte.io/free, que aponta exposições e risco real antes de qualquer contratação. Para estruturar conformidade PCI-DSS, ativar SOC 24x7 ou contratar pentest do gateway: decripte.io/start. Para falar com um especialista: /contato.
Anatomia de um Magecart no checkout: detecção, contenção e blindagem PCI-DSS
Cenário ilustrativo
Cenário ILUSTRATIVO (não representa um cliente real). Uma plataforma de e-commerce de médio-grande porte processa milhares de transações de cartão por dia através de um checkout próprio integrado a um gateway. Para acelerar campanhas de marketing, o time usa um tag manager que permite ao marketing publicar tags de analytics e pixels sem passar por revisão de engenharia. Um desses fornecedores de tag de terceiro é comprometido na origem, e uma versão adulterada de seu script — agora contendo um skimmer Magecart — passa a ser servida para todos os clientes que o utilizam, inclusive este checkout. O script lê os campos do formulário de cartão no evento de submit e envia uma cópia, disfarçada de chamada de analytics, para um domínio de coleta controlado pelo atacante. Nada quebra: as transações continuam aprovando normalmente.
Injeção silenciosa (Dia 0)
O tag manager carrega a versão maliciosa do script de terceiro na página de pagamento. O skimmer começa a capturar PAN, validade e CVV no momento da digitação e a exfiltrá-los para um domínio que imita um serviço de métricas. Nenhum log de aplicação registra erro; a operação segue normal e o ataque permanece invisível para os controles tradicionais.
Detecção por integridade (Dia 0, +3h)
O monitoramento contínuo de integridade de página do SOC 24x7 da Decripte dispara dois alertas correlacionados: (1) um script da página de pagamento mudou de hash sem deploy autorizado e (2) o checkout passou a abrir uma conexão de saída para um domínio desconhecido, não presente na allowlist da CSP. Um analista humano confirma que não houve release planejado e classifica como suspeita de skimming ativo.
Contenção (Dia 0, +3h45)
Dentro do SLA de contenção (<=1h após confirmação), a Decripte bloqueia o domínio de coleta na borda (WAF) e via CSP, cortando o canal de exfiltração imediatamente — sem derrubar o checkout. O componente de terceiro comprometido é isolado e removido do carregamento da página de pagamento. Antes de qualquer limpeza, são capturadas evidências: a versão maliciosa do script, logs de borda, cabeçalhos e a janela temporal de atividade.
Erradicação (Dia 0–1)
O script malicioso é removido na origem do tag manager e o fornecedor comprometido é desativado. A Decripte aplica SRI aos scripts de terceiros remanescentes e endurece a CSP para uma allowlist estrita de origens de script e de destinos de conexão, de modo que nenhuma futura adulteração possa exfiltrar para fora dos domínios autorizados. O processo de publicação de tags pelo marketing passa a exigir revisão.
Recuperação e notificação (Dia 1–3)
Com o canal cortado e o código erradicado, define-se a janela de exposição a partir da evidência forense e identifica-se o conjunto de transações potencialmente afetadas. A Decripte apoia a organização na notificação ao adquirente/bandeira e na comunicação à ANPD e aos titulares conforme a LGPD, com a trilha de auditoria preservada como base factual da cronologia.
Blindagem e lições (Dia 3+)
Implanta-se monitoramento de integridade de página permanente, inventário vivo de todo JS do checkout, alerta de alteração de cabeçalho HTTP e detecção de exfiltração — alinhados aos requisitos do PCI-DSS 4.0 para proteção da página de pagamento. Faz-se um pentest do gateway e da segmentação, e o tag manager deixa de poder publicar scripts diretamente na página de pagamento sem revisão. A lição central: o risco entrou por um terceiro confiável, e só a integridade contínua o capturou.
Desfecho com a Decripte
O canal de exfiltração foi cortado em menos de uma hora após a confirmação, limitando a janela de captura a poucas horas em vez das semanas típicas dos casos descobertos apenas pela notificação do adquirente. A evidência forense preservada permitiu delimitar com precisão as transações afetadas e sustentar as notificações regulatórias e contratuais. Com integridade de página contínua, CSP/SRI e processo de governança de scripts implantados, a mesma classe de ataque deixou de ter caminho silencioso — e a estrutura de conformidade PCI-DSS passou de evento anual para regime operacional vigiado pelo SOC 24x7.
Não espere o incidente acontecer. Comece a blindar meios de pagamento hoje mesmo.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Como a Decripte responde a um incidente em meio de pagamento
A resposta a um incidente de skimming, fraude ou comprometimento de gateway segue um fluxo desenhado para conter rápido sem destruir a evidência que a investigação PCI e a notificação LGPD exigirão. O SLA de contenção é de até 1 hora após a confirmação do incidente.
- Detecção e triagem: o SOC 24x7 correlaciona os sinais (alteração de integridade de script, conexão de exfiltração, cabeçalho adulterado, anomalia de fraude reportada pelo adquirente) e confirma se há skimmer ativo, distinguindo deploy legítimo de injeção maliciosa.
- Acionamento e escopo inicial: classificação de severidade, ativação do time de Resposta a Incidentes e delimitação preliminar de quais sistemas e qual janela temporal estão envolvidos no fluxo de dados de cartão.
- Preservação forense: captura de imagens, logs de borda e aplicação, da versão maliciosa do script e dos cabeçalhos antes de qualquer remediação, garantindo a trilha exigida pela investigação PCI e pela ANPD.
- Contenção: bloqueio imediato do domínio de exfiltração na borda (WAF) e via CSP, isolamento do componente ou nó comprometido — cortando o canal sem necessariamente derrubar a operação de pagamento.
- Erradicação: remoção do código malicioso na origem (incluindo o terceiro comprometido, quando aplicável), aplicação de SRI e endurecimento da CSP para impedir reinjeção e exfiltração futura.
- Recuperação e validação: restabelecimento controlado do checkout, verificação de integridade pós-remediação e confirmação de que não há persistência nem canal residual de exfiltração.
- Notificação e suporte regulatório: apoio na comunicação ao adquirente/bandeira e na notificação à ANPD e aos titulares conforme a LGPD, com a cronologia sustentada pela evidência preservada.
- Lições aprendidas e hardening: relatório de causa-raiz, implantação de monitoramento contínuo de integridade de página, governança de scripts de terceiros e revisão dos controles PCI-DSS para fechar a brecha explorada.
Como a Decripte estrutura a segurança de meios de pagamento
A estruturação parte de um princípio: reduzir e blindar o escopo onde o dado de cartão circula, e vigiar continuamente a superfície mais explorada — o checkout. São pilares complementares, orquestrados pelo SOC 24x7.
Escopo PCI reduzido e blindado
Definição rigorosa do CDE (Cardholder Data Environment), uso de tokenização e técnicas de redução de escopo e segmentação de rede validada, para que o mínimo possível de sistemas toque o dado de cartão em claro — encolhendo simultaneamente custo de conformidade e superfície de ataque.
Integridade da página de pagamento
Inventário vivo de todo JavaScript do checkout, Subresource Integrity nos scripts de terceiros, Content Security Policy restritiva e monitoramento contínuo de alteração de scripts e cabeçalhos — a defesa central contra Magecart, alinhada ao PCI-DSS 4.0.
Segurança de borda ativa
WAF para bloquear injeção na aplicação e card testing automatizado, rate limiting nos endpoints de autorização, CSP impedindo exfiltração para domínios não autorizados e mitigação de DDoS para manter o canal de pagamento disponível sob ataque.
Validação ofensiva contínua
Pentest periódico do gateway, das integrações e da segmentação de rede, mais gestão de vulnerabilidades recorrente, para confirmar que o isolamento do CDE realmente se sustenta e que não há porta exposta no fluxo de transações.
SOC 24x7 e Resposta a Incidentes
Monitoramento ininterrupto que correlaciona sinais de skimming, fraude e exfiltração, com acionamento imediato do time de RI e SLA de contenção de até 1h — fechando a janela noturna e de fim de semana preferida pelos atacantes.
Conformidade contínua PCI-DSS + LGPD
Conformidade tratada como processo permanente (não evento anual): trilha de auditoria, gestão de logs, criptografia em trânsito e repouso, e plano de notificação regulatória pronto, integrando o dever técnico do PCI com o dever legal da LGPD.
Planos recomendados para Meios de Pagamento
Conformidade
Quem processa cartão precisa atender ao PCI-DSS e à LGPD de forma integrada. A Decripte estrutura escopo, controles de integridade de página exigidos pelo PCI-DSS 4.0 e plano de notificação, transformando conformidade de evento anual em regime contínuo.
Ver plano →SOC 24x7
Web skimming não dispara alertas óbvios e ataca em horários de baixa vigilância. O SOC monitora a integridade do checkout 24/7, correlaciona sinais de exfiltração e fraude e aciona a resposta antes que o vazamento se prolongue por semanas.
Ver plano →Pentest
O comprometimento direto do gateway é o cenário de impacto máximo. Pentest periódico do gateway, das integrações e da segmentação valida que o isolamento do ambiente de dados de cartão realmente resiste a um atacante real.
Ver plano →Segurança de Borda
WAF e CSP bloqueiam injeção na aplicação, card testing automatizado e a exfiltração de cartões para domínios não autorizados, enquanto a mitigação de DDoS mantém o canal de pagamento disponível mesmo sob ataque volumétrico usado como cortina de fumaça.
Ver plano →Perguntas frequentes
O que é um ataque Magecart e por que ele é tão perigoso para um checkout?
Magecart é a injeção de JavaScript malicioso na página de pagamento que copia os dados do cartão no momento em que o cliente os digita e os envia a um servidor do atacante. É perigoso porque não derruba nem quebra nada: o checkout funciona normalmente, a transação aprova, o cliente é atendido — e em paralelo cada cartão é exfiltrado silenciosamente. Por isso muitos casos só são descobertos semanas depois, pela notificação do adquirente.
Como detectar um skimmer se ele não gera erro nem alerta no sistema?
A detecção não pode depender de sintomas de falha, e sim de monitoramento de estado e comportamento: alteração de hash de um script do checkout, surgimento de script de origem nova, conexão de saída para um domínio desconhecido a partir da página de pagamento e alteração de cabeçalhos HTTP. O SOC 24x7 da Decripte correlaciona esses sinais e os valida com analistas humanos.
O PCI-DSS 4.0 realmente exige proteção contra Magecart?
Sim. A versão 4.0 introduziu requisitos específicos para a página de pagamento: gerenciar e justificar todos os scripts carregados e executados no navegador, garantindo sua integridade, e detectar e alertar sobre alterações não autorizadas em cabeçalhos HTTP e no conteúdo do checkout. Na prática, a norma passou a exigir a defesa contra web skimming.
Um vazamento de dados de cartão precisa ser notificado à ANPD?
Dados de portador de cartão são dados pessoais sob a LGPD, então um incidente que os exponha pode gerar dever de comunicação à ANPD e aos titulares, conforme a avaliação de risco e dano. Além disso, há as obrigações de notificação ao adquirente e às bandeiras. A Decripte estrutura conformidade PCI e LGPD de forma integrada e apoia o processo de notificação.
A maioria dos ataques Magecart vem do meu próprio código?
Não. A maior parte entra por componentes de terceiros carregados no checkout — tag managers, analytics, chat, bibliotecas em CDN externa. Se o fornecedor é comprometido, o código malicioso é servido a todos os clientes dele de uma vez. Por isso o controle decisivo é o monitoramento contínuo de integridade de página, que vê qualquer script novo ou alterado, venha de onde vier.
Quando há um incidente, devo tirar o checkout do ar imediatamente?
Não necessariamente, e fazê-lo por pânico pode atrapalhar. A contenção correta é cortar o canal de exfiltração (bloquear o domínio de coleta na borda e via CSP) e isolar o componente comprometido, preservando a evidência forense antes de qualquer limpeza. Derrubar tudo cegamente pode ser desnecessário e ainda apagar a trilha que prova o que aconteceu e quais transações foram afetadas.
O que é card testing e como o meu gateway pode estar facilitando fraude?
Card testing é o uso de bots para testar listas de cartões roubados com pequenas autorizações, validando quais ainda estão ativos. Sem rate limiting, fingerprint de dispositivo e detecção de anomalia nos endpoints de autorização, o próprio gateway vira a ferramenta de validação dos cartões. WAF e controles de borda da Decripte bloqueiam essas rajadas automatizadas.
Por que preciso de SOC 24x7 se já tenho varredura PCI trimestral, e por onde começo?
Porque os ataques acontecem nos intervalos: uma varredura trimestral comprova um estado em uma data, mas o skimmer pode ser injetado no dia seguinte e operar por semanas até a próxima varredura. O SOC 24x7 transforma conformidade de foto em vídeo, com a janela entre comprometimento e detecção medida em minutos. Para começar sem saber o tamanho da exposição, use o diagnóstico gratuito em decripte.io/free, que mapeia o risco real antes de qualquer contratação; depois é possível estruturar PCI-DSS, ativar SOC ou contratar pentest em decripte.io/start, ou falar com um especialista em /contato.
Termos do setor
- Magecart / Web skimming
- Técnica de injeção de JavaScript malicioso na página de pagamento que captura os dados do cartão no momento da digitação e os exfiltra para um servidor do atacante, sem interromper o funcionamento do checkout.
- PCI-DSS
- Payment Card Industry Data Security Standard: conjunto de requisitos de segurança para quem armazena, processa ou transmite dados de cartão. A versão 4.0 incluiu controles específicos de integridade de scripts e do conteúdo da página de pagamento.
- CDE (Cardholder Data Environment)
- O ambiente de dados de portador de cartão: o conjunto de sistemas, redes e processos que armazenam, processam ou transmitem dados de cartão. Reduzir e segmentar o CDE diminui simultaneamente o escopo de conformidade e a superfície de ataque.
- CSP (Content Security Policy)
- Política de segurança aplicada pelo navegador que define uma allowlist de origens de script e de destinos de conexão, bloqueando o carregamento de scripts não autorizados e a exfiltração de dados para domínios desconhecidos.
- SRI (Subresource Integrity)
- Mecanismo que associa um hash criptográfico a um script de terceiro, fazendo o navegador recusar qualquer versão adulterada — defesa direta contra a substituição maliciosa de bibliotecas externas no checkout.
- Carding / Card testing
- Uso e teste fraudulento de cartões obtidos por skimming ou vazamento, frequentemente via bots que disparam pequenas autorizações para validar quais cartões de uma lista ainda estão ativos.
A Decripte protege e responde a incidentes no setor de meios de pagamento.
Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.