PCI DSS Checklist : uma ferramenta aberta de conformidade de segurança de dados

Abstract

Resumo : O padrão Payment Card Industry Data Security Standard (PCI DSS) estabelece requisitos técnicos e organizacionais para proteger dados de cartões de pagamento, sendo aplicável a qualquer entidade que armazene, processe ou transmita tais informações. Contudo, sua adoção por Pequenas e Médias Empresas (PMEs) ainda é limitada, em grande parte devido à complexidade técnica dos requisitos e à escassez de recursos especializados. Este trabalho propõe e implementa uma ferramenta open source baseada em checklist interativo, capaz de auxiliar PMEs na autoavaliação de conformidade com o PCI DSS. A solução foi construída com foco em acessibilidade, clareza textual e automatização do processo, integrando uma lógica de perguntas condicionais, explicações detalhadas por sub-requisito e recomendações de software. O sistema foi desenvolvido como uma single-page application, com frontend em Angular e backend em .NET, possibilitando geração de relatórios em PDF diretamente no navegador, sem dependência de servidor. Para avaliação da usabilidade da ferramenta, foi empregada uma versão adaptada da metodologia HEART (Human Error Assessment and Reduction Technique), originalmente proposta para estimar a propensão a falhas humanas em tarefas operacionais. Nesta adaptação, o modelo foi utilizado de forma qualitativa para mapear tarefas críticas, identificar condições geradoras de erro (Error Producing Conditions) e mensurar seu impacto potencial na experiência do usuário. A análise revelou que as tarefas com maior risco de erro estão associadas à interpretação de conteúdos técnicos, sinalizando oportunidades de melhoria na linguagem e estrutura da interface. Os resultados confirmam a viabilidade da proposta como ponto de partida acessível para fomentar práticas de conformidade em ambientes de baixa maturidade em segurança da informação

Abstract : The Payment Card Industry Data Security Standard (PCI DSS) defines technical and organizational requirements to protect payment card data, applying to any entity that stores, processes, or transmits such information. However, its adoption by Small and Medium-sized Enterprises (SMEs) remains limited, largely due to the technical complexity of the requirements and the lack of specialized resources. This work proposes and implements an open-source tool based on an interactive checklist to support SMEs in self-assessing their PCI DSS compliance. The solution was designed with a focus on accessibility, textual clarity, and automation, incorporating conditional questions, detailed explanations for each sub-requirement, and software recommendations. The system was developed as a single-page application, with a frontend in Angular and a .NET backend, enabling PDF report generation directly in the browser without server-side dependency. To evaluate the tool’s usability, an adapted version of the HEART methodology (Human Error Assessment and Reduction Technique) was applied. Originally developed to estimate the likelihood of human errors in operational contexts, the methodology was repurposed in this study as a qualitative model to identify critical tasks, map Error Producing Conditions (EPCs), and measure their potential impact on the user experience. The analysis showed that the tasks with the highest risk of error were related to interpreting technical content, highlighting opportunities to improve the language and interface structure. The results confirm the feasibility of the proposed tool as an accessible starting point for promoting compliance practices in environments with low information security maturity