O escopo PCI DSS de um lojista (Merchant) ou prestador de serviço (Service Provider) chega ao seu momento real na borda de aplicação. O tráfego exposto à internet termina aqui. As decisões de acesso ao CDE são tomadas aqui. Os dados de cartão entram e saem por aqui. O PCI DSS v4.0.1 adensou essa borda: sob a Req 8.4.2, o MFA para o CDE agora se aplica a cada conta, não só a administradores; os Network Security Controls da Req 1 foram definidos para abranger proxies application-aware e software-defined isolation, além dos firewalls stateful; os novos controles client-side das Req 6.4.3 e 11.6.1 trazem proteção contra ataques de skimming na página de pagamento; a observabilidade no nível de auditoria da Req 10 precisa ser contínua, e não anual.
As respostas clássicas são caras. O kit de complementos: um módulo WAAP de um fornecedor, um módulo de acesso de outro, um complemento de multi-tenancy de um terceiro, mascaramento de dados sensíveis de um quarto — cada um licenciado à parte, cada um com painel à parte, todos integrados pela sua equipe. A borda em nuvem: leve os dados de cartão para um WAAP de terceiros — entregue o caminho entre usuário e CDE à plataforma de outra pessoa; quando o auditor perguntar "onde os dados de cartão são inspecionados?", a resposta será "na nuvem de outra pessoa".
O terceiro caminho é o que a maioria das equipes de operação realmente quer: cobrir os controles PCI da borda de aplicação numa única plataforma, sobre a rede que já está dentro do seu limite de auditoria. TR7 foi feito para esse caminho. TLS, WAAP, MFA para o CDE, isolamento vTenant, mascaramento de dados sensíveis e auditoria; tudo no mesmo TR7. O auditor pede evidências; um único painel de operador as produz.
Cada um importa por si só. Juntos, mostram como fica uma conformidade PCI em que a borda de aplicação roda numa única plataforma.
Terminação TLS com cifras modernas na borda do TR7, certificados atualizados, OCSP stapling, HSTS e a opção de mTLS onde necessário. Os dados de cartão atendem às expectativas de criptografia da Req 4.2.1 antes de chegar ao backend.
Inspeciona cada requisição a uma aplicação exposta à internet antes de chegar ao CDE. O TR7 WAAP combina uma biblioteca de 10.000+ assinaturas, um motor de pontuação de 11 fatores e regras conscientes de conteúdo; o mapeamento CWE/CAPEC/MITRE torna rastreáveis as evidências de auditoria e incidentes. A Req 6.4.2 pede uma solução na frente de aplicações públicas — TR7 é essa solução.
O PCI DSS v4.0 estendeu a obrigação de MFA de apenas administradores para cada conta que acessa o CDE. O TR7 AAM aplica autenticação multifator na borda de acesso com OIDC, SAML, TOTP, FIDO2 e escalona quando o contexto muda. O mesmo controle cobre pessoal interno, recursos externos e contas de serviço ao chegar ao CDE pelo TR7.
O PCI DSS v4.0 reformulou o conceito de "firewall" como Network Security Controls e incluiu explicitamente proxies application-aware e software-defined isolation. TR7 fornece exatamente isso: vTenant para isolamento administrativo e operacional entre cargas com e sem CDE, pools de QoS que dão ao tráfego do CDE seu próprio envelope de largura de banda e tabelas de rota por vService que mantêm separados os fluxos voltados ao CDE. Para prestadores de serviço PCI, o vTenant atende às obrigações multi-tenant do Appendix A1 sem exigir um appliance separado para cada lojista.
TR7 detecta PAN, CVV e outros padrões sensíveis em respostas de API e HTML e os mascara por política antes de saírem da borda de aplicação. A Req 3.4 exige que o PAN seja ilegível onde quer que esteja armazenado ou exibido em contextos não autorizados — TR7 aplica esse limite no caminho de saída sem mudança de código na aplicação.
Eventos de acesso, decisões de tráfego, detecções WAAP, resultados de MFA e sessões SSH para alvos de gestão compartilham a mesma trilha de auditoria. Registro SSH no nível de comando; pronto para investigação sem um produto PAM separado. A exportação para SIEM é feita com taxonomia consistente em toda a plataforma — as evidências que o auditor pede vêm de um único lugar.
Cada capacidade abaixo roda na mesma plataforma TR7 que entrega e protege seus serviços modernos.
Versões atuais de TLS, suítes de cifra modernas, OCSP stapling, gestão automática de certificados. Opção de mTLS onde necessário. Apoia as expectativas da Req 4.2.1 sobre a segurança dos dados de cartão em trânsito.
10.000+ assinaturas e motor de pontuação de 11 fatores. Categorias OWASP, proteções específicas de framework, mapeamento CWE/CAPEC/MITRE para auditoria e processo forense. Modos de bloqueio inline ou apenas detecção.
Injete Content Security Policy, Subresource Integrity, X-Frame-Options, HSTS e outros headers de segurança no construtor de política visual. Os headers são configurados na borda, não no código da aplicação legada que nunca os setou.
Inspecione tags de script não autorizadas ou conteúdo inesperado em respostas HTML e JSON saídas de um backend comprometido. Detecta a violação server-side que produz saída ao estilo skimmer antes de chegar ao navegador.
Autenticação multifator para cada conta que acessa o CDE pelo TR7. TOTP, FIDO2, push e SMS; escalonamento em mudanças de contexto como novo dispositivo, nova geografia ou recurso sensível.
O modo Per-Service Authentication do AAM encapsula uma aplicação CDE legada com SSO OIDC ou SAML a partir do seu IdP. O backend legado recebe o artefato de identidade que espera; o usuário entra pelo caminho moderno e com MFA.
Isolamento multi-tenant no nível da plataforma. Os tenants compartilham o TR7 mas ficam separados administrativa, operacional e observacionalmente. As cargas de CDE podem viver nos seus próprios tenants — um limite auditável por design. Apoia as obrigações do Appendix A1 para prestadores de serviço.
O tráfego de CDE no seu próprio envelope de largura de banda; os fluxos voltados ao CDE em tabelas de rota dedicadas. Na terminologia do PCI DSS v4.0, os Network Security Controls são explicitamente mais amplos que os firewalls stateful — contam proxies application-aware, ACLs e software-defined isolation. TR7 cobre essa superfície de controle na camada de aplicação.
Regras de truncamento de PAN, supressão de CVV, mascaramento configurável por padrão nas respostas de saída. As obrigações de exibição de PAN da Req 3.4 são atendidas na borda de saída sem mudança de código na aplicação.
Um único painel de operador e uma única trilha de auditoria por toda a entrega, segurança, acesso e camadas de DDoS. Exportação para SIEM com taxonomia consistente. Apoia as obrigações de conteúdo, retenção e revisão da Req 10.
As sessões SSH que alcançam alvos de gestão de backend do CDE pelo TR7 são registradas no nível de comando — cada comando, cada resposta. Auditoria de qualidade de investigação para o acesso privilegiado de que as Req 8 e Req 10 mais se importam.
TLS, WAAP, MFA, vTenant, mascaramento e auditoria rodam no mesmo motor. Não há módulo de acesso à parte, módulo de mascaramento à parte, SKU de multi-tenancy à parte ou complemento de auditoria à parte — tudo vem dentro da mesma licença de largura de banda.
TR7 roda no seu próprio hardware, no seu data center, sob seus próprios controles de rede. Os dados de cartão e os logs de auditoria não passam por um edge de terceiros. O limite criptográfico, o limite de inspeção e o limite de auditoria são o mesmo limite.
TR7 cobre uma superfície específica do PCI DSS — a borda de aplicação. O mapa abaixo é honesto sobre o que cobre e o que não cobre.
vTenant, separação por pool de QoS e tabelas de rota por vService fornecem controles NSC na camada de aplicação. As cargas com e sem CDE atrás do TR7 podem ser isoladas administrativa, operacional e no nível de largura de banda. Isso é um componente da postura NSC da organização; um firewall de rede stateful L3/L4 na camada de rede normalmente o complementa.
O mascaramento de dados sensíveis nas respostas aplica a ilegibilidade do PAN no caminho de saída. Padrões configuráveis, truncamento, supressão. Atendido na borda sem mudança de código na aplicação.
Terminação TLS na borda com versões atuais e cifras modernas. HSTS, OCSP stapling, gestão de certificados. mTLS onde necessário. As pernas de backend internas também podem ser protegidas com TLS a partir da borda do TR7.
O TR7 WAAP combina assinaturas, motor de pontuação de 11 fatores e regras conscientes de conteúdo. O mapeamento CWE/CAPEC/MITRE torna as detecções rastreáveis em auditoria. Modos de operação de bloqueio inline ou apenas detecção.
TR7 contribui para esses requisitos com controles específicos — injeção de headers CSP e SRI via regras conscientes de conteúdo, inspeção de resposta server-side para injeção de script não autorizado e sinais de gerenciamento de bots para comportamento ao estilo skimmer. Para o tipo de monitoramento de comportamento de script no lado do navegador que esses requisitos endereçam especificamente, uma ferramenta complementar costuma ser usada em paralelo. O escopo honesto está na FAQ abaixo.
O AAM aplica a política de acesso por aplicação na borda do CDE. Identidade, posture do dispositivo, geografia, horário do dia e força do MFA alimentam cada decisão de acesso. O movimento lateral fica cercado pelo limite que cada aplicação autoriza explicitamente.
MFA é aplicado na borda de acesso para cada conta que alcança o CDE pelo TR7 — administradores, pessoal interno, recursos externos, contas de serviço. Autenticação com escalonamento quando o contexto muda. OIDC, SAML, TOTP, FIDO2 nativos.
Eventos de acesso, detecções WAAP, resultados de MFA e sessões SSH no nível de comando numa única trilha de auditoria. Exportação para SIEM com taxonomia consistente. Retenção configurável. Apoia as obrigações de conteúdo, integridade e revisão da Req 10.
O vTenant proporciona isolamento administrativo, operacional e de observabilidade entre tenants na infraestrutura TR7 compartilhada. Um tenant no escopo PCI roda ao lado de tenants fora do escopo PCI sem mistura de configuração, auditoria ou tráfego.
TR7 é a camada da borda de aplicação de um programa PCI. Não substitui o anti-malware (Req 5), os controles de acesso físico (Req 9), a varredura de vulnerabilidades de rede (Req 11.3), o teste de penetração (Req 11.4), o monitoramento de integridade de arquivos (Req 11.5) nem os controles anti-skimmer dentro do navegador do cliente no nível que produtos dedicados de proteção client-side fornecem. Esses são controles que complementam o TR7 num programa PCI completo.
Canais expostos à internet por onde fluem os dados de cartão. TR7 coloca TLS, WAAP, MFA e mascaramento de PAN na borda à frente do CDE; o vTenant separa, na mesma plataforma, as cargas de produção que processam cartão das aplicações fora do CDE.
Storefront, APIs de checkout e back-office. WAAP na frente do storefront público; MFA no acesso ao back-office; mascaramento de PAN nas respostas de detalhes de pedido destinadas ao pessoal; headers CSP e SRI injetados na borda para apoiar os controles de integridade da página de pagamento.
Estrutura que atende a muitos lojistas. O vTenant dá a cada lojista ou grupo de lojistas seu próprio escopo PCI isolado na infraestrutura TR7 compartilhada — separado administrativa, operacional e observacionalmente. As obrigações do Appendix A1 são atendidas sem um appliance separado para cada lojista.
Tributos, multas, taxas, jornadas de pagamento abertas ao cidadão. TLS, WAAP, MFA e auditoria on-prem mantêm os dados de cartão e a trilha de auditoria dentro da infraestrutura nacional e sob gestão local.
Produtos API-first que carregam dados de cartão e outros dados de pagamento. WAAP na borda mais enforcement de schema de API; MFA na borda de acesso para o dashboard e o console de desenvolvedor; mascaramento de PAN nas respostas de log e dashboard; auditoria centralizada por toda a superfície de API.
Portais de prestador que recebem transações de cartão ao lado de PHI. TR7 cobre os controles PCI da borda de aplicação enquanto roda na mesma plataforma que protege a superfície de aplicação mais ampla — uma única equipe de operador, uma única trilha de auditoria.
Capacidades referenciadas por esta solução — as peças técnicas que compõem os controlos descritos acima.
Acesso pelo navegador a RDP, VNC, SSH, Kubernetes e sistemas legados — cofre de credenciais, gravação e watermark já incluídos.
Três métodos de MFA, política baseada em serviço, atalho de dispositivo confiável — sem nuvem de MFA de terceiros.
Um único motor de fluxo determina cada resultado de autenticação — quem, o quê, após qual fator, em qual contexto.
A confiança conquistada no login não é carregada para sempre. Cada sessão permanece sob avaliação, a cada passo.
Conecte toda fonte de identidade além de SAML e OIDC ao mesmo fluxo de acesso e auditoria.
Inspeção WAAP, identidade mTLS e mascaramento de dados continuam funcionando mesmo enquanto o tráfego flui para backends via TLS.
Mascare o IP para privacidade de log, reconstrua o IP correto do cliente em cadeias de proxy.
Vá além de L3/L4 — leve o contexto HTTP para seus registros de fluxo.
Mova o TLS além da configuração baseada em arquivo — transforme-o em um perfil de segurança por serviço, ciclo de vida de certificado e camada de prontidão pós-quântica.
Extraia o certificado de cliente do controle de conexão e transforme-o em um objeto de identidade que orienta as decisões de tráfego.
Cada tenant no seu próprio mundo de roteamento — IPs sobrepostos, roteamento estático + dinâmico e monitoramento de gateway em um único painel.
Combine assinatura, pontuação e contexto em um único motor — gerencie ataques conhecidos com confiança.
Mascare dados sensíveis no nível da plataforma antes que cheguem ao usuário ou aos logs.
Envie cada evento da plataforma para o seu SIEM no formato que ele espera — JSON, CEF ou plainText.
DNSSEC por domínio com custódia das chaves na sua própria infraestrutura — sem serviço de assinatura de terceiros.
Um único TR7. Vários tenants. Limites de recursos, rede e operação separados entre si.
Faça com que cada requisição L7 se torne mensurável, filtrável e reportável.
Produza relatórios PDF/XLSX com marca, agendados e sob demanda em um único pipeline de relatórios.
Aplique 8 cabeçalhos de segurança na camada ADC sem tocar no código da aplicação.
Transforme logs WAAP brutos em relatórios de evidência legíveis para auditores, gerenciamento e clientes.
Traga seu escopo PCI para uma demo do TR7. Percorremos juntos TLS na borda, WAAP na frente do CDE, MFA para o CDE, isolamento vTenant, mascaramento e trilha de auditoria — para ver exatamente quais evidências um auditor pede.