Programador

PCI Sandbox: como testar tokenização sem cartões reais

8 de abril de 2025 5 min de leitura

O ambiente sandbox de PCI do PCI Proxy EU permite aos programadores testar todo o fluxo de tokenização e pagamento sem nunca usar cartões reais nem ligar-se a um adquirente de produção. Ao contrário de uma sandbox genérica, o ambiente de testes replica fielmente o comportamento do vault PCI e as respostas dos processadores, incluindo os cenários de erro. Este guia mostra como aceder a ele, que cartões de teste estão disponíveis e como migrar para produção.

PCI Sandbox: como testar tokenização sem cartões reais

O que é a sandbox PCI e porque é diferente de uma sandbox normal

Uma sandbox PCI não é apenas um ambiente de testes com dados falsos: é um perímetro isolado que respeita as mesmas políticas de segurança do ambiente de produção, mas usa credenciais e dados de teste que não têm valor comercial. A distinção é importante porque uma sandbox mal configurada poderia levar os programadores a testar com cartões reais, criando um risco PCI concreto mesmo durante o desenvolvimento.

A sandbox da API do PCI do PCI Proxy EU usa endpoints dedicados com o prefixo sandbox.pci-proxy.eu, separados fisicamente da infraestrutura de produção. As chaves API de sandbox não funcionam em produção e vice-versa. O vault de testes aceita qualquer PAN formalmente válido (que passe o controlo de Luhn), mas nunca o transmite a um processador real. O token gerado em sandbox não pode ser utilizado para cobrar a um cartão real.

Como aceder à sandbox do PCI Proxy EU e os cartões de teste

O acesso à sandbox é gratuito e não exige contrato. Após o registo no portal de programadores, são fornecidas as credenciais de teste: uma chave API de sandbox e as instruções para configurar o SDK ou as chamadas REST para o ambiente de testes. Não é necessário qualquer processo de adesão comercial para começar a desenvolver.

Os cartões de teste disponíveis cobrem os principais circuitos: Visa (4111 1111 1111 1111), Mastercard (5500 0000 0000 0004), American Express e outros. Cada cartão de teste pode ser usado para simular cenários específicos: autorização aprovada, recusa por fundos insuficientes, recusa por cartão expirado, timeout do processador, 3DS2 challenge solicitado e 3DS2 frictionless. Os códigos de resposta correspondem às normas ISO 8583, o que permite ao programador escrever handlers realistas já na fase de testes.

Dos testes à produção: checklist de migração

A passagem da sandbox para a produção exige algumas verificações técnicas e documentais. Do lado técnico: substituir as chaves API de teste pelas de produção nas variáveis de ambiente, atualizar os endpoints de sandbox.pci-proxy.eu para api.pci-proxy.eu, e verificar que nenhum cartão de teste tenha ficado codificado de forma fixa no código. Do lado documental: completar o SAQ apropriado (tipicamente SAQ A ou SAQ A-EP) e transmitir o certificado ao adquirente.

Antes de lançar para produção, recomenda-se realizar um teste de ponta a ponta em produção com um cartão real de baixo valor para verificar a conectividade com o adquirente e o correto funcionamento dos webhooks de notificação. O PCI Proxy EU disponibiliza uma checklist de migração detalhada no portal de programadores, com testes automáticos que verificam a configuração antes da ativação do ambiente de produção.

Perguntas frequentes

A sandbox PCI é gratuita?

O acesso à sandbox do PCI Proxy EU é gratuito e sem limite de tempo. Não é necessário introduzir um cartão de crédito nem assinar um contrato para começar a desenvolver. O plano gratuito inclui todas as funcionalidades do ambiente de testes, os cartões de teste predefinidos e o acesso à documentação API completa.

Os cartões de teste simulam também cenários de erro?

Cada cartão de teste tem uma série de códigos de resposta configuráveis através do campo CVV ou do valor da transação. Por exemplo, um valor específico pode forçar uma recusa por fundos insuficientes, enquanto outro pode simular um timeout. Esta mecânica permite testar todos os ramos da lógica de gestão de erros sem necessidade de aceder a ferramentas de mock separadas.

Quanto tempo demora a passar da sandbox para a produção?

Se a integração em sandbox estiver completa e todos os testes passarem, a migração técnica exige menos de um dia útil. O tempo mais longo é tipicamente o documental: preenchimento do SAQ, recolha das evidências e envio ao adquirente. Com um perímetro reduzido como o que o PCI Proxy EU oferece, este processo costuma exigir menos de uma semana.

Comece hoje a testar a tokenização na sandbox gratuita, sem cartões reais e sem contrato. Descubra o PCI Proxy EU.


Precisa de apoio na conformidade PCI?

A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.

Contacte-nos

Na prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para desenvolvedor.

Simplifique a conformidade PCI DSS hoje

Reduza o seu CDE, simplifique o SAQ e proteja os dados de cartão dos clientes com a PCI Proxy EU.