Uma API conforme PCI não é simplesmente uma API com HTTPS: é uma interface concebida de forma que o sistema que a invoca nunca tenha acesso a dados de pagamento sensíveis. Com a PCI Proxy EU, o programador integra a tokenização de PAN através de REST e os PAN permanecem no vault seguro, fora do seu perímetro. Esta arquitetura reduz o âmbito PCI DSS de forma drástica e permanente.
O que é uma API conforme PCI e por que muda tudo para o programador
Uma API considera-se conforme PCI quando o fluxo de dados que atravessa garante que o sistema solicitante nunca trate o PAN de forma legível. A forma mais difundida de o conseguir é a tokenização do lado do servidor: o dado de cartão é enviado diretamente ao vault do fornecedor através de um formulário ou um SDK de recolha, e o backend do comerciante recebe apenas um token opaco para associar ao cliente ou à encomenda.
Esta abordagem tem um impacto direto sobre o âmbito PCI. Se o backend nunca recebe o PAN, não entra no CDE (Cardholder Data Environment) e não precisa de ser certificado como tal. O programador pode escrever a lógica de pagamento, de reembolso e de cobrança recorrente utilizando o token como identificador, sem preocupações com encriptação, gestão de chaves ou auditoria de logs.
O fluxo de integração: como funciona o proxy na API
A integração com a PCI Proxy EU segue um padrão claro. O frontend recolhe os dados de cartão através de um componente de entrada hosted (um iframe ou um SDK JavaScript), que envia o PAN diretamente para o endpoint da PCI Proxy EU por HTTPS. O vault devolve ao frontend um token, que o browser ou a app passa ao backend do comerciante juntamente com os restantes dados da encomenda. A partir desse momento, o backend trabalha exclusivamente com o token.
Quando é necessário processar um pagamento, o backend invoca a API da PCI Proxy EU com o token e as instruções de pagamento. O proxy recupera o PAN do vault, passa-o ao processador ou ao adquirente, e devolve o resultado da transação. O comerciante vê apenas a autorização ou a recusa: o dado de cartão nunca atravessou os seus servidores.
Autenticação, rate limiting e segurança da API
A API da PCI Proxy EU utiliza autenticação por API key com scopes granulares: chaves separadas para tokenização, destokenização e chamadas ao processador. As chaves devem ser rodadas periodicamente e nunca devem ser expostas no código frontend. Cada chamada é registada e monitorizada para detetar anomalias, com alertas automáticos em caso de padrões incomuns como rajadas de pedidos ou acessos a partir de IPs não autorizados.
O rate limiting é configurável por comerciante e por endpoint, com políticas diferenciadas para o ambiente de testes e o de produção. O sandbox replica fielmente o comportamento da API em produção, incluindo as respostas de erro, permitindo à equipa de desenvolvimento testar cada cenário antes do deployment. A documentação OpenAPI está disponível para gerar clientes em qualquer linguagem.
Perguntas frequentes
Tenho de modificar o meu backend para utilizar a API da PCI Proxy EU?
As modificações afetam principalmente o frontend, onde o formulário de recolha de cartão é substituído pelo componente hosted. O backend exige alterações menores: em vez de receber o PAN, recebe o token e utiliza-o nas chamadas à API da PCI Proxy EU. A lógica de negócio permanece inalterada.
A API é RESTful e suporta webhooks?
A API segue as convenções REST com payload JSON e responde com códigos HTTP padrão. Os webhooks são suportados para eventos assíncronos como o resultado de transações diferidas, os 3DS2 challenge e as notificações de chargeback. Cada webhook inclui uma assinatura HMAC para verificar a sua autenticidade.
Como testo a integração sem cartões reais?
A PCI Proxy EU disponibiliza um ambiente sandbox com credenciais de teste dedicadas e um conjunto de cartões de teste que simulam cenários de sucesso, recusa, 3DS2 challenge e timeout. Nenhum dado de cartão real circula no ambiente de testes, e não são necessárias credenciais de adquirente para começar a desenvolver.
Pronto para integrar a tokenização PCI sem tocar num PAN? Consulte a documentação e aceda ao sandbox em poucos minutos. Descubra a PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos