Desenvolvedor

API conforme PCI: como integrar tokenização sem tratar PANs

3 de abril de 2025 5 min de leitura

Uma API conforme PCI não é simplesmente uma API com HTTPS: é uma interface concebida de forma que o sistema que a invoca nunca tenha acesso a dados de pagamento sensíveis. Com a PCI Proxy EU, o programador integra a tokenização de PAN através de REST e os PAN permanecem no vault seguro, fora do seu perímetro. Esta arquitetura reduz o âmbito PCI DSS de forma drástica e permanente.

API conforme PCI: como integrar tokenização sem tratar PANs

O que é uma API conforme PCI e por que muda tudo para o programador

Uma API considera-se conforme PCI quando o fluxo de dados que atravessa garante que o sistema solicitante nunca trate o PAN de forma legível. A forma mais difundida de o conseguir é a tokenização do lado do servidor: o dado de cartão é enviado diretamente ao vault do fornecedor através de um formulário ou um SDK de recolha, e o backend do comerciante recebe apenas um token opaco para associar ao cliente ou à encomenda.

Esta abordagem tem um impacto direto sobre o âmbito PCI. Se o backend nunca recebe o PAN, não entra no CDE (Cardholder Data Environment) e não precisa de ser certificado como tal. O programador pode escrever a lógica de pagamento, de reembolso e de cobrança recorrente utilizando o token como identificador, sem preocupações com encriptação, gestão de chaves ou auditoria de logs.

O fluxo de integração: como funciona o proxy na API

A integração com a PCI Proxy EU segue um padrão claro. O frontend recolhe os dados de cartão através de um componente de entrada hosted (um iframe ou um SDK JavaScript), que envia o PAN diretamente para o endpoint da PCI Proxy EU por HTTPS. O vault devolve ao frontend um token, que o browser ou a app passa ao backend do comerciante juntamente com os restantes dados da encomenda. A partir desse momento, o backend trabalha exclusivamente com o token.

Quando é necessário processar um pagamento, o backend invoca a API da PCI Proxy EU com o token e as instruções de pagamento. O proxy recupera o PAN do vault, passa-o ao processador ou ao adquirente, e devolve o resultado da transação. O comerciante vê apenas a autorização ou a recusa: o dado de cartão nunca atravessou os seus servidores.

Autenticação, rate limiting e segurança da API

A API da PCI Proxy EU utiliza autenticação por API key com scopes granulares: chaves separadas para tokenização, destokenização e chamadas ao processador. As chaves devem ser rodadas periodicamente e nunca devem ser expostas no código frontend. Cada chamada é registada e monitorizada para detetar anomalias, com alertas automáticos em caso de padrões incomuns como rajadas de pedidos ou acessos a partir de IPs não autorizados.

O rate limiting é configurável por comerciante e por endpoint, com políticas diferenciadas para o ambiente de testes e o de produção. O sandbox replica fielmente o comportamento da API em produção, incluindo as respostas de erro, permitindo à equipa de desenvolvimento testar cada cenário antes do deployment. A documentação OpenAPI está disponível para gerar clientes em qualquer linguagem.

Perguntas frequentes

Tenho de modificar o meu backend para utilizar a API da PCI Proxy EU?

As modificações afetam principalmente o frontend, onde o formulário de recolha de cartão é substituído pelo componente hosted. O backend exige alterações menores: em vez de receber o PAN, recebe o token e utiliza-o nas chamadas à API da PCI Proxy EU. A lógica de negócio permanece inalterada.

A API é RESTful e suporta webhooks?

A API segue as convenções REST com payload JSON e responde com códigos HTTP padrão. Os webhooks são suportados para eventos assíncronos como o resultado de transações diferidas, os 3DS2 challenge e as notificações de chargeback. Cada webhook inclui uma assinatura HMAC para verificar a sua autenticidade.

Como testo a integração sem cartões reais?

A PCI Proxy EU disponibiliza um ambiente sandbox com credenciais de teste dedicadas e um conjunto de cartões de teste que simulam cenários de sucesso, recusa, 3DS2 challenge e timeout. Nenhum dado de cartão real circula no ambiente de testes, e não são necessárias credenciais de adquirente para começar a desenvolver.

Pronto para integrar a tokenização PCI sem tocar num PAN? Consulte a documentação e aceda ao sandbox em poucos minutos. Descubra a PCI Proxy EU.


Precisa de apoio na conformidade PCI?

A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.

Contacte-nos

Simplifique a conformidade PCI DSS hoje

Reduza o seu CDE, simplifique o SAQ e proteja os dados de cartão dos clientes com a PCI Proxy EU.