Tokenização

Armazenamento seguro de cartões na nuvem: como funciona um vault PCI

5 de maio de 2025 5 min de leitura

Um armazenamento seguro de cartões baseado na nuvem é a base de qualquer arquitetura de pagamentos moderna que pretenda reduzir o risco de brecha de dados e o perímetro PCI DSS. O card vault é o componente que recebe, cifra e custodia os dados dos cartões de pagamento, devolvendo em troca um token opaco. Compreender como funciona tecnicamente, que certificações exige e por que razão construí-lo internamente é quase sempre a escolha errada ajuda a tomar decisões arquiteturais mais sólidas.

Armazenamento seguro de cartões na nuvem: como funciona um vault PCI

O que é um card vault e como funciona tecnicamente

Um card vault é um sistema seguro para armazenar os PAN (Primary Account Number) e os dados sensíveis associados aos cartões de pagamento. O fluxo técnico básico prevê que o número do cartão seja transmitido diretamente ao vault através de uma API HTTPS, cifrado com chaves criptográficas geridas num HSM (Hardware Security Module), e substituído por um token que é devolvido ao solicitante. O token tem o mesmo comprimento e formato que um PAN, mas não contém dados reais e não pode ser usado para transações sem passar pelo vault.

Internamente, o vault mantém o mapeamento token-PAN numa base de dados cifrada com acessos extremamente limitados. Cada pedido de destokenização, ou seja, de recuperação do PAN original, fica registado com marca temporal, IP de origem e identidade do solicitante. O sistema de registo de auditoria é obrigatório para a conformidade PCI DSS e deve ser imutável: nenhum operador, mesmo com privilégios administrativos, pode eliminar os logs das operações do vault.

As certificações necessárias: PCI DSS Level 1, HSM, FIPS 140-2

Um vault destinado a produção deve estar certificado PCI DSS Level 1, o nível mais elevado do padrão, que exige uma auditoria anual realizada por um QSA independente e um teste de penetração semestral. A certificação Level 1 não se obtém preenchendo um questionário: exige uma análise exaustiva de todos os controlos técnicos e organizacionais, desde a gestão das chaves criptográficas até à segurança física dos centros de dados.

As chaves criptográficas devem ser geridas com HSM certificados FIPS 140-2 Level 3 ou superior. Isto significa que as chaves nunca saem do hardware de forma legível, mesmo em caso de comprometimento do software aplicacional. A certificação FIPS 140-2 garante que o hardware foi validado por um laboratório acreditado NIST para resistir a ataques físicos e lógicos. Sem um HSM certificado, um vault não pode obter a certificação PCI DSS Level 1.

Vault interno vs vault as a service: a comparação real

Construir um card vault interno exige um investimento inicial que raramente fica abaixo dos 200.000-500.000 euros considerando hardware HSM, infraestrutura redundante, desenvolvimento do sistema de tokenização, auditoria inicial e formação da equipa. A isto acrescenta-se um custo operacional anual de 50.000-150.000 euros para a manutenção da certificação, os testes de penetração, a gestão de chaves e o pessoal dedicado. Para um comerciante com volumes médios, o ROI desta escolha nunca é alcançado.

Um vault as a service como o da PCI Proxy EU transfere todos estes custos e responsabilidades para o fornecedor. O comerciante paga em função dos volumes de transação, obtém de imediato a cobertura da certificação PCI DSS Level 1 do fornecedor e não precisa de gerir infraestrutura nem pessoal especializado. A portabilidade dos tokens garante que, se no futuro se decidir mudar de fornecedor, os dados de cartão continuam acessíveis sem necessidade de voltar a recolher a informação dos utilizadores.

Perguntas frequentes

Um card vault na nuvem é tão seguro como um on-premise?

Se o fornecedor cloud dispuser das certificações corretas (PCI DSS Level 1, ISO 27001, SOC 2 Type II), o nível de segurança é equivalente ou superior ao de um vault on-premise gerido internamente. A maioria das empresas não tem os recursos para manter os controlos físicos, a redundância e o pessoal especializado que os fornecedores cloud dedicam à segurança infraestrutural.

O meu PSP atual oferece um vault portável?

A maioria dos PSP oferece um vault proprietário cujos tokens são válidos apenas na sua própria plataforma. Isto cria um vendor lock-in: se quiser mudar de PSP, tem de voltar a recolher os dados de cartão de todos os seus clientes. Um vault processor-agnostic como o da PCI Proxy EU gera tokens utilizáveis com qualquer PSP, eliminando esta dependência.

Quanto custa construir um card vault interno?

O custo de implementação parte de cerca de 200.000 euros para uma infraestrutura mínima certificável, com custos operacionais anuais entre 50.000 e 150.000 euros. A isto há que acrescentar os custos do pessoal especializado, as auditorias QSA, os testes de penetração e a manutenção da certificação. Para a maioria das empresas, o vault as a service é economicamente vantajoso desde o primeiro ano.

Quer um card vault certificado PCI DSS Level 1 sem gerir infraestrutura e sem dependência do PSP? Descubra a PCI Proxy EU.


Precisa de apoio na conformidade PCI?

A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.

Contacte-nos

Simplifique a conformidade PCI DSS hoje

Reduza o seu CDE, simplifique o SAQ e proteja os dados de cartão dos clientes com a PCI Proxy EU.