Regulamentação e RGPD

Autenticação forte do cliente, PSD2 e PCI DSS: como se relacionam

12 de abril de 2025 5 min de leitura

A Autenticação Reforçada do Cliente (SCA), o PSD2 e o PCI DSS são três regulamentações distintas que se sobrepõem nos pagamentos online europeus. Confundi-las gera lacunas de conformidade: quem implementa apenas a SCA (Strong Customer Authentication) do PSD2 pensa estar atualizado, mas ignora os requisitos PCI DSS sobre a proteção dos dados de cartão. Este artigo clarifica as diferenças, as sobreposições e como o 3DS2 se situa neste contexto.

Autenticação forte do cliente, PSD2 e PCI DSS: como se relacionam

SCA, PSD2 e PCI DSS: três regulamentações, um único objetivo

A PSD2 (Payment Services Directive 2) é um regulamento europeu que obriga os fornecedores de serviços de pagamento a aplicar a SCA para as transações online no Espaço Económico Europeu. A SCA exige pelo menos dois dos três fatores de autenticação: algo que o titular conhece (PIN, palavra-passe), algo que possui (smartphone, token físico) e algo que o caracteriza biometricamente (impressão digital, reconhecimento facial). O seu objetivo é reduzir a fraude nos pagamentos online.

O PCI DSS, por sua vez, é uma norma técnica definida pelo PCI SSC que regula a proteção dos dados de cartão ao longo de todo o ciclo de vida da transação: recolha, transmissão, processamento e conservação. Não se ocupa da autenticação do titular, mas de como os sistemas do comerciante, do processador e do adquirente gerem o dado do cartão. Os dois quadros têm objetivos complementares, mas não se substituem mutuamente: respeitar a SCA não equivale a estar em conformidade com o PCI DSS e vice-versa.

3DS2 e PCI DSS: como se integram tecnicamente

O protocolo 3DS2 (3-D Secure versão 2) é o mecanismo técnico através do qual se implementa a SCA para os pagamentos sem presença de cartão. Durante o fluxo 3DS2, dados adicionais sobre a transação (endereço IP, impressão digital do dispositivo, historial do titular) são transmitidos ao ACS (Access Control Server) do emissor para uma avaliação do risco. Se o risco for baixo, a transação prossegue sem interação do titular (fluxo frictionless); caso contrário, é solicitado um segundo fator (fluxo challenge).

Do ponto de vista do PCI DSS, o fluxo 3DS2 não reduz o perímetro do comerciante: o PAN continua a ser tratado durante a tokenização inicial e deve ser protegido segundo os requisitos da norma. No entanto, combinar o 3DS2 com a tokenização da PCI Proxy EU permite otimizar ambos: o token é utilizado nas cobranças recorrentes sem necessidade de voltar a solicitar a SCA (graças às isenções para as transações iniciadas pelo comerciante), e o PAN nunca transita pelos sistemas do comerciante.

Isenções SCA e impacto no perímetro PCI

A PSD2 prevê diversas isenções à SCA que os comerciantes podem solicitar ao emissor. As principais são: transações de montante inferior a 30 euros (transações de baixo valor), transações com baixo índice de fraude (análise de risco da transação), transações recorrentes de montante fixo (transações iniciadas pelo comerciante) e pagamentos efetuados a remetentes de confiança. A utilização das isenções deve ser acordada com o PSP (Payment Service Provider) e o adquirente.

As isenções SCA para as transações iniciadas pelo comerciante têm um impacto direto na gestão do perímetro PCI nos pagamentos recorrentes. Quando o comerciante inicia uma cobrança sobre um token previamente autorizado pelo titular, não é necessária uma nova SCA, mas o token deve ser válido e a primeira autorização deve ter incluído o consentimento para as cobranças futuras. A PCI Proxy EU suporta este fluxo de forma nativa, permitindo gerir as subscrições e os pagamentos recorrentes em conformidade tanto com a SCA como com o PCI DSS.

Perguntas frequentes

Se implementar o 3DS2, fico em conformidade com o PCI DSS?

Não. O 3DS2 responde aos requisitos SCA do PSD2, não aos requisitos PCI DSS. São dois quadros separados. O PCI DSS exige a proteção do dado do cartão (PAN, CVV, dados da banda magnética) ao longo de todo o seu ciclo de vida, independentemente do protocolo de autenticação utilizado. Um comerciante pode implementar o 3DS2 corretamente e ao mesmo tempo ter graves lacunas PCI, por exemplo, conservando os PAN em texto simples na base de dados.

As isenções SCA aumentam o risco de fraude?

As isenções SCA são concebidas para reduzir a fricção nas transações de baixo risco, não para diminuir a segurança geral. A responsabilidade pelo chargeback em caso de fraude recai sobre o emissor quando este aprova a isenção. Para o comerciante, o principal risco é aplicar isenções a transações de alto risco: é necessário monitorizar os índices de fraude e calibrar a estratégia de isenção com o PSP.

A PCI Proxy EU é compatível com o fluxo 3DS2?

A PCI Proxy EU suporta o fluxo 3DS2 tanto na modalidade frictionless como challenge. O token gerado no momento da primeira transação inclui a informação necessária para as cobranças merchant-initiated posteriores sem necessidade de uma nova SCA. O serviço é compatível com os principais processadores europeus que suportam o 3DS2 e com as API dos emissores que gerem o ACS.

Quer gerir a SCA e o PCI DSS com uma única integração? Descubra como a PCI Proxy EU suporta o fluxo 3DS2 e a tokenização. Descubra a PCI Proxy EU.


Precisa de apoio na conformidade PCI?

A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.

Contacte-nos

Simplifique a conformidade PCI DSS hoje

Reduza o seu CDE, simplifique o SAQ e proteja os dados de cartão dos clientes com a PCI Proxy EU.