A externalização do PCI DSS é uma estratégia válida e generalizada, mas frequentemente mal interpretada. Não existe forma de delegar completamente a responsabilidade PCI DSS a um terceiro: algumas responsabilidades permanecem sempre nas mãos do comerciante, por contrato com o adquirente e pela própria natureza da norma. Compreender onde termina a responsabilidade do fornecedor e onde começa a do comerciante é fundamental para construir um modelo de conformidade sustentável e sem surpresas em caso de auditoria ou violação.
O que se pode realmente externalizar no PCI DSS
A parte da conformidade mais facilmente externalizável tem a ver com a gestão dos dados de cartão. Um fornecedor de tokenização certificado PCI DSS Level 1 assume o armazenamento seguro dos PAN, a cifragem, a gestão do vault, os controlos de acesso aos dados de cartão, a análise de vulnerabilidades da sua própria infraestrutura e o teste de penetração periódico. O comerciante que utiliza este fornecedor não tem de se preocupar com nenhum destes aspetos para os dados de cartão geridos pelo fornecedor.
Também se pode externalizar a gestão da infraestrutura de rede e de processamento de pagamentos. Um fornecedor de PCI DSS as a Service que gere o alojamento, as firewalls, os sistemas de monitorização e os patches de segurança dos ambientes de pagamento transfere para o comerciante a responsabilidade residual do seu próprio perímetro reduzido. Esta delegação funciona porque o PCI DSS prevê explicitamente a cadeia de responsabilidade entre comerciante e fornecedor de serviços: o fornecedor de serviços atestado como conforme cobre os controlos incluídos no seu serviço, e o comerciante cobre os controlos residuais no seu próprio ambiente.
O que continua a ser sempre responsabilidade do comerciante
Mesmo com o nível máximo de externalização, algumas responsabilidades não podem ser delegadas. O comerciante continua sempre a ser responsável por completar e assinar o SAQ ou, nos níveis superiores, por contratar um QSA para o RoC. Esta responsabilidade é contratual com o adquirente e não pode ser transferida para o fornecedor de serviços. O comerciante deve também gerir as suas próprias políticas de acesso físico e lógico aos sistemas empresariais que se interligam com o ambiente de pagamento, ainda que esteja reduzido.
O comerciante mantém igualmente a responsabilidade de formar o pessoal que gere processos de pagamento, de verificar periodicamente que os seus fornecedores mantêm a certificação PCI DSS e de documentar o perímetro do seu próprio CDE. Este último ponto é crítico: muitos comerciantes que utilizam fornecedores certificados não documentam corretamente o seu próprio âmbito reduzido e encontram-se em dificuldades quando o adquirente solicita esclarecimentos sobre o SAQ. O fornecedor pode fornecer documentação de apoio, mas a responsabilidade pelo correto preenchimento do SAQ é sempre do comerciante.
O modelo PCI DSS as a Service com o PCI Proxy EU
Com o PCI Proxy EU, o comerciante delega ao fornecedor a gestão completa dos dados de cartão: tokenização, vault com cifragem na Europa, conformidade PCI DSS Level 1 da infraestrutura de pagamento. O comerciante mantém o controlo do seu negócio e dos fluxos de pagamento, mas sem que os dados de cartão entrem nunca no seu ambiente. Isto permite ao comerciante qualificar-se tipicamente para o SAQ A, reduzindo o seu perímetro de responsabilidade direta aos poucos controlos exigidos por esse questionário.
O modelo as-a-service inclui também apoio no preenchimento do SAQ, documentação do perímetro e, a pedido, atestação do fornecedor como fornecedor de serviços conforme com o PCI DSS que o comerciante pode anexar à sua documentação de conformidade. Isto simplifica notávelmente o processo anual de renovação da conformidade com o adquirente. O comerciante não precisa de contratar consultores externos para a auditoria ou a análise de vulnerabilidades da infraestrutura de pagamento: tudo isso faz parte do perímetro do fornecedor.
Perguntas frequentes
Ao externalizar a conformidade PCI fico protegido de sanções?
Parcialmente. Externalizar a gestão de dados de cartão a um fornecedor certificado reduz significativamente o risco de violação e as sanções associadas. Mas se o comerciante não preencher corretamente o SAQ, não gerir os seus próprios acessos ou não formar o pessoal nos processos de pagamento, as responsabilidades residuais mantêm-se. Em caso de auditoria ou violação, o adquirente verificará também a parte do perímetro que corresponde ao comerciante, não apenas a do fornecedor.
O meu fornecedor pode assinar uma carta de responsabilidade PCI?
Sim. Os fornecedores de serviços PCI DSS certificados emitem habitualmente uma carta de responsabilidade (Responsibility Matrix ou Attestation of Compliance) que documenta quais os controlos PCI DSS que fazem parte do perímetro do fornecedor e quais os que correspondem ao comerciante. Este documento é útil para anexar ao SAQ quando o adquirente solicita documentação do perímetro. Verifique com o seu fornecedor que a certificação está atualizada e que a carta de responsabilidade faz referência específica aos serviços que utiliza.
Quanto custa externalizar em comparação com a gestão interna?
Para a maioria dos comerciantes de média dimensão, externalizar a um fornecedor certificado é significativamente menos dispendioso do que a gestão interna. Os custos internos incluem infraestrutura certificada, análise de vulnerabilidades trimestral, teste de penetração anual, formação do pessoal e consultoria QSA. Um comerciante que gere internamente um CDE completo pode gastar entre 50 000 e mais de 200 000 euros por ano em conformidade. Um serviço de tokenização as-a-service tem um custo fixo previsível, tipicamente de uma ordem de grandeza inferior.
Delegue a parte técnica da conformidade PCI DSS mantendo o controlo do seu negócio: a tokenização as-a-service é o modelo mais eficiente para a maioria dos comerciantes. Descubra o PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos