PCI DSS

Marketplace e PCI DSS: quem é responsável pelos dados de cartão dos vendedores?

22 de março de 2025 5 min de leitura

A conformidade PCI em marketplaces é um dos cenários mais complexos da norma porque a responsabilidade não recai sobre uma única entidade, mas distribui-se entre o proprietário da plataforma e os vendedores que operam nela. Quem constrói um marketplace deve responder a uma pergunta fundamental antes de desenvolver o seu modelo de pagamento: a plataforma toca os dados de cartão dos clientes ou passa-os diretamente aos vendedores? A resposta determina quem entra no perímetro PCI e com que nível de responsabilidade.

Marketplace e PCI DSS: quem é responsável pelos dados de cartão dos vendedores?

A cadeia de responsabilidade PCI nos marketplaces multi-vendedor

No modelo marketplace, o fluxo de pagamento pode seguir dois esquemas principais. No primeiro, o cliente paga à plataforma, que depois distribui os fundos aos vendedores: neste caso o proprietário da plataforma é o comerciante principal, gere os dados de cartão e responde pelas obrigações PCI para a transação completa. No segundo, o pagamento realiza-se diretamente entre o cliente e o vendedor (com a plataforma como facilitador), e cada vendedor é responsável pela sua própria conformidade.

Na prática, a maioria dos marketplaces modernos opera com um modelo híbrido que torna ambígua a cadeia de responsabilidade. Se a plataforma recolhe os dados de cartão e os passa aos vendedores para processamento, atua como fornecedor de serviços PCI relativamente aos vendedores. Se a plataforma simplesmente encaminha o pagamento através de um PSP integrado sem ver os dados de cartão, o seu âmbito depende da configuração técnica específica. Muitas vezes é necessário contar simultaneamente com um advogado especializado em pagamentos e um QSA para mapear corretamente quem responde pelo quê.

O proprietário da plataforma responde pelos vendedores?

O proprietário da plataforma não é automaticamente responsável pela conformidade PCI dos vendedores que operam nela, mas tem obrigações específicas se fornecer ferramentas de pagamento aos vendedores ou se os dados de cartão transitarem pela sua infraestrutura antes de chegar a eles. O PCI DSS exige que os fornecedores de serviços documentem a responsabilidade sobre cada requisito no seu SAQ ou RoC, especificando quais os controlos que cabem ao fornecedor e quais ao cliente (vendedor).

Na prática, os marketplaces que pretendem proteger a sua posição contratual e reputacional costumam exigir aos vendedores a sua própria atestação de conformidade (AOC ou SAQ preenchido) como condição de integração. Isto não transfere a responsabilidade, mas cria um quadro documentável para demonstrar a diligência do proprietário da plataforma. O adquirente do marketplace pode solicitar evidências específicas sobre como os vendedores são selecionados e supervisionados em matéria de conformidade.

Como a PCI Proxy EU centraliza a conformidade do marketplace

A solução mais eficiente para um marketplace é centralizar a recolha e o armazenamento de dados de cartão num vault comum, em vez de distribuir a responsabilidade por cada vendedor. Com a PCI Proxy EU, a plataforma recolhe os dados de cartão uma única vez através da payment page certificada e tokeniza-os. Os vendedores recebem tokens que podem usar para autorizar pagamentos sem nunca tocar no PAN. O vault é partilhado, mas os tokens estão segmentados por vendedor: cada vendedor vê apenas os seus próprios clientes.

Esta abordagem simplifica radicalmente a conformidade: o proprietário da plataforma gere um único CDE certificado, os vendedores não entram no perímetro PCI para a componente de armazenamento de dados e a integração de novos vendedores não exige verificar a sua conformidade individual para este componente. O perímetro PCI mantém-se estável independentemente do crescimento do número de vendedores na plataforma, eliminando o risco de uma superfície de ataque que cresce proporcionalmente ao negócio.

Perguntas frequentes

Devo exigir aos meus vendedores a certificação PCI DSS?

Depende do modelo de pagamento. Se os vendedores gerem dados de cartão de forma autónoma (por exemplo, com terminais próprios ou contas PSP separadas), cada um responde por si e o marketplace tem interesse em documentar o pedido de atestação. Se, pelo contrário, a plataforma centraliza os pagamentos e os vendedores apenas veem tokens, os vendedores não estão no âmbito do armazenamento de dados e não é necessário exigir-lhes uma certificação específica para este aspeto.

Um marketplace que usa o Stripe Connect continua a ter obrigações PCI?

Sim. O Stripe Connect reduz o perímetro PCI se a plataforma usar o Stripe Elements ou o Stripe.js para recolher os dados de cartão diretamente no frontend do Stripe, sem que os dados transitem pelo backend do marketplace. Se, pelo contrário, o backend da plataforma tocar os dados de cartão (ainda que apenas para os reencaminhar), o perímetro alarga-se. O AOC do Stripe cobre a sua própria infraestrutura, não automaticamente o código do marketplace que o integra.

Como funciona a responsabilidade partilhada num modelo SaaS com pagamentos?

Um SaaS que processa pagamentos em nome dos seus clientes classifica-se como fornecedor de serviços. Deve documentar formalmente, para cada requisito PCI, se a responsabilidade é do fornecedor, do cliente ou partilhada. Este documento designa-se Responsibility Matrix e deve ser anexado ao AOC do fornecedor. Os clientes do SaaS utilizam esta matriz para completar o seu próprio SAQ e compreender quais os requisitos que lhes cabem.

Um vault central para todo o marketplace: um CDE, todos os vendedores cobertos. Descubra a PCI Proxy EU.


Precisa de apoio na conformidade PCI?

A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.

Contacte-nos

Simplifique a conformidade PCI DSS hoje

Reduza o seu CDE, simplifique o SAQ e proteja os dados de cartão dos clientes com a PCI Proxy EU.