Os níveis de comerciante PCI DSS definem o perfil de risco de um comerciante em função do volume anual de transações com cartão processadas. O nível determina que obrigações se aplicam: desde a autoavaliação autónoma até à auditoria obrigatória por parte de um QSA (Qualified Security Assessor) certificado. Conhecer o seu próprio nível é o primeiro passo para planear a conformidade de forma eficaz e proporcional.
Os 4 níveis de comerciante PCI DSS: os limiares de transações
A classificação por níveis baseia-se no número de transações com cartão processadas num período de 12 meses, somando todos os canais (e-commerce, POS, MOTO). Os limiares principais definidos pela Visa e pela Mastercard são:
- Level 1: mais de 6 milhões de transações anuais com qualquer rede de pagamento, ou comerciante que tenha sofrido uma violação de dados. Obrigação de auditoria anual por parte de um QSA e análise trimestral de vulnerabilidades certificada (ASV).
- Level 2: entre 1 e 6 milhões de transações anuais. SAQ anual (preenchido internamente) e análise ASV trimestral.
- Level 3: entre 20.000 e 1 milhão de transações e-commerce anuais. SAQ anual e análise ASV trimestral.
- Level 4: menos de 20.000 transações e-commerce anuais ou até 1 milhão de transações noutros canais. SAQ recomendado (em muitos casos obrigatório a pedido do adquirente).
Obrigações por nível: do SAQ ao QSA
A diferença prática entre os níveis não está apenas no número de transações: está na complexidade e no custo das obrigações. Um comerciante Level 1 deve contratar um Report on Compliance (ROC) anual a um QSA certificado, que inclui entrevistas, verificação documental e testes técnicos sobre toda a infraestrutura. O custo de um ROC completo oscila entre 30.000 e 150.000 euros em função da dimensão do ambiente.
Os comerciantes Level 2, 3 e 4 podem gerir a conformidade através de autoavaliação, mas a complexidade do SAQ depende da arquitetura de pagamento adotada. Um Level 4 com checkout direto e CDE alargado pode ter de preencher um SAQ D com centenas de perguntas. O mesmo comerciante com tokenização e página hosted pode qualificar-se para o SAQ A e completar a autoavaliação de forma autónoma em poucas horas.
Como a tokenização reduz o risco independentemente do nível
O nível do comerciante determina as obrigações de validação, mas não muda a lógica de segurança: quantos menos dados de cartão forem geridos diretamente, menor é a superfície exposta a ataques e a requisitos de conformidade. A tokenização com a PCI Proxy EU reduz o CDE de forma transversal a todos os níveis: um comerciante Level 1 que tokeniza os PAN reduz o perímetro do ROC e, por conseguinte, os custos de auditoria; um comerciante Level 4 que tokeniza pode passar ao SAQ A.
Um aspeto frequentemente ignorado: o nível pode mudar na sequência de uma violação de dados. Um comerciante que sofre uma brecha é automaticamente classificado como Level 1 durante os anos seguintes, com todas as obrigações de auditoria que isso implica. Reduzir o CDE com a tokenização também reduz a probabilidade de que uma brecha exponha dados de cartão reais, protegendo o comerciante desta escalada.
Perguntas frequentes
Como sei qual é o meu nível de comerciante?
O nível é definido pelo seu adquirente ou banco aderente em função do volume anual de transações comunicado. Se não recebeu uma comunicação explícita, contacte diretamente o seu adquirente ou PSP: estão obrigados a informá-lo do nível atribuído e das obrigações correspondentes.
O nível de comerciante muda se eu usar vários adquirentes?
Sim. O volume total de transações deve ser somado em todos os adquirentes e todas as redes de pagamento. Não é possível "dividir" o volume entre diferentes adquirentes para se manter abaixo dos limiares de nível: as diretrizes PCI DSS e dos sistemas exigem considerar o volume global.
Um comerciante Level 4 pode realizar o SAQ de forma autónoma?
Sim, na maioria dos casos. O SAQ para os comerciantes Level 4 pode ser preenchido internamente sem o apoio de um QSA, desde que o comerciante compreenda os requisitos aplicáveis e os possa documentar corretamente. Alguns adquirentes exigem a assinatura de um consultor qualificado para os SAQ mais complexos como o SAQ D.
Quer simplificar a conformidade PCI DSS seja qual for o seu nível de comerciante? Descubra a PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos