Antes de um adquirente ativar um comerciante para a aceitação de cartões, exige a documentação de conformidade PCI DSS. O processo de onboarding PCI DSS para comerciantes varia em complexidade em função do nível de transações previsto e do tipo de integração técnica. Saber de antemão o que é exigido permite preparar a documentação em pouco tempo e evitar atrasos na ativação.
O que o adquirente pede durante o onboarding PCI
O primeiro passo do onboarding PCI é a classificação do comerciante em função dos níveis de comerciante PCI DSS. Os níveis vão do Level 1 (mais de 6 milhões de transações anuais) ao Level 4 (menos de 20 000 transações de comércio eletrónico anuais ou menos de 1 milhão de transações totais). O nível determina os requisitos documentais: os comerciantes Level 1 têm de completar um Report on Compliance (ROC) elaborado por um QSA, enquanto os comerciantes Level 2, 3 e 4 podem habitualmente completar um Self-Assessment Questionnaire (SAQ).
O adquirente solicita normalmente: o SAQ preenchido e assinado (ou o ROC para os Level 1), a Attestation of Compliance (AOC) que certifica a conclusão do processo, os resultados de uma análise de vulnerabilidades trimestral realizada por um Approved Scanning Vendor (ASV) para os comerciantes que gerem componentes de rede acessíveis a partir da internet, e a documentação das políticas de segurança internas. Alguns adquirentes também exigem um teste de penetração anual para os comerciantes de nível mais elevado.
Os documentos e o SAQ: quanto tempo é necessário
O tempo necessário para completar o onboarding PCI depende principalmente do tipo de SAQ aplicável. O SAQ A, que se aplica aos comerciantes que nunca acedem a dados de cartão (porque usam um fornecedor certificado para a recolha e o tratamento), tem 22 requisitos e pode ser concluído em poucas horas. O SAQ D, que se aplica aos comerciantes que gerem o CDE internamente, tem mais de 300 requisitos e exige semanas de trabalho com o apoio de um consultor.
Os documentos de identidade e registo comercial, a informação sobre a arquitetura técnica e o diagrama do fluxo de dados de cartão são exigidos por quase todos os adquirentes, independentemente do nível. A elaboração do diagrama do fluxo de dados, que deve mostrar como o PAN entra, transita e sai dos sistemas do comerciante, é frequentemente o passo que mais tempo exige se não tiver sido documentado previamente.
Como acelerar o onboarding com um perímetro reduzido
O elemento que mais influencia a velocidade do onboarding PCI é a complexidade do perímetro a declarar. Um comerciante que usa o PCI Proxy EU para a recolha e o tratamento dos dados de cartão pode declarar um CDE reduzido ao mínimo: os seus próprios sistemas não tratam o PAN em texto não cifrado e, por isso, não estão incluídos no perímetro. Isto traduz-se na possibilidade de completar um SAQ A em vez de um SAQ D, com uma poupança de semanas no processo de onboarding.
Apresentar ao adquirente um diagrama do fluxo de dados que mostra o proxy como único ponto de tratamento do PAN e um AOC do PCI Proxy EU como fornecedor de serviços certificado acelera significativamente o processo de aprovação. Muitos adquirentes têm procedimentos simplificados para os comerciantes que usam fornecedores de serviços certificados para o tratamento de dados de cartão, reconhecendo que o risco é gerido por uma infraestrutura já auditada.
Perguntas frequentes
O adquirente pode bloquear os pagamentos se eu não apresentar o SAQ?
Sim. O adquirente tem tanto o direito contratual como a obrigação perante as redes de pagamento de verificar a conformidade PCI dos seus comerciantes. Caso não apresente a documentação nos prazos estabelecidos, o adquirente pode aplicar comissões adicionais, limitar as funcionalidades de pagamento ou, nos casos mais graves, suspender o acordo de aceitação. Os prazos e as consequências específicas são indicados no contrato de merchant agreement.
Com que frequência o adquirente pede a renovação da conformidade PCI?
O ciclo de conformidade PCI é anual. O SAQ ou o ROC deve ser renovado todos os anos, e as análises ASV (para os comerciantes em scope) devem ser realizadas a cada trimestre. Alguns adquirentes enviam um lembrete automático com 60 a 90 dias de antecedência em relação ao vencimento do AOC atual, mas é responsabilidade do comerciante iniciar o processo de renovação com tempo suficiente.
Tenho de enviar a attestation PCI também à rede de pagamento (Visa/MC)?
Para os comerciantes Level 1, o AOC deve ser transmitido diretamente às redes de pagamento (Visa, Mastercard), além de ao adquirente. Para os comerciantes Level 2, 3 e 4, a documentação é geralmente gerida pelo adquirente, que a recolhe e a transmite às redes segundo os acordos internos. Em ambos os casos, o adquirente é o ponto de contacto principal para o comerciante durante o processo de conformidade.
Quer acelerar o onboarding PCI com o seu adquirente apresentando um CDE reduzido? Descubra como o PCI Proxy EU simplifica o processo. Descubra o PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos