O open banking pci dss é um dos temas mais mal compreendidos no panorama dos pagamentos digitais europeus. Muitas empresas assumem que adotar pagamentos account-to-account as exclui automaticamente das obrigações PCI DSS, mas a realidade é mais complexa. A PSD2 e o PCI DSS operam em planos normativos distintos, com sobreposições concretas que cada comerciante e PSP deve conhecer antes de desenhar a sua arquitetura de pagamentos.
Open banking e PCI DSS: quando se aplicam ambas as normas
O PCI DSS aplica-se a qualquer entidade que armazene, processe ou transmita dados de cartões de pagamento, ou seja, PAN, CVV, PIN e dados equivalentes. O open banking, por outro lado, opera sobre pagamentos que partem diretamente da conta à ordem através de API reguladas pela PSD2: neste caso não transita nenhum dado de cartão, pelo que o PCI DSS não se aplica ao fluxo A2A em sentido estrito.
No entanto, a distinção nunca é tão nítida na prática. As empresas que oferecem open banking como método de pagamento adicional quase sempre continuam a aceitar também cartões. E é aqui que surge o problema: manter dois canais paralelos significa que o CDE (Cardholder Data Environment) existe de qualquer forma, com todas as obrigações PCI associadas. A lógica "tenho open banking, não preciso de PCI DSS" só é correta se a empresa tiver deixado definitivamente de aceitar cartões, um cenário extremamente pouco habitual.
Pagamentos A2A e account-to-account: scope PCI reduzido mas não zero
Os pagamentos account-to-account (A2A) eliminam o PAN do fluxo transacional. Isto reduz concretamente o scope PCI: se um comerciante processa exclusivamente pagamentos via transferência instantânea ou através de um PISP (Payment Initiation Service Provider), não tem tecnicamente um CDE ativo para esse canal. O nível de conformidade exigido diminui, e em alguns casos é possível completar um SAQ A para a porção de negócio residual.
No entanto, permanecem obrigações operacionais nada desprezáveis. Os dados IBAN e a informação de conta à ordem não entram no perímetro PCI DSS, mas estão sujeitos ao RGPD e às normas de segurança das API previstas pela PSD2. Uma violação de dados sobre dados bancários A2A pode acarretar sanções RGPD até 4% do volume de negócios global, independentemente do PCI DSS. A redução do scope PCI não equivale a uma redução do risco global.
Stack híbrida: quando usa tanto cartões como open banking
O cenário mais habitual para comerciantes e PSP europeus em 2025 é uma stack híbrida: cartões de crédito e débito para a maioria das transações de retalho, open banking para pagamentos B2B ou para comerciantes que querem reduzir as comissões interbancárias. Neste caso o CDE existe de qualquer forma, e a conformidade PCI DSS afeta toda a infraestrutura que gere os dados de cartão, incluindo os componentes partilhados como as firewalls, os logs e os sistemas de autenticação.
A solução ótima para uma stack híbrida é centralizar a gestão dos dados de cartão num único vault certificado PCI DSS Level 1 externo, como o do PCI Proxy EU, e manter os pagamentos open banking num percurso técnico separado. Desta forma o perímetro PCI permanece contido, a complexidade da auditoria reduz-se e os dois canais podem evoluir de forma independente sem que as alterações num afetem a conformidade do outro.
Perguntas frequentes
Uma empresa que só usa open banking deve ser PCI compliant?
Se a empresa não toca em dados de cartões de pagamento em nenhum fluxo, o PCI DSS não se aplica. Isto só é válido se todos os métodos de pagamento aceites forem A2A ou através de um PISP regulado pela PSD2. Na prática, quase nenhum comerciante europeu se encontra nesta situação: a grande maioria continua a aceitar cartões, o que mantém ativa a obrigação PCI DSS.
A PSD2 elimina as obrigações PCI DSS para os bancos?
Não. A PSD2 regula o acesso às contas e os serviços de pagamento, enquanto o PCI DSS é uma norma de segurança de dados de cartão gerida pelo PCI SSC. Os bancos estão sujeitos a ambos: a PSD2 para as API de open banking, o PCI DSS para todos os serviços que tratam dados de cartões. As duas normas integram-se, não se substituem.
O PCI Proxy EU suporta os pagamentos open banking?
O PCI Proxy EU foca-se na tokenização e na gestão segura dos dados de cartão. Para stacks híbridas de cartão e open banking, a solução é integrar o PCI Proxy EU para o canal de cartão e manter um percurso separado para os pagamentos A2A. Isto reduz ao mínimo o perímetro PCI sem comprometer a flexibilidade dos métodos de pagamento oferecidos.
Gere uma stack híbrida de cartão e open banking e quer saber exatamente o que cai dentro do seu perímetro PCI? Descubra o PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nosNa prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para regulamentação e rgpd.