A conformidade PCI do adquirente não diz respeito apenas ao banco: diz respeito a cada comerciante que tem um contrato de aceitação. As redes internacionais (Visa, Mastercard) impõem o PCI DSS aos adquirentes, que por sua vez o impõem aos comerciantes através do merchant agreement. Compreender esta cadeia de responsabilidade ajuda o comerciante a saber quem o controla, que riscos assume e como reduzir a sua exposição.
A cadeia de responsabilidade PCI: redes, adquirentes e comerciantes
No topo da cadeia encontram-se as redes internacionais, principalmente a Visa e a Mastercard, que definiram o PCI DSS como requisito contratual para todos os participantes na sua rede. As redes não têm uma relação direta com a maioria dos comerciantes: o seu canal de enforcement são os adquirentes (bancos ou instituições de pagamento que permitem aos comerciantes aceitar cartões).
O adquirente assina um acordo direto com a rede no qual se compromete a garantir que os seus comerciantes cumprem o PCI DSS. Se um comerciante sob a gestão do adquirente sofrer uma violação ou se for detetado que não cumpre, a rede aplica as sanções ao adquirente, não ao comerciante diretamente. E é o adquirente que depois repercute as sanções e os custos no comerciante através do merchant agreement. Este mecanismo torna o adquirente o principal garante da conformidade PCI dos seus comerciantes.
As obrigações do adquirente perante o comerciante
As obrigações PCI DSS do adquirente perante os comerciantes incluem: informar o comerciante dos requisitos PCI DSS aplicáveis ao seu nível de transações, recolher e verificar a documentação de conformidade (SAQ, AOC, resultados das análises ASV), aplicar comissões ou penalizações por incumprimento, e reportar às redes os comerciantes que não apresentem a documentação nos prazos previstos.
Em caso de violação confirmada, o adquirente é obrigado a notificar imediatamente as redes e a coordenar a investigação forense. As despesas forenses e as sanções aplicadas pelas redes ficam inicialmente a cargo do adquirente, que as recupera depois junto do comerciante através das cláusulas contratuais. Em alguns casos, o adquirente pode impor ao comerciante um aumento da taxa de reserva (uma percentagem das transações retida como garantia) ou a revogação do merchant ID.
Como a tokenização muda a relação com o seu banco
Um comerciante que usa o PCI Proxy EU para a gestão dos dados de cartão apresenta-se ao adquirente com um perfil de risco significativamente diferente do de um comerciante que conserva internamente os PAN. O perímetro a declarar reduz-se ao mínimo: o comerciante pode apresentar um SAQ A (22 requisitos) em vez de um SAQ D (mais de 300 requisitos), e o diagrama do fluxo de dados mostra que o PAN nunca transita pelos seus próprios sistemas.
Isto traduz-se em vantagens concretas na relação com o adquirente: onboarding mais rápido, menor atenção durante os ciclos de verificação anuais e, em alguns casos, melhores condições contratuais porque o comerciante demonstra uma gestão de risco madura. Em caso de violação noutros sistemas do comerciante, a ausência de PAN nos sistemas internos significa que a violação não se converte automaticamente numa violação PCI, com um impacto drasticamente reduzido sobre as obrigações perante o adquirente.
Perguntas frequentes
O adquirente é responsável se o comerciante não cumprir?
Sim, perante as redes. Se um comerciante gerido por um adquirente não cumprir o PCI DSS e sofrer uma violação, a rede aplica as sanções ao adquirente, que as transfere depois para o comerciante através das cláusulas do merchant agreement. Este mecanismo incentiva fortemente o adquirente a monitorizar a conformidade dos seus comerciantes e a tomar medidas em caso de incumprimento.
Posso escolher o adquirente em função da sua política PCI?
As políticas PCI dos adquirentes variam em termos de frequência dos controlos, severidade das penalizações por incumprimento e apoio oferecido aos comerciantes no processo de conformidade. É legítimo considerar estes aspetos na escolha do adquirente, especialmente nas fases iniciais de onboarding. Alguns adquirentes oferecem ferramentas de autoavaliação integradas no portal do comerciante, reduzindo o trabalho administrativo do processo anual.
Quem me sanciona em caso de incumprimento: o adquirente ou a Visa/MC?
As redes sancionam diretamente o adquirente, não o comerciante. É o adquirente que depois aplica as sanções ao comerciante através das cláusulas do merchant agreement. As sanções das redes perante o adquirente podem ser mensais e acumular-se até à resolução do incumprimento. Em casos graves, as redes podem revogar ao adquirente a licença de aceitação para um comerciante específico ou para categorias de comerciantes.
Quer simplificar a relação PCI com o seu adquirente apresentando um perímetro reduzido? O PCI Proxy EU ajuda-o a construir a documentação correta. Descubra o PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nosNa prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para pci dss.