Guias Práticos

PCI DSS como serviço: como funciona e o que cobre efetivamente

18 de maio de 2025 5 min de leitura

O PCI DSS as a Service é um dos modelos de conformidade mais adotados na Europa, mas também um dos mais mal compreendidos. Muitos comerciantes acreditam que delegar a conformidade a um fornecedor significa transferir toda a responsabilidade. A realidade é diferente: algumas responsabilidades PCI DSS recaem sempre sobre o comerciante por imposição legal, independentemente de quantos componentes sejam externalizados. Conhecer exatamente esta distinção é fundamental para não ter surpresas durante uma auditoria ou após uma violação de dados.

PCI DSS como serviço: como funciona e o que cobre efetivamente

O que é o PCI DSS como Serviço e o que cobre realmente

O outsourcing de PCI DSS em sentido técnico significa delegar a gestão do CDE (Cardholder Data Environment) a um fornecedor certificado PCI DSS Nível 1. O fornecedor assume a responsabilidade de todos os controlos técnicos e organizativos relativos ao seu perímetro: cifragem dos dados de cartão, gestão das chaves criptográficas com HSM certificado, monitorização de segurança, testes de penetração, atualizações de segurança e documentação para a auditoria anual. O comerciante não precisa de certificar estes componentes: a certificação do fornecedor cobre essa parte da infraestrutura.

Com a tokenização como serviço na Europa, o perímetro PCI do comerciante reduz-se drasticamente. Os sistemas empresariais recebem apenas tokens, não PAN, pelo que ficam fora do perímetro PCI para os componentes que não tratam dados de cartão. Isto permite ao comerciante completar um SAQ A em vez de um Relatório de Conformidade completo, com uma poupança de tempo e custos que na prática se traduz em dezenas de milhares de euros por ano. O fornecedor também gere as atualizações para a versão vigente da norma (atualmente PCI DSS v4), garantindo que o perímetro delegado se mantém sempre conforme.

O que nunca pode delegar: responsabilidade residual do comerciante

Mesmo com o modelo as-a-service mais completo, algumas responsabilidades não podem ser delegadas. A gestão dos acessos dos utilizadores aos seus próprios sistemas, as políticas de segurança internas, a formação do pessoal sobre os riscos de segurança, a monitorização dos logs das aplicações próprias e a gestão dos incidentes de segurança que afetem a própria infraestrutura (ainda que não contenha dados de cartão) são âmbitos que não podem ser delegados a um fornecedor externo.

Em caso de violação de dados que envolva dados de cartão custodiados pelo fornecedor, a responsabilidade contratual e legal perante os clientes finais continua a recair sobre o comerciante como responsável pelo tratamento ao abrigo do RGPD. O fornecedor responde pela sua parte, mas o comerciante não pode libertar-se da responsabilidade perante os seus clientes. Por isso, os contratos com fornecedores PCI DSS devem incluir cláusulas claras sobre responsabilidade, notificações em caso de violação e garantias de seguro.

Comparação de custos: gestão interna vs. PCI DSS como Serviço

Um comerciante que gere internamente o seu próprio CDE enfrenta custos fixos e variáveis significativos. Do lado fixo: infraestrutura dedicada (servidores, HSM, firewalls certificadas), pessoal especializado em segurança (pelo menos um engenheiro de segurança a tempo inteiro), auditoria QSA anual (entre 30 000 e 80 000 euros para Nível 1), testes de penetração semestrais (de 5 000 a 20 000 euros por intervenção). Do lado variável: custos de remediação por cada lacuna encontrada durante as auditorias, atualizações de infraestrutura exigidas pelos novos requisitos da norma.

Com o modelo as-a-service, o custo reduz-se a uma mensalidade ou taxa por transação que escala com os volumes. A auditoria do próprio perímetro reduzido (tipicamente um SAQ A) exige poucas horas de trabalho interno em vez de semanas. Não há infraestrutura a gerir, não há pessoal especializado a contratar e não há custos de remediação para o perímetro delegado. Para a maioria das empresas europeias com menos de 6 milhões de transações anuais, o ponto de equilíbrio face à gestão interna é atingido no primeiro mês de utilização.

Perguntas frequentes

Com o PCI DSS como Serviço, tenho de completar igualmente o SAQ?

Sim, mas de forma muito mais simples. Com um perímetro reduzido graças à tokenização, a maioria dos comerciantes pode completar um SAQ A, que é o questionário mais breve e menos exigente, aplicável quando nenhum dado de cartão transita pelos sistemas do comerciante. O preenchimento exige algumas horas em vez das semanas necessárias para os SAQ mais complexos.

O modelo as a service aplica-se também a comerciantes de Nível 1?

Sim. Mesmo um comerciante de Nível 1 pode reduzir significativamente o seu perímetro delegando o CDE. A auditoria continua a ser obrigatória (ROC com QSA), mas o perímetro a auditar é muito mais pequeno. Muitos comerciantes de Nível 1 utilizam o modelo as-a-service precisamente para simplificar e reduzir os custos da auditoria anual.

Quanto tempo demora a ativar o serviço?

A integração técnica do PCI Proxy EU exige tipicamente 3 a 10 dias úteis para uma equipa com experiência em API REST. O processo inclui a assinatura do contrato, o acesso ao sandbox para os testes, a integração em produção e a verificação funcional. Não é exigida nenhuma infraestrutura adicional por parte do comerciante.

Quer delegar a parte técnica da conformidade PCI DSS e manter apenas as responsabilidades que por lei cabem ao comerciante? Descubra o PCI Proxy EU.


Precisa de apoio na conformidade PCI?

A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.

Contacte-nos

Simplifique a conformidade PCI DSS hoje

Reduza o seu CDE, simplifique o SAQ e proteja os dados de cartão dos clientes com a PCI Proxy EU.