A conformidade PCI para e-commerce é uma das áreas em que os comerciantes cometem mais erros de avaliação. Muitos acreditam que usar o Stripe, o PayPal ou um gateway de pagamento conhecido os isenta automaticamente de qualquer obrigação PCI DSS. A realidade é mais matizada: o tipo de integração escolhido determina qual o SAQ aplicável e quantos controlos recaem sobre o comerciante. Compreender esta distinção permite reduzir ao mínimo o perímetro de conformidade, escolhendo a arquitetura correta desde o início.
Checkout e-commerce e PCI DSS: o que é ativado quando aceita cartões
Qualquer loja online que aceite pagamentos com cartão ativa as obrigações PCI DSS para o comerciante. A questão não é se as obrigações se aplicam, mas quais e em que medida. Tudo depende de como fluem os dados de cartão durante o checkout. Se o navegador do cliente envia os dados de cartão diretamente para os servidores do comerciante (ainda que apenas por um instante), o comerciante fica sujeito às obrigações mais extensas do SAQ D, com mais de 200 controlos a satisfazer. Se, pelo contrário, os dados de cartão nunca chegam aos servidores do comerciante porque o formulário de pagamento é alojado pelo fornecedor, o comerciante pode qualificar-se para o SAQ A, muito mais simples.
Existe uma via intermédia representada pela abordagem SAQ A-EP: o comerciante usa JavaScript do fornecedor para recolher os dados de cartão diretamente no navegador do cliente, sem que os dados transitem pelos servidores do comerciante. Isto reduz o âmbito face ao SAQ D, mas exige ainda assim mais controlos do que o SAQ A, incluindo a gestão da segurança do servidor web e do código JavaScript das páginas de checkout. Com o PCI DSS v4, o requisito sobre os scripts das páginas de pagamento complicou ainda mais a posição dos comerciantes SAQ A-EP.
As opções de integração e o seu impacto no SAQ
As principais opções de integração para um e-commerce são três, ordenadas da maior para a menor carga em termos de PCI DSS. A primeira é o checkout nativo: o comerciante desenvolve e gere internamente o formulário de introdução de dados de cartão. Isto implica o SAQ D com o perímetro de conformidade mais amplo. A segunda opção são os hosted fields ou JavaScript injection: o fornecedor injeta campos de entrada na página do comerciante que recolhem os dados de cartão diretamente no navegador e os enviam para o fornecedor. Isto conduz ao SAQ A-EP com um âmbito intermédio. A terceira e menos onerosa opção é o redirecionamento para uma hosted payment page: o utilizador abandona o sítio do comerciante para concluir o pagamento numa página alojada pelo fornecedor e regressa após a confirmação. Esta arquitetura permite o SAQ A.
A tokenização acrescenta um nível adicional de proteção em qualquer cenário. Quando um fornecedor de tokenização certificado interceta o PAN antes de este chegar aos sistemas do comerciante e devolve um token não reversível, o comerciante nunca possui dados de cartão sensíveis. O token pode ser armazenado livremente para usos futuros (renovações de subscrição, encomendas recorrentes) sem que isso implique obrigações adicionais de segurança relativas aos dados de cartão, porque o token não tem valor fora do sistema do fornecedor que o gere.
Como a PCI Proxy EU elimina o âmbito PCI do seu e-commerce
Com a PCI Proxy EU, o checkout do comerciante nunca vê os dados de cartão. O formulário de pagamento é gerido pela infraestrutura certificada PCI DSS Level 1 da PCI Proxy EU, que interceta o PAN e devolve ao comerciante um token antes de qualquer dado sensível chegar aos servidores da loja online. Isto conduz o comerciante diretamente ao SAQ A, eliminando a necessidade de vulnerability scanning trimestral dos servidores, penetration tests extensos, gestão de certificados e políticas de controlo de acesso específicas para o CDE.
A vantagem operacional é significativa também para as lojas que gerem encomendas recorrentes ou subscrições. O token armazenado pelo comerciante pode ser usado para cobrar os cartões futuros sem que o comerciante conheça alguma vez o PAN original. Este cenário, antes complexo de gerir em conformidade com o PCI DSS, torna-se linear com um fornecedor de tokenização: o comerciante solicita ao fornecedor que processe uma cobrança utilizando o token, e o fornecedor usa o PAN que guarda no seu próprio vault certificado. O comerciante nunca vê o dado sensível e mantém o perímetro SAQ A em todas as fases do ciclo de vida do cliente.
Perguntas frequentes
Se uso o Stripe ou o PayPal já cumpro o PCI DSS?
Depende da integração. Se usar o redirecionamento para a checkout page do Stripe ou do PayPal, o seu âmbito reduz-se ao SAQ A. Se usar as suas API ou os seus elementos JavaScript com formulários alojados no seu domínio, o seu âmbito é SAQ A-EP. Se integrou diretamente as API passando os dados de cartão através do seu servidor, está em SAQ D. Usar um gateway conhecido não equivale automaticamente a cumprir a norma: o que conta é a arquitetura da integração.
Um iframe de pagamento alojado reduz o meu âmbito?
Sim, se o iframe for carregado a partir de um domínio do fornecedor e os dados de cartão não transitarem pelos servidores do comerciante. Neste caso, a qualificação habitual é SAQ A. Atenção, contudo: se o comerciante tiver JavaScript personalizado a ser executado na mesma página do iframe e que poderia teoricamente aceder aos dados, o PCI Council poderá considerar que o comerciante deve preencher o SAQ A-EP em vez do SAQ A. Verifique sempre com o seu adquirente a classificação correta.
Tenho uma loja WooCommerce: o que devo fazer?
O WooCommerce em si não determina o seu âmbito PCI: o que conta é que gateway de pagamento usa e como o integrou. Se usar o redirecionamento para uma hosted payment page do seu fornecedor, pode preencher o SAQ A. Se usar plugins que recolhem dados de cartão diretamente no checkout do WooCommerce e os passam via API, o seu âmbito é mais amplo. Reveja a documentação do seu plugin de pagamento e, se necessário, migre para uma solução com formulário alojado.
Zero dados de cartão no seu e-commerce significa SAQ A, conformidade simplificada e clientes mais seguros. Descubra a PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos