Regulamentação e RGPD

Pagamentos digitais na Europa em 2025: PCI DSS, RGPD e PSD2 em conjunto

22 de maio de 2025 5 min de leitura

Os requisitos PCI DSS são apenas uma das três regulamentações que um comerciante europeu tem de cumprir em 2025. A par do PCI DSS, o RGPD e a PSD2 formam um quadro normativo complexo onde as responsabilidades se sobrepõem, os prazos se acumulam e as sanções podem somar-se de forma significativa. Este guia mapeia as três regulamentações de forma prática: quem está obrigado a quê, quando e o que acontece se não estiver em conformidade.

Pagamentos digitais na Europa em 2025: PCI DSS, RGPD e PSD2 em conjunto

O quadro normativo de 2025: PCI DSS, RGPD e PSD2 comparados

As três regulamentações operam em planos distintos, mas intersetam-se continuamente. O PCI DSS é uma norma contratual imposta pelas redes de cartões (Visa, Mastercard, etc.) através dos adquirentes: regula a segurança técnica dos dados de cartão e aplica-se a quem aceita, processa ou armazena dados de pagamento com cartão. O RGPD é um regulamento europeu com força de lei em todos os estados-membros: regula o tratamento de todos os dados pessoais, incluindo os dados de cartão que identificam uma pessoa singular. A PSD2 é uma diretiva europeia transposta em cada país: regula os serviços de pagamento, o acesso a contas e a Autenticação Forte do Cliente.

As sobreposições são concretas. Uma violação de dados que expõe dados de cartão ativa simultaneamente o PCI DSS (procedimento de investigação forense e possíveis sanções da rede), o RGPD (notificação obrigatória à autoridade de proteção de dados em 72 horas e possíveis sanções de até 4% do volume de negócios global) e a PSD2 se a violação afetar contas de pagamento ou dados de autenticação. Cada regulamentação tem o seu próprio procedimento sancionatório e o seu próprio regulador: geri-las de forma integrada é muito mais eficiente do que tratá-las como três silos separados.

Quem deve cumprir o quê na Europa: obrigações por setor

O PCI DSS aplica-se a qualquer entidade que aceite pagamentos com cartão: comerciantes de qualquer dimensão, PSP, adquirentes, gateways e processadores. Não existem isenções por dimensão empresarial: mesmo um pequeno e-commerce com 100 transações por mês tem de cumprir os requisitos PCI DSS aplicáveis ao seu nível. A diferença entre níveis afeta a complexidade das obrigações, não a sua existência.

O RGPD aplica-se a qualquer empresa que trate dados pessoais de residentes na UE, independentemente da sede da empresa. Para os pagamentos, isto inclui praticamente qualquer comerciante europeu. A PSD2 aplica-se diretamente aos fornecedores de serviços de pagamento (PSP, bancos, instituições de moeda eletrónica), mas os comerciantes estão indiretamente envolvidos nos requisitos de SCA (Strong Customer Authentication) que os seus sistemas de checkout devem suportar. Um comerciante que não suporte 3DS2 nas suas páginas de pagamento arrisca que as transações sejam recusadas pelo banco do consumidor.

Sanções acumulativas e como evitá-las com uma só solução

As sanções das três regulamentações acumulam-se de forma independente. Uma única violação de dados que exponha dados de cartão de clientes europeus pode ativar: sanções PCI DSS da rede (de 5.000 a 100.000 euros por mês por incumprimento), sanções RGPD da autoridade de proteção de dados (até 4% do volume de negócios global ou 20 milhões de euros) e possíveis sanções PSD2 se a violação afetar serviços de pagamento regulados. Num cenário real de gravidade média, o custo acumulado pode ultrapassar facilmente os 500.000 euros, sem contar com os danos reputacionais e a perda de clientes.

A estratégia mais eficiente para cobrir as três frentes é centralizar a gestão dos dados de cartão num fornecedor que satisfaça simultaneamente os requisitos PCI DSS técnicos, os requisitos RGPD de segurança e residência de dados, e as especificações técnicas PSD2 para a autenticação. A PCI Proxy EU está certificada PCI DSS Nível 1, opera com dados localizados na UE para a conformidade com o RGPD, e suporta os fluxos de autenticação 3DS2 exigidos pela PSD2. Uma única integração reduz o perímetro de risco nas três frentes normativas.

Perguntas frequentes

Quais são os prazos normativos mais urgentes em 2025?

Na frente PCI DSS, os requisitos adicionais do PCI DSS v4 tornaram-se obrigatórios a 31 de março de 2025. Quem não tiver concluído a transição da v3.2.1 já está fora de conformidade. Na frente RGPD, não há prazos específicos em 2025, mas a obrigação de notificar violações em 72 horas é permanente. Na frente PSD2, os requisitos SCA para transações online estão em vigor desde 2021 e continuam a ser objeto de verificação por parte das autoridades de supervisão.

Um pequeno comerciante europeu tem de cumprir as três regulamentações?

Para o PCI DSS sim, mas com obrigações proporcionais ao volume (SAQ em vez de ROC). Para o RGPD sim, se tratar dados de pessoas singulares (praticamente sempre). Para a PSD2 em sentido direto não (aplica-se aos PSP), mas sim indiretamente para os requisitos SCA no checkout. Na prática, qualquer comerciante europeu que venda online tem de ter em conta as três regulamentações.

A PCI Proxy EU cobre também as obrigações PSD2?

A PCI Proxy EU suporta os fluxos de autenticação 3DS2 exigidos pela PSD2 para reduzir os chargebacks e maximizar a taxa de aceitação das transações. A cobertura direta das obrigações PSD2 diz respeito aos PSP, não aos comerciantes, mas a integração com o vault da PCI Proxy EU facilita a implementação correta dos fluxos de autenticação que a PSD2 exige indiretamente aos comerciantes através dos seus PSP.

Quer cobrir PCI DSS, RGPD e PSD2 com uma única solução integrada, dados na Europa e certificações completas? Descubra a PCI Proxy EU.


Precisa de apoio na conformidade PCI?

A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.

Contacte-nos

Simplifique a conformidade PCI DSS hoje

Reduza o seu CDE, simplifique o SAQ e proteja os dados de cartão dos clientes com a PCI Proxy EU.