Quem deve cumprir?
Qualquer um que aceite, processe ou armazene dados de cartão: lojas online, plataformas, call centers, PSP. Também quem gere pagamentos em nome de terceiros.
Se aceita pagamentos com cartão, deve cumprir o PCI DSS. Nós custodiamos os dados de cartão em seu lugar: trabalha com tokens e o preenchimento do questionário torna-se muito mais simples.
Conserva apenas tokens
Herdou a nossa certificação: os dados de cartão permanecem no nosso vault, não nos seus servidores.
O nível mais alto. Auditores independentes verificam o nosso vault todos os anos.
Os dados de cartão não saem da Europa. Útil também para o RGPD.
Dados encriptados em repouso e em trânsito. Chaves protegidas em hardware certificado.
É o padrão de segurança para quem aceita pagamentos com cartão (Visa, Mastercard e outros esquemas). Protege os dados de cartão onde quer que sejam recolhidos, guardados ou transmitidos.
12
Regras
4
Níveis
1
Objetivo
Proteger os dados de cartão, sempre.
Qualquer um que aceite, processe ou armazene dados de cartão: lojas online, plataformas, call centers, PSP. Também quem gere pagamentos em nome de terceiros.
Firewall, encriptação, acessos, monitorização e políticas. Muitas regras: quanto menos sistemas tocarem os dados de cartão, menos trabalho para si.
Multas, comissões mais altas ou bloqueio dos pagamentos com cartão. Uma violação de dados custa muito mais do que cumprir.
O trabalho necessário depende do número de transações com cartão que processa por ano. Mais transações, mais controlos (até à auditoria presencial para grandes volumes).
| Nível | Transações Anuais | Requisitos de Validação | Entidades Típicas |
|---|---|---|---|
| Nível 1 | >6 milhões de transações/ano | Auditoria presencial anual + análises trimestrais | Grandes retalhistas, companhias aéreas, PSP principais |
| Nível 2 | 1-6 milhões de transações/ano | SAQ anual, análises ASV trimestrais | E-commerce mid-market, cadeias hoteleiras |
| Nível 3 | 20.000-1 milhão e-commerce/ano | SAQ anual, análises ASV trimestrais | Negócios online em crescimento, plataformas SaaS |
| Nível 4 | <20.000 e-commerce ou <1 milhão outras/ano | SAQ anual (recomendado), análises ASV trimestrais (se aplicável) | Pequenos comerciantes, negócios locais, startups |
Importante: após uma violação de dados pode ser movido para o Nível 1 mesmo que venda pouco. O adquirente pode exigir controlos adicionais.
A forma mais simples de fazer menos PCI é manter os dados de cartão longe dos seus servidores. Envia-nos os dados de cartão, nós tokenizamo-los: guarda apenas o token.
300+
Controles · SAQ D
Se gerir tudo sozinho
~30
Controlos · SAQ A-EP
Com a nossa API
22
Controlos · SAQ A
Com os campos hosted
Sites, apps, bases de dados e redes que tocam os dados de cartão devem satisfazer centenas de controlos. Muitas vezes mais de 300 no questionário SAQ D.
Os dados de cartão não entram nos seus servidores. Estamos certificados PCI DSS Nível 1 e custodiamos o número de cartão. Gere apenas tokens.
Passa do SAQ D (300+ controlos) para o SAQ A ou A-EP (menos de 30). Menos auditorias, menos engenheiros dedicados, menos risco.
O SAQ é o questionário que preenche para demonstrar conformidade. Depende de como os dados de cartão passam pelos seus sistemas. Connosco, o caminho simplifica-se.
Autoavaliação
7% do âmbito SAQ D
Para quem usa os nossos campos hosted em iFrame: os dados de cartão não passam pelo seu site. É o caminho mais leve.
Autoavaliação Alargada
10% do âmbito SAQ D
Se a página de pagamento está no seu site mas os dados de cartão vão diretamente para nós via API ou JavaScript. Poucos controlos a mais face ao SAQ A.
Questionário Completo
Âmbito completo - todos os sistemas
O questionário mais longo. É necessário quando os dados de cartão passam pelos seus servidores. Sem nós, muitos e-commerce acabam aqui.
Na UE deve cumprir ambos. Os dados de cartão são também dados pessoais. Com os tokens simplifica PCI e privacidade.
Mesmas prioridades
Dados de cartão = dados pessoais
Nome, número de cartão e validade estão sujeitos ao RGPD. Deve protegê-los como dados sensíveis.
Menos datos, menos riesgo
O RGPD exige conservar apenas o necessário. Eliminamos o número de cartão dos seus sistemas e deixa apenas o token.
Brechas y notificaciones
Se não conservar dados de cartão, uma brecha nos seus servidores é muito menos grave. Menos stress para si e para os clientes.
Requer atenção
Eliminação vs conservação
O RGPD reconhece o direito ao esquecimento. O PCI exige registos de transações. Com os tokens pode eliminar o mapeamento e tornar os dados irrecuperáveis.
Dados apenas na UE
Muitas empresas europeias devem manter os dados na UE. Operamos apenas a partir de centros de dados europeus: os dados de cartão não saem da União.
Contrato connosco (DPA)
Para o RGPD somos subcontratantes quando guardamos os dados de cartão por si. É necessário um acordo escrito sobre finalidade e segurança.
Em resumo: trabalha com os tokens. Nós custodiamos os dados de cartão. PCI e RGPD tornam-se mais geríveis.
Gerir todo o PCI internamente custa muito mais do que nos delegar os dados de cartão. Exemplo indicativo para um comerciante europeu médio.
| Categoria de Custo | Gestão Interna (SAQ D) Custo alto · Risco alto | Com PCI Proxy (SAQ A) RECOMENDADO |
|---|---|---|
| Auditoria anual | €30.000 a €150.000 | €3.000 a €8.000 |
| Segurança de infraestrutura | €50.000 a €200.000/ano | €0 (gerimos nós) |
| Risco de violação de dados | €500.000 a €4.000.000+ | Quase nulo |
| Seguro cibernético | €15.000 a €60.000/ano | €5.000 a €15.000/ano |
| Equipa dedicada | 1-3 engenheiros | Supervisão ligeira |
| Multas por não conformidade | €5.000 a €100.000/mês | €0 (conforme by design) |
Valores indicativos para comerciantes europeus com 1-6 milhões de transações por ano. Os custos reais dependem da dimensão e do setor.
Depende do número de transações com cartão que processa por ano. Mais de 6 milhões está no Nível 1 (auditoria presencial). Abaixo desse número, geralmente basta o questionário SAQ. A maioria das PME europeias está no Nível 3 ou 4. Connosco pode passar para o SAQ mais simples.
Envia-nos os dados de cartão, nós tokenizamo-los e custodiamo-los. Nos seus servidores não fica o número de cartão: trabalha apenas com tokens. Assim sai do perímetro PCI mais pesado e passa do SAQ D (300+ controlos) para SAQ A ou A-EP (menos de 30).
Sim. Na Europa deve cumprir o PCI DSS e o RGPD em conjunto. Os dados de cartão são dados pessoais. O RGPD acrescenta direitos (supressão, residência na UE, notificação de violações). Com tokens nos seus sistemas e dados de cartão no nosso vault, ambas as obrigações tornam-se mais simples.
Contacte-nos: ajudamos a perceber o seu nível PCI e quanto pode simplificar com o PCI Proxy.