Conformidade PCI DSS

Conformidade PCI DSS, menos trabalho para si

Se aceita pagamentos com cartão, deve cumprir o PCI DSS. Nós custodiamos os dados de cartão em seu lugar: trabalha com tokens e o preenchimento do questionário torna-se muito mais simples.

O que proporcionamos

Herdou a nossa certificação: os dados de cartão permanecem no nosso vault, não nos seus servidores.

PCI DSS Nível 1

O nível mais alto. Auditores independentes verificam o nosso vault todos os anos.

Apenas centros de dados na UE

Os dados de cartão não saem da Europa. Útil também para o RGPD.

Encriptação e HSM

Dados encriptados em repouso e em trânsito. Chaves protegidas em hardware certificado.

Em resumo

O que é o PCI DSS?

É o padrão de segurança para quem aceita pagamentos com cartão (Visa, Mastercard e outros esquemas). Protege os dados de cartão onde quer que sejam recolhidos, guardados ou transmitidos.

12

Regras

4

Níveis

1

Objetivo

Proteger os dados de cartão, sempre.

Quem deve cumprir?

Qualquer um que aceite, processe ou armazene dados de cartão: lojas online, plataformas, call centers, PSP. Também quem gere pagamentos em nome de terceiros.

12 regras fundamentais

Firewall, encriptação, acessos, monitorização e políticas. Muitas regras: quanto menos sistemas tocarem os dados de cartão, menos trabalho para si.

Se não cumprir

Multas, comissões mais altas ou bloqueio dos pagamentos com cartão. Uma violação de dados custa muito mais do que cumprir.

Níveis de Conformidade

Os 4 níveis PCI

O trabalho necessário depende do número de transações com cartão que processa por ano. Mais transações, mais controlos (até à auditoria presencial para grandes volumes).

Nível Transações Anuais Requisitos de Validação Entidades Típicas
Nível 1 >6 milhões de transações/ano Auditoria presencial anual + análises trimestrais Grandes retalhistas, companhias aéreas, PSP principais
Nível 2 1-6 milhões de transações/ano SAQ anual, análises ASV trimestrais E-commerce mid-market, cadeias hoteleiras
Nível 3 20.000-1 milhão e-commerce/ano SAQ anual, análises ASV trimestrais Negócios online em crescimento, plataformas SaaS
Nível 4 <20.000 e-commerce ou <1 milhão outras/ano SAQ anual (recomendado), análises ASV trimestrais (se aplicável) Pequenos comerciantes, negócios locais, startups

Importante: após uma violação de dados pode ser movido para o Nível 1 mesmo que venda pouco. O adquirente pode exigir controlos adicionais.

Menos âmbito para si

Como reduzimos a sua carga

A forma mais simples de fazer menos PCI é manter os dados de cartão longe dos seus servidores. Envia-nos os dados de cartão, nós tokenizamo-los: guarda apenas o token.

300+

Controles · SAQ D

Se gerir tudo sozinho

~30

Controlos · SAQ A-EP

Com a nossa API

22

Controlos · SAQ A

Com os campos hosted

Sem nós

Âmbito completo

Sites, apps, bases de dados e redes que tocam os dados de cartão devem satisfazer centenas de controlos. Muitas vezes mais de 300 no questionário SAQ D.

Com PCI Proxy

Ámbito mínimo

Os dados de cartão não entram nos seus servidores. Estamos certificados PCI DSS Nível 1 e custodiamos o número de cartão. Gere apenas tokens.

Até 95% menos

Passa do SAQ D (300+ controlos) para o SAQ A ou A-EP (menos de 30). Menos auditorias, menos engenheiros dedicados, menos risco.

Quanto tem de preencher

Sem PCI Proxy (SAQ D) 300+ controles
Com API (SAQ A-EP) ~30 controles
Com campos hosted (SAQ A) 22 controles
Estamos certificados PCI DSS Nível 1
Autoavaliação

Que questionário SAQ precisa?

O SAQ é o questionário que preenche para demonstrar conformidade. Depende de como os dados de cartão passam pelos seus sistemas. Connosco, o caminho simplifica-se.

⭐ Recomendado

Autoavaliação

SAQ A

22 controles

7% do âmbito SAQ D

Para quem usa os nossos campos hosted em iFrame: os dados de cartão não passam pelo seu site. É o caminho mais leve.

Ideal com os campos hosted

Autoavaliação Alargada

SAQ A-EP

~30 controles

10% do âmbito SAQ D

Se a página de pagamento está no seu site mas os dados de cartão vão diretamente para nós via API ou JavaScript. Poucos controlos a mais face ao SAQ A.

Com integração API ou SDK

Questionário Completo

SAQ D

300+ controles

Âmbito completo - todos os sistemas

O questionário mais longo. É necessário quando os dados de cartão passam pelos seus servidores. Sem nós, muitos e-commerce acabam aqui.

Sem PCI Proxy
Na Europa

PCI DSS e RGPD em conjunto

Na UE deve cumprir ambos. Os dados de cartão são também dados pessoais. Com os tokens simplifica PCI e privacidade.

Onde coincidem

Mesmas prioridades

Dados de cartão = dados pessoais

Nome, número de cartão e validade estão sujeitos ao RGPD. Deve protegê-los como dados sensíveis.

Menos datos, menos riesgo

O RGPD exige conservar apenas o necessário. Eliminamos o número de cartão dos seus sistemas e deixa apenas o token.

Brechas y notificaciones

Se não conservar dados de cartão, uma brecha nos seus servidores é muito menos grave. Menos stress para si e para os clientes.

Aspetos a coordenar

Requer atenção

Eliminação vs conservação

O RGPD reconhece o direito ao esquecimento. O PCI exige registos de transações. Com os tokens pode eliminar o mapeamento e tornar os dados irrecuperáveis.

Dados apenas na UE

Muitas empresas europeias devem manter os dados na UE. Operamos apenas a partir de centros de dados europeus: os dados de cartão não saem da União.

Contrato connosco (DPA)

Para o RGPD somos subcontratantes quando guardamos os dados de cartão por si. É necessário um acordo escrito sobre finalidade e segurança.

Em resumo: trabalha com os tokens. Nós custodiamos os dados de cartão. PCI e RGPD tornam-se mais geríveis.

Descubra a tokenização
Análise de Custos

Quanto custa fazer PCI sozinho vs connosco

Gerir todo o PCI internamente custa muito mais do que nos delegar os dados de cartão. Exemplo indicativo para um comerciante europeu médio.

Categoria de Custo Gestão Interna (SAQ D) Custo alto · Risco alto Com PCI Proxy (SAQ A) RECOMENDADO
Auditoria anual €30.000 a €150.000 €3.000 a €8.000
Segurança de infraestrutura €50.000 a €200.000/ano €0 (gerimos nós)
Risco de violação de dados €500.000 a €4.000.000+ Quase nulo
Seguro cibernético €15.000 a €60.000/ano €5.000 a €15.000/ano
Equipa dedicada 1-3 engenheiros Supervisão ligeira
Multas por não conformidade €5.000 a €100.000/mês €0 (conforme by design)

Valores indicativos para comerciantes europeus com 1-6 milhões de transações por ano. Os custos reais dependem da dimensão e do setor.

FAQ

Perguntas Frequentes

01 Que nível PCI DSS se aplica à minha empresa?

Depende do número de transações com cartão que processa por ano. Mais de 6 milhões está no Nível 1 (auditoria presencial). Abaixo desse número, geralmente basta o questionário SAQ. A maioria das PME europeias está no Nível 3 ou 4. Connosco pode passar para o SAQ mais simples.

02 Como nos ajudais a reduzir o PCI?

Envia-nos os dados de cartão, nós tokenizamo-los e custodiamo-los. Nos seus servidores não fica o número de cartão: trabalha apenas com tokens. Assim sai do perímetro PCI mais pesado e passa do SAQ D (300+ controlos) para SAQ A ou A-EP (menos de 30).

03 O RGPD afeta a conformidade PCI DSS na Europa?

Sim. Na Europa deve cumprir o PCI DSS e o RGPD em conjunto. Os dados de cartão são dados pessoais. O RGPD acrescenta direitos (supressão, residência na UE, notificação de violações). Com tokens nos seus sistemas e dados de cartão no nosso vault, ambas as obrigações tornam-se mais simples.

Quer saber que SAQ precisa?

Contacte-nos: ajudamos a perceber o seu nível PCI e quanto pode simplificar com o PCI Proxy.