Gateway de Pagamento Conforme PCI DSS: O Que Significa para o Seu Negócio
O PCI DSS (Payment Card Industry Data Security Standard) é o quadro de segurança global que rege como os dados de cartão devem ser geridos por qualquer entidade que processe, armazene ou transmita informações de cartão de pagamento. Para os comerciantes que escolhem um gateway de pagamento, o nível de certificação PCI DSS é um dos critérios de seleção técnica e comercial mais importantes. Usar um gateway certificado PCI DSS Level 1 reduz significativamente o encargo de conformidade do próprio comerciante, protege os titulares de cartão e reduz o risco de violações de dados que resultam em multas do circuito e custos de reemissão de cartões. Este guia explica o que significa a conformidade PCI DSS para um gateway, os níveis de certificação, o que um gateway Level 1 faz para o seu programa de conformidade e o que os comerciantes ainda devem fazer de forma independente.
O Que Significa a Conformidade PCI DSS para um Gateway de Pagamento
O PCI DSS é um conjunto de requisitos de segurança desenvolvido pelos principais circuitos de cartões (Visa, Mastercard, Amex, Discover, JCB) através do Conselho de Padrões de Segurança PCI. O padrão aplica-se a qualquer entidade que processe, armazene ou transmita dados do titular do cartão, definido principalmente como o Número de Conta Principal (PAN), combinado com quaisquer elementos de dados adicionais (nome, validade, código de serviço).
Para um gateway de pagamento, a conformidade PCI DSS significa que toda a infraestrutura do gateway, incluindo os seus servidores, redes, aplicações e procedimentos operacionais, cumpre os requisitos de segurança definidos no padrão PCI DSS atual (atualmente a versão 4.0). Estes requisitos cobrem doze áreas abrangentes: segurança de rede, gestão de configuração, proteção de dados do titular do cartão, gestão de vulnerabilidades, controlo de acesso, segurança física, monitorização e testes e política de segurança.
Por que importa para os comerciantes: Um gateway que não é conforme com PCI DSS cria exposição a responsabilidade para cada comerciante que o usa. Se os dados do titular do cartão processados através do gateway forem comprometidos, os circuitos de cartões podem aplicar multas, exigir a reemissão de cartões a custo do comerciante e, em casos graves, revogar as licenças de processamento do adquirente. Usar um gateway certificado PCI DSS Level 1 transfere a responsabilidade de segurança pela infraestrutura de processamento para o gateway, reduzindo a exposição direta do comerciante.
Certificação contínua: A conformidade PCI DSS não é uma certificação única. Os gateways Level 1 passam por avaliações de segurança anuais no local por um Avaliador de Segurança Qualificado (QSA) e análises trimestrais de vulnerabilidade de rede por um Fornecedor de Análise Aprovado (ASV). Esta avaliação contínua garante que a postura de segurança do gateway é mantida à medida que as ameaças evoluem.
Para os comerciantes que usam um gateway de pagamento de alto risco especializado, a certificação PCI DSS Level 1 ao nível do gateway é particularmente importante porque as categorias de comerciante de alto risco atraem atenção elevada tanto de fraudadores como de organismos regulatórios.
Níveis PCI DSS: Level 1 vs Level 2 vs Level 3 vs Level 4
A certificação PCI DSS é hierárquica por volume de transações, com diferentes requisitos de validação de conformidade para cada nível. Estes níveis aplicam-se a comerciantes e fornecedores de serviços separadamente, mas para os gateways de pagamento (que são fornecedores de serviços), os níveis relevantes são definidos de forma diferente.
Níveis de fornecedor de serviços:
Os fornecedores de serviços Level 1 processam, armazenam ou transmitem mais de 300.000 transações com cartão por ano. Devem passar por um Relatório de Conformidade (RoC) anual preparado por um Avaliador de Segurança Qualificado, mais análises trimestrais de rede. Este é o nível de avaliação mais rigoroso e o que a RoxPay está certificada.
Os fornecedores de serviços Level 2 processam menos de 300.000 transações com cartão por ano. Podem preencher autonomamente um Questionário de Autoavaliação (SAQ) anual mais análises trimestrais, em vez de uma auditoria QSA completa.
Níveis de comerciante (para contexto):
Nível 1 de comerciante: Mais de seis milhões de transações Visa ou Mastercard por ano. Requer avaliação anual no local pelo QSA.
Nível 2 de comerciante: Um a seis milhões de transações por ano.
Nível 3 de comerciante: 20.000 a um milhão de transações de e-commerce.
Nível 4 de comerciante: Menos de 20.000 transações de e-commerce ou menos de um milhão de outras transações.
O que sinaliza a certificação Level 1: Um gateway certificado PCI DSS Level 1 passou pela avaliação de segurança de terceiros mais rigorosa possível. Para os comerciantes, isto representa a maior garantia disponível de que a infraestrutura de processamento em que confiam cumpre o padrão de segurança superior do setor. É o nível de certificação exigido para os processadores de grande volume e o que proporciona o benefício de redução de âmbito mais amplo para os comerciantes.
Como Usar um Gateway PCI DSS Level 1 Reduz a Sua Carga de Conformidade
Usar um gateway PCI DSS Level 1 reduz significativamente o âmbito do seu próprio programa de conformidade PCI DSS, mas a extensão da redução depende do seu método de integração.
Integração de página alojada (redução total de âmbito): Quando usa a página de pagamento alojada do gateway, o seu cliente é redirecionado para o domínio do gateway para introduzir os dados do cartão. A sua infraestrutura nunca vê os dados do cartão. Sob este modelo, qualifica-se para SAQ A, o questionário de autoavaliação mais simples. O SAQ A tem aproximadamente 22 requisitos, em comparação com 300 para o SAQ D. A integração de página alojada combinada com um gateway Level 1 proporciona a redução máxima de âmbito.
Integração de IU drop-in ou iFrame (redução quase total de âmbito): Quando o gateway fornece elementos iFrame injetados em JavaScript para introdução de cartão dentro da sua página de checkout, os dados do cartão são geridos dentro do iFrame seguro do gateway, não no código da sua página. A sua infraestrutura não gere dados de cartão em bruto. Ainda se qualifica para SAQ A sob este modelo na maioria das interpretações. Isto proporciona o mesmo benefício de redução de âmbito que um redirecionamento de página alojada completo com uma melhor experiência do cliente.
API REST com tokenização (redução moderada de âmbito): Quando o seu frontend recolhe os dados do cartão e os envia para o seu servidor, que depois chama a API do gateway, o seu servidor está no âmbito do PCI DSS. Mesmo que tokenize imediatamente o cartão e nunca armazene o PAN em bruto, o facto de o seu servidor ter transacionado com dados de cartão em bruto coloca-o no âmbito. Este tipo de integração requer SAQ D ou uma avaliação completa QSA dependendo da sua escala, aumentando significativamente o custo e esforço de conformidade.
O que a redução de âmbito significa na prática: A conformidade SAQ A é alcançável para a maioria dos comerciantes pequenos e médios sem pessoal de segurança dedicado ou avaliações externas dispendiosas. A conformidade SAQ D requer investimento significativo em controlos de segurança, documentação e potencialmente um contrato QSA. A decisão do método de integração é, portanto, uma decisão significativa de custo de conformidade, não apenas técnica.
O Que os Comerciantes Ainda Precisam de Fazer Mesmo com um Gateway Conforme
Usar um gateway certificado PCI DSS Level 1 reduz a sua carga de conformidade mas não elimina todas as obrigações PCI. Os comerciantes continuam responsáveis por vários requisitos independentemente do nível de certificação do gateway.
Complete o seu SAQ: Mesmo sob SAQ A (a forma mais simples para integrações alojadas/iFrame), os comerciantes devem completar e reter o questionário de autoavaliação. O não preenchimento do SAQ pode resultar em sinalizações de não conformidade do seu adquirente e potenciais multas.
Proteja a sua camada de aplicação: O seu website e aplicação estão no âmbito do PCI DSS mesmo quando usa um gateway alojado, especificamente no que diz respeito à prevenção de ataques de web skimming. O PCI DSS 4.0 introduziu requisitos específicos em torno da proteção das páginas de pagamento contra injeção de scripts no lado do cliente (ataques estilo Magecart), que podem capturar dados de cartão à medida que são introduzidos antes de chegarem ao iFrame do gateway. Deve implementar inventário de scripts e monitorização de integridade nas suas páginas de pagamento.
Proteja as suas credenciais de API: As suas chaves API e segredos de assinatura de webhooks devem ser armazenados de forma segura, rodados regularmente e nunca expostos em código do lado do cliente ou controlo de versões. Credenciais de API comprometidas criam um risco de segurança direto mesmo quando o próprio gateway é PCI Level 1 conforme.
Mantenha a higiene dos seus sistemas: Os servidores, aplicações e infraestrutura que fazem parte do seu ambiente de pagamento devem ser mantidos com correções e seguros. Os requisitos PCI DSS para controlo de acesso, registo e gestão de alterações aplicam-se aos seus sistemas no âmbito, não apenas ao gateway.
Não armazene dados proibidos: Mesmo quando usa um gateway alojado, não deve reter números de cartão completos, CVVs ou dados de banda magnética em qualquer sistema que controle. O registo que inadvertidamente captura corpos de pedido, plataformas de análise que recebem dados de formulário e serviços de relatórios de erros são todas fontes potenciais de armazenamento de dados proibidos.
Certificação PCI DSS Level 1 da RoxPay e O Que Cobre
A RoxPay detém a certificação PCI DSS Level 1 com o número de certificado QS83A47X629. Esta certificação é mantida através de avaliações anuais no local por um Avaliador de Segurança Qualificado e análises trimestrais de rede por um Fornecedor de Análise Aprovado.
O que a certificação cobre: Toda a infraestrutura de processamento de pagamentos da RoxPay, incluindo cofres de dados de cartão, servidores de processamento de transações, infraestrutura de rede, endpoints de API e procedimentos operacionais. O âmbito da certificação cobre o ambiente de dados do titular do cartão na sua totalidade, desde o ponto em que os dados do cartão entram no sistema RoxPay através do processamento, armazenamento (tokenizado) e transmissão para os adquirentes.
O que isto significa para os comerciantes: Os comerciantes que usam o checkout alojado ou a integração de IU drop-in da RoxPay podem qualificar-se para SAQ A, o requisito mínimo de validação de conformidade para os comerciantes que não gerem dados de cartão diretamente. Isto reduz o encargo de conformidade para os comerciantes a uma autoavaliação anual e análises trimestrais em vez de um contrato QSA completo.
Certificação ISO 27001: Além do PCI DSS Level 1, a RoxPay detém a certificação ISO 27001, que cobre o sistema de gestão de segurança da informação de forma abrangente, incluindo proteção de dados, gestão de acesso, resposta a incidentes e continuidade do negócio. Isto proporciona garantia para além do quadro PCI específico de pagamentos.
Registo na OAM: A RoxPay está registada na OAM (Organismo Agenti e Mediatori) italiana, confirmando o seu estatuto como operador de pagamentos regulado em Itália.
Para iniciar a sua candidatura RoxPay e aceder ao ambiente sandbox para testes de integração conformes com PCI, preencha o formulário de onboarding digital. As credenciais sandbox estão disponíveis imediatamente no registo. A documentação completa da API, incluindo orientação de integração de segurança, está em app.roxpay.eu/api/v4/docs.
A RoxPay processa mais de 500 milhões de euros em volume anual em 120 sistemas de pagamento com um SLA de uptime de 99,9%. Preços IC++ a partir de 0,45%, liquidação para qualquer banco SEPA em 24 a 48 horas.
Frequently Asked Questions
Qual é a diferença entre PCI DSS Level 1 e Level 2?
Para os fornecedores de serviços (gateways de pagamento), o Level 1 requer uma avaliação anual no local por um Avaliador de Segurança Qualificado, produzindo um Relatório de Conformidade formal. O Level 2 permite o preenchimento autónomo de um Questionário de Autoavaliação. O Level 1 é mais rigoroso e proporciona aos comerciantes maior garantia porque um especialista de segurança independente reviu e certificou fisicamente todo o ambiente de processamento.
Preciso de ser conforme com PCI DSS se usar o checkout alojado da RoxPay?
Sim, mas a sua obrigação de conformidade é mínima. Usar o checkout alojado ou a IU drop-in da RoxPay significa que se qualifica para SAQ A, que envolve completar um questionário de autoavaliação curto de aproximadamente 22 requisitos, mais análises trimestrais de rede por um Fornecedor de Análise Aprovado. Não precisa de uma auditoria QSA ou de uma avaliação SAQ D completa.
O que é o PCI DSS 4.0 e afeta os comerciantes que usam checkouts alojados?
A versão 4.0 do PCI DSS foi publicada em 2022 e tornou-se o padrão efetivo em 2024. Para os comerciantes que usam checkouts alojados, o novo requisito mais relevante na v4.0 é a necessidade de manter um inventário de scripts e monitorização de integridade para todos os scripts que correm nas suas páginas de pagamento (para prevenir web skimming). Isto aplica-se mesmo sob SAQ A. A documentação de integração da RoxPay inclui orientação sobre como cumprir este requisito.
Também pode gostar de
Gateway de pagamento de alto risco
Processamento seguro para setores de alto risco, com encaminhamento para vários adquirentes e proteção contra contestações.
Soluções de pagamento para pequenas empresas
Preços IC++ transparentes, terminal Smart POS incluído e ativação em 24 horas para pequenos negócios.
Integrações de pagamento para e-commerce
Plugins de instalação rápida para Shopify, WooCommerce, Magento e PrestaShop, com acesso completo à API.
Optimize your payments today
A RoxPay é certificada PCI DSS Level 1 (QS83A47X629) e ISO 27001. Os comerciantes que usam o checkout alojado qualificam-se para a conformidade SAQ A. IC++ a partir de 0,45%, liquidação para qualquer banco SEPA em 24 a 48 horas.
✓ No monthly fixed costs · ✓ Activation in 24 hours · ✓ Dedicated technical support
