Guia para a conformidade com o PCI

O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) define o padrão mínimo para a segurança de dados. Este guia detalhado explica como manter a conformidade e como a Stripe pode ajudar.

Payments
Payments

Aceite pagamentos online, presenciais e de qualquer lugar do mundo com uma solução desenvolvida para todos os tipos de negócios, de startups em crescimento a grandes multinacionais.

Saiba mais 
  1. Introdução
  2. Como a Stripe ajuda as organizações a alcançar e manter a conformidade com PCI
  3. Guia detalhado de conformidade com o PCI DSS
    1. 1. Conheça seu nível de PCI
    2. 2. Conheça o tipo de integração e os requisitos de documentação
    3. 3. Conclua sua avaliação e envie a documentação do SAQ
    4. 4. Monitorar e manter
  4. Como a Stripe ajuda as organizações a manter a conformidade com PCI
    1. Suporte para nossas pequenas empresas
    2. Experiência personalizada com o Dashboard
    3. Suporte à medida que sua empresa cresce
    4. Mais de uma provedora de serviços
  5. Saiba mais sobre a Stripe 

Desde 2005, mais de 10 bilhões de registros de clientes foram comprometidos em mais de 9 mil violações de dados nos EUA. Estes são os números mais recentes da Privacy Rights Clearinghouse, que relata violações de dados e de segurança que afetam os consumidores desde 2005. Para melhorar a segurança dos dados dos consumidores e a confiança no ecossistema de pagamentos, foi criado um padrão mínimo para segurança de dados. Visa, Mastercard, American Express, Discover e JCB formaram o Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento (PCI SSC) em 2006 para administrar e gerenciar padrões de segurança para empresas que lidam com dados de cartão de crédito.

O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) é o padrão de segurança global para todas as entidades que armazenam, processam ou transmitem dados de titulares de cartão e/ou dados de autenticação sigilosos. O PCI DSS define uma linha básica de proteção para os consumidores, além de ajudar a reduzir fraudes e violações de dados em todo o ecossistema de pagamentos. Ela é aplicável a todas as organizações que aceitam ou processam cartões de pagamento. Há penalidades, multas e custos significativos para as organizações que não cumprem esses padrões.

A conformidade com o PCI DSS envolve três componentes principais:

  1. Manusear a entrada de dados de cartão de crédito dos clientes. Ou seja, que os dados confidenciais dos cartões sejam coletados e transmitidos com segurança
  2. Armazenar dados de forma segura — o que é descrito nos 12 domínios de segurança do padrão PCI — como criptografia, monitoramento contínuo e testes de segurança de acesso a dados de cartão
  3. Validar anualmente a existência dos controles de segurança obrigatórios, o que pode incluir formulários, questionários, serviços externos de verificação de vulnerabilidades e auditorias de terceiros (consulte o guia passo a passo abaixo para obter uma tabela com os quatro níveis de requisitos)

Todas as empresas que aceitam pagamentos com cartão de crédito devem estar em conformidade com o PCI DSS, independentemente do volume, região geográfica ou método de integração. Ao cumprir essa estrutura, as empresas podem:

  • Conquistar a confiança do cliente, garantindo a segurança dos dados do cartão
  • Ter proteção contra fraudes e violações de dados
  • Evitar multas por violações de conformidade com PCI

Isenção de responsabilidade: Este artigo deve ser usado apenas para fins de orientação e não deve ser tomado como aconselhamento definitivo. Recomendamos consultar um Avaliador de Segurança Qualificado (QSA) do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) para obter esclarecimentos.

Como a Stripe ajuda as organizações a alcançar e manter a conformidade com PCI

Se o seu modelo de negócios exigir que você lide com dados de cartão, poderá ser necessário cumprir cada um dos controles de segurança 300+ no PCI DSS. Há mais de 1.800 páginas de documentação oficial, publicada pelo Conselho de Padrões de Segurança do PCI, sobre o PCI DSS, e mais de 300 páginas apenas para entender quais formas serão usadas ao validar a conformidade.

A Stripe pode ajudar a reduzir significativamente a carga de PCI para as empresas ao fornecer uma variedade de métodos de integração tokenizados (por exemplo, Checkout, Elements, SDKs para dispositivos móveis, SDKs do Terminal), evitando a necessidade de tratar diretamente dados sigilosos de cartão de crédito.

  • O Stripe Checkout e o Stripe Elements usam um campo de pagamento hospedado para manusear todos os dados de cartão de pagamento. Assim, o titular do cartão insere todas as informações de pagamento sigilosas em um campo de pagamento originado diretamente de nossos servidores validados pelo PCI DSS.
  • Os SDKs do Terminal e da Stripe para dispositivos móveis também permitem que o titular do cartão envie dados de pagamento confidenciais diretamente para servidores validados pelo PCI DSS.

Para todos os nossos usuários, independentemente do tipo de integração, a Stripe atua como defensora do PCI e pode ajudar de algumas maneiras diferentes.

  • Nosso assistente Stripe PCI analisa seu método de integração e orienta sobre como reduzir sua carga de conformidade.
  • Notificaremos você com antecedência se um volume crescente de transações exigir uma mudança na forma como a conformidade é validada.
  • Para empresas de grande porte que precisam trabalhar com um PCI QSA porque armazenam dados de cartão de crédito ou têm um fluxo de pagamento mais complexo, há mais de 400 empresas de QSA em todo o mundo. Podemos conectar você com vários auditores que entendem profundamente os diferentes métodos de integração da Stripe.

Guia detalhado de conformidade com o PCI DSS

1. Conheça seu nível de PCI

O primeiro passo para alcançar a conformidade com PCI é saber quais requisitos se aplicam à sua organização. Existem quatro níveis diferentes de conformidade com PCI, baseados normalmente no volume de transações com cartão de crédito processado pela empresa durante um período de 12 meses.

Dependendo do seu nível, você terá requisitos diferentes, incluindo verificações regulares de vulnerabilidades de um Fornecedor de varredura aprovado (ASV). Também há requisitos adicionais para prestadores de serviços, que são entidades comerciais diretamente envolvidas no processamento, armazenamento ou transmissão de dados do titular do cartão (CHD) e/ou dados de autenticação sigilosos (SAD) em nome de outra entidade (por exemplo, gateways de pagamento, provedores de serviços de pagamento e organizações de vendas independentes).

Nível de conformidade
Aplica-se a
Requisitos
Nível 1
  • Organizações com processamento anual acima de 6 milhões de transações com Visa ou Mastercard, ou mais de 2,5 milhões de transações com American Express; ou
  • Organizações que sofreram uma violação de dados; ou
  • Organizações consideradas "Nível 1" por qualquer associação de cartão (Visa, Mastercard etc.)
  • Atestado de conformidade (AOC) ou relatório de conformidade (ROC anual) por um avaliador de segurança qualificado (QSA)
  • Verificação trimestral da rede por um provedor de verificação aprovado (ASV)
Nível 2
  • Organizações com processamento anual de 1 a 6 milhões de transações
  • Questionário de autoavaliação (SAQ), atestado de conformidade (AOC) ou relatório de conformidade (ROC)
  • A documentação SAQ A, SAQ A-EP, e SAQ D deve ser assinada por um assessor de segurança qualificado PCI (QSA) ou um assessor de segurança interno certificado PCI (ISA).1
  • Verificação trimestral da rede por um provedor de verificação aprovado (ASV)
Nível 3
  • Organizações com processamento anual de 20.000 a 1 milhão de transações online
  • Organizações com processamento anual inferior a 1 milhão de transações no total
  • Os usuários de nível 3 e 4 são inscritos automaticamente no nosso programa de gerenciamento de riscos, que oferece uma experiência personalizada e simplificada com base em vários fatores, como o tipo de integração. Isso pode incluir a conclusão de um ou mais questionários de autoavaliação (SAQs) do PCI DSS.
  • Os usuários do nível 3 também devem concluir uma verificação trimestral da rede por um provedor de verificação aprovado (ASV).
Nível 4
  • Organizações com processamento anual inferior a 20.000 transações online; ou
  • Organizações com processamento anual de até 1 milhão de transações
  • Os usuários do nível 4 também devem concluir uma verificação trimestral da rede por um provedor de verificação aprovado (ASV).
1 Comerciantes do nível 2 que concluem o SAQ A, SAQ A-EP ou SAQ D precisam envolver um QSA para validação de conformidade

2. Conheça o tipo de integração e os requisitos de documentação

Depois de saber seu nível de PCI, a próxima etapa é determinar quais documentos de PCI você precisa preencher para validar sua conformidade, com base no tipo de integração usada com a Stripe, se você for um provedor de serviços etc.

Usuários de nível 1

Empresas de nível 1 não podem usar um SAQ para comprovar conformidade com PCI. Elas precisam preencher um ROC assinado por um QSA para validar sua conformidade com PCI anualmente.

Usuários de nível 2 a 4

Para usuários dos níveis 2 a 4, há tipos de SAQ diferentes, dependendo do método de integração de pagamentos. Se não tiver certeza de qual tipo de SAQ é adequado para você, o assistente Stripe PCI determinará automaticamente o tipo de documentação adequado para sua empresa.

Integração
Requisito
Recomendação
Checkout ou Elements
SAQ A
Checkout, Stripe.js e Elements hospedam todas as entradas de coleta de dados de cartão em um iframe enviado do domínio da Stripe (e não do seu), de modo que os dados de cartão dos seus clientes não passam pelos seus servidores.
Connect
SAQ A Se você coleta dados de cartão exclusivamente usando uma plataforma Connect (por exemplo, Squarespace), podemos determinar se a plataforma forneceu a documentação necessária referente ao PCI.
SDK para dispositivos móveis
SAQ A

O desenvolvimento de SDKs para dispositivos móveis e o controle de alterações da Stripe estão em conformidade com o PCI DSS (requisitos 6.3 a 6.5) e são implementados por meio dos nossos sistemas com validação para o PCI. Quando você usa apenas componentes de IU dos nossos SDKs oficiais para iOS ou Android, ou cria um formulário de pagamento com o Elements em um WebView, os números de cartão são passados diretamente dos clientes para a Stripe, reduzindo sua sobrecarga de conformidade com o PCI ao mínimo possível.

Se fizer de outra forma, como programar seu próprio sistema para processar dados de cartão, você poderá ser responsável por outros requisitos do PCI DSS (6.3 a 6.5) e não se qualificar para o SAQ A. Fale com um QSA do PCI para determinar a melhor maneira de validar sua conformidade segundo as diretrizes atuais do PCI Security Standards Council.

Se o seu aplicativo exige que os clientes informem dados usando o próprio dispositivo, você se qualifica para SAQ A. Se o seu aplicativo aceita dados de cartão de vários clientes no seu dispositivo (por exemplo, um aplicativo de ponto de venda), consulte um QSA do PCI para saber qual é a melhor forma de validar sua conformidade.

Stripe.js v2
SAQ A-EP

O uso do Stripe.js v2 para passar dados de cartão inseridos em um formulário hospedado em seu próprio site exige o preenchimento anual do SAQ A-EP para comprovar a conformidade da sua empresa com o PCI.

Como alternativa, o Checkout e o Elements oferecem a flexibilidade e a personalização de um formulário auto-hospedado e atendem aos requisitos do PCI para o SAQ A.

Terminal
SAQ C

Se você coleta dados de cartão exclusivamente pelo Stripe Terminal, pode fazer a validação usando o SAQ C.

Se você faz a integração com a Stripe com os métodos listados nesta tabela, é preciso comprovar a conformidade deles separadamente da forma descrita.
Dashboard
SAQ C-VT

É possível pagar manualmente com cartão no Dashboard, mas apenas em circunstâncias excepcionais, e não para processamento rotineiro de pagamentos. Ofereça uma forma de pagamento ou aplicativo móvel para que os clientes informem os dados do cartão.

Não podemos confirmar a segurança de dados de cartão informados manualmente fora da Stripe. Portanto, você deve proteger os dados de acordo com os requisitos do PCI e preencher anualmente o SAQ C-VT para comprovar a conformidade da sua empresa com o PCI.

API Direct
SAQ D

Quando você passa dados do cartão diretamente para a API da Stripe, sua integração processa diretamente esses dados, e você precisa comprovar sua conformidade com PCI usando o SAQ D, o SAQ mais exigente. Para reduzir essa sobrecarga:

Além disso, o Radar, nossa ferramenta de prevenção de fraudes que inclui avaliação de riscos e regras, está disponível somente quando um dos nossos métodos de tokenização do lado do cliente é utilizado.

Prestadores de serviços

Se você estiver diretamente envolvido no processamento, armazenamento ou transmissão de dados do titular do cartão (CHD) e/ou dados de autenticação sigilosos (SAD) em nome de outra entidade (por exemplo, gateways de pagamento, provedores de serviços de pagamento e organizações de vendas independentes), você pode ser classificado como um provedor de serviços. Isso significa que você terá requisitos adicionais que precisará validar.

3. Conclua sua avaliação e envie a documentação do SAQ

Depois de identificar qual avaliação precisa ser concluída, a próxima etapa é realizá-la, preencher a documentação SAQ ou ROC pertinente e enviá-la a Stripe para análise.

Usuários de alto volume precisarão garantir os serviços de um QSA registrado para operar nas regiões em que você opera. O QSA ajudará a analisar seus sistemas em relação aos requisitos PCI e aconselhará sobre a correção de deficiências. Eles também produzirão e assinarão a documentação apropriada para você compartilhar com a Stripe anualmente.

Os usuários dos níveis 3 e 4 provavelmente precisarão preencher o Questionário de Autoavaliação do PCI DSS adequado ao seu ramo de atividade. Mais recursos para comerciantes estão disponíveis por meio do Conselho de Padrões de Segurança do PCI. A Stripe também está aqui para ajudar, pois nosso assistente personalizado no seu PCI Dashboard fará uma série de perguntas e gerará a documentação necessária para você. Você pode usar o Stripe PCI Dashboard para carregar qualquer documentação SAQ ou ROC autopreenchida.

4. Monitorar e manter

É importante observar que a conformidade com PCI não é um evento único. Esse processo é anual para garantir a conformidade da sua empresa, mesmo com a evolução dos fluxos de dados e dos pontos de contato com os clientes.

O PCI DSS estabelece padrões importantes para o manuseio e o armazenamento de dados de titulares de cartão, mas não oferece proteção suficiente para todos os ambientes de pagamento isoladamente. Em vez disso, mudar para um método de aceitação de cartão mais seguro que usa dados tokenizados (como Stripe Checkout, Elements e SDKs para dispositivos móveis) é uma maneira muito mais eficaz de proteger sua organização. Essa abordagem fornece às empresas ágeis uma maneira de mitigar uma possível violação de dados e evitar abordagem histórica, que é demorada e cara, para validação de PCI.

Conforme uma empresa cresce, a lógica e os processos de negócios centrais também vão evoluir, assim como os requisitos de conformidade. Uma empresa online, por exemplo, pode decidir abrir lojas físicas, entrar em novos mercados ou lançar uma central de atendimento ao cliente. Se algo novo envolver dados de cartão de pagamento, recomendamos verificar proativamente se isso tem algum impacto no método de validação de PCI escolhido e revalidar a conformidade com PCI se necessário.

Para obter mais informações sobre o mundo complexo da conformidade com PCI, acesse o site do Conselho de Padrões de Segurança do PCI. Caso leia somente este guia e alguns outros documentos de PCI, recomendamos começar com estes:

Como a Stripe ajuda as organizações a manter a conformidade com PCI

A Stripe, uma provedora de serviços PCI Nível 1, é certificada anualmente por um Avaliador de Segurança Qualificado PCI independente em relação a todos os requisitos do PCI DSS. Isso significa que todos os nossos produtos são seguros por padrão, reduzindo seus requisitos de conformidade.

Para todos os nossos usuários, independentemente do tipo de integração, a Stripe atua como defensora do PCI e pode ajudar de algumas maneiras diferentes.

Suporte para nossas pequenas empresas

A Stripe simplifica muito a carga de PCI para nossos usuários menores, oferecendo uma jornada de conformidade personalizada, incluindo SAQs pré-preenchidos e fluxos orientados para alguns usuários, aproveitando métodos de integração mais seguros, como Checkout, Elements, SDKs para dispositivos móveis e SDKs do Terminal.

Experiência personalizada com o Dashboard

Depois que você se tornar um cliente Stripe, analisaremos seu histórico de transações e aconselharemos sobre como reduzir suas obrigações de conformidade por meio de uma experiência personalizada com o Dashboard.

Suporte à medida que sua empresa cresce

Conforme o seu volume anual de transações aumenta, você pode perceber que os níveis de PCI mudam dentro de um ano. A Stripe ajuda você nessas transições, alertando sobre novos requisitos à medida que se aproxima a data de renovação do PCI.

Mais de uma provedora de serviços

Se a sua empresa usa mais de um processador, o processo de conformidade com PCI pode ficar confuso. A Stripe facilita o suporte ao envio de AOCs pelos seus provedores para facilitar seu caminho para a conformidade.

Vamos começar?

Crie uma conta e comece a aceitar pagamentos sem precisar de contratos nem dados bancários, ou fale conosco para criar um pacote personalizado para sua empresa.
Payments

Payments

Aceite pagamentos online, presenciais e em todo o mundo com uma solução desenvolvida para todos os tipos de empresas.

Documentação do Payments

Encontre guias sobre como integrar as APIs de pagamento da Stripe.