Comece agora  Fale com a equipe de vendas 
Comece agora  Fale com a equipe 

Como escolher um provedor de pagamentos compatível com a CCPA

Payments
Payments

Aceite pagamentos online, presenciais e de qualquer lugar do mundo com uma solução desenvolvida para todos os tipos de negócios, de startups em crescimento a grandes multinacionais.

Saiba mais 
  1. Introdução
  2. Por que a Lei de Privacidade do Consumidor da Califórnia é importante para pagamentos?
  3. Quais dados pessoais um processador de pagamentos usa?
  4. Como você deve avaliar a conformidade de um fornecedor com a CCPA?
  5. Quais são os sinais que indicam uma governança de dados deficiente nos pagamentos?
  6. Como as equipes de compras podem estruturar uma solicitação de proposta para identificar lacunas de conformidade com a CCPA com antecedência?
  7. Como o Stripe Payments pode ajudar
  8. Comece já com a Stripe 

A Lei de Privacidade do Consumidor da Califórnia (CCPA) e sua expansão, a Lei dos Direitos de Privacidade da Califórnia (CPRA), estabelece padrões para como os provedores de serviços digitais recolher e compartilham os dados dos clientes no Estado Dourado. O cumprimento da CCPA e da CPRA é especialmente importante ao escolher um provedor de pagamento, pois a multa para cada infração pode ser de até US$ 8.000.

A seguir, explicaremos como escolher um fornecedor de pagamento que esteja em conformidade com a CCPA, incluindo como avaliar as capacidades de privacidade dos fornecedores e como identificar lacunas de conformidade logo no início do processo de compras.

O que vamos abordar neste artigo?

  • Por que a Lei de Privacidade do Consumidor da Califórnia é importante para pagamentos?
  • Quais dados pessoais um processador de pagamentos utiliza?
  • Como você deve avaliar a conformidade de um fornecedor com a CCPA?
  • Quais são os sinais que indicam uma governança de dados deficiente nos pagamentos?
  • Como as equipes de compras podem estruturar uma solicitação de proposta para identificar lacunas de conformidade com a CCPA com antecedência?
  • Como o Stripe Payments pode ajudar

Por que a Lei de Privacidade do Consumidor da Califórnia é importante para pagamentos?

A CCPA dá aos californianos o direito de saber como suas dados pessoais são coletados, de solicitar sua exclusão e impedir que sejam vendidos. O escopo da CCPA inclui provedores de pagamento já que eles lidam com dados sensíveis, incluindo nomes, e-mails, endereços, números de cartão e detalhes de transação.

Em muitos casos, fornecedores de pagamento são considerados "prestadores de serviços" pela lei. Empresas podem compartilhar dados de clientes com fornecedores de pagamento por motivos justificados e especificados, e os fornecedores devem oferecer o mesmo nível de proteção de privacidade. Se um processador de pagamentos reaproveita esses dados (por exemplo, analisando históricos de transações para construir seus próprios produtos de marketing), ele ultrapassa esse limite jurídico.

Ignorar a CCPA pode resultar em multas e danos à reputação, mesmo que sua empresa esteja estabelecida fora da Califórnia. A CCPA se aplica a todos os residentes da Califórnia, independentemente de onde sua empresa esteja localizada, funcionando semelhantemente ao Regulamento Geral de Proteção de Dados (GDPR) da Europa.

Quais dados pessoais um processador de pagamentos usa?

Cada pagamento envolve uma variedade de informações pessoais e sensíveis.

Isso pode incluir:

  • Identificadores de clientes: nomes, e-mails, endereços postais e nomes de conta. Até mesmo endereços de protocolo de internet (IP) coletados durante o checkout se qualificam como dados pessoais.

  • Dados financeiros: números de cartão de débito e crédito, datas de validade,códigos de segurança, conta bancária e direcionamento de números. A CCPA classifica esses dados pessoais sensíveis porque se relacionam diretamente com a identidade financeira do indivíduo.

  • Dados de transação: histórico de compras, valores de pedidos, carimbos de data e hora e detalhes empresariais. Esses registros revelam padrões de gastos ligados a indivíduos específicos.

  • Dados de prevenção de fraudes: impressões digitais de dispositivos, geolocalização e indicadores comportamentais usados para detectar fraudes contam como dados pessoais conforme a lei.

  • Dados de autenticação: credenciais de login criptografadas, tokens de conta e, às vezes, identificadores biométricos, como verificação facial ou de impressão digital, são considerados dados sensíveis.

  • Comunicações com clientes: e-mails de suporte, registros de conversas e gravações de chamadas frequentemente contêm detalhes pessoais ligados a contas ou transações.

Como você deve avaliar a conformidade de um fornecedor com a CCPA?

Provedores de pagamento processam dados em seu nome, mas você precisa garantir que eles possam atender às solicitações que seus clientes têm o direito legal de fazer.

Você deve considerar o seguinte:

  • Consentimento e tratamento de exclusão: sob a CCPA, muitos provedores de pagamento não precisam de consentimento de exclusão para recolher dados, mas eles precisam respeitar as preferências "Não Vender ou Compartilhar". Se eles dependem de cookies ou ferramentas de rastreamento para detecção de fraudes ou análises, você deve confirmar que isso não conflita com os direitos de exclusão.

  • Acesso e portabilidade: os clientes têm o direito de saber quais dados pessoais uma empresa possui, o que significa que seu fornecedor deve conseguir recuperá-los sob demanda. Pergunte como ele localiza e compila registros individuais (por e-mail,token de cartão, ou transação ID) e como ele verifica a identidade antes de liberar esses dados. Fornecedores experientes podem produzir essas informações por meio de uma interface de programação de aplicativo (API) ou de um fluxo de trabalho definido.

  • Controles de exclusão e retenção: os provedores de serviços geralmente são obrigados a excluir informações do cliente, se solicitados. Porém, excluir dados de pagamento nem sempre é simples. Os fornecedores devem ser capazes de remover dados pessoais quando você solicitar, mantendo o que é legalmente necessário para a conformidade.

Quais são os sinais que indicam uma governança de dados deficiente nos pagamentos?

Identificar sinais de alerta de uma governança de dados fraca pode poupar você de riscos de conformidade e danos à reputação no futuro.

Fique atento ao seguinte:

  • Falta de provas de conformidade: um fornecedor experiente não vai ter dificuldades de apresentar evidências de um gerenciamento de dados cuidadoso. Relatórios de Segurança de Dados da Indústria de Cartões de Pagamento Standard (PCI DSS), procedimentos documentados da CCPA, relatórios de Controles de Sistema e Organização (SOC) 2, ou certificações da Organização Internacional de Padronização (ISO) podem ser úteis.

  • Práticas vagas de segurança: criptografia, controles de acesso e testes de vulnerabilidades devem ser o padrão. Se um fornecedor armazena dados de cartão não criptografados, não possui autenticação multifator ou não consegue descrever seu plano de resposta a violações, isso é um fator decisivo.

  • Uso obscuro de dados: alguns provedores de pagamento usam dados de transação para análises, publicidade ou modelos de machine learning não relacionados à sua empresa. Eles devem oferecer aos clientes a opção de recusar publicidade direcionada.

  • Resistência à transparência: evasão durante a due diligence, por exemplo, evitar respostas diretas sobre fluxos de dados, retenção ou subprocessadores, é um claro sinal de alerta. Outros sinais preocupantes incluem a recusa em preencher questionários de segurança ou permitir auditorias limitadas.

  • Ausência de liderança em matéria de privacidade: se o fornecedor não tiver um responsável pela privacidade ou uma equipe de conformidade, ou não oferecer formação interna aos funcionários que lidam com os dados dos clientes, a sua gestão de riscos poderá ser, na melhor das hipóteses, reativa.

Como as equipes de compras podem estruturar uma solicitação de proposta para identificar lacunas de conformidade com a CCPA com antecedência?

Um pedido de proposta (RFP) para um provedor de pagamento pode ajudar você a comparar a maturidade da governança de dados dos fornecedores.

Considere tomar as seguintes medidas:

  • Inclua uma seção dedicada à privacidade: não esconda a proteção de dados no apêndice. Faça da conformidade à CCPA uma categoria própria, sinalizando que a privacidade faz parte dos critérios da empresa, não uma questão secundária.

  • Peça detalhes específicos: solicite uma lista clara de quais dados pessoais o fornecedor coleta, processa e mantém, como nomes, e-mails, dados de cartão e IDs de dispositivo e por quê. Compare as respostas entre fornecedores, entendendo que a cobrança de dados extra ou desnecessária é um sinal de alerta.

  • Investigue o tratamento dos direitos do cliente: pergunte como ele processa solicitações de acesso e exclusão, incluindo a verificação e prazos de entrega. Fornecedores confiantes podem explicar isso com detalhes ou fornecer fluxos de trabalho como exemplo.

  • Verifique procedimentos de retenção e saída de dados: exija que os fornecedores declarem por quanto tempo mantêm dados pessoais, o que desencadeia a exclusão dos mesmos e como lidam com os dados quando seu contrato termina. Você precisa identificar um compromisso em excluir ou devolver dados caso precise.

  • Avalie segurança e transparência: peça relatórios de auditoria (por exemplo, SOC 2, PCI DSS, ISO/IEC 27001) e procedimentos escritos de notificação de violações. Fornecedores que não podem fornecê-los não estão prontos para a conformidade empresarial.

Como o Stripe Payments pode ajudar

O Stripe Payments oferece uma solução global e unificada para empresas de qualquer porte aceitarem pagamentos online e presenciais em escala internacional.

Com o Stripe Payments, você pode:

  • Otimizar a experiência de checkout: ofereça uma jornada de pagamento fluida, economize milhares de horas de engenharia e acesse mais de 125 formas de pagamento, com uma interface pré-construída e o Link, a carteira digital criada pela Stripe.

  • Expandir para novos mercados com mais agilidade: alcance clientes em todo o mundo e simplifique a gestão de múltiplas moedas, reduzindo custos e complexidade com opções de pagamento internacionais disponíveis em 195 países e mais de 135 moedas.

  • Unificar pagamentos online e presenciais: crie uma experiência de unified commerce que conecte canais digitais e físicos, personalize interações, fortaleça a fidelização e impulsione a receita.

  • Melhorar o desempenho de pagamentos: aumente a receita com ferramentas de configuração simples, proteção contra fraudes sem código e recursos avançados que aprimoram as taxas de autorização.

  • Agir com rapidez em uma plataforma confiável e escalável: apoie-se em uma infraestrutura desenhada para crescer com sua empresa, garantindo 99,999% de disponibilidade histórica e confiabilidade de referência no setor.

Saiba mais sobre como Stripe Payments pode impulsionar seus pagamentos online e presenciais ou comece já.

O conteúdo deste artigo é apenas para fins gerais de informação e educação e não deve ser interpretado como aconselhamento jurídico ou tributário. A Stripe não garante a exatidão, integridade, adequação ou atualidade das informações contidas no artigo. Você deve procurar a ajuda de um advogado competente ou contador licenciado para atuar em sua jurisdição para aconselhamento sobre sua situação particular.

Mais artigos

  • Algo deu errado. Tente novamente ou entre em contato com o suporte.

Vamos começar?

Crie uma conta e comece a aceitar pagamentos sem precisar de contratos nem dados bancários, ou fale conosco para criar um pacote personalizado para sua empresa.
Payments

Payments

Aceite pagamentos online, presenciais e em todo o mundo com uma solução desenvolvida para todos os tipos de empresas.

Documentação do Payments

Encontre guias sobre como integrar as APIs de pagamento da Stripe.