Una pci compliant api no es simplemente una API con HTTPS: es una interfaz diseñada de forma que el sistema que la llama nunca tenga acceso a dados de pago sensíveis. Con PCI Proxy EU, el desarrollador integra la pan tokenization através de REST e los PAN permanecen en el vault seguro, fuera de su perímetro. Esta arquitectura reduz el scope PCI DSS de forma drástica e permanente.
Qué es una API PCI compliant e por qué cambia todo para el desarrollador
Una API se considera PCI compliant quando el fluxo de dados que atraviesa garantiza que el sistema solicitante nunca trate el PAN en forma legible. La forma mais extendida de conseguirlo es la tokenização del lado servidor: el dato de cartão se envía directamente al vault del fornecedor através de un formulário o un SDK de recogida, e el backend del comércio recibe únicamente un token opaco para asociar al cliente o al pedido.
Este enfoque tem un impacto directo sobre el scope PCI. Si el backend nunca recibe el PAN, no entra en el CDE (Cardholder Data Environment) e no precisa ser certificado como tal. El desarrollador pode escribir la lógica de pago, de reembolso e de cargo recurrente usando el token como identificador, sin preocuparse del encriptação, la gestão de claves o la auditoría de logs.
El fluxo de integração: como funciona el proxy en la API
La integração con PCI Proxy EU sigue un patrón claro. El frontend recoge los dados de cartão através de un componente de entrada hosted (un iframe o un SDK JavaScript), que envía el PAN directamente al endpoint de PCI Proxy EU por HTTPS. El vault devuelve al frontend un token, que el navegador o la app pasan al backend del comércio junto con el resto de los dados del pedido. A partir de ese momento, el backend trabaja únicamente con el token.
Cuando se precisa processar un pago, el backend llama a la API de PCI Proxy EU con el token e las instrucciones de pago. El proxy recupera el PAN del vault, lo pasa al procesador o al adquirente, e devuelve el resultado de la transação. El comércio apenas ve la autorização o el rechazo: el dato de cartão nunca ha atravesado os seus servidores.
Autenticação, rate limiting e segurança de la API
La API de PCI Proxy EU utiliza autenticação mediante API key con scopes granulares: claves separadas para tokenização, destokenização e chamadas al procesador. Las claves devem rotarse periódicamente e nunca devem exponerse en el código frontend. Cada chamada queda registrada e monitorizada en busca de anomalías, con alertas automáticas en caso de patrones inusuales como ráfagas de solicitudes o accesos desde IPs no autorizadas.
El rate limiting es configurable por comércio e por endpoint, con políticas diferenciadas para el ambiente de testes e el de producção. El sandbox replica fielmente el comportamiento de la API en producção, incluidas las respuestas de error, permitiendo al equipa de desarrollo probar cada escenario antes del despliegue. La documentação OpenAPI está disponible para generar clientes en cualquier lenguaje.
Preguntas frecuentes
Tengo que modificar mi backend para usar la API de PCI Proxy EU?
Las modificaciones afectan principalmente al frontend, onde el formulário de recogida de cartão se substitui por el componente hosted. El backend exige cambios menores: en lugar de recibir el PAN, recibe el token e lo usa en las chamadas API hacia PCI Proxy EU. La lógica de negocio permanece invariada.
La API es RESTful e soporta webhooks?
La API sigue las convenciones REST con payload JSON e responde con códigos HTTP estándar. Los webhooks estão soportados para los eventos asíncronos como el resultado de transações diferidas, los 3DS2 challenge e las notificaciones de contracargo. Cada webhook inclui una firma HMAC para verificar su autenticidade.
Como pruebo la integração sin cartões reales?
PCI Proxy EU pone a disposição un ambiente sandbox con credenciales de prueba dedicadas e un conjunto de cartões de prueba que simulan escenarios de éxito, rechazo, 3DS2 challenge e timeout. Ningún dato de cartão real transita en el ambiente de testes, e no se exigem credenciales de adquirente para comenzar a desarrollar.
Listo para integrar la tokenização PCI sin tocar un PAN? Consulta la documentação e accede al sandbox en pocos minutos. Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nosNa prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para desenvolvedor.
Na prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para desenvolvedor.
Na prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para desenvolvedor.