El conformidade PCI en marketplaces es uno de los escenarios mais complejos del estándar porque la responsabilidade no recae sobre una única entidade, sino que se distribuye entre el propietario de la plataforma e los vendedores que operan en ella. Quien construye un marketplace deve responder a una pregunta fundamental antes de desarrollar su modelo de pago: la plataforma toca los dados de cartão de los clientes o los pasa directamente a los vendedores? La respuesta determina quem entra en el perímetro PCI e con qué nivel de responsabilidade.
La cadena de responsabilidade PCI en los marketplaces multi-vendedor
En el modelo marketplace, el fluxo de pago pode seguir dos esquemas principales. En el primero, el cliente paga a la plataforma que luego distribuye los fondos a los vendedores: en este caso el propietario de la plataforma es el comerciante principal, gere los dados de cartão e responde de las obrigações PCI para la transação completa. En el segundo, el pago se realiza directamente entre el cliente e el vendedor (con la plataforma como facilitador), e cada vendedor es responsable de su propio conformidade.
En la práctica, la mayoría de los marketplaces modernos opera con un modelo híbrido que faz ambigua la cadena de responsabilidade. Si la plataforma recoge los dados de cartão e los pasa a los vendedores para su processamento, actúa como fornecedor de serviços PCI respecto a los vendedores. Si la plataforma simplemente enruta el pago através de un PSP integrado sin ver los dados de cartão, su ámbito depende de la configuração técnica específica. A menudo es necesario contar simultáneamente con un abogado especializado en pagos e un QSA para mapear correctamente quem responde de qué.
El propietario de la plataforma responde por los vendedores?
El propietario de la plataforma no es automáticamente responsable del conformidade PCI de los vendedores que operan en ella, mas tem obrigações específicas si proporciona ferramentas de pago a los vendedores o si los dados de cartão transitan por su infraestrutura antes de llegar a ellos. El PCI DSS exige que los fornecedores de serviços documenten la responsabilidade sobre cada requisito en su SAQ o RoC, especificando qué controles corresponden al fornecedor e cuáles al cliente (vendedor).
En la práctica, los marketplaces que quieren proteger su posição contractual e reputacional suelen exigir a los vendedores su propia atestação de conformidade (AOC o SAQ completado) como condição de incorporação. Esto no transfiere la responsabilidade, mas crea un marco documentable para demostrar la diligencia del propietario de la plataforma. El adquirente del marketplace pode solicitar evidencias específicas sobre como se seleccionan e supervisan los vendedores en materia de conformidade.
Como PCI Proxy EU centraliza el conformidade del marketplace
La solução mais eficiente para un marketplace es centralizar la recogida e el armazenamento de dados de cartão en un vault común, en lugar de distribuir la responsabilidade entre cada vendedor. Con PCI Proxy EU, la plataforma recoge los dados de cartão una sola vez através de la payment page certificada e los tokeniza. Los vendedores reciben tokens que podem usar para autorizar pagos sin tocar nunca el PAN. El vault es compartido, mas los tokens estão segmentados por vendedor: cada vendedor apenas ve a sus propios clientes.
Este enfoque simplifica radicalmente el conformidade: el propietario de la plataforma gere un único CDE certificado, los vendedores no entran en el perímetro PCI para la parte de armazenamento de dados e la incorporação de nuevos vendedores no exige verificar su conformidade individual para este componente. El perímetro PCI permanece estable independientemente del crecimiento en el número de vendedores en la plataforma, eliminando el riesgo de una superficie de ataque que crece proporcionalmente al negocio.
Preguntas frecuentes
Debo exigir a mis vendedores la certificação PCI DSS?
Depende del modelo de pago. Si los vendedores gerem dados de cartão de forma autónoma (por ejemplo, con terminales propios o cuentas PSP separadas), cada uno responde por sí mismo e el marketplace tem interés en documentar la pedido de atestação. Si en cambio la plataforma centraliza los pagos e los vendedores apenas ven tokens, los vendedores no estão en el ámbito del armazenamento de dados e no es necesario exigirles una certificação específica para este aspecto.
Un marketplace que usa Stripe Connect sigue teniendo obrigações PCI?
Sí. Stripe Connect reduz el perímetro PCI si la plataforma usa Stripe Elements o Stripe.js para recoger los dados de cartão directamente en el frontend de Stripe, sin que los dados transiten por el backend del marketplace. Si en cambio el backend de la plataforma toca los dados de cartão (aunque sea apenas para reenviarlos), el perímetro se amplía. El AOC de Stripe cubre su propia infraestrutura, no automáticamente el código del marketplace que lo integra.
Como funciona la responsabilidade compartida en un modelo SaaS con pagos?
Un SaaS que processa pagos en nombre de sus clientes se clasifica como fornecedor de serviços. Deve documentar formalmente, para cada requisito PCI, si la responsabilidade es del fornecedor, del cliente o compartida. Este documento se denomina Responsibility Matrix e deve adjuntarse al AOC del fornecedor. Los clientes del SaaS utilizan esta matriz para completar su propio SAQ e comprender qué requisitos les corresponden.
Un vault central para todo el marketplace: un CDE, todos los vendedores cubiertos. Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos