El pci dss as a service es uno de los modelos de conformidade mais adoptados en Europa, mas também uno de los mais malentendidos. Muchos comerciantes creen que delegar el conformidade en un fornecedor significa transferir toda la responsabilidade. La realidade es distinta: algunas responsabilidades PCI DSS sempre recaen sobre el comércio por ley, independientemente de cuántos componentes se externalicen. Conocer exactamente esta distinção es fundamental para no llevarse sorpresas durante una auditoría o tras una brecha de dados.
Qué es el PCI DSS como Serviço e qué cubre realmente
El pci dss outsourcing en sentido técnico significa delegar la gestão del CDE (Cardholder Data Environment) a un fornecedor certificado PCI DSS Nível 1. El fornecedor asume la responsabilidade de todos los controles técnicos e organizativos relativos a su perímetro: encriptação de los dados de cartão, gestão de las claves criptográficas con HSM certificado, monitorização de segurança, testes de penetração, actualizaciones de segurança e documentação para la auditoría anual. El comércio no precisa certificar estos componentes: la certificação del fornecedor cubre esa parte de la infraestrutura.
Con la tokenization as a service europe, el perímetro PCI del comércio se reduz drásticamente. Los sistemas empresariales reciben únicamente tokens, no PAN, por lo que quedan fuera del perímetro PCI para los componentes que no tocan dados de cartão. Esto permite al comércio completar un SAQ A en lugar de un Relatório de Conformidade completo, con un poupança de tiempo e custos que na prática se traduce en decenas de miles de euros al año. El fornecedor também gere las actualizaciones a la versión vigente del estándar (atualmente PCI DSS v4), garantizando que el perímetro delegado permanezca sempre conforme.
Qué nunca puedes delegar: responsabilidade residual del comércio
Incluso con el modelo as-a-service mais completo, algunas responsabilidades sempre recaen sobre el comércio. La gestão de los accesos de los usuarios a sus propios sistemas, las políticas de segurança internas, la formação del personal sobre los riesgos de segurança, la monitorização de los logs de aplicaciones propios e la gestão de los incidentes de segurança que afecten a la propia infraestrutura (aunque no contenga dados de cartão) são ámbitos que no podem delegarse a un fornecedor externo.
En caso de brecha de dados que involucre dados de cartão custodiados por el fornecedor, la responsabilidade contractual e legal frente a los clientes finales sigue recayendo sobre el comércio como responsable del tratamiento según el RGPD. El fornecedor responde por su parte, mas el comércio no pode liberarse de la responsabilidade hacia sus clientes. Por eso los contratos con fornecedores PCI DSS devem incluir cláusulas claras sobre responsabilidade, notificaciones en caso de brecha e garantías aseguradoras.
Comparação de custos: DIY vs PCI DSS como Serviço
Un comércio que gere internamente su propio CDE afronta custos fijos e variables significativos. En el lado fijo: infraestrutura dedicada (servidores, HSM, cortafuegos certificados), personal especializado en segurança (al menos un ingeniero de segurança a tiempo completo), auditoría QSA anual (entre 30.000 e 80.000 euros para Nivel 1), testes de penetração semestrales (de 5.000 a 20.000 euros por intervenção). En el lado variable: custos de remediação por cada gap encontrado durante las auditorias, actualizaciones de infraestrutura requeridas por los nuevos requisitos del estándar.
Con el modelo as-a-service, el custo se reduz a una cuota mensual o por transação que escala con los volúmenes. La auditoría del propio perímetro reducido (tipicamente un SAQ A) exige pocas horas de trabajo interno en lugar de semanas. No há infraestrutura que gerir, no há personal especializado que contratar e no há custos de remediação para el perímetro delegado. Para la mayoría de las empresas europeas con menos de 6 millones de transações anuales, el punto de equilibrio frente al DIY se alcanza en el primer mes de uso.
Preguntas frecuentes
Con el PCI DSS como Serviço, tengo que completar igualmente el SAQ?
Sí, mas de forma mucho mais sencilla. Con un perímetro reducido gracias a la tokenização, la mayoría de los comerciantes pode completar un SAQ A, que es el cuestionario mais breve e menos exigente, aplicable quando ningún dato de cartão transita por los sistemas del comércio. La cumplimentação exige unas horas en lugar de las semanas necesarias para los SAQ mais complejos.
El modelo as a service vale também para comerciantes de Nivel 1?
Sí. Incluso un comércio de Nivel 1 pode reduzir significativamente su perímetro delegando el CDE. La auditoría sigue siendo obligatoria (ROC con QSA), mas el perímetro a auditar es mucho mais pequeño. Muchos comerciantes de Nivel 1 usan el modelo as-a-service precisamente para simplificar e reduzir los custos de la auditoría anual.
Cuánto tiempo lleva activar el serviço?
La integração técnica de PCI Proxy EU exige tipicamente 3-10 días laborables para un equipa con experiência en API REST. El proceso inclui la firma del contrato, el acceso al sandbox para las testes, la integração en producção e la verificação funcional. No se exige ninguna infraestrutura adicional por parte del comércio.
Quieres delegar la parte técnica del conformidade PCI DSS e manter apenas las responsabilidades que por ley corresponden al comércio? Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos