Níveis de conformidade PCI DSS
O PCI DSS tem quatro níveis de comerciante, definidos pelo número de transações de cartão que processa por ano. Aqui está o que cada nível significa, o que requer — e como a tokenização simplifica a sua validação qualquer que seja o nível em que está.
O seu nível depende do volume — não do esforço
As marcas de cartão e os adquirentes atribuem um nível com base no seu volume anual de transações por marca. Quanto maior o volume, mais rigorosa a validação. Uma violação de dados pode colocar qualquer comerciante diretamente no Nível 1.
Definido pelo volume
A sua contagem anual de transações por marca de cartão decide o seu nível, atribuído pelo seu adquirente.
Validação diferente
O Nível 1 requer auditoria externa; os Níveis 2–4 tipicamente fazem autoavaliação com um questionário.
Violação agrava
Uma comprometimento pode mover qualquer comerciante para o relatório de Nível 1, independentemente do tamanho.
Níveis de comerciante PCI DSS em resumo
| Nível | Volume anual de transações | Validação típica |
|---|---|---|
| Nível 1 | Mais de ~6M transações/ano (ou qualquer comerciante após uma violação) | Relatório Anual de Conformidade (QSA) + análises ASV trimestrais |
| Nível 2 | ~1M–6M transações/ano | Questionário Anual de Autoavaliação + análises trimestrais |
| Nível 3 | ~20.000–1M transações e-commerce/ano | Questionário Anual de Autoavaliação + análises trimestrais |
| Nível 4 | Abaixo de ~20.000 e-commerce / até 1M outras transações/ano | Questionário Anual de Autoavaliação (análises quando aplicável) |
Limites indicativos — os valores exatos variam consoante a rede de cartões. Confirme o seu nível com o seu banco adquirente.
O seu nível mantém-se — a sua carga de trabalho diminui
A tokenização não altera o nível em que o seu volume o coloca, mas transforma a quantidade que tem de validar. Quando os dados do cartão nunca tocam os seus sistemas, a maioria dos comerciantes qualifica para SAQ A — o questionário mais curto — em qualquer nível. O PCI Proxy é ele próprio um cofre PCI DSS Level 1, pelo que herda o trabalho pesado.
Níveis PCI DSS, respondidos
01 Quais são os níveis de conformidade PCI DSS?
O PCI DSS define quatro níveis de comerciante com base no volume anual de transações de cartão. O Nível 1 é o maior (geralmente mais de 6 milhões de transações por ano ou qualquer comerciante após uma violação), o Nível 2 corresponde a cerca de 1–6 milhões, o Nível 3 cobre aproximadamente 20.000–1 milhão de transações de e-commerce, e o Nível 4 é todos os que ficam abaixo. Os níveis mais altos exigem validação mais rigorosa.
02 Como sei qual o nível PCI em que estou?
O seu nível é definido pelo seu adquirente ou pelas marcas de cartão com base no seu volume anual de transações por marca. Os limites exatos variam ligeiramente consoante a rede de cartões, por isso confirme com o seu banco adquirente — mas o volume é o principal fator, e uma violação pode colocar qualquer comerciante no Nível 1.
03 O que tem de fazer cada nível PCI?
Os comerciantes de Nível 1 necessitam de um Relatório Anual de Conformidade de um Avaliador de Segurança Qualificado mais análises trimestrais. Os Níveis 2–4 geralmente preenchem um Questionário de Autoavaliação e, onde são tratados dados de cartão, análises trimestrais. Reduzir os dados de cartão que toca encolhe o questionário que tem de preencher.
04 A tokenização muda o meu nível PCI?
A tokenização não altera o nível em que o seu volume o coloca, mas reduz dramaticamente o que tem de validar. Como os dados do cartão nunca tocam os seus sistemas, a maioria dos comerciantes qualifica para o muito mais curto SAQ A — independentemente do nível — tornando a conformidade muito mais fácil em qualquer volume.
Simplifique o PCI em qualquer nível
Diga-nos o seu volume e como lida com cartões, e mostraremos como a tokenização mantém a sua validação no SAQ A.