Inicio
Documentação
Recursos
Parcerias
Comunidade

Recursos

Confira as atualizaçÔes das nossas soluçÔes e do funcionamento do sistema ou peça suporte técnico.

Parcerias

Conheça nosso programa para agĂȘncias ou desenvolvedores que oferecem serviços de integração e vendedores que desejam contratĂĄ-los.

Comunidade

Fique por dentro das Ășltimas novidades, peça ajuda a outros integradores e compartilhe seu conhecimento.

PCI DSS

No Mercado Pago garantimos a confidencialidade, a disponibilidade e a Integridade de todos os nossos processos seguindo as melhores prĂĄticas do mercado para que vocĂȘ possa utilizar todos os nossos produtos com segurança.

AlĂ©m disso, para que o Mercado Pago possa operar com cartĂ”es de crĂ©dito e dĂ©bito, devemos cumprir um dos mais exigentes padrĂ”es de segurança da indĂșstria de pagamentos: o Payment Card Industry Data Security Standard.

Definição e contexto

Se vocĂȘ jĂĄ armazenou, processou ou transmitiu dados de cartĂŁo em sua empresa, provavelmente jĂĄ ouviu falar de PCI. No Mercado Pago queremos ajudĂĄ-lo e simplificar a tarefa de compreensĂŁo deste regulamento e das diferentes responsabilidades associadas.

Como prestadora de serviços, devemos cumprir as responsabilidades regulatórias e de segurança em relação às bandeiras e adquirentes de cartÔes, mas, ainda assim, a segurança em todo o processo de pagamento é obrigação de ambas as partes. Os comerciantes e/ou plataformas de e-commerce integradas a processadores de pagamentos, como o Mercado Pago, devem atender a requisitos mínimos de segurança para mitigar riscos de fraude e vazamento de informaçÔes, protegendo os dados do usuårio.

PCI DSS (Payment Card Industry Data Security Standard) é um padrão de segurança internacional que deve ser atendido por todas as entidades que armazenam, processam ou transmitem dados de cartão.

Os regulamentos PCI estabelecem um nível båsico de proteção para os portadores de cartão (portadores de cartão) e ajudam a reduzir fraudes e violaçÔes de dados em todo o ecossistema de pagamentos.

A conformidade com os regulamentos PCI envolve 3 aspectos importantes:

  • Transmitir com segurança as informaçÔes correspondentes aos dados do titular do cartĂŁo.
  • Armazenar os dados de acordo com as melhores prĂĄticas de segurança do setor e com os 12 requisitos regulamentares incluĂ­dos no padrĂŁo PCI.
  • Validar anualmente a conformidade com os controles de segurança e formulĂĄrios de avaliação propostos pelo PCI Council.

Recomendamos que vocĂȘ visite o site oficial do PCI para obter mais informaçÔes. Abaixo temos um resumo dos objetivos dos controles de segurança PCI.

ObjetivoRequisito
CRIE E MANTENHA SISTEMAS E REDE SEGUROSInstalar e manter um firewall configurado para proteger os dados do portador do cartĂŁo.

Não use padrÔes fornecidos pelo fornecedor para senhas do sistema e outros parùmetros de segurança.
PROTEJA OS DADOS DOS PORTADORES DE CARTÃOProteja os dados armazenados do titular do cartão.

Criptografe a transmissĂŁo dos dados do titular do cartĂŁo em redes abertas ou pĂșblicas.
MANTENHA UM PROGRAMA DE GERENCIAMENTO DE VULNERABILIDADEProteja todos os sistemas contra software malicioso e atualize regularmente o software antivĂ­rus.

Desenvolva e mantenha sistemas e aplicativos seguros.
CRIE MEDIDAS DE CONTROLE DE ACESSO SÓLIDASRestrinja o acesso aos dados de acordo com a necessidade de saber quem tem a organização.

Identifique e autentique o acesso aos componentes do sistema. Restrinja o acesso fĂ­sico aos dados do titular do cartĂŁo.
MONITORE E VERIFIQUE PERIODICAMENTE AS REDESRastreie e monitore todo o acesso aos recursos da rede e aos dados do titular do cartĂŁo.

Verifique periodicamente os sistemas e processos de segurança.
TENHA UMA POLÍTICA DE SEGURANÇA DA INFORMAÇÃOTenha uma política que inclua a segurança da informação para todo o pessoal.
Leia o documento PCI DSS - Data Security Standard para obter mais detalhes. O documento estĂĄ disponĂ­vel na biblioteca de documentos do site oficial do PCI .

Para cada um dos doze requisitos de PCI, existem basicamente quatro níveis diferentes de conformidade, normalmente com base no volume de transaçÔes através de cartão que sua organização processa anualmente, e cada nível tem um conjunto de obrigaçÔes.

  • NĂ­vel 1: (i) OrganizaçÔes que processam mais de 6 milhĂ”es de transaçÔes por ano para Visa ou MasterCard ou mais de 2,5 milhĂ”es para American Express; (ii) OrganizaçÔes que sofreram violação de dados; (iii) OrganizaçÔes consideradas nĂ­vel 1 por qualquer associação de cartĂŁo.
    • RelatĂłrio Anual de Conformidade (ROC) por um Avaliador de Segurança Qualificado (QSA) ou Auditor Interno.
    • Digitalização de rede trimestral por fornecedor aprovado (ASV).
    • Certificação de conformidade (AOC).

  • NĂ­vel 2: OrganizaçÔes que processam entre 1 e 6 milhĂ”es de transaçÔes por ano.
    • QuestionĂĄrio anual de autoavaliação PCI (SAQ) correspondente.
    • Digitalização de rede trimestral por fornecedor aprovado (ASV).
    • Certificação de conformidade (AOC) para cada um dos dois SAQs correspondentes.

  • NĂ­vel 3: OrganizaçÔes que processam entre 20.000 e 1 milhĂŁo de transaçÔes online por ano e organizaçÔes que processam menos de 1 milhĂŁo de transaçÔes no total.
    • QuestionĂĄrio anual de autoavaliação PCI (SAQ) correspondente.
    • Digitalização de rede trimestral por fornecedor aprovado (ASV).
    • Certificação de conformidade (AOC) para cada um dos dois SAQs correspondentes.

  • NĂ­vel 4: OrganizaçÔes que processam menos de 20.000 transaçÔes online por ano e organizaçÔes que processam atĂ© 1 milhĂŁo de transaçÔes totais por ano.
    • QuestionĂĄrio anual de autoavaliação PCI (SAQ) correspondente.
    • Digitalização de rede trimestral por fornecedor aprovado (ASV).
    • Certificação de conformidade (AOC) para cada um dos dois SAQs correspondentes.
O SAQ (Self-Assessment Questionnaire) é um formulårio de autoavaliação PCI que deve ser preenchido por empresas ou prestadores de serviços que não são elegíveis para preencher um Relatório de Conformidade de Nível 1 e cujo objetivo é validar a conformidade regulamentar por meio de uma série de controles resumidos em perguntas "sim" ou "não".

Compliance

Mercado Pago é responsåvel por garantir as informaçÔes dos dados do titular do cartão assim que ele entrar em seu ambiente, por isso é importante que as empresas e / ou plataformas de comércio eletrÎnico realizem os controles de segurança apropriados para transmiti-los corretamente. Como prestador de serviços, o Mercado Pago pode validar a conformidade solicitando comprovação da documentação do PCI correspondente de acordo com o produto utilizado.

O Mercado Pago simplifica consideravelmente o Înus do cumprimento deste regulamento para as organizaçÔes que adotam qualquer um dos produtos do Mercado Pago, uma vez que utilizam campos que se originan diretamente de nossos servidores em uma årea segura para a entrada de dados do cartão do cliente. Desta forma, a maioria dos requisitos do PCI DSS recai no Mercado Pago e isso reduzirå consideravelmente seus esforços em controles de segurança.

Para estar em conformidade com o PCI DSS, demonstrar sua conformidade e, por sua vez, proteger os detalhes do cartĂŁo de seus clientes, Ă© importante que vocĂȘ use esses tipos de integraçÔes para garantir que os dados inseridos pelos titulares do cartĂŁo nĂŁo cheguem aos seus servidores.

Como vimos nas seçÔes anteriores, para o nĂ­vel 1, Ă© necessĂĄrio realizar uma auditoria com um consultor externo. Por outro lado, para os nĂ­veis 2 a 4 existem diferentes tipos de SAQ dependendo do mĂ©todo de integração de pagamento que vocĂȘ usa. Recomendamos que vocĂȘ complete o SAQ correspondente de acordo com o tipo de checkout escolhido devido Ă s obrigaçÔes impostas pelos regulamentos PCI.

Aqui resumimos que tipo de SAQ vocĂȘ deve preencher para cada solução de integração oferecida pelo Mercado Pago.

SoluçãoSAQ
Checkout BricksA
Checkout ProA
Checkout TransparenteA
Lembre-se que o Mercado Pago pode exigir esta documentação devido ao seu papel como PSP.

Vantagens de um SAQ-A

O Questionårio de Autoavaliação A (SAQ A) é aplicåvel aos produtos mencionados anteriormente e é importante entender que a maior vantagem dessas integraçÔes é que elas delegam quase que inteiramente os controles de segurança ao Mercado Pago, que é certificado em PCI-DSS.

O documento possui apenas 22 requisitos de segurança que devem ser aplicados e auditados anualmente, como políticas, controles de acesso, manutenção de rede e aplicativos seguros, além de restriçÔes de acesso físico a ambientes de dados de cartÔes, se aplicåvel.

Ao contrĂĄrio de outros tipos de documentos, como o QuestionĂĄrio de Autoavaliação D(*) (aplicĂĄvel Ă s nossas antigas integraçÔes via API) ou o QuestionĂĄrio de Autoavaliação A-EP(**), vocĂȘ estarĂĄ reduzindo consideravelmente sua carga de trabalho em termos de controles de segurança e delegação de responsabilidade a um terceiro certificado.

(*) O Questionårio de Autoavaliação D para empresas consiste em 250 requisitos de segurança que devem ser auditados e atendidos anualmente.
(**) O Questionårio de Autoavaliação A-EP é composto por 191 requisitos de segurança que devem ser auditados e atendidos anualmente.

AlĂ©m disso, reduz consideravelmente o risco de sua integração, uma vez que o ambiente de dados do cartĂŁo estĂĄ localizado em uma ĂĄrea segura hospedada pelo Mercado Pago e vocĂȘ nĂŁo precisarĂĄ armazenar nenhum tipo de informação sigilosa do titular do cartĂŁo.

É importante que vocĂȘ considere migrar para a nova solução Checkout Transparente com Secure Fields caso esteja integrado via API, a fim de facilitar sua conformidade com PCI e proteger o canal de pagamento, reduzindo o risco de qualquer tipo de ataque e danos aos dados de seu clientes e Mercado Pago.

Consulte o documento SAQ Instructions and Guidelines da biblioteca oficial do PCI para obter detalhes sobre a descrição de cada SAQ.