Skip to main content
Blog
Blog

Você pode usar o Adyen para PCI DSS?

Sim, MAS dependendo da integração, sua empresa ainda é responsável por garantir a conformidade com o Payment Card Industry Data Security Standard (PCI DSS).

Mar 21, 2025 5 min read
adyen-pci-dss-image-cover

Sim, o Adyen é compatível com PCI DSS como Provedor de Serviços Nível 1, mas os comerciantes que utilizam o Adyen ainda são responsáveis pela própria conformidade com o PCI, dependendo do método de integração.

O Payment Card Industry Data Security Standard (PCI DSS) é um conjunto de padrões de segurança criado para proteger as informações do cartão durante e após uma transação financeira. A conformidade envolve o cumprimento de 12 requisitos, que vão desde a instalação e manutenção de uma rede segura até o monitoramento de scripts de terceiros em suas aplicações web (PCI 6.4.3 e 11.6.1.).

Como estar em conformidade usando o Adyen

Os produtos do Adyen são projetados para ajudar as empresas a reduzir a carga de conformidade com o PCI DSS, tratando os dados sensíveis do cartão de forma segura. No entanto, seus requisitos de conformidade dependem de como você integra o Adyen.

Se você redireciona os usuários para as páginas de pagamento hospedadas pelo Adyen, seu escopo PCI é mínimo (SAQ A).

Se você coleta dados do titular do cartão em seus próprios servidores, você precisará do SAQ D, que traz obrigações de conformidade mais rigorosas.

Seu método de integração com o Adyen determina qual SAQ você precisa preencher:

Tipo de Integração Escopo PCI SAQ Necessário
Páginas de Pagamento Hospedadas pelo Adyen (HPP) Mínimo - O Adyen gerencia totalmente os dados do cartão SAQ A
Criptografia no Lado do Cliente (CSE)* Mínimo - Os dados do cartão são criptografados antes da transmissão* SAQ A-EP*
Integração direta via API Alto - Os dados do titular do cartão passam pelo seu servidor SAQ D

*Agora você precisa monitorar as dependências nas páginas de pagamento, veja mais abaixo.

Qual devo escolher?

  • Use as Páginas de Pagamento Hospedadas pelo Adyen (HPP) → SAQ A (conformidade mais simples, os dados do cartão nunca passam pelos seus servidores).
  • Use Criptografia no Lado do Cliente (CSE) → SAQ A-EP (os dados do cartão são criptografados antes de chegarem ao Adyen).
  • Use integração direta via API → SAQ D (você lida com os dados brutos do cartão, maior carga de PCI).

Se sua empresa processa ou armazena dados do titular do cartão (SAQ D), você deve:

  • Implementar criptografia robusta para dados de pagamento.
  • Configurar políticas de firewall e controle de acesso.
  • Realizar varreduras trimestrais de rede com um Fornecedor de Varredura Aprovado (ASV).
  • Concluir uma auditoria completa de PCI DSS se você for um comerciante Nível 1 (mais de 6 milhões de transações/ano).

*Monitoramento de dependências para conformidade com SAQ A

Conforme a atualização de janeiro de 2025, o PCI Security Standards Council enfatizou a importância do monitoramento de dependências. Isso inclui scripts próprios e de terceiros em sites. Essa atualização exige que os comerciantes garantam que seus sites não sejam vulneráveis a ataques originados desses scripts.

A guia de conformidade PCI DSS da Adyen é a principal fonte específica do processador para integrações com Adyen. Se você está comparando o escopo entre provedores, consulte também o guia de PCI DSS para Stripe.

Determine seu nível de conformidade com o PCI

Nível Critério Requisito de Validação
Nível 1 Mais de 6 milhões de transações por ano Auditoria presencial completa por um QSA + SAQ D
Nível 2 De 1 a 6 milhões de transações por ano SAQ A, SAQ A-EP ou SAQ D + Atestado de Conformidade (AOC)
Nível 3 De 20.000 a 1 milhão de transações online por ano SAQ A, SAQ A-EP ou SAQ D + Atestado de Conformidade (AOC)
Nível 4 Menos de 20.000 transações online OU até 1 milhão de transações no total SAQ A, SAQ A-EP ou SAQ D + Atestado de Conformidade (AOC)

Leitura relacionada: nosso guia de conformidade PCI DSS 6.4.3 e 11.6.1 · as responsabilidades PCI DSS compartilhadas do PayPal Braintree

  • Nível 1 = Deve realizar um ROC (Avaliação Completa de PCI DSS com Relatório Completo de Conformidade por QSA)
  • Nível 2 = Deve realizar ao menos um SAQ com atestação de QSA ou ISA terceirizado
  • Nível 3 = Deve realizar o SAQ
  • Nível 4 = Opcional

Envie a certificação de conformidade com o PCI

  • Usando páginas de pagamento hospedadas? → SAQ A
  • Usando criptografia no lado do cliente (CSE)? → SAQ A-EP
  • Usando integração direta via API? → SAQ D

Para comerciantes com SAQ A e SAQ A-EP:

  • Preencha o SAQ no portal de conformidade PCI do Adyen.
  • Garanta que nenhum script de terceiros interfira nos campos hospedados pelo Adyen.
  • Mantenha a documentação para as revisões anuais de PCI.

Para comerciantes com SAQ D:

  • Implemente controles de segurança robustos (firewall, criptografia, monitoramento).
  • Realize varreduras trimestrais de rede com um Fornecedor de Varredura Aprovado (ASV).
  • Passe por uma auditoria presencial de QSA se processar grandes volumes.

Depois de identificar o SAQ correto com base no seu método de integração, preencha-o de forma completa. A documentação de PCI DSS da Adyen explica as evidências e etapas de validação que comerciantes devem preparar para sua integração específica.

Para uma análise detalhada de quais requisitos de PCI DSS o Adyen cobre e quais permanecem sob sua responsabilidade, consulte Adyen e PCI DSS: o que o processador cobre e o que você deve fazer.

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks, web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

A Adyen possui certificação PCI DSS Nível 1 para sua própria infraestrutura de pagamentos, mas os comerciantes que usam Adyen não estão automaticamente em conformidade PCI. Você ainda precisa completar um SAQ, e se usar o checkout hospedado da Adyen pode se qualificar para SAQ A, mas apenas se nenhum dado de portador de cartão tocar seus servidores. No momento em que você usa Web Components ou Drop-in da Adyen, aplica-se SAQ A-EP, que inclui os requisitos 6.4.3 e 11.6.1 para monitoramento de scripts do lado do cliente.

SAQ A se aplica quando páginas de pagamento são totalmente terceirizadas (hospedadas pela Adyen). SAQ A-EP se aplica quando seu site controla como as páginas de pagamento são construídas, incluindo qualquer uso de Web Components, Drop-in ou integrações iframe da Adyen. SAQ A-EP requer inventário de scripts (6.4.3) e detecção de adulteração (11.6.1) que a Adyen não fornece.

Não. A Adyen tokeniza dados de cartão em seus servidores, mas skimmers estilo Magecart atacam a camada do navegador antes que os dados cheguem à Adyen. Um script comprometido em sua página de checkout pode capturar pressionamentos de tecla ou raspar campos antes que o SDK da Adyen processe o cartão. Monitoramento na camada do navegador é necessário para detectar esses ataques.

A Adyen cobre requisitos de nível de infraestrutura (criptografia, gerenciamento de chaves, armazenamento). Não cobre 6.4.3 (inventário de scripts em páginas de pagamento), 11.6.1 (detecção de adulteração) ou 12.8 (gestão de risco de fornecedor para outros scripts de terceiros em seu checkout). Veja nosso guia PCI Shield para conformidade na camada do navegador.

Você precisa de uma solução na camada do navegador que inventarie cada script em sua página de checkout Adyen, rastreie alterações e gere relatórios prontos para QSA. A cside implanta via uma única tag de script, funciona junto com o SDK da Adyen e produz evidências prontas para auditoria para 6.4.3 e 11.6.1.

Sim. A cside é a fornecedora preferida da AWS para os requisitos PCI DSS 4.0.1 6.4.3 e 11.6.1, respaldada por uma parceria global. Comerciantes que adotam a cside para monitoramento de scripts na camada do navegador podem adquiri-la através da AWS Marketplace e alinhar a implantação com suas ferramentas de segurança AWS e fluxos de conformidade existentes.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança
Related Articles
Agende uma demonstração