Skip to main content
Blog
Blog

Você pode usar o Adyen para PCI DSS?

Sim, MAS dependendo da integração, sua empresa ainda é responsável por garantir a conformidade com o Payment Card Industry Data Security Standard (PCI DSS).

Mar 21, 2025 4 min read
adyen-pci-dss-image-cover
Share this post on X (Twitter) Visit cside on Instagram Share this post on LinkedIn

Sim, o Adyen é compatível com PCI DSS como Provedor de Serviços Nível 1, mas os comerciantes que utilizam o Adyen ainda são responsáveis pela própria conformidade com o PCI, dependendo do método de integração.

O Payment Card Industry Data Security Standard (PCI DSS) é um conjunto de padrões de segurança criado para proteger as informações do cartão durante e após uma transação financeira. A conformidade envolve o cumprimento de 12 requisitos, que vão desde a instalação e manutenção de uma rede segura até o monitoramento de scripts de terceiros em suas aplicações web (PCI 6.4.3 e 11.6.1.).

Como estar em conformidade usando o Adyen

Os produtos do Adyen são projetados para ajudar as empresas a reduzir a carga de conformidade com o PCI DSS, tratando os dados sensíveis do cartão de forma segura. No entanto, seus requisitos de conformidade dependem de como você integra o Adyen.

Se você redireciona os usuários para as páginas de pagamento hospedadas pelo Adyen, seu escopo PCI é mínimo (SAQ A).

Se você coleta dados do titular do cartão em seus próprios servidores, você precisará do SAQ D, que traz obrigações de conformidade mais rigorosas.

Seu método de integração com o Adyen determina qual SAQ você precisa preencher:

Tipo de Integração Escopo PCI SAQ Necessário
Páginas de Pagamento Hospedadas pelo Adyen (HPP) Mínimo - O Adyen gerencia totalmente os dados do cartão SAQ A
Criptografia no Lado do Cliente (CSE)* Mínimo - Os dados do cartão são criptografados antes da transmissão* SAQ A-EP*
Integração direta via API Alto - Os dados do titular do cartão passam pelo seu servidor SAQ D

*Agora você precisa monitorar as dependências nas páginas de pagamento, veja mais abaixo.

Qual devo escolher?

  • Use as Páginas de Pagamento Hospedadas pelo Adyen (HPP) → SAQ A (conformidade mais simples, os dados do cartão nunca passam pelos seus servidores).
  • Use Criptografia no Lado do Cliente (CSE) → SAQ A-EP (os dados do cartão são criptografados antes de chegarem ao Adyen).
  • Use integração direta via API → SAQ D (você lida com os dados brutos do cartão, maior carga de PCI).

Se sua empresa processa ou armazena dados do titular do cartão (SAQ D), você deve:

  • Implementar criptografia robusta para dados de pagamento.
  • Configurar políticas de firewall e controle de acesso.
  • Realizar varreduras trimestrais de rede com um Fornecedor de Varredura Aprovado (ASV).
  • Concluir uma auditoria completa de PCI DSS se você for um comerciante Nível 1 (mais de 6 milhões de transações/ano).

*Monitoramento de dependências para conformidade com SAQ A

Conforme a atualização de janeiro de 2025, o PCI Security Standards Council enfatizou a importância do monitoramento de dependências. Isso inclui scripts próprios e de terceiros em sites. Essa atualização exige que os comerciantes garantam que seus sites não sejam vulneráveis a ataques originados desses scripts.

Consulte a documentação do Stripe sobre PCI DSS aqui.

Determine seu nível de conformidade com o PCI

Nível Critério Requisito de Validação
Nível 1 Mais de 6 milhões de transações por ano Auditoria presencial completa por um QSA + SAQ D
Nível 2 De 1 a 6 milhões de transações por ano SAQ A, SAQ A-EP ou SAQ D + Atestado de Conformidade (AOC)
Nível 3 De 20.000 a 1 milhão de transações online por ano SAQ A, SAQ A-EP ou SAQ D + Atestado de Conformidade (AOC)
Nível 4 Menos de 20.000 transações online OU até 1 milhão de transações no total SAQ A, SAQ A-EP ou SAQ D + Atestado de Conformidade (AOC)
  • Nível 1 = Deve realizar um ROC (Avaliação Completa de PCI DSS com Relatório Completo de Conformidade por QSA)
  • Nível 2 = Deve realizar ao menos um SAQ com atestação de QSA ou ISA terceirizado
  • Nível 3 = Deve realizar o SAQ
  • Nível 4 = Opcional

Envie a certificação de conformidade com o PCI

  • Usando páginas de pagamento hospedadas? → SAQ A
  • Usando criptografia no lado do cliente (CSE)? → SAQ A-EP
  • Usando integração direta via API? → SAQ D

Para comerciantes com SAQ A e SAQ A-EP:

  • Preencha o SAQ no portal de conformidade PCI do Adyen.
  • Garanta que nenhum script de terceiros interfira nos campos hospedados pelo Adyen.
  • Mantenha a documentação para as revisões anuais de PCI.

Para comerciantes com SAQ D:

  • Implemente controles de segurança robustos (firewall, criptografia, monitoramento).
  • Realize varreduras trimestrais de rede com um Fornecedor de Varredura Aprovado (ASV).
  • Passe por uma auditoria presencial de QSA se processar grandes volumes.

Depois de identificar o SAQ correto com base no seu método de integração, preencha-o de forma completa. O Stripe disponibiliza um assistente de PCI no seu Dashboard para guiá-lo nesse processo.

Simon Wijckmans
Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

Ask ChatGPT
Ask Perplexity AI
Ask Gemini
Grok Ask Grok
Ask Claude

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.
Agende uma demonstração
Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança
Related Articles
Agende uma demonstração