Sim, o PayPal (e o Braintree) é compatível com PCI DSS como um Provedor de Serviços de Nível 1, mas dependendo da sua integração, você ainda é obrigado a completar um SAQ anual para estar em conformidade com PCI. Depende de como você integra o PayPal ao seu negócio. Veja como:
O Payment Card Industry Data Security Standard (PCI DSS) é um conjunto de padrões de segurança projetados para proteger informações de cartões durante e após uma transação financeira. A conformidade envolve aderir a 12 requisitos, desde instalar e manter uma rede segura até ter um inventário de scripts de terceiros executados em suas páginas web (PCI 6.4.3 e 11.6.1).
Como estar em conformidade usando o PayPal
De acordo com as diretrizes oficiais do PayPal, seus requisitos de conformidade com PCI DSS dependem de como sua empresa lida com dados de pagamento. Se você redireciona usuários para o checkout hospedado do PayPal, seu escopo PCI é mínimo (SAQ A). No entanto, se você processa dados brutos de cartão, deve completar o SAQ D e seguir controles de segurança mais rigorosos.
Existem três maneiras principais pelas quais as empresas usam o PayPal:
| Tipo de Integração | Escopo PCI | SAQ Necessário |
|---|---|---|
| PayPal Standard, Express Checkout ou Smart Button (redirecionamento para o PayPal) | Mínimo - Nenhum dado do titular do cartão em seus servidores | SAQ A |
| Interface drop-in avançada do Braintree do PayPal* | Mínimo - Campos hospedados, nenhum dado do titular do cartão em seus servidores* | SAQ A* |
| Integração direta via API (PayPal Pro, Braintree, API ou armazenamento de dados de cartão) | Alto - Dados do titular do cartão passam pelo seu servidor | SAQ D |
*Agora você precisa monitorar dependências em páginas de pagamento, mais abaixo.
- Se você redireciona usuários para o checkout hospedado do PayPal, você se qualifica para SAQ A.
- Se você usa campos hospedados (por exemplo, Braintree Drop-in UI), você se qualifica para SAQ A.
- Se você coleta e armazena dados do titular do cartão, deve completar o SAQ D e implementar controles PCI completos.
Se sua empresa processa ou armazena dados do titular do cartão (SAQ D), você deve:
- Implementar criptografia forte para dados de pagamento.
- Configurar políticas de firewall e controle de acesso.
- Realizar varreduras de rede trimestrais com um Approved Scanning Vendor (ASV).
- Completar uma auditoria PCI DSS completa se você for um comerciante de Nível 1 (mais de 6 milhões de transações/ano).
O Braintree é de propriedade do PayPal e opera como sua subsidiária. Esse relacionamento tem um impacto direto na conformidade com PCI, dependendo de qual produto PayPal ou Braintree você usa. O Braintree fornece opções de processamento de pagamento mais diretas, o que significa que você pode precisar do SAQ D se os dados do cartão interagirem com seus servidores.
*Monitoramento de dependências para conformidade com SAQ A
Conforme a atualização de janeiro de 2025, o PCI Security Standards Council enfatizou a importância de monitorar dependências. Isso inclui scripts próprios e de terceiros em sites. Esta atualização exige que os comerciantes garantam que seus sites não sejam suscetíveis a ataques originados desses scripts.
Encontre a documentação do PayPal sobre PCI DSS aqui.
Determine seu nível de conformidade com PCI
| Nível | Critério | Requisito de Validação |
|---|---|---|
| Nível 1 | Mais de 6 milhões de transações anualmente | Auditoria completa no local por um QSA + SAQ D |
| Nível 2 | 1 a 6 milhões de transações anualmente | SAQ A, SAQ A-EP ou SAQ D + Attestation of Compliance (AOC) |
| Nível 3 | 20.000 a 1 milhão de transações online anualmente | SAQ A, SAQ A-EP ou SAQ D + Attestation of Compliance (AOC) |
| Nível 4 | Menos de 20.000 transações online OU até 1 milhão de transações totais | SAQ A, SAQ A-EP ou SAQ D + Attestation of Compliance (AOC) |
- Nível 1 = Deve fazer um ROC (Avaliação PCI DSS Completa com Relatório Completo de Conformidade por QSA)
- Nível 2 = Deve fazer pelo menos um SAQ com atestado de QSA ou ISA de terceiros
- Nível 3 = Deve fazer SAQ
- Nível 4 = Opcional
Envie a certificação de conformidade com PCI
Para comerciantes SAQ A:
- Complete o SAQ A através do portal de conformidade PCI do PayPal.
- Garanta que nenhum script interfira com os campos hospedados do PayPal.
- Mantenha documentação para revisões anuais.
Para comerciantes SAQ D:
- Realize varreduras de rede trimestrais através de um Approved Scanning Vendor (ASV).
- Implemente controles de segurança PCI (firewall, criptografia, controle de acesso).
- Passe por uma auditoria QSA no local, se necessário.
Depois de identificar o SAQ correto com base no seu método de integração, complete-o minuciosamente. O Stripe fornece um assistente PCI em seu Dashboard para guiá-lo através deste processo.
