PCI DSS Level 1 vs Level 2
PCI DSS classifica comerciantes em quatro níveis pelo volume anual de transações. O nível determina como a conformidade é provada, e quanto custa, em tempo e em dinheiro.
Os quatro níveis (merchants)
| Nível | Volume anual (Visa/MC) | Como provar conformidade |
|---|---|---|
| Level 1 | Mais de 6.000.000 transações | RoC (auditoria por QSA externo) + scans ASV trimestrais + pentests |
| Level 2 | 1.000.000 a 6.000.000 | SAQ + AoC + scans ASV trimestrais |
| Level 3 | 20.000 a 1.000.000 (e-commerce) | SAQ + AoC + scans ASV trimestrais |
| Level 4 | Menos de 20.000 (e-commerce) ou até 1.000.000 (outros canais) | SAQ + AoC + scans ASV (recomendados) |
Os limites são definidos pela bandeira; as bandeiras podem reclassificar uma empresa em Level 1 independentemente do volume (por exemplo, após um incidente de segurança).
A diferença que importa
Level 1. Auditoria externa
Um QSA (Qualified Security Assessor) externo audita seu ambiente presencialmente, valida cada um dos requisitos com evidências reais, e emite um Report on Compliance (RoC). É o nível mais rigoroso, mais demorado e mais caro.
Level 2. Auto-avaliação
Você mesmo preenche um Self-Assessment Questionnaire (SAQ) apropriado ao seu cenário e emite um Attestation of Compliance (AoC). Não dispensa o trabalho técnico, só dispensa a auditoria externa formal.
SAQ, qual versão?
Para Level 2 (e 3, 4), o SAQ certo depende de como você lida com os dados. Os mais comuns:
- SAQ A: você terceiriza completamente o processamento. Cartão nunca passa pela sua infra. Menor SAQ. Tipicamente quem usa hosted checkout.
- SAQ A-EP: você tem um e-commerce, mas o cartão é capturado por um iframe/JS do PSP. A página é sua, a captura é do PSP. SAQ moderado.
- SAQ D-Merchant: todos os outros casos onde dados de cartão tocam sua infraestrutura. É o SAQ completo, com centenas de controles. É aqui que a maior parte do trabalho mora.
Migrar de um SAQ D-Merchant para um SAQ A-EP (ou até A) reduz muito seu escopo. Esse é um dos principais valores de uma solução como o LinkPCI Proxy: você sai do mundo D-Merchant porque sua aplicação principal não toca mais em dados de cartão.
Custos e prazos típicos
| Level 2 (SAQ D) | Level 1 (RoC) | |
|---|---|---|
| Prazo médio | 2 a 4 meses | 6 a 12 meses |
| Auditoria externa | Não obrigatória | Obrigatória (QSA) |
| Custo de QSA | R$ 0 | Dezenas a centenas de milhares de R$ |
| Pentests | Recomendado | Obrigatório (interno e externo) |
| Renovação | Anual (auto) | Anual (auditoria completa) |
Valores são aproximações de mercado; varia bastante conforme escopo, fornecedores e país.
Qual escolher
Você não escolhe, você é classificado pelo seu volume e pelo seu adquirente. Mas o que você pode (e deve) fazer é:
- Manter-se em Level 2 o máximo de tempo possível, otimizando a operação para evitar saltar para Level 1 prematuramente.
- Mesmo no Level 2, projetar a arquitetura como se fosse passar por Level 1. Quando o volume crescer, a transição é muito mais fácil.
- Reduzir escopo via segmentação e tokenização, o controle mais valioso que você tem.
Para entender como tokenização reduz escopo, leia Como funciona tokenização de cartão.