Conformidade com Pagamentos: Principais Regulamentações e Melhores Práticas
Toda empresa que movimenta dinheiro tem um problema de conformidade. Transações com cartão, compras online, pagamentos com criptomoedas — não importa o canal. As regras se aplicam, as penalidades são reais e ignorá-las raramente termina sem consequências.
O que torna a conformidade com as normas de pagamento difícil não é saber que ela existe. É entender quais regulamentações se aplicam ao seu negócio específico, como elas interagem entre si e o que você realmente precisa fazer. É isso que este guia aborda.
O que é conformidade com os pagamentos e por que ela é importante?
Pergunte a cinco operadores de pagamento diferentes o que significa "conformidade de pagamentos" e provavelmente receberá cinco respostas diferentes. Na prática, o termo abrange o conjunto completo de regras que regem como as empresas coletam, armazenam, transmitem e processam dados de pagamento. Essas regras existem porque, quando os sistemas de pagamento falham — seja por fraude, lavagem de dinheiro ou exposição de dados —, os danos se espalham rápida e amplamente.
As empresas sujeitas a essas obrigações incluem basicamente todas as que lidam com dinheiro digitalmente. Varejistas online. Plataformas SaaS. Marketplaces. Empresas de tecnologia financeira (Fintechs). Comerciantes de criptomoedas. As regras não têm isenção por tamanho. Uma startup com dez funcionários enfrenta os mesmos requisitos básicos que uma grande empresa.
Números que colocam a gravidade da situação em perspectiva: as perdas com fraudes em pagamentos e comércio eletrônico são projetadas em US$ 343 bilhões entre 2023 e 2027. O Relatório de Segurança de Pagamentos de 2023 da Verizon constatou que 64% das empresas ainda não estão em total conformidade com o PCI DSS. E uma única violação de dados pode desencadear processos judiciais, auditorias obrigatórias e sanções das redes de cartões que levam anos para serem resolvidas.
Manter a conformidade garante o acesso à rede de pagamentos. Perder essa conformidade — seja por violação ou quebra de segurança — pode fechar essa porta para sempre.
Quem regula a conformidade dos pagamentos globalmente?
Não existe uma única autoridade que regule a conformidade dos pagamentos em todo o mundo. Uma rede fragmentada de entidades define padrões e aplica regras em diferentes jurisdições, e a maioria das empresas acaba respondendo a mais de uma delas.
| Regulador | Jurisdição | Escopo |
|---|---|---|
| PCI SSC (Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento) | Global | Define o PCI DSS — o padrão básico de segurança de dados para pagamentos com cartão. |
| GAFI (Grupo de Ação Financeira Internacional) | Global (mais de 40 países membros) | Define padrões de AML (Antilavagem de Dinheiro) e de combate ao financiamento do terrorismo. |
| EBA / BCE | União Europeia | Implementa a PSD2 e licencia os prestadores de serviços de pagamento. |
| FinCEN (Rede de Combate a Crimes Financeiros) | Estados Unidos | Aplicação das normas de combate à lavagem de dinheiro, Lei de Sigilo Bancário, orientações sobre criptomoedas |
| FTC (Comissão Federal de Comércio) | Estados Unidos | Proteção de dados do consumidor, práticas de pagamento desleais |
| ICO / Autoridades de Proteção de Dados | UE e Reino Unido | aplicação do RGPD |
| bancos centrais | Cada país | Licenciar e supervisionar os prestadores de serviços de pagamento localmente. |
Um comerciante sediado na UE que aceita cartões dos EUA de clientes internacionais, por exemplo, lida simultaneamente com as diretrizes do PCI DSS, do GDPR e, potencialmente, do FinCEN. Gerenciar essa sobreposição é o que significa estar em conformidade com as normas de pagamento e com as regulamentações quando sua empresa opera além das fronteiras.
Explicação das principais regulamentações de conformidade de pagamentos
Cinco regulamentações definem a maior parte do que a maioria das empresas deve fazer. Cada uma delas visa uma área de risco diferente e possui sua própria estrutura de penalidades.
- O PCI DSS — Padrão de Segurança de Dados da Indústria de Cartões de Pagamento — aplica-se a qualquer entidade que armazene, processe ou transmita dados de titulares de cartões. Ele estabelece 12 requisitos técnicos e operacionais. As multas por não conformidade variam de US$ 5.000 a US$ 100.000 por mês, dependendo da gravidade da violação.
- PSD2 — A Diretiva de Serviços de Pagamento 2 da UE regula os prestadores de serviços de pagamento em todo o Espaço Econômico Europeu. O principal requisito é a Autenticação Forte do Cliente (SCA) para transações eletrônicas. As multas podem chegar a € 5 milhões ou 3% da receita anual global.
- AML/KYC — As normas de combate à lavagem de dinheiro exigem que as empresas verifiquem a identidade dos clientes (Conheça Seu Cliente), monitorem as transações em busca de atividades suspeitas e apresentem Relatórios de Atividades Suspeitas. Essas normas são provenientes de leis nacionais elaboradas com base em recomendações do GAFI (Grupo de Ação Financeira contra a Lavagem de Dinheiro).
- GDPR/CCPA — O Regulamento Geral de Proteção de Dados (GDPR) da UE e a Lei de Privacidade do Consumidor da Califórnia (CCPA) estabelecem as regras para a privacidade de dados em pagamentos, regendo como os dados pessoais e as informações de pagamento são coletados, armazenados e processados. As multas do GDPR chegam a € 20 milhões ou 4% do faturamento anual global. A multa de € 405 milhões aplicada à Meta em 2022 confirmou que os órgãos reguladores irão aplicar a lei em larga escala.
- Regras da BSA/FinCEN — A Lei de Sigilo Bancário dos EUA exige que instituições financeiras e empresas de serviços monetários mantenham programas de AML (Antilavagem de Dinheiro), reportem transações em dinheiro acima de US$ 10.000 e apresentem relatórios de atividades suspeitas (SARs). A FinCEN estendeu essas obrigações a empresas de criptomoedas que operam nos EUA.
PCI DSS 4.0: A base da segurança dos dados de pagamento
A maioria das empresas online se deparou com o PCI DSS antes de qualquer outra regulamentação. A versão 4.0 foi finalizada em 2022 e entrou em vigor integralmente em abril de 2025, trazendo mudanças significativas que comerciantes e provedores de pagamento precisam conhecer.
O nível de conformidade depende do volume anual de transações com cartão:
- Nível 1 : Mais de 6 milhões de transações por ano — auditoria anual presencial realizada por um Avaliador de Segurança Qualificado (QSA).
- Nível 2 : 1 a 6 milhões de transações/ano — Questionário de Autoavaliação (SAQ) anual mais varreduras de rede trimestrais
- Nível 3 : 20.000 a 1 milhão de transações de comércio eletrônico por ano — Questionário de Autoavaliação (SAQ) mais verificações trimestrais.
- Nível 4 : Menos de 20.000 transações de comércio eletrônico por ano — SAQ recomendado
O que mudou na versão 4.0 em comparação com a versão 3.2.1:
- Abordagem personalizada : as empresas agora podem implementar controles alternativos que atendam à intenção de um requisito, em vez de seguir especificações técnicas prescritivas à risca.
- Autenticação multifator obrigatória : a autenticação multifator agora é exigida para todo o acesso ao ambiente de dados do titular do cartão, não apenas para sessões remotas.
- Treinamento sobre phishing e engenharia social : o treinamento de conscientização direcionado é um requisito formal, não uma recomendação.
- Senhas mais fortes : mínimo de 12 caracteres (antes eram 8), com rotação automática a cada 90 dias para contas com privilégios elevados.
Ignorar o PCI DSS tem um custo altíssimo. Quando a Heartland Payment Systems sofreu uma violação de segurança em 2008, as perdas totais ultrapassaram US$ 200 milhões. As ações da empresa despencaram 50% em poucos dias e perderam 77% do seu valor antes de qualquer recuperação. Pequenas empresas geralmente não sobrevivem a isso.
AML e KYC: Detecção de crimes financeiros na origem
A conformidade com as normas AML (Anti-Money Laundering, ou Prevenção à Lavagem de Dinheiro) significa construir sistemas que detectem crimes financeiros antes que eles se propaguem pela sua plataforma. O KYC — a camada de verificação de identidade — é o que torna esse monitoramento possível.
O que a conformidade com as normas de AML (Anti-Money Laundering, ou Prevenção à Lavagem de Dinheiro) realmente exige:
- Monitoramento de transações : sistemas automatizados que sinalizam padrões incomuns — grandes transferências, movimentações rápidas de fundos, estruturação (divisão de transações para permanecer abaixo dos limites de reporte).
- Relatório de Atividade Suspeita (SAR) : quando uma atividade suspeita é identificada, um Relatório de Atividade Suspeita deve ser enviado à autoridade competente dentro dos prazos especificados.
- Verificação de sanções : todos os clientes e contrapartes são verificados em tempo real nas listas de sanções do OFAC, da ONU e da UE.
- Due diligence do cliente (CDD) : revisão contínua do perfil de risco, não apenas uma verificação única de integração.
- Due diligence reforçada (EDD) : análise mais aprofundada para clientes de alto risco — pessoas politicamente expostas (PEPs) e qualquer pessoa proveniente de uma jurisdição de alto risco.
O processo de KYC (Conheça Seu Cliente) na integração de novos clientes geralmente envolve a verificação de documentos (identidade emitida pelo governo, comprovante de endereço) e a verificação de presença. As soluções de eKYC agora realizam esse processo em segundos usando inteligência artificial; para qualquer empresa que realize integração de clientes em larga escala, isso se tornou o padrão.
A Regra de Viagem da GAFI adiciona uma camada específica para criptomoedas: os provedores de serviços de ativos virtuais devem coletar e transmitir informações do remetente e do destinatário em transferências acima de US$ 1.000. O limite exato varia ligeiramente de acordo com a jurisdição, mas a obrigação se aplica independentemente de a transferência ser em Bitcoin, stablecoins ou qualquer outro ativo digital.
Requisitos da PSD2, SCA e Open Banking
A PSD2 reformulou a autenticação para prestadores de serviços de pagamento em toda a UE. Seu principal objetivo, a Autenticação Forte do Cliente, é agora o padrão para qualquer serviço de pagamento que opere no Espaço Econômico Europeu.
A SCA exige autenticação usando pelo menos dois dos três fatores independentes:
- Algo que você sabe : senha, PIN, pergunta de segurança
- Você tem : celular, token de hardware, cartão inteligente.
- Algo que você é : impressão digital, reconhecimento facial, padrão de voz
O 3D Secure 2.0 é o principal padrão técnico para implementar a autenticação forte do cliente (SCA) em transações sem a presença do cartão. Ele transmite sinais de risco entre o comerciante, a rede de cartões e o banco emissor, permitindo que transações de baixo risco sejam concluídas sem atritos.
As isenções da SCA existem para reduzir atritos desnecessários:
| Isenção | Doença |
|---|---|
| Transações de baixo valor | Menos de 30 euros (até 5 transações consecutivas ou 100 euros cumulativos) |
| beneficiários confiáveis | O cliente pré-autorizou o beneficiário. |
| Pagamentos recorrentes de valor fixo | O mesmo valor para o mesmo beneficiário em cada período. |
| Ferramentas de pagamento corporativas | Protocolos de pagamento empresariais dedicados |
| Análise de risco de transação | Pontuação de fraude em tempo real abaixo do limite definido |
A PSD2 também exige o open banking. Os bancos devem conceder a provedores terceirizados licenciados acesso aos dados da conta do cliente por meio de APIs, com o consentimento do cliente. O cumprimento dessas regras de acesso é uma condição para a obtenção da licença — não é opcional.
Conformidade de pagamentos no espaço das criptomoedas e ativos digitais
A maioria dos guias de conformidade de pagamentos para em pagamentos com cartão e transferências bancárias. Essa é uma lacuna real. Comerciantes de criptomoedas, gateways de pagamento e empresas de ativos digitais estão sujeitos a todas as regulamentações de AML/KYC (Antilavagem de Dinheiro/Conheça Seu Cliente), além de uma crescente camada de regras específicas para criptomoedas.
Os provedores de serviços de ativos virtuais (VASPs) — corretoras de criptomoedas, carteiras digitais, gateways de pagamento — são tratados como instituições financeiras para fins de AML (Antilavagem de Dinheiro) de acordo com as diretrizes do GAFI (Grupo de Ação Financeira contra a Lavagem de Dinheiro). Na prática, isso significa:
- KYC completo no momento do cadastro, monitoramento contínuo de transações e obrigações de envio de SAR (Relatório de Atividade Suspeita).
- Regra de Viagem da GAFI : transferências acima de US$ 1.000 exigem que o nome do remetente, o número da conta de origem e os dados do destinatário acompanhem a transação.
- Registro junto à FinCEN como Empresa de Serviços Monetários para empresas de criptomoedas sediadas nos EUA.
- Licenciamento ao abrigo do Regulamento MiCA (Mercados de Criptoativos) da UE , em vigor desde 2024, que abrange requisitos de reserva, regras de proteção do consumidor e obrigações de divulgação para emissores de stablecoins e provedores de serviços de criptomoedas.
O desafio prático é que a conformidade deve funcionar em centenas de ativos e blockchains, cada um com finalidade de liquidação e rastreabilidade diferentes. Construir isso do zero é caro e demorado.
A Plisio lida com a conformidade no nível do gateway, suportando mais de 200 criptomoedas, mantendo o monitoramento de transações compatível com AML e o cadastro de comerciantes simplificado para KYC. Para empresas de e-commerce que desejam aceitar criptomoedas sem construir sua própria infraestrutura de conformidade, escolher um gateway que absorva essa complexidade regulatória é o caminho mais prático.
Como criar um fluxo de trabalho de conformidade de pagamentos
A conformidade não é uma ferramenta que você liga e desliga. É um processo contínuo, que falha quando tratado como um projeto pontual.
- Analise o seu ambiente — Mapeie todos os sistemas que lidam com dados de pagamento: páginas de finalização de compra, processadores, bancos de dados, integrações de terceiros. O PCI DSS abrange apenas o que está no escopo, e a maioria das violações ocorre em áreas que nunca foram analisadas.
- Realize uma análise de lacunas de conformidade — Avalie os controles atuais em relação aos requisitos de PCI DSS, AML/KYC e GDPR (ou CCPA). Anote o que está faltando, não apenas o que está implementado.
- Implementar controles técnicos — A tokenização substitui os números de cartão por tokens não sensíveis; a criptografia protege os dados em trânsito e em repouso. Somente essas duas etapas eliminam a maior parte do escopo do PCI DSS.
- Configure o monitoramento de transações — Sistemas automatizados precisam sinalizar transações suspeitas em tempo real. Defina regras de alerta, revise filas e caminhos de escalonamento antes da entrada em operação, não depois.
- Treine sua equipe — Engenharia social e phishing causam mais violações de segurança do que falhas técnicas. O PCI DSS 4.0 agora exige treinamento específico de conscientização em segurança; trate-o como um controle efetivo.
- Documente tudo — políticas, procedimentos, trilhas de auditoria, planos de resposta a incidentes. Os órgãos reguladores exigem documentação como prova de que você tem intenção e capacidade, e não apenas sistemas funcionando.
- Agende auditorias regulares — avaliações anuais de PCI DSS, varreduras trimestrais da rede e revisões contínuas do programa de AML (Antilavagem de Dinheiro). A conformidade pode se perder sem manutenção ativa.
- Escolha parceiros de pagamento em conformidade — Seu processador, gateway e parceiros bancários compartilham a responsabilidade. Um parceiro que lida com o PCI DSS no nível da infraestrutura reduz drasticamente seu escopo de atuação.
Melhores práticas de conformidade de pagamentos para comércio eletrônico
Uma vez que seu programa de conformidade de pagamentos esteja em funcionamento, estas práticas evitam que ele desmorone silenciosamente:
- Utilize um gateway com certificação PCI DSS Nível 1 — isso transfere o processamento dos dados do titular do cartão para o provedor, geralmente reduzindo seu escopo PCI DSS para um SAQ A.
- Ative o 3D Secure 2.0 — reduz a responsabilidade por fraudes em transações sem a presença do cartão e atende aos requisitos da SCA da UE.
- Tokenize tudo — substitua os números dos cartões por tokens no momento da entrada; os dados brutos do titular do cartão nunca devem ficar armazenados em seus sistemas.
- Implemente a identificação de dispositivos e a geolocalização por IP — crie sinais de prevenção de fraudes a partir de dados comportamentais sem adicionar atrito ao processo de finalização da compra.
- Aplique a minimização de dados — de acordo com o RGPD, colete apenas o necessário, mantenha os dados apenas pelo tempo exigido e exclua-os conforme o cronograma.
- Verifique os comerciantes antes de habilitar os pagamentos — em um marketplace ou plataforma, a conformidade de integração se estende também aos subcomerciantes.
- Mantenha um plano de resposta a incidentes — o GDPR exige a notificação de violações de dados às autoridades reguladoras em até 72 horas; a maioria dos estados americanos exige 30 dias. Um plano não testado não passa de um documento.
