Posso salvar apenas os 4 últimos dígitos do cartão no meu banco de dados?

Sim. A regra do PCI DSS permite o armazenamento dos 6 primeiros dígitos (BIN) e dos 4 últimos dígitos do cartão sem exigir ambiente de alta segurança, pois esses dados sozinhos não permitem a realização de fraudes financeiras. Eles são úteis para exibir na interface do usuário (ex: 'Cartão final 1234').

O CVV pode ser salvo se o cliente autorizar?

Não. É terminantemente proibido pelo PCI DSS armazenar o CVV (código de segurança de 3 ou 4 dígitos) após a autorização da transação, sob qualquer hipótese, mesmo que o cliente dê consentimento expresso. Se houver cobrança recorrente, as adquirentes processam via token sem exigir o CVV novamente.

Quem é o responsável se o gateway de pagamentos sofrer um ataque e vazar os dados?

Pela LGPD, há responsabilidade solidária. Seu e-commerce (Controlador) escolheu o gateway (Operador). O cliente comprou de você, não do gateway. Você terá que responder aos seus clientes e à ANPD, mas poderá entrar com ação de regresso contra o gateway na justiça comum para reaver os prejuízos.

Gateways e LGPD: Como armazenar dados de cartão sem violar a lei de proteção de dados

Você acorda, abre o painel do seu e-commerce e descobre que o banco de dados foi comprometido. Nomes, CPFs e os 16 dígitos dos cartões de crédito dos seus melhores clientes estão sendo negociados em fóruns obscuros por frações de centavos. Se você acha que isso é roteiro de filme de terror corporativo, olhe para os relatórios recentes da Autoridade Nacional de Proteção de Dados (ANPD). A fiscalização começou a apertar, e as multas são reais.

Armazenar dados de cartão de crédito para oferecer a tão sonhada 'compra com um clique' (one-click buy) ou para processar aquela assinatura mensal recorrente virou um campo minado. De um lado, a sua operação precisa de conversão sem atrito. Do outro, uma legislação federal implacável (LGPD) e um padrão global da indústria de cartões (PCI DSS) cruzam espadas exigindo conformidade absoluta.

Como manter a fluidez do checkout sem transformar o servidor da sua empresa em uma bomba-relógio jurídica? Nós da Ouro Capital acompanhamos diariamente as dores de CTOs e fundadores de fintechs e varejistas. A resposta exige abandonar velhos hábitos e abraçar a infraestrutura moderna de pagamentos digitais.

A obsessão pela conversão e o risco oculto do 'Salvar Cartão'

O mercado brasileiro de e-commerce e SaaS vive da recorrência e da fácilidade. Empresas como Amazon e Mercado Livre nos acostumaram mal: queremos escolher o produto, clicar em um botão e receber a notificação de compra aprovada do Nubank ou Itaú em três segundos. Para o lojista, o atrito no checkout é o maior inimigo da conversão. Cada campo extra a ser preenchido derruba a taxa de sucesso em até 15%.

A solução óbvia por muitos anos foi salvar o Primary Account Number (PAN) — os famosos 16 dígitos —, a validade e o nome do titular direto no banco de dados da loja. Alguns mais ousados guardavam até o CVV (código de segurança), prática que é o pecado capital na indústria de pagamentos.

Agora em 2024, fazer isso é assinar um atestado de negligência. A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) estabelece punições severas para o tratamento inadequado de informações sensíveis ou financeiras que possam identificar o cidadão. O número de um cartão, atrelado a um CPF e um histórico de compras, traça um perfil comportamental completo. O vazamento dessas informações gera dano material direto ao consumidor, abrindo caminho para fraudes e clonagens.

PCI DSS v4.0 encontra a LGPD: Onde a indústria cruza com a lei

Se você opera um e-commerce, preste atenção aqui. Você está sujeito a dois tribunais diferentes: o tribunal da indústria privada e o tribunal do Estado.

O Payment Card Industry Data Security Standard (PCI DSS) é um conjunto de regras de segurança criado pelas gigantes Visa, Mastercard, Amex, Discover e JCB. A versão 4.0, que passou a ser exigida em março de 2024, elevou o sarrafo técnico. O PCI foca em proteger os dados da transação. Se você não cumpre, as adquirentes (como Stone, Cielo, Rede) simplesmente cortam o seu acesso ao sistema ou repassam multas pesadíssimas em dólar.

A LGPD, por sua vez, é a lei federal brasileira. Ela não se importa apenas com a criptografia do banco de dados, mas com o direito do cidadão sobre a própria informação. O foco é a privacidade, o consentimento e a finalidade do uso daquele dado.

O cruzamento ocorre exatamente no armazenamento. O PCI diz: 'Se você vai guardar o PAN, precisa de uma infraestrutura de nível militar (Cofre PCI)'. A LGPD diz: 'Se você vai guardar o cartão, precisa me provar que o cliente autorizou de forma clara e que você vai apagar quando ele pedir'.

Para 99% das empresas brasileiras, construir e manter um ambiente PCI Compliance de Nível 1 custa milhões de reais por ano em auditorias, firewalls e testes de intrusão. É financeiramente inviável. A saída, portanto, é terceirizar esse risco.

Tokenização: A blindagem técnica e jurídica

A tecnologia que salva o mercado desse impasse tem nome: tokenização. Em vez de o seu site receber e guardar os 16 dígitos do cartão do cliente, o fluxo de dados é redirecionado para um gateway de pagamento certificado (como Pagar.me, Vindi, Adyen, Stripe ou Mercado Pago).

O gateway recebe os dados reais do cartão, tranca-os em seu cofre ultra-seguro (PCI Nível 1) e devolve para o banco de dados da sua empresa um 'token' — uma sequência alfanumérica aleatória (ex: tok_4f8a9b2c). Esse token só tem validade dentro do seu ambiente e para a sua loja. Se um hacker invadir o seu servidor e roubar milhões de tokens, ele leva lixo digital. Não é possível reverter o token para o número original sem as chaves criptográficas exclusivas do gateway.

Na prática, a tokenização resolve dois problemas de uma vez:

Escopo de PCI: Como o seu servidor nunca toca nos dados reais, o seu escopo de auditoria PCI cai drasticamente (usando métodos como iFrame ou Hosted Fields).
Minimização de Dados da LGPD: Você atende ao princípio da necessidade (Art. 6º, III da LGPD). Você guarda apenas o mínimo necessário (o token) para realizar a cobrança futura, mitigando o impacto em caso de vazamento.

Network Tokens vs. Gateway Tokens

O mercado hoje avança para uma sofisticação ainda maior. Além dos tokens gerados pelos gateways (Gateway Tokens), observamos a ascensão dos Network Tokens (Tokens de Bandeira). Nesse modelo, a própria Visa ou Mastercard gera o token em sincronia direta com o banco emissor (como Nubank ou Bradesco).

A grande vantagem do Network Token é que, se o cliente perder o cartão físico e o banco emitir uma nova via, o token armazenado no seu e-commerce é atualizado automaticamente nos bastidores. A sua recorrência não falha, a assinatura não é cancelada por 'cartão vencido' e a segurança permanece inviolável. A Adyen e a Vindi são exemplos de players com forte atuação nesse tipo de infraestrutura no Brasil.

Bases Legais: O consentimento não é uma carta branca

Não basta plugar um gateway moderno e começar a gerar tokens silenciosamente. É aqui que muitas startups tropeçam feio na LGPD. A tokenização resolve a segurança da informação, mas não resolve a base legal para o tratamento do dado.

Segundo o Artigo 7º da LGPD, você precisa de uma justificativa legal para processar dados. No caso de salvar um cartão para compras futuras (one-click buy), a base legal indiscutível é o Consentimento (Art. 7º, I).

Você precisa de um opt-in claro, afirmativo e inequívoco. Esconder a autorização para salvar o cartão no meio de um 'Termos e Condições' de 40 páginas não tem validade jurídica. O cliente precisa marcar um checkbox (que não pode vir pré-marcado) dizendo: 'Desejo salvar este cartão para compras futuras'.

Já no caso de um modelo de assinatura (SaaS, academias, clubes de assinatura), a base legal muda. O armazenamento do token passa a ser justificado pela 'Execução de Contrato' (Art. 7º, V). Afinal, é impossível manter um serviço de cobrança mensal contínua sem armazenar a referência de pagamento. Ainda assim, a transparência deve ser total no momento do checkout.

A figura do Controlador e do Operador

Na dinâmica de pagamentos, o e-commerce atua como Controlador dos dados. Você decide quem é o cliente, o que ele está comprando e qual gateway será usado. O gateway (Stone, PagSeguro, etc.) atua como Operador.

A responsabilidade solidária existe. Se o gateway vazar os dados, o seu e-commerce será cobrado pelos clientes. Por isso, a escolha do parceiro de pagamentos vai muito além da taxa de MDR (Merchant Discount Rate) cobrada por transação. Exija o certificado de conformidade PCI DSS (AOC - Attestation of Compliance) atualizado anualmente pelo seu provedor.

O roteiro do desastre: O que acontece quando vaza?

Vamos olhar para o pior cenário. Uma falha na integração via API do seu sistema permitiu que os dados fossem interceptados antes de virarem token. O vazamento ocorreu.

A LGPD exige que a ANPD e os titulares dos dados sejam comúnicados em prazo razoável (geralmente 48 horas úteis após a descoberta do incidente de grande proporção). Tentar esconder o vazamento é a pior decisão estratégica possível. A multa administrativa imposta pela ANPD pode chegar a 2% do faturamento da empresa, limitada a estratosféricos R$ 50 milhões por infração.

Mas a multa governamental costuma ser a menor das dores. O dano reputacional destrói o Lifetime Value (LTV) da sua base de clientes. No mercado financeiro e de pagamentos, confiança é a única moeda que não sofre inflação. Uma vez perdida, o cliente migra para o concorrente no clique seguinte.

Checklist de trincheira: Como auditar sua operação hoje

Se você chegou até aqui e começou a suar frio pensando no código legado da sua plataforma, respire. Monte com o seu CTO e o seu DPO (Data Protection Officer) o seguinte plano de ação imediato:

Data Mapping Completo: Descubra onde os dados de cartão estão passando hoje. Tem log de sistema salvando payload de API com o número do cartão aberto? Apague agora. O PAN nunca deve ser gravado em logs de debug.
Integração Frontend Segura: Utilize componentes fornecidos pelo próprio gateway (iFrames, Web Components ou SDKs nativos). O dado digitado pelo cliente no navegador deve ir direto para o gateway, sem bater no seu backend.
Revisão de Checkboxes: Audite a tela de checkout. O botão de salvar cartão tem um termo claro de consentimento? Há uma área logada onde o cliente pode excluir o cartão salvo (revogação do consentimento, Art. 8º, parágrafo 5º)?
Política de Retenção (Data Disposal): Se o cliente cancelou a assinatura há 5 anos, por que o token dele ainda está ativo no seu banco de dados? Implemente rotinas de exclusão automática de dados desnecessários.

O futuro invisível dos pagamentos

O mercado de pagamentos no Brasil é agressivamente inovador. O Pix já domina o volume de transações à vista e o Open Finance começa a desenhar novas realidades. Com a chegada do Pix Automático (prevista pelo BACEN), uma boa parcela do faturamento recorrente que hoje depende de cartões de crédito migrará para transferências conta a conta agendadas.

Isso diminuirá a dependência do ecossistema de cartões, mas o crédito ainda é o motor do consumo brasileiro. A necessidade de processar e armazenar referências de pagamento com segurança não vai desaparecer, ela apenas mudará de forma.

Dominar a intersecção entre a eficiência técnica (PCI e Tokenização) e o respeito jurídico ao consumidor (LGPD) deixou de ser um diferencial de marketing. É o alicerce básico para qualquer negócio que pretenda sobreviver e escalar na economia digital brasileira.