Pagamentos online no Brasil e PCI Compliance

Vejo muito no dia a dia diversas pessoas com dificuldades em entender como funcionam os pagamentos online, suas diferença em nomenclaturas e em muitos casos acham que todo tipo de pagamento online é igual, os quais na verdade tem suas diferenças.

Pagamentos online e Cloud PCI DSS

Abaixo vou falar um pouco superficialmente sobre cada setor de pagamento online e/ou pagamento offline e as vantagens e desvantagens de cada um:

  • Bandeira:
    As bandeiras são o que conhecemos popularmente hoje como os “cartões”, sendo elas a Visa, a MasterCard, a American Express a Hipercard e tantas outras existentes no mercado.

  • Adquirente:
    Os adquirentes são os responsáveis por processar os pagamentos das bandeiras e fazem a conexão entre a bandeira do cartão, o banco do cliente (para verificar se há limite disponível para a compra) e a conta (ou afiliação) da loja que está recebendo o pagamento. Um adquirente pode oferecer serviços online através de integrações para e-commerce, webservices, etc., ou offline através de maquininhas de POS (Point of Sales) ou ainda receber pagamentos de cartões de crédito e débito por celular (sendo esta uma alternativa não muito utilizada até o momento pelos adquirentes). Geralmente as menores taxas do mercado estão nos adquirentes, visto que estes tem uma integração efetuada diretamente com os bancos e com as bandeiras.

      Prós:

    • – Taxas mais baixas no mercado
    • – Obrigatoriamente tem o certificado de PCI Compliance
    • – São mais simples na aprovação dos pagamentos

      Contras:

    • – Integração online mais complexa
    • – Longo e complexo processo de afiliação

      Exemplos:

    • – Cielo
    • – Rede
    • – GetNet

  • Subadquirente ou Intermediador de pagamentos:
    Os subadquirentes ou intermediadores de pagamentos são empresas que trazem uma facilidade muito grande para o pequeno e médio comerciante, principalmente no mundo online. Em 2005 quando comecei a contrução da BRpay eu e meus sócios não tínhamos ideia que este mercado seria tão grande e tão competitivo quase 10 anos depois. Em Janeiro/2007 vendemos a BRpay para o Grupo UOL (Universo Online) e em Julho/2007 o UOL deu continuidade no projeto chamando-o de PagSeguro, o qual permanece até hoje. O PagSeguro atualmente é o maior case de subadquirente no Brasil, sendo maior inclusive que o PayPal (lançado em 1998).
    Basicamente o trabalho de um subadquirente é bem similar ao de um adquirente, porém com diversas vantagens, como por exemplo a facilidade de concentrar diversas bandeiras de cartão de crédito, recebimentos por TEF (Transferência Eletrônica de Fundos) e Boleto Bancário, tudo no mesmo lugar. Além disso, a burocracia para se cadastrar e começar a vender utilizando um intermediador de pagamentos é muito mais rápida e simples.

      Prós:

    • – Integração online mais simples
    • – Rápido e simples processo de cadastro (você pode começar a vender até no mesmo dia)
    • – Concentram todo tipo de pagamento online, sendo Cartão de Crédito, TEF e Boleto Bancário
    • – Possuem plataformas anti-fraude “de prateleira”, ou seja, suas transações são analisadas com mais garantia de ser uma transação sem problemas futuros
    • – Em alguns casos possuem recorrência de recebimento (você pode configurar uma assinatura mensal para seus clientes)
    • – São muito mais simples na integração com e-commerce, além de oferecer a possibilidade de envio de “solicitações de pagamento” (cobranças) diretamente para o email do comprador, no caso de pessoas que não tenham conhecimento mais aprofundado de tecnologia

      Contras:

    • – Taxas mais altas que os adquirentes
    • – Somente algumas empresas são PCI Compliance (não é obrigatório)
    • – São mais demorados na aprovação de alguns pagamentos por conta das plataformas de anti-fraude, podendo levar até 48 horas para uma aprovação

      Exemplos:

    • – PagSeguro
    • – Moip
    • – PayPal

  • Gateway:
    Os gateways são os responsáveis pela “ligação” de um subadquirente ou e-commerce diretamente com adquirentes e/ou bancos. Como cada adquirente e cada banco tem um tipo de integração diferente (entrada e saída dos dados), para empresas que querem ou precisam receber diversos tipos de pagamento ou que queiram ter um “backup” em caso de falha de um adquirente (e “virar a chave” para outro rapidamente) e não queira fazer a integração com um subadquirente, então a solução mais prática, rápida e barata é fazer uma integração com um Gateway. Somente para esclarecer, um Gateway não é utilizado sozinho para receber os pagamentos, você precisará de ter um contrato também com um adquirente e/ou banco para receber seus pagamentos. Os gateways apenas unificam as diversas formas de integração que você teria que fazer com cada um dos bancos e adquirentes em uma única integração.

      Prós:

    • – Simplificam a integração com os adquirentes e bancos
    • – As taxas geralmente tem valor fixo (em R$ ao invés de percentual sobre o valor)
    • – Somando a taxa do gateway com a taxa do adquirente, em muitos casos é possível ter taxas abaixo das cobradas pelos subadquirentes
    • – Em muitos casos já tem integrações com empresas anti-fraude, sendo necessário que você faça o contrato com estas empresas (não requer mais desenvolvimento)

      Contras:

    • – Integrações mais complexas que de subadquirentes
    • – Você precisará ter contratos com adquirentes e/ou bancos, de acordo com as bandeiras que quiser aceitar
    • – São PCI Compliance, o que faz com que você não seja obrigado a ter no seu e-commerce

      Exemplos:

    • – PayZen
    • – Braspag
    • – MundiPagg
    • – MaxiPago

 
 

O que são o Plataformas Anti-fraude?

 
Plataformas anti-fraude são empresas que fazem análises detalhadas de todos os pagamentos que são transacionados afim de minimizar o risco do recebimento de transações fraudulentas, as quais podem ser poteriormente rejeitadas pelas adquirentes (chamadas internamente de chargeback) e com isso ter prejuízo na transação, e em muitos casos, até a perda da afiliação com a adquirente. Estas empresas fazem algoritimos complicadíssimos em questão de menos de um segundo, além de estarem presentes nos principais e-commerces dentro e fora do Brasil, o que faz com que qualquer compra seja monitorada e facilmente identificada em ser uma compra real ou fraudulenta.

    Exemplos:

  • – ClearSale
  • – FControl
  • – CyberSource

 

O que é certificação PCI DSS Compliance?

 
A certificação PCI Compliance ou certificação PCI DSS (Payment Card Industry Data Security Data Secutity Standards – Padrão de Segurança de Dados da Indústria de Cartões de Pagamento) é um certificado que garante ainda mais que as transações passam por um fortíssimo modelo de segurança para evitar que o número dos cartões de crédito processados por adquirentes, gateways e subadquirentes “vazem” e sejam alvo de clone ou de compras fraudulentas pelos responsáveis pelo vazamento. Ter uma certificação PCI DSS não garante que a empresa é 100% segura nem que os dados não irão vazar, mas por outro lado não tê-lo significa que o risco pode ser um pouco maior.

Cloud PCI-DSS Compliance
 

Segurança em pagamentos online é um tópico o qual também é bem longo e o deixarei para outro post, visto que este é bem extenso.

Os Especialistas Mandic Cloud têm experiências na integração de todos estes modelos e PCI DSS Compliance, o que faz com que seja muito mais fácil, prático e dinâmico para aplicar no seu e-commerce. No meu caso em particular, já foram 3 grandes plataformas de pagamentos feitas “na mão” :-).
 
 

Gostou do conteúdo? Tem alguma dúvida? Entre em contato com nossos Especialistas Mandic Cloud, ficamos felizes em ajudá-lo.

Serviços Profissionais em Cloud

Serviços Cloud
Serviços DevOps
Serviços de Data & Analytics