PCI-DSS Level 1 custa R$ 380k-500k/ano (auditoria + infra + headcount). Para startup <1M tx/ano, isso é 15-20% da receita bruta.
Matemática simples decide: certificar ou terceirizar.
Estrutura de Custos
| Item | Level 1 (>6M tx/ano) | Level 2-3 (20k-6M tx) |
|---|---|---|
| Auditoria QSA | R$ 120-200k/ano | R$ 40-80k/ano (SAQ) |
| Infra (VLAN, firewall, SIEM) | R$ 50k setup + R$ 10k/mês | R$ 30k setup + R$ 5k/mês |
| Pentest trimestral | R$ 60k/ano (4x R$ 15k) | R$ 30k/ano |
| DLP + Monitoring | R$ 20k/ano | R$ 10k/ano |
| Compliance Officer | R$ 180k/ano (1 FTE) | R$ 90k/ano (0,5 FTE) |
| Total Year 1 | R$ 500-700k | R$ 230-300k |
| Recorrente anual | R$ 380-450k | R$ 170-220k |
ROI por Volume
Cenário 1: Startup (500k tx/ano)
- Receita: R$ 1,2M/ano (2,4% MDR médio)
- Custo PCI L2: R$ 230k
- % receita: 19%
Conclusão: Inviável. Use gateway certificado (Stone, Adyen).
Cenário 2: Scale-up (3M tx/ano)
- Receita: R$ 7,2M/ano
- Custo PCI L2: R$ 200k
- % receita: 2,8%
Conclusão: Limiar. Depende de roadmap (subadquirente?) e exigências de clientes enterprise.
Cenário 3: Growth (8M tx/ano)
- Receita: R$ 19,2M/ano
- Custo PCI L1: R$ 400k
- % receita: 2,1%
Conclusão: Obrigatório (>6M tx = Level 1). Custo diluído em volume.
Quando Certificar
Obrigatório:
- Volume >6M tx/ano (Level 1 mandatório bandeiras)
- Quer ser subadquirente (Bacen + bandeiras exigem)
- Captura dados cartão direto (não via iframe/gateway)
Recomendado:
- Clientes enterprise exigem (RFP blocker)
- Margem sustenta <3% receita em compliance
- Roadmap inclui stored credentials (cartão salvo)
Não recomendado:
- <1M tx/ano (custo >10% receita)
- Gateway já resolve (tokenização third-party)
- Modelo não toca PAN (PIX, boleto, Open Finance)
Alternativa: Tokenização Third-Party
Estratégia: Gateway captura PAN, você recebe token. Escopo PCI reduz 90%.
Exemplo (checkout Ezcale):
- Cliente digita cartão em iframe do gateway (Stone/Adyen)
- Gateway tokeniza client-side, retorna token
- Você processa com token, nunca vê PAN
- PCI-DSS SAQ-A (questionário simples, R$ 5-15k/ano)
Nossa decisão (50M tx/ano):
Adiamos certificação Level 1 até 10M tx. Motivo: 100% das transações via gateways certificados. Tokenização third-party. Escopo PCI mínimo (SAQ-A).
Custo evitado Y1-Y3: R$ 1,2M. Capital alocado em produto e GTM.
Certificação planejada 2026 (volume justifica, clientes enterprise pedem).
Preparação Progressiva
Se certificação é inevitável (roadmap 6M+ tx), preparar em fases reduz custo:
Fase 1 (0-1M tx):
- Tokenização third-party desde dia 1
- Logs estruturados (retention 90 dias mínimo)
- Segregação básica de rede (dev/prod)
- Custo: R$ 10k setup
Fase 2 (1-6M tx):
- VLAN segregation (cardholder data environment isolado)
- SIEM básico (OSSEC ou similar)
- Políticas de acesso documentadas
- Pentest anual
- Custo incremental: R$ 50k/ano
Fase 3 (>6M tx):
- Auditoria QSA Level 1
- DLP implementado
- Pentest trimestral
- Compliance officer full-time
- Custo incremental: R$ 300k/ano
Preparação progressiva: investimento total distribuído, não R$ 500k upfront.
Red Flags
Não certificar se:
- Custo >10% receita (insustentável)
- Volume <1M tx e sem previsão de crescimento acelerado
- Gateway já resolve e clientes não exigem certificação própria
- Capital limitado: R$ 400k em compliance vs 2 engenheiros senior (escolha óbvia)
Certificar precipitadamente:
- Startup early-stage queimando runway em compliance vs PMF
- Certificação como "marketing" (cliente B2B não liga se gateway é certificado)
- Auditor vendendo medo ("você vai ser hackeado sem PCI") - segurança ≠ certificação
Conclusão
PCI-DSS é custo fixo alto. ROI aparece em volume (>6M tx) ou quando exigido (subadquirente, enterprise RFP).
Maioria das fintechs: tokenização third-party resolve 95% dos casos. Custo R$ 5-15k/ano vs R$ 400k/ano.
Certificar quando inevitável, não quando possível. Capital tem custo de oportunidade.