PCI-DSS Level 1 custa R$ 380k-500k/ano (auditoria + infra + headcount). Para startup <1M tx/ano, isso é 15-20% da receita bruta.

Matemática simples decide: certificar ou terceirizar.

Estrutura de Custos

Item Level 1 (>6M tx/ano) Level 2-3 (20k-6M tx)
Auditoria QSA R$ 120-200k/ano R$ 40-80k/ano (SAQ)
Infra (VLAN, firewall, SIEM) R$ 50k setup + R$ 10k/mês R$ 30k setup + R$ 5k/mês
Pentest trimestral R$ 60k/ano (4x R$ 15k) R$ 30k/ano
DLP + Monitoring R$ 20k/ano R$ 10k/ano
Compliance Officer R$ 180k/ano (1 FTE) R$ 90k/ano (0,5 FTE)
Total Year 1 R$ 500-700k R$ 230-300k
Recorrente anual R$ 380-450k R$ 170-220k

ROI por Volume

Cenário 1: Startup (500k tx/ano)

Conclusão: Inviável. Use gateway certificado (Stone, Adyen).

Cenário 2: Scale-up (3M tx/ano)

Conclusão: Limiar. Depende de roadmap (subadquirente?) e exigências de clientes enterprise.

Cenário 3: Growth (8M tx/ano)

Conclusão: Obrigatório (>6M tx = Level 1). Custo diluído em volume.

Quando Certificar

Obrigatório:

Recomendado:

Não recomendado:

Alternativa: Tokenização Third-Party

Estratégia: Gateway captura PAN, você recebe token. Escopo PCI reduz 90%.

Exemplo (checkout Ezcale):

  1. Cliente digita cartão em iframe do gateway (Stone/Adyen)
  2. Gateway tokeniza client-side, retorna token
  3. Você processa com token, nunca vê PAN
  4. PCI-DSS SAQ-A (questionário simples, R$ 5-15k/ano)

Nossa decisão (50M tx/ano):

Adiamos certificação Level 1 até 10M tx. Motivo: 100% das transações via gateways certificados. Tokenização third-party. Escopo PCI mínimo (SAQ-A).

Custo evitado Y1-Y3: R$ 1,2M. Capital alocado em produto e GTM.

Certificação planejada 2026 (volume justifica, clientes enterprise pedem).

Preparação Progressiva

Se certificação é inevitável (roadmap 6M+ tx), preparar em fases reduz custo:

Fase 1 (0-1M tx):

Fase 2 (1-6M tx):

Fase 3 (>6M tx):

Preparação progressiva: investimento total distribuído, não R$ 500k upfront.

Red Flags

Não certificar se:

Certificar precipitadamente:

Conclusão

PCI-DSS é custo fixo alto. ROI aparece em volume (>6M tx) ou quando exigido (subadquirente, enterprise RFP).

Maioria das fintechs: tokenização third-party resolve 95% dos casos. Custo R$ 5-15k/ano vs R$ 400k/ano.

Certificar quando inevitável, não quando possível. Capital tem custo de oportunidade.