集成商的 LGPD 合规指南
Quick Reference
WhatA55 集成商的 LGPD 合规要求
Why巴西法律要求在支付交易中合法处理个人数据
Reading Time12 分钟
Difficulty中级
Prerequisites了解数据保护基本概念
什么是 LGPD
Lei Geral de Proteção de Dados(第 13,709/2018 号法律)是巴西的综合性数据保护法,自 2020 年 9 月起生效。该法律规范个人数据的收集、处理、存储和共享方式——包括支付数据。
LGPD 由 ANPD(Autoridade Nacional de Proteção de Dados,巴西国家数据保护局)执行,适用于处理巴西境内个人数据的任何组织,无论该组织位于何处。
A55 处理的数据
| 数据类别 | 示例 | 存储方式 |
|---|---|---|
| 持卡人姓名 | 按 payer.name 中提供的内容 | PostgreSQL 中的 Fernet 字段级加密 |
| 卡号 (PAN) | 4111 1111 1111 1111 | 字段级加密(Fernet AES-128-CBC)——存储在 PostgreSQL 中,从不以明文形式存在 |
| 卡有效期 | 月/年 | PostgreSQL 中的 Fernet 字段级加密 |
| CVV | 3 位安全码 | 从不存储——仅在授权过程中使用 |
| CPF/CNPJ | payer.document | 静态加密 |
| 电子邮件 | payer.email | 静态加密 |
| IP 地址 | 用于反欺诈采集 | 按反欺诈政策保留 |
| 交易数据 | 金额、状态、时间戳 | 按监管要求保留 |
CVV 处理
A55 从不存储 CVV。CVV 在授权过程中通过内存传输给收单机构,并立即丢弃。您也不应在您的系统中存储 CVV——这是安全风险。
处理的法律依据
A55 根据以下 LGPD 法律依据处理个人数据:
| 法律依据 | LGPD 条款 | 适用场景 |
|---|---|---|
| 合同执行 | 第 7 条第 V 款 | 作为商户与买方之间购买合同的一部分处理支付 |
| 法律义务 | 第 7 条第 II 款 | 按 BACEN 和税务法规要求保留交易记录 |
| 合法利益 | 第 7 条第 IX 款 | 反欺诈分析和交易监控 |
| 同意 | 第 7 条第 I 款 | 营销通讯(如适用) |
商户责任
作为与 A55 集成的商户,您是所收集个人数据的数据控制者。A55 作为支付操作的数据处理者。
您必须:
- 获取有效同意——在用户付款前告知其您收集哪些数据及原因
- 维护隐私政策——您的政策必须披露支付数据由第三方 (A55) 处理
- 指定 DPO——任命一名 Encarregado 并公布其联系方式
- 维护数据处理记录——记录您处理哪些个人数据、原因及保留时长
- 报告事件——发生数据泄露时通知 ANPD 和受影响的个人
- 尊重数据主体权利——在 15 天内响应访问、更正和删除请求
隐私政策检查清单:
- 披露结账时收集哪些个人数据
- 将 A55 列为支付处理者(数据处理者)
- 说明处理的法律依据(合同执行)
- 描述数据保留期限
- 提供数据主体权利请求的联系方式
- 列出 LGPD 下的数据主体权利
数据主体权利
LGPD 赋予个人以下有关其个人数据的权利:
| 权利 | LGPD 条款 | 您的义务 |
|---|---|---|
| 访问 | 第 18 条第 II 款 | 提供您持有的所有个人数据的副本 |
| 更正 | 第 18 条第 III 款 | 修正不准确的个人数据 |
| 匿名化/封锁/删除 | 第 18 条第 IV 款 | 删除不再需要的数据 |
| 可携带性 | 第 18 条第 V 款 | 将数据转移给其他服务提供商 |
| 共享信息 | 第 18 条第 VII 款 | 披露哪些第三方接收了数据 |
| 撤回同意 | 第 18 条第 IX 款 | 停止基于同意的数据处理 |
删除限制
部分支付数据因监管要求无法删除。交易记录必须按 BACEN 法规保留至少 5 年。处理删除请求时,请告知数据主体此项限制。
数据保留期限
| 数据类型 | 保留期限 | 原因 |
|---|---|---|
| PAN / 有效期 / 持卡人姓名(加密) | 商户活跃期 + 12 个月 | 监管最低存储要求 |
| 交易日志 | 365 天 | 运营和监管合规 |
| CVV | 0 秒——从不存储 | 安全最佳实践——授权后从不存储 |
| 反欺诈数据(IP、设备) | 按反欺诈政策 | 欺诈调查窗口期 |
| 审计日志 | 12 个月以上 | 安全与合规 |
| 备份 | 7 天 | Azure 托管保留 |
ANPD 通知
发生影响个人数据的安全事件时:
- 通知 ANPD——在合理时间内(LGPD 未规定确切时限,但 ANPD 建议 2 个工作日内)
- 通知受影响的数据主体——如事件对其权利构成风险
- 记录事件——性质、受影响的数据、已采取的措施和补救计划
如果我们一方发生的事件影响到您客户的数据,A55 将按照数据处理协议的规定通知您。
最佳实践
- 仅收集必要数据——请勿收集超出交易所需的额外个人数据
- 使用 A55 的令牌化——切勿存储原始卡号;使用 A55 返回的令牌
- 静态加密数据——您一方存储的所有个人数据必须加密
- 实施访问控制——限制组织中可以访问个人数据的人员
- 记录一切——维护处理活动、同意和数据主体请求的记录
- 定期审计——每季度审查您的数据处理实践
- 培训团队——确保处理个人数据的员工了解 LGPD 义务