O que significa Card-on-File?

O comerciante armazena seu número de cartão, data de validade e CVV (ou token) nos próprios servidores para cobranças futuras sem necessidade de nova digitação.

Os cartões virtuais USDT suportam Card-on-File?

Sim. Qualquer cartão virtual com bandeira Visa/Mastercard funciona exatamente como um cartão físico do ponto de vista do comerciante ao salvar os dados.

Se o número vazar, o cartão é usado imediatamente?

Não necessariamente. A verificação 3DS, o CVV e a geolocalização bloqueiam parte das tentativas, mas a probabilidade de uso indevido aumenta significativamente após vazamentos em sites de risco.

É seguro salvar o MPCard (cartão asiático) no OpenAI?

Sim. O OpenAI é um grande comerciante em conformidade, com alto nível de PCI-DSS, e o risco de salvar o cartão lá é muito menor do que em SaaS de pequeno porte.

Digitar o número manualmente evita completamente vazamentos?

Não. Uma vez digitado, a página de pagamento do comerciante pode registrá-lo. O que importa é se o comerciante utiliza tokenização PCI padronizada.

Card-on-File vs digitação manual: guia de 5 cenários |…

Se você usa um cartão virtual USDT para pagar o ChatGPT Plus, comprar jogos na Steam, reservar passagens aéreas e ainda consumir em ferramentas de nicho — a pergunta «devo marcar ‘salvar meu cartão’?» acontece todos os dias. Salvar o cartão (Card-on-File, COF) economiza tempo; digitar manualmente é trabalhoso mas transmite mais segurança. A realidade, porém, é muito mais complexa do que esses dois extremos.

Este guia é direcionado a dois perfis: usuários de assinatura (de 3 a 10 débitos automáticos fixos por mês) e consumidores avulsos (compras internacionais ocasionais). Ao final, você saberá: em quais dos 5 cenários comuns vale salvar o cartão, em quais digitar manualmente e em quais usar um cartão descartável (disposable virtual card), além de entender o que diferencia o cartão USDT nesse contexto.

Entenda primeiro: o que o Card-on-File realmente armazena

Quando um comerciante clica em «salvar cartão», o servidor geralmente recebe:

PAN completo (16 dígitos do cartão)
Data de validade
Nome do titular
CVV (comerciantes em conformidade não deveriam armazenar, mas incidentes reais mostram que muitos armazenam)

Comerciantes em conformidade utilizam o padrão PCI-DSS com tokenização, armazenando um token irreversível em vez do PAN original. Mas há uma distância considerável entre «comerciante em conformidade» e «comerciante que se diz em conformidade». Em diversos incidentes de vazamento de SaaS entre 2023 e 2025, números de cartões de vítimas apareceram em fóruns de carding — todos originados de bancos de dados de COF do lado do comerciante.

Os cartões virtuais USDT não têm nenhuma isenção especial aqui — seja o MPCard ou o Bybit Card, ambos operam nas redes padrão Visa/Mastercard, e a lógica de COF do lado do comerciante é idêntica à de um cartão físico de qualquer banco tradicional. A única diferença é que o saldo de cartões USDT costuma ser baixo (você não deposita 50.000 ₮ de uma vez), o que limita o prejuízo máximo em caso de uso indevido.

Cenário 1: Assinaturas de IA (ChatGPT Plus / Claude Pro / Cursor Pro)

Recomendação: salvar o cartão

ChatGPT Plus = US$ 20/mês, Claude Pro = US$ 20/mês, Cursor Pro = US$ 20/mês — todos com renovação automática mensal. Esses comerciantes têm três características:

SaaS de primeira linha, alto nível de PCI-DSS; o pagamento do OpenAI é processado pelo Stripe
Valor mensal baixo — mesmo em caso de vazamento e uso indevido, o risco por transação é limitado
Não salvar o cartão significa digitar manualmente todo mês, e acionamentos frequentes de 3DS aumentam a probabilidade de falsos bloqueios de antifraude

Taxa do cartão: MPCard Asia Elite cobra 0,60% por transação; US$ 20 de consumo = US$ 0,12 de taxa (oficial). O custo em tempo de digitar manualmente e eventualmente repetir tentativas supera em muito esse valor.

Consulte as notas de taxa de sucesso nas páginas de cenário do ChatGPT Plus e do Cursor Pro.

Cenário 2: Grandes plataformas de e-commerce internacional (Amazon / eBay / AliExpress)

Recomendação: salvar o cartão, mas ativar notificações de transação

O nível de segurança do COF nessas plataformas é aceitável. O problema mais comum não é o vazamento do número do cartão, mas sim o comprometimento da conta: o invasor obtém seu login com senha fraca e usa o cartão salvo para fazer pedidos para o próprio endereço.

O foco da defesa não está no cartão, mas em:

Ativar 2FA na conta da plataforma
Exigir confirmação por e-mail para alteração de endereço de entrega
Ativar notificações por SMS/push do cartão USDT para cada transação

A notificação instantânea por transação do MPChat é essencial aqui — você consegue bloquear o cartão em 5 segundos após um pedido suspeito na Amazon, muito mais eficiente do que a conciliação T+1 dos bancos tradicionais.

Cenário 3: Passagens aéreas e hotéis (Booking / Agoda / sites das companhias aéreas)

Recomendação: digitar manualmente ou usar cartão virtual descartável

Voos e hotéis são um dos cenários de maior risco para o Card-on-File. Razões:

O valor de pré-autorização de OTAs (agências de viagem online) frequentemente equivale ao total da reserva; um único uso indevido pode chegar a milhares de dólares
Algumas companhias aéreas de pequeno porte e OTAs regionais têm baixo nível de PCI
O processo de cancelamento e reembolso é longo, e contestar cobranças indevidas é mais difícil do que em SaaS

A abordagem ideal é o número de uso único. Emissores como MPCard, RedotPay e Bitget Wallet Card suportam a geração de cartões virtuais de uso único — crie um especificamente para reservas de viagem e cancele-o após a reserva. O próprio Booking recomenda que os usuários priorizem cartões com verificação 3DS, seguindo a mesma lógica.

Cenário 4: Ferramentas de nicho e assinaturas cinza (VPN, proxies, SaaS de desenvolvedores independentes)

Recomendação: digitar manualmente, nunca salvar o cartão

Este é o cenário com maior incidência de problemas. Características:

Equipe de 3 a 5 pessoas, sem profissional de segurança dedicado
A integração de pagamento pode capturar o PAN diretamente, sem passar por gateways em conformidade como Stripe ou Adyen
Sem responsabilização em caso de incidente (a equipe pode estar em outra jurisdição ou simplesmente desaparecer)

Mesmo que seja uma VPN de US$ 5/mês, salvar o cartão significa deixar seus 16 dígitos em um VPS que talvez nem configure HTTPS corretamente.

Consulte a página de riscos exchange-hack sobre «vazamento em pequenos comerciantes» — a lógica é a mesma.

Cenário 5: Cadastro em plataformas internacionais (Apple ID / mudança de região no Google Play)

Recomendação: salvar o cartão, mas usar um cartão dedicado

Plataformas como Apple e Google exigem um cartão local vinculado como «âncora» da conta regional; desvincular com frequência aciona bloqueios por antifraude. Recomendações:

Use um cartão USDT dedicado (por exemplo, MPCard Asia Elite com BIN asiático) exclusivamente para essa finalidade
Mantenha saldo mínimo — não use como cartão de consumo principal
Combine com o conceito de «consistência de BIN do cartão» descrito nos guias de conformidade no Japão e conformidade em Hong Kong

Guia rápido: Faça / Não faça

Faça:

Mantenha em cada cartão USDT apenas o saldo suficiente para 1 a 2 meses de consumo — não o use como conta poupança
Ative notificações por transação e bloqueie o cartão em até 1 minuto ao detectar anomalia
Salve em grandes SaaS, digite manualmente em pequenos comerciantes, use cartão descartável em voos e hotéis
Verifique periodicamente a «lista de autorizações de comerciantes» no app do emissor e remova os COFs que não usa mais

Não faça:

Não salve o cartão em 10 ou mais comerciantes simultaneamente — a superfície de exposição cresce proporcionalmente
Não marque «concordo em compartilhar com parceiros associados» ao salvar o cartão em pequenos comerciantes
Não use o mesmo cartão para assinaturas e sites cinza — se cair no antifraude, você perde os dois tipos de serviço ao mesmo tempo
Não confie em declarações como «não armazenamos o CVV» — você não tem como verificar

Erros comuns e como evitá-los

Erro 1: Usar o cartão USDT como cartão principal e salvar em todos os comerciantes. A vantagem do cartão USDT é ser «leve e descartável». Usá-lo como um cartão de crédito tradicional amplifica os riscos do emissor (consulte issuer-bankruptcy). A abordagem correta é tratá-lo como «cartão temático» e separar por cenário.

Erro 2: Achar que digitar manualmente garante segurança. A digitação também passa pela página de pagamento do comerciante. Se essa página sofrer injeção de JS malicioso (ataque Magecart), o que você digita é capturado em tempo real. A defesa real está em «confiabilidade do comerciante + limite de saldo do cartão + 3DS», não na forma de inserção.

Recomendação de cartão

Diferentes cenários podem teoricamente usar cartões diferentes, mas gerenciar vários cartões tem um custo de aprendizado. Se você usar apenas um, o MPCard Asia Elite apresenta desempenho estável em cenários de COF com SaaS asiático, com 0,60% por transação e mensalidade de US$ 0 (oficial); para cenários de maior risco como voos e hotéis, complemente com um cartão que suporte geração de números descartáveis.

Para uma comparação mais completa, consulte o Top 5 de cartões USDT 2026 e o ranking de menores taxas.

Card-on-File vs digitação manual: divisão em 5 cenários

Entenda primeiro: o que o Card-on-File realmente armazena#

Cenário 1: Assinaturas de IA (ChatGPT Plus / Claude Pro / Cursor Pro)#

Cenário 2: Grandes plataformas de e-commerce internacional (Amazon / eBay / AliExpress)#

Cenário 3: Passagens aéreas e hotéis (Booking / Agoda / sites das companhias aéreas)#

Cenário 4: Ferramentas de nicho e assinaturas cinza (VPN, proxies, SaaS de desenvolvedores independentes)#

Cenário 5: Cadastro em plataformas internacionais (Apple ID / mudança de região no Google Play)#

Guia rápido: Faça / Não faça#

Erros comuns e como evitá-los#

Recomendação de cartão#