Recurso · Guía
Cumplimiento PCI para comercios de alto riesgo
El cumplimiento PCI, adherirse al PCI DSS, aplica a todo comercio que acepta tarjetas, incluidos los de alto riesgo; no hay exención de alto riesgo. Lo que difiere para los comercios de alto riesgo es el escrutinio y la exposición al fraude, que elevan las consecuencias. La estrategia de cumplimiento más eficaz es minimizar los datos de titulares de tarjetas que tocas usando un gateway PCI Nivel 1 con tokenización y páginas alojadas, lo que reduce su alcance a la evaluación más sencilla.
El PCI no es distinto para los comercios de alto riesgo, las consecuencias sí
Aclaremos de inmediato la primera confusión: no existe una versión separada, más ligera o más dura del PCI DSS para los negocios de alto riesgo. El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago aplica a todo comercio que almacena, procesa o transmite datos de titulares de tarjetas, punto. Una marca de suplementos, un negocio de coaching y una tienda de la esquina están ligados a los mismos doce requisitos.
Lo que cambia cuando es de alto riesgo no es el reglamento, son las consecuencias de equivocarte. Los verticales de alto riesgo son blanco de estafadores con más frecuencia, más vigilados por los adquirentes y más propensos a sentir el impacto de una brecha en forma de fondos retenidos o una cuenta cancelada. Así que para un comercio de alto riesgo, el cumplimiento PCI es dos cosas a la vez: un requisito básico que no puede saltar, y una línea de defensa práctica contra exactamente los problemas de fraude y contracargos que ya hacen frágil su cuenta. Esta guía recorre los requisitos en ese contexto, explica los niveles y los SAQ, y muestra qué le quita del plato el gateway correcto.
Los 12 requisitos, en un contexto de alto riesgo
El PCI DSS se organiza en doce requisitos a través de seis objetivos. Aquí está la versión práctica, con el énfasis que un comercio de alto riesgo debería realmente considerar.
| # | Requisito (versión sencilla) | Por qué muerde más fuerte en alto riesgo |
|---|---|---|
| 1–2 | Instala firewalls; no uses las contraseñas predeterminadas del proveedor | Higiene básica que los atacantes prueban primero; los sitios de alto riesgo se sondean más |
| 3 | Proteja los datos almacenados de titulares de tarjetas | El mayor factor de alcance: almacenar datos de tarjeta es lo más riesgoso que puede hacer |
| 4 | Cifra los datos de titulares de tarjetas en tránsito | Los modelos sin presencia de tarjeta, con mucho e-commerce, viven o mueren por esto |
| 5–6 | Antimalware; construye y mantenga sistemas seguros | Los carritos y plugins sin parchar son el vector de brecha común |
| 7–8 | Restringe el acceso por necesidad de saber; autentica a cada usuario | Limita el radio de impacto si roban una credencial |
| 9 | Restringe el acceso físico a los datos | Importa incluso en CNP si guardas algún registro |
| 10 | Registra y monitorea todo acceso a datos y redes | El rastro de evidencia en el que confían adquirentes y forenses |
| 11 | Prueba regularmente los sistemas de seguridad (escaneos, prueba de penetración) | Los escaneos de red trimestrales son un requisito estricto para la mayoría |
| 12 | Mantenga una política de seguridad de la información | La gobernanza que los adquirentes esperan de un comercio de alto riesgo |
El hilo conductor a través de los doce: cada requisito se vuelve más fácil cuanto menos datos de titulares de tarjetas manejen sus propios sistemas. El requisito 3, proteger los datos de tarjeta almacenados, es la mayor fuente individual de alcance PCI y riesgo de brecha, y la estrategia de alto riesgo más inteligente es no almacenarlos en absoluto. Más sobre eso abajo.
Niveles PCI, ¿cuál es?
Su nivel PCI se fija según su volumen anual de transacciones con tarjeta, y determina cómo validas el cumplimiento.
- Nivel 1, los comercios más grandes (generalmente más de 6 millones de transacciones/año por marca) y cualquier comercio que haya sufrido una brecha. Requiere una evaluación anual en sitio por un Asesor de Seguridad Calificado (QSA) y escaneos trimestrales.
- Nivel 2, aproximadamente 1 a 6 millones de transacciones/año. Normalmente un SAQ anual más los escaneos requeridos, a veces con validación adicional.
- Nivel 3, aproximadamente 20,000 a 1 millón de transacciones de e-commerce/año. SAQ más escaneos.
- Nivel 4, menos de 20,000 transacciones de e-commerce/año (o hasta 1 millón en total). SAQ más escaneos.
La mayoría de los comercios de alto riesgo pequeños y medianos son Nivel 3 o 4 y validan con un Cuestionario de Autoevaluación en lugar de una auditoría completa. Su procesador o adquirente confirma su nivel, y vale la pena saber que una brecha puede empujar a cualquier comercio a la validación de Nivel 1 sin importar el volumen, lo cual es una razón más para que el enfoque de minimización de datos rinda frutos.
Tipos de SAQ, y por qué la configuración correcta le lleva al más corto
El SAQ (Cuestionario de Autoevaluación) es el formulario que los comercios por debajo del Nivel 1 usan para atestiguar el cumplimiento, y hay varias versiones según cómo acepta pagos. La clave: el SAQ para el que califica es función directa de cuántos datos de titulares de tarjetas tocan sus sistemas.
El más pequeño es el SAQ A, para comercios de e-commerce que subcontratan por completo la captura y el almacenamiento de tarjetas a un tercero con cumplimiento PCI, los datos de tarjeta del cliente nunca llegan a sus servidores. Los comercios que teclean o transmiten datos de tarjeta a través de sus propios sistemas enfrentan cuestionarios más largos (SAQ A-EP, SAQ D y otros) con muchos más controles que atestiguar. La diferencia entre el SAQ A y el SAQ D es la diferencia entre un formulario anual corto y un proyecto de cumplimiento sustancial.
Así que la palanca práctica es clara: organiza sus pagos para que los datos de tarjeta se capturen y almacenen en un procesador conforme, no en usted, y colapsas su evaluación al nivel más sencillo.
Qué le descarga un gateway PCI Nivel 1
Aquí es donde el procesador correcto hace un trabajo real. GivePayments funciona sobre infraestructura con cumplimiento PCI DSS Nivel 1, el nivel de validación más alto, y el punto de eso no es una insignia; es que podemos quitarle de las manos los datos de titulares de tarjetas. Dos mecanismos lo logran:
La tokenización reemplaza el número de tarjeta real por un token sin significado en sus sistemas. Aún puede facturar, reembolsar y ejecutar cargos recurrentes usando el token, pero los datos de tarjeta reales viven en nuestro entorno validado, no en el suyo, así que incluso si sus sistemas fueran vulnerados, no hay datos de tarjeta que robar.
Las páginas de pago alojadas capturan la tarjeta en nuestra página en lugar de la suya, así que los datos sensibles nunca transitan por sus servidores. Combinado con la tokenización, esto es lo que lleva a un comercio de e-commerce al mínimo SAQ A y elimina casi por completo la carga de almacenamiento del requisito 3.
Para un comercio de alto riesgo, esa es la decisión de cumplimiento de mayor apalancamiento disponible: en lugar de endurecer su propio entorno para almacenar datos de tarjeta con seguridad, dejas de almacenarlos. El alcance de cumplimiento se reduce, la superficie de brecha se reduce, y el requisito más riesgoso se traslada en gran medida a un procesador construido para manejarlo. Nuestro gateway de pagos y herramientas para desarrolladores están construidos exactamente en torno a esto, tokenización y páginas alojadas primero, y la postura de seguridad se detalla en nuestra página de seguridad.
La conclusión para los comercios de alto riesgo
El cumplimiento PCI es obligatorio sea de alto riesgo o no, pero qué tan pesado se siente es en gran medida su elección. Toca muchos datos de titulares de tarjetas y cargas con todo el peso del estándar más el riesgo elevado de brecha que viene con un perfil de alto riesgo. Minimiza los datos que tocas, a través de un gateway PCI Nivel 1 con tokenización y páginas alojadas, y colapsas su alcance a la evaluación más sencilla mientras eliminas por completo de su entorno la parte más peligrosa del cumplimiento.
Si quiere procesamiento de alto riesgo sobre infraestructura PCI Nivel 1 que mantiene los datos de titulares de tarjetas fuera de sus sistemas, solicite su aprobación, o lea cómo evaluamos y decidimos en cómo funciona nuestro análisis de riesgo.
FAQ
Preguntas frecuentes sobre cumplimiento PCI
¿Qué es el cumplimiento PCI y aplique a los comercios de alto riesgo?
El cumplimiento PCI significa adherirse al PCI DSS (Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago), las reglas de seguridad de las marcas de tarjetas para cualquier negocio que almacene, procese o transmita datos de titulares de tarjetas. Aplique a todo comercio que acepta tarjetas, sea de alto riesgo o no, no hay exención por ser de alto riesgo. Lo que cambia para los comercios de alto riesgo son las consecuencias: es más probable que sean blanco de fraude y más escrutados por los adquirentes, así que hacer bien el PCI es a la vez un requisito y una defensa práctica.
¿Qué nivel PCI soy como comercio?
Los niveles PCI se fijan según el volumen anual de transacciones con tarjeta. El Nivel 1 es el más grande (generalmente más de 6 millones de transacciones al año por marca de tarjeta, o cualquier comercio que haya sufrido una brecha), hasta el Nivel 4 para el más pequeño (menos de 20,000 transacciones de e-commerce). La mayoría de los comercios pequeños y medianos son Nivel 3 o 4 y validan con un Cuestionario de Autoevaluación; los comercios de Nivel 1 requieren una auditoría anual en sitio por un Asesor de Seguridad Calificado. Su adquirente o procesador confirma su nivel.
¿Cómo se mantienen conformes con PCI los comercios de alto riesgo?
La medida más eficaz es minimizar los datos de titulares de tarjetas que tocas. Al usar un gateway con cumplimiento PCI con tokenización y páginas de pago alojadas, los datos de tarjeta se capturan y almacenan en los sistemas validados del procesador en lugar de los suyos, lo que reduce drásticamente su alcance PCI y el SAQ que debe completar. Más allá de eso, mantenerse conforme significa completar el SAQ o la auditoría correcta cada año, ejecutar los escaneos de red requeridos y mantener los controles de seguridad de los 12 requisitos todo el año, no solo en el momento de la evaluación.
¿GivePayments es un procesador con cumplimiento PCI Nivel 1?
Sí, GivePayments opera sobre infraestructura con cumplimiento PCI DSS Nivel 1, el nivel de validación más alto, que es lo que nos permite manejar los datos de titulares de tarjetas en su nombre y reducir su carga de cumplimiento. Cuando los datos de tarjeta se capturan y tokenizan en nuestros sistemas Nivel 1 a través de una página alojada o de nuestro gateway, los datos sensibles se mantienen fuera de su entorno, lo que reduce su alcance y quita de su plato la parte más riesgosa del cumplimiento.
¿Qué es un SAQ y cuál necesito?
Un SAQ (Cuestionario de Autoevaluación) es el formulario que la mayoría de los comercios por debajo del Nivel 1 usan para validar el cumplimiento PCI. Hay varios tipos según cómo acepta pagos, por ejemplo, el SAQ A para comercios de e-commerce que subcontratan por completo el manejo de tarjetas a un tercero conforme (el cuestionario más corto), y otros más extensos para comercios que tocan directamente los datos de tarjeta. Cuanto menos datos de titulares de tarjetas manejen sus sistemas, más corto será su SAQ; un gateway alojado y tokenizado es lo que lleva a la mayoría de los comercios de e-commerce al SAQ A más sencillo.
¿Quiere procesamiento sobre infraestructura PCI Nivel 1?
La tokenización y las páginas alojadas mantienen los datos de titulares de tarjetas fuera de sus sistemas y colapsan su alcance PCI a la evaluación más sencilla.