Back to guides SEGURIDAD

Pasarela de Pago Conforme con PCI DSS: Qué Significa para tu Negocio

PCI DSS (Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago) es el marco de seguridad global que regula cómo deben manejarse los datos de tarjeta por parte de cualquier entidad que procese, almacene o transmita información de tarjetas de pago. Para los comerciantes que eligen una pasarela de pago, el nivel de certificación PCI DSS es uno de los criterios de selección técnicos y comerciales más importantes. Usar una pasarela certificada PCI DSS Nivel 1 reduce significativamente la carga de cumplimiento del comerciante, protege a los titulares de tarjetas y reduce el riesgo de filtraciones de datos que resultan en multas del circuito y costes de reemisión de tarjetas. Esta guía explica qué significa el cumplimiento PCI DSS para una pasarela, los niveles de certificación, qué hace una pasarela de Nivel 1 para tu programa de cumplimiento y qué deben seguir haciendo los comerciantes de forma independiente.

Pasarela de Pago Conforme con PCI DSS | RoxPay

Qué Significa el Cumplimiento PCI DSS para una Pasarela de Pago

PCI DSS es un conjunto de requisitos de seguridad desarrollado por los principales circuitos de tarjetas (Visa, Mastercard, Amex, Discover, JCB) a través del Consejo de Estándares de Seguridad PCI. El estándar se aplica a cualquier entidad que procese, almacene o transmita datos de titulares de tarjetas, definidos principalmente como el Número de Cuenta Principal (PAN), combinado con cualquier elemento de datos adicional (nombre, vencimiento, código de servicio).

Para una pasarela de pago, el cumplimiento PCI DSS significa que toda la infraestructura de la pasarela, incluyendo sus servidores, redes, aplicaciones y procedimientos operativos, cumple con los requisitos de seguridad definidos en el estándar PCI DSS actual (actualmente la versión 4.0). Estos requisitos cubren doce áreas amplias: seguridad de red, gestión de configuración, protección de datos de titulares de tarjetas, gestión de vulnerabilidades, control de acceso, seguridad física, supervisión y pruebas, y política de seguridad.

Por qué importa para los comerciantes: Una pasarela que no cumple con PCI DSS crea exposición de responsabilidad para cada comerciante que la usa. Si los datos de titulares de tarjeta procesados a través de la pasarela se ven comprometidos, los circuitos de tarjetas pueden imponer multas, requerir la reemisión de tarjetas a coste del comerciante y, en casos graves, revocar las licencias de procesamiento del adquirente. Usar una pasarela certificada PCI DSS Nivel 1 traslada la responsabilidad de seguridad de la infraestructura de procesamiento a la pasarela, reduciendo la exposición directa del comerciante.

Certificación continua: El cumplimiento PCI DSS no es una certificación única. Las pasarelas de Nivel 1 se someten a evaluaciones de seguridad anuales in situ por un Evaluador de Seguridad Calificado (QSA) y escaneos trimestrales de vulnerabilidades de red por un Proveedor de Escaneo Aprobado (ASV). Esta evaluación continua garantiza que la postura de seguridad de la pasarela se mantiene a medida que evolucionan las amenazas.

Para los comerciantes que usan una pasarela de pago de alto riesgo especializada, la certificación PCI DSS Nivel 1 a nivel de pasarela es particularmente importante porque las categorías de comerciantes de alto riesgo atraen una atención elevada tanto de los defraudadores como de los organismos reguladores.

Niveles de PCI DSS: Nivel 1 vs Nivel 2 vs Nivel 3 vs Nivel 4

La certificación PCI DSS está escalonada por volumen de transacciones, con diferentes requisitos de validación de cumplimiento para cada nivel. Estos niveles se aplican a los comerciantes y proveedores de servicios por separado, pero para las pasarelas de pago (que son proveedores de servicios), los niveles relevantes se definen de manera diferente.

Niveles de proveedor de servicios:
Los proveedores de servicios de Nivel 1 procesan, almacenan o transmiten más de 300.000 transacciones de tarjeta por año. Deben someterse a un Informe de Cumplimiento (RoC) anual preparado por un Evaluador de Seguridad Calificado, más escaneos trimestrales de red. Esta es la evaluación más rigurosa y en la que RoxPay está certificado.

Los proveedores de servicios de Nivel 2 procesan menos de 300.000 transacciones de tarjeta por año. Pueden completar un Cuestionario de Autoevaluación (SAQ) anual más escaneos trimestrales, en lugar de una auditoría completa de QSA.

Niveles de comerciante (para contexto):
Nivel 1 de comerciante: Más de seis millones de transacciones Visa o Mastercard por año. Requiere evaluación anual in situ del QSA.
Nivel 2 de comerciante: De uno a seis millones de transacciones por año.
Nivel 3 de comerciante: De 20.000 a un millón de transacciones de comercio electrónico.
Nivel 4 de comerciante: Menos de 20.000 transacciones de comercio electrónico o menos de un millón de otras transacciones.

Qué señala la certificación de Nivel 1: Una pasarela certificada PCI DSS Nivel 1 se ha sometido a la evaluación de seguridad de terceros más rigurosa posible. Para los comerciantes, esto representa la garantía más alta disponible de que la infraestructura de procesamiento en la que confían cumple con el estándar de seguridad superior de la industria.

Cómo Usar una Pasarela PCI DSS Nivel 1 Reduce tu Carga de Cumplimiento

Usar una pasarela PCI DSS Nivel 1 reduce significativamente el alcance de tu propio programa de cumplimiento PCI DSS, pero el grado de reducción depende de tu método de integración.

Integración de página alojada (reducción de alcance total): Cuando usas la página de pago alojada de la pasarela, tu cliente es redirigido al dominio de la pasarela para introducir los datos de la tarjeta. Tu infraestructura nunca ve datos de tarjeta. Bajo este modelo, calificas para SAQ A, el cuestionario de autoevaluación más simple. SAQ A tiene aproximadamente 22 requisitos, comparado con 300 para SAQ D. La integración de página alojada combinada con una pasarela de Nivel 1 proporciona la máxima reducción de alcance.

Integración de IU drop-in o iFrame (reducción de alcance casi completa): Cuando la pasarela proporciona elementos iFrame inyectados por JavaScript para la entrada de tarjeta dentro de tu página de checkout, los datos de tarjeta se manejan dentro del iFrame seguro de la pasarela, no en el código de tu página. Tu infraestructura no maneja datos de tarjeta sin procesar. Todavía calificas para SAQ A bajo este modelo en la mayoría de las interpretaciones.

API REST con tokenización (reducción de alcance moderada): Cuando tu frontend recoge datos de tarjeta y los envía a tu servidor, que luego llama a la API de la pasarela, tu servidor está en el alcance de PCI DSS. Incluso si tokenizas inmediatamente la tarjeta y nunca almacenas el PAN sin procesar, el hecho de que tu servidor haya procesado datos de tarjeta sin procesar lo pone en el alcance. Este tipo de integración requiere SAQ D o una evaluación completa de QSA dependiendo de tu escala, aumentando significativamente el coste y el esfuerzo de cumplimiento.

Qué significa la reducción de alcance en la práctica: El cumplimiento SAQ A es alcanzable para la mayoría de los comerciantes pequeños y medianos sin personal de seguridad dedicado o costosas evaluaciones externas. El cumplimiento SAQ D requiere una inversión significativa en controles de seguridad, documentación y potencialmente un compromiso de QSA. La decisión sobre el método de integración es por lo tanto una decisión significativa sobre el coste de cumplimiento, no solo una técnica.

Lo Que los Comerciantes Aún Necesitan Hacer Incluso con una Pasarela Conforme

Usar una pasarela certificada PCI DSS Nivel 1 reduce tu carga de cumplimiento pero no elimina todas las obligaciones PCI. Los comerciantes siguen siendo responsables de varios requisitos independientemente del nivel de certificación de su pasarela.

Completa tu SAQ: Incluso bajo SAQ A (el formulario más simple para integraciones alojadas/iFrame), los comerciantes deben completar y conservar el cuestionario de autoevaluación. No completar el SAQ puede resultar en marcas de incumplimiento de tu adquirente y posibles multas.

Protege tu capa de aplicación: Tu sitio web y aplicación están en el alcance de PCI DSS incluso cuando usas una pasarela alojada, específicamente con respecto a la prevención de ataques de web skimming. PCI DSS 4.0 introdujo requisitos específicos en torno a la protección de las páginas de pago de la inyección de scripts del lado del cliente (ataques estilo Magecart), que pueden capturar datos de tarjeta mientras se introducen antes de que lleguen al iFrame de la pasarela. Debes implementar inventario de scripts y supervisión de integridad en tus páginas de pago.

Protege tus credenciales de API: Tus claves de API y secretos de firma de webhooks deben almacenarse de forma segura, rotarse regularmente y nunca exponerse en código del lado del cliente o control de versiones. Las credenciales de API comprometidas crean un riesgo de seguridad directo incluso cuando la pasarela misma cumple con PCI Nivel 1.

Mantén la higiene de tu sistema: Los servidores, aplicaciones e infraestructura que forman parte de tu entorno de pago deben mantenerse parcheados y seguros. Los requisitos de PCI DSS para el control de acceso, el registro y la gestión de cambios se aplican a tus sistemas en el alcance, no solo a la pasarela.

No almacenes datos prohibidos: Incluso cuando usas una pasarela alojada, no debes retener números de tarjeta completos, CVVs o datos de banda magnética en ningún sistema que controles. El registro que captura accidentalmente cuerpos de solicitud, las plataformas de análisis que reciben datos de formularios y los servicios de informes de errores son todas fuentes potenciales de almacenamiento de datos prohibidos.

Certificación PCI DSS Nivel 1 de RoxPay y Qué Cubre

RoxPay tiene la certificación PCI DSS Nivel 1 con el número de certificado QS83A47X629. Esta certificación se mantiene a través de evaluaciones anuales in situ por un Evaluador de Seguridad Calificado y escaneos trimestrales de red por un Proveedor de Escaneo Aprobado.

Qué cubre la certificación: Toda la infraestructura de procesamiento de pagos de RoxPay, incluyendo bóvedas de datos de tarjeta, servidores de procesamiento de transacciones, infraestructura de red, endpoints de API y procedimientos operativos. El alcance de la certificación cubre el entorno de datos de titulares de tarjetas en su totalidad, desde el punto en que los datos de tarjeta entran en el sistema de RoxPay a través del procesamiento, almacenamiento (tokenizado) y transmisión a los adquirentes.

Qué significa esto para los comerciantes: Los comerciantes que usan el checkout alojado o la integración de IU drop-in de RoxPay pueden calificar para SAQ A, el requisito mínimo de validación de cumplimiento para los comerciantes que no manejan datos de tarjeta directamente. Esto reduce la carga de cumplimiento para los comerciantes a una autoevaluación anual y escaneos trimestrales en lugar de un compromiso completo de QSA.

Certificación ISO 27001: Además de PCI DSS Nivel 1, RoxPay tiene la certificación ISO 27001, que cubre el sistema de gestión de la seguridad de la información en términos generales, incluyendo la protección de datos, la gestión del acceso, la respuesta a incidentes y la continuidad del negocio. Esto proporciona garantías más allá del marco PCI específico de pagos.

Registro en el OAM: RoxPay está registrado en el OAM italiano (Organismo Agenti e Mediatori), confirmando su estatus como operador de pago regulado en Italia.

Para iniciar tu solicitud en RoxPay y acceder al entorno sandbox para pruebas de integración conformes con PCI, completa el formulario de incorporación digital. Las credenciales del sandbox están disponibles inmediatamente al registrarse. La documentación completa de la API, incluyendo orientación de integración de seguridad, está en app.roxpay.eu/api/v4/docs.

RoxPay procesa más de 500 millones de euros en volumen anual en 120 sistemas de pago con un SLA de tiempo de actividad del 99,9%. Precios IC++ desde 0,45%, liquidación a cualquier banco SEPA en 24-48 horas.

Frequently Asked Questions

¿Cuál es la diferencia entre PCI DSS Nivel 1 y Nivel 2?

Para los proveedores de servicios (pasarelas de pago), el Nivel 1 requiere una evaluación anual in situ por un Evaluador de Seguridad Calificado, produciendo un Informe de Cumplimiento formal. El Nivel 2 permite la autocompletar de un Cuestionario de Autoevaluación. El Nivel 1 es más riguroso y proporciona a los comerciantes una mayor garantía porque un experto en seguridad independiente ha revisado y certificado físicamente todo el entorno de procesamiento.

¿Necesito ser conforme con PCI DSS si uso el checkout alojado de RoxPay?

Sí, pero tu obligación de cumplimiento es mínima. Usar el checkout alojado o la IU drop-in de RoxPay significa que calificas para SAQ A, que implica completar un breve cuestionario de autoevaluación de aproximadamente 22 requisitos, más escaneos trimestrales de red por un Proveedor de Escaneo Aprobado. No necesitas una auditoría de QSA ni una evaluación SAQ D completa.

¿Qué es PCI DSS 4.0 y afecta a los comerciantes que usan checkouts alojados?

La versión 4.0 de PCI DSS se publicó en 2022 y se convirtió en el estándar efectivo en 2024. Para los comerciantes que usan checkouts alojados, el nuevo requisito más relevante en v4.0 es la necesidad de mantener un inventario de scripts y supervisión de integridad para todos los scripts que se ejecutan en tus páginas de pago (para prevenir el web skimming). Esto aplica incluso bajo SAQ A. La documentación de integración de RoxPay incluye orientación para cumplir con este requisito.

Más información

Optimize your payments today

RoxPay está certificado PCI DSS Nivel 1 (QS83A47X629) y certificado ISO 27001. Los comerciantes que usan el checkout alojado califican para el cumplimiento SAQ A. IC++ desde 0,45%, liquidación a cualquier banco SEPA en 24-48 horas.

Get started for free → Talk to an expert

✓ No monthly fixed costs · ✓ Activation in 24 hours · ✓ Dedicated technical support