Guía para el cumplimiento de la normativa PCI

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS, por sus siglas en inglés) establece el estándar mínimo para la seguridad de los datos. Aquí tienes una guía detallada para cumplir con la normativa y que explica cómo Stripe puede ayudarte.

Payments
Payments

Acepta pagos por Internet y en persona desde cualquier rincón del mundo con una solución de pagos diseñada para todo tipo de negocios, desde startups en crecimiento hasta grandes empresas internacionales.

Más información 
  1. Introducción
  2. Cómo ayuda Stripe a las organizaciones a lograr y mantener el cumplimiento de la normativa PCI
  3. Guía detallada para el cumplimiento de la normativa PCI DSS
    1. 1. Conoce tu nivel de PCI
    2. 2. Conoce tu tipo de integración y los requisitos de documentación
    3. 3. Completa tu evaluación y envía tu documentación del SAQ
    4. 4. Supervisar y mantener
  4. Cómo ayuda Stripe a las organizaciones a mantener el cumplimiento de la normativa PCI
    1. Apoyo a nuestras pequeñas empresas
    2. Experiencia personalizada del Dashboard
    3. Soporte mientras tu empresa crece
    4. Más de un proveedor de servicios
  5. Más información sobre Stripe 

Desde 2005, más de 10.000 millones de expedientes de consumidores se han visto comprometidos por más de 9.000 filtraciones de datos en los EE. UU. Estas son las últimas cifras del Privacy Rights Clearinghouse, una agencia que informa sobre las filtraciones de datos y las infracciones de seguridad que afectan a los consumidores desde 2005. Con el fin de mejorar la seguridad de los datos de los consumidores y la confianza en el ecosistema de pagos, se creó un estándar mínimo para la seguridad de los datos. Visa, Mastercard, American Express, Discover y JCB formaron el Consejo de Normas de Seguridad del Sector de Tarjetas de Pago (PCI SSC) en 2006 con el fin de administrar y gestionar los estándares de seguridad de las empresas que manejan datos de tarjetas de crédito.

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es el estándar de seguridad global para todas las entidades que almacenan, procesan o transmiten datos del titular de la tarjeta y/o datos confidenciales de autenticación. PCI DSS establece un nivel básico de protección para los consumidores y ayuda a reducir el fraude y las filtraciones de datos en todo el ecosistema de pagos. Se aplica a todas las organizaciones que aceptan o procesan tarjetas de pago, y existen sanciones, multas y costes significativos para las organizaciones que incumplen estos estándares.

El cumplimiento de la normativa PCI DSS tiene tres componentes principales:

  1. Gestionar la introducción de los datos de las tarjetas de crédito de los clientes; es decir, que los datos confidenciales de la tarjeta se recopilen y transmitan de forma segura.
  2. Almacenamiento seguro de datos, tal como se describe en los 12 dominios de seguridad de la norma PCI, como el cifrado, la supervisión continua y las pruebas de seguridad del acceso a los datos de la tarjeta.
  3. Validar cada año que se hayan implementado los controles de seguridad requeridos, que pueden incluir formularios, cuestionarios, servicios de análisis de vulnerabilidades externos y auditorías de terceros (consulta la guía detallada a continuación para ver una tabla con los cuatro niveles de requisitos).

Todas las empresas que aceptan pagos con tarjeta de crédito deben cumplir con la normativa PCI DSS, independientemente del volumen, la región geográfica o el método de integración. Al cumplir con este marco, las empresas pueden:

  • Generar confianza en los clientes garantizando la protección de los datos de sus tarjetas.
  • Protegerse del fraude y las filtraciones de datos.
  • Evitar multas por el incumplimiento de la norma PCI.

Aviso de exención de responsabilidad: Este artículo debe usarse solo con fines orientativos y no debe tomarse como un consejo definitivo. Recomendamos consultar a un evaluador de seguridad cualificado (QSA) del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) para obtener informaciones más concretas.

Cómo ayuda Stripe a las organizaciones a lograr y mantener el cumplimiento de la normativa PCI

Si tu modelo de negocio requiere que manejes datos de tarjetas, seguramente deberás cumplir con cada uno de los más de 300 controles de seguridad de PCI DSS. Hay más de 1.800 páginas de documentación oficial, publicada por el Consejo de Normas de Seguridad de PCI, sobre PCI DSS, y más de 300 páginas solo para entender qué formularios hay que utilizar para validar el cumplimiento.

Stripe puede ayudar a reducir significativamente la carga de PCI para las empresas al proporcionar diversos métodos de integración tokenizados (p. ej., Checkout, Elements, SDK móviles, SDK de Terminal), evitando la necesidad de manejar directamente datos confidenciales de tarjetas de crédito.

  • Stripe Checkout y Stripe Elements utilizan un campo de pago alojado para gestionar todos los datos de la tarjeta de pago, de modo que el titular de la tarjeta introduce toda la información confidencial de pago en un campo de pago que se origina directamente en nuestros servidores validados por PCI DSS.
  • Los SDK móviles y de Terminal de Stripe también permiten al titular de la tarjeta enviar información de pago confidencial directamente a nuestros servidores validados por PCI DSS.

Para todos nuestros usuarios, sea cual sea el tipo de integración, Stripe actúa como promotor de la PCI y puede ayudar de diferentes maneras.

  • Nuestro asistente de Stripe para PCI analiza tu método de integración y te aconseja sobre cómo reducir la carga que tienes que cumplir con la normativa.
  • Te notificaremos con antelación si un volumen de transacciones creciente requerirá un cambio en la forma de validar el cumplimiento de la normativa.
  • Para las empresas grandes o corporaciones que necesitan trabajar con un evaluador de seguridad cualificado (QSA) de PCI porque almacenan datos de tarjetas de crédito o tienen un flujo de pago más complejo, hay más de 400 empresas de QSA de este tipo en todo el mundo. Podemos ponerte en contacto con varios auditores que entienden a fondo los diferentes métodos de integración de Stripe.

Guía detallada para el cumplimiento de la normativa PCI DSS

1. Conoce tu nivel de PCI

El primer paso para lograr el cumplimiento de PCI es conocer qué requisitos se aplican a tu organización. Hay cuatro niveles diferentes de cumplimiento de la normativa PCI, que normalmente se basan en el volumen de transacciones con tarjeta de crédito que procese tu empresa en un período de 12 meses.

Dependiendo de tu nivel, tendrás diferentes requisitos, incluyendo análisis periódicos de vulnerabilidades por parte de un proveedor de análisis aprobado (ASV). También hay requisitos adicionales para los proveedores de servicios, que son entidades comerciales que participan directamente en el procesamiento, almacenamiento o transmisión de datos del titular de la tarjeta (CHD) o datos de autenticación confidencial (DUD) en nombre de otra entidad (por ejemplo, pasarelas de pago, proveedores de servicios de pago y organizaciones de ventas independientes).

Nivel de cumplimiento de la normativa
Se aplica a
Requisitos
Nivel 1
  • Empresas que al año procesan más de 6 millones de transacciones de Visa o Mastercard, o más de 2,5 millones para American Express; o
  • empresas han experimentado una violación de seguridad de los datos; o
  • empresas que una asociación de tarjeta considera de «Nivel 1» (Visa, Mastercard, etc.)
  • Certificación de cumplimiento de la normativa (AOC) o informe anual sobre cumplimiento de la normativa (ROC) por un evaluador de seguridad certificado (QSA)
  • Análisis trimestral de la red a cargo de un proveedor de análisis acreditado (ASV)
Nivel 2
  • Empresas que procesan entre 1 y 6 millones de transacciones por año
  • Cuestionario de autoevaluación (SAQ), Certificación de cumplimiento de la normativa (AOC) o informe anual sobre cumplimiento de la normativa (ROC)
  • La documentación de SAQ tipo A, SAQ tipo A-EP y SAQ tipo D debe tener la firma de un evaluador de seguridad certificado (QSA) de PCI o un evaluador de seguridad interno certificado para PCI (ISA).1
  • Análisis trimestral de la red a cargo de un proveedor de análisis acreditado (ASV)
Nivel 3
  • Empresas que procesan entre 20.000 y 1 millón de transacciones en línea al año
  • Empresas que procesan menos de 1 millón de transacciones en total al año
  • Los usuarios de nivel 3 y nivel 4 se registran automáticamente en nuestro Programa de gestión de riesgos, que brinda una experiencia personalizada y simplificada basada en diversos factores, incluido el tipo de integración. Esto puede incluir completar uno o más cuestionarios de autoevaluación (SAQ) de la normativa PCI DSS.
  • Los usuarios de nivel 3 deben completar los análisis trimestrales de la red a cargo de un proveedor de análisis acreditado (ASV).
Nivel 4
  • Empresas que procesan menos de 20.000 transacciones en línea al año, o
  • empresas que procesan hasta 1 millón de transacciones en total al año
  • Los usuarios de nivel 4 deben completar los análisis trimestrales de la red a cargo de un proveedor de análisis acreditado (ASV).
1 Los comerciantes de nivel 2 que completan el cuestionario de autoevaluación (SAQ) tipo A, el SAQ tipo A-EP o el SAQ tipo D deben trabajar con un evaluador de seguridad certificado (QSA) para la validación del cumplimiento de la normativa

2. Conoce tu tipo de integración y los requisitos de documentación

Cuando conozcas tu nivel de PCI, el siguiente paso será determinar qué documentos de PCI tendrás que completar para validar tu cumplimiento de la normativa en función del tipo de integración que uses con Stripe, si eres proveedor de servicios, etc.

Usuarios de nivel 1

Las empresas de nivel 1 no pueden utilizar un evaluador de seguridad cualificado (QSA) para probar el cumplimiento de la normativa PCI. Deben completar un ROC firmado por un QSA para validar anualmente su cumplimiento de la normativa PCI.

Usuarios de nivel 2–4

Para los usuarios de los niveles 2 a 4, hay diferentes tipos de SAQ según tu método de integración de pagos. Si no tienes claro qué tipo de SAQ es el adecuado para ti, el asistente de Stripe PCI determinará automáticamente el tipo de documentación adecuada para tu empresa.

Integración
Requisito
Recomendación
Checkout o Elements
SAQ tipo A
Checkout y Stripe.js y Elements alojan todas las entradas de recolección de datos de la tarjeta dentro de un iframe servido desde el dominio de Stripe (no el tuyo) para que la información de la tarjeta de tus clientes nunca llegue a tus servidores.
Connect
SAQ tipo A Si recoges exclusivamente los datos de la tarjeta a través de una plataforma Connect (por ejemplo, Squarespace), podemos determinar que la plataforma proporciona la documentación necesaria sobre PCI.
SDK móvil
SAQ tipo A

El desarrollo y control de cambios del SDK móvil de Stripe cumple con la normativa de los estándares de seguridad de datos de la normativa PCI (PCI DSS) (requisitos 6.3-6.5) y se implementa a través de nuestros sistemas validados por PCI. Cuando solo usas componentes de interfaz de usuario de nuestros SDK oficiales para iOS o Android o creas un formulario de pago con Elements en un WebView, los números de tarjeta pasan directamente de tus clientes a Stripe, por lo que tiene la menor carga de cumplimiento de la normativa PCI.

Si lo haces de otra manera y, por ejemplo, redactas tu propio código para gestionar los datos de tarjeta, es posible que seas responsable de cumplir con requisitos adicionales de PCI DSS (6.3 a 6.5) y que no tengas acceso al formulario SAQ tipo A. Comunícate con un evaluador de seguridad certificado de PCI para determinar la mejor manera de validar tu cumplimiento de la normativa conforme a las actuales directrices del Consejo de Estándares de Seguridad de PCI.

Si tu aplicación requiere que tus clientes ingresen su información en sus propios dispositivos, entonces cumples los requisitos para completar un SAQ tipo A. Si tu aplicación acepta información de tarjetas para varios clientes en tu dispositivo (por ejemplo, una aplicación de punto de venta), consulta a un evaluador de seguridad certificado de PCI para obtener información sobre la mejor manera de validar tu cumplimiento de la normativa PCI.

Stripe.js v2
SAQ tipo A-EP

Si quieres usar Stripe.js v2 para transferir los datos de la tarjeta ingresados a un formulario en tu propio sitio tienes que completar un SAQ tipo A-EP anualmente para demostrar que tu empresa cumple con la normativa PCI.

Alternativamente, tanto Checkout como Elements te brindan la flexibilidad y personalización de un formulario autoalojado, al tiempo que cumplen con los requisitos de la normativa PCI para el SAQ tipo A.

Terminal
SAQ tipo C

Si recoges datos de tarjeta exclusivamente a través de Stripe Terminal, puedes validarlos mediante un SAQ tipo C.

Si realizas la integración con Stripe con los métodos adicionales indicados en esta tabla, deberás demostrar por separado que cumplen con la normativa tal como se describe.
Dashboard
SAQ tipo C-VT

Es posible realizar pagos manuales con tarjeta a través del Dashboard solo en circunstancias excepcionales, no para procesar pagos habituales. Proporciona un formulario de pago o una aplicación móvil acorde para que tus clientes ingresen la información de su tarjeta.

No podemos garantizar que la información de tu tarjeta ingresada manualmente esté segura fuera de Stripe. Por ello, debes proteger los datos de las tarjetas en virtud de los requisitos de cumplimiento de la normativa PCI y completar anualmente el SAQ tipo C-VT para confirmar que tu empresa cumple con la normativa PCI.

API Direct
SAQ tipo D

Cuando transfieres información de la tarjeta directamente a la API de Stripe, tu integración gestiona directamente esos datos y se te solicita que demuestres anualmente tu cumplimiento de la normativa PCI mediante un SAQ tipo D, el SAQ más demandado. Para reducir esta carga:

Además, nuestra herramienta de prevención de fraude, Radar, que incluye evaluación de riesgos y reglas, solo está disponible cuando se utiliza cualquiera de nuestros métodos de tokenización del lado del cliente.

Proveedores de servicios

Si participas directamente en el procesamiento, almacenamiento o transmisión de datos del titular de la tarjeta (CHD) o de datos de autenticación sensibles (DUD) en nombre de otra entidad (por ejemplo, pasarelas de pago, proveedores de servicios de pago y organizaciones de ventas independientes), se te puede clasificar como proveedor de servicios. Esto significa que tendrás requisitos adicionales que deberás validar.

3. Completa tu evaluación y envía tu documentación del SAQ

Una vez que hayas identificado qué evaluación debes completar, el siguiente paso es realizar la evaluación, completar la documentación SAQ o ROC relevante y enviarla a Stripe para su revisión.

Para los usuarios de gran volumen es aconsejable contratar los servicios de un QSA que esté registrado para operar en las regiones en las que tu empresa está operando. El QSA te ayudará a revisar tus sistemas con respecto a los requisitos de PCI y te asesorará sobre la corrección de cualquier deficiencia. Este también elaborará y firmará la documentación correspondiente para que luego la compartas con Stripe cada año.

Es probable que los usuarios de los niveles 3 y 4 deban completar el cuestionario de autoevaluación PCI DSS que sea apropiado para su línea de negocio. Tienes más recursos para comerciantes disponibles a través del Consejo de Normas de Seguridad de la PCI. Stripe también está aquí para ayudarte, ya que nuestro asistente personalizado en tu Dashboard PCI te hará una serie de preguntas y generará la documentación requerida para ti. Puedes usar el Dashboard de Stripe PCI para cargar cualquier documentación SAQ o ROC autocompletada.

4. Supervisar y mantener

Es importante tener en cuenta que el cumplimiento de la normativa PCI no es un hecho aislado. Es un proceso anual para garantizar que tu empresa siga cumpliendo con la normativa, incluso a medida que evolucionan los flujos de datos y los puntos de contacto con los clientes.

PCI DSS establece estándares importantes para el manejo y almacenamiento de datos de titulares de tarjetas, pero no proporciona suficiente protección para todos los entornos de pago por sí solo. En cambio, cambiar a un método de aceptación de tarjetas más seguro que use datos tokenizados (como Stripe Checkout, Elements y SDK para móviles) es una manera mucho más eficaz de proteger a tu organización. Este enfoque proporciona a las empresas ágiles una forma de mitigar una posible filtración de datos y evitar el enfoque histórico costoso y prolongado que exige la validación de PCI.

A medida que una empresa crece, también lo harán la lógica y los procesos comerciales centrales, lo que significa que los requisitos de cumplimiento también evolucionarán. Una empresa en línea, por ejemplo, puede decidir abrir tiendas físicas, abrirse a nuevos mercados o lanzar un centro de atención al cliente. Si hay algo nuevo que involucre datos de tarjetas de pago, es una buena idea verificar de manera proactiva si esto tiene algún impacto en el método de validación de PCI elegido y revalidar el cumplimiento de PCI según sea necesario.

Para obtener más información sobre el complejo mundo del cumplimiento de la normativa PCI, visita el sitio web del Consejo de Normas de Seguridad de PCI. Si te limitas a leer esta guía y algunos otros documentos sobre PCI, te recomendamos que empieces con estos:

Cómo ayuda Stripe a las organizaciones a mantener el cumplimiento de la normativa PCI

Stripe, un proveedor de servicios de PCI de nivel 1, es certificado anualmente por un evaluador de seguridad cualificado e independiente de PCI con respecto a todos los requisitos de PCI DSS. Esto significa que todos nuestros productos son seguros de forma predeterminada, lo que reduce tus requisitos a la hora de cumplir la normativa.

Para todos nuestros usuarios, sea cual sea el tipo de integración, Stripe actúa como promotor de la PCI y puede ayudar de diferentes maneras.

Apoyo a nuestras pequeñas empresas

Stripe simplifica considerablemente la carga de cumplimiento de la normativa PCI para los usuarios de menor tamaño, ya que ofrece un recorrido personalizado para el cumplimiento de la normativa, que incluye SAQ precargados y flujos guiados para algunos usuarios que aprovechan métodos de integración más seguros, como Checkout, Elements, SDK para móviles y SDK de Terminal.

Experiencia personalizada del Dashboard

Una vez que te conviertas en cliente de Stripe, analizaremos tu historial de transacciones y te asesoraremos sobre cómo reducir tu carga de cumplimiento a través de una experiencia personalizada en el Dashboard.

Soporte mientras tu empresa crece

A medida que aumente tu volumen anual de transacciones, es posible que cambies los niveles de PCI en el transcurso de un año. Stripe te ayuda durante estas transiciones avisándote de los nuevos requisitos a medida que te acercas a la fecha de renovación de PCI.

Más de un proveedor de servicios

Si tu empresa utiliza más de un procesador, el proceso de cumplimiento de la normativa PCI puede resultar confuso. Stripe te lo pone fácil al aceptar la presentación de AOC de tus proveedores para facilitar tu camino hacia el cumplimiento de la normativa.

¿A punto para empezar?

Crea una cuenta y empieza a aceptar pagos: no tendrás que firmar ningún contrato ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros y diseñaremos un paquete personalizado para tu empresa.
Payments

Payments

Acepta pagos por Internet, en persona y desde cualquier rincón del mundo con una solución de pagos diseñada para todo tipo de negocios.

Documentación de Payments

Encuentra una guía para integrar las API de pagos de Stripe.