Desde 2005, más de 10.000 millones de registros de consumidores se han visto comprometidos por más de 9000 violaciones de datos en EE. UU. Estas son las últimas cifras de la Privacy Rights Clearinghouse, que informa sobre las violaciones de datos y de seguridad que han afectado a los consumidores desde 2005. Para mejorar la seguridad de los datos de los consumidores y la confianza en el ecosistema de pagos, se creó un estándar mínimo para la seguridad de los datos. Visa, Mastercard, American Express, Discover y JCB formaron en 2006 el Consejo de Estándares de Seguridad del Sector de las Tarjetas de Pago (PCI SSC) para administrar y gestionar los estándares de seguridad de las empresas que manejan datos de tarjetas de crédito.
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es el estándar de seguridad global para todas las entidades que almacenan, procesan o transmiten datos del titular de la tarjeta y/o datos confidenciales de autenticación. El PCI DSS establece un nivel básico de protección para los consumidores y ayuda a reducir el fraude y las filtraciones de datos en todo el ecosistema de pagos. Se aplica a todas las organizaciones que aceptan o procesan tarjetas de pago, y existen sanciones, multas y costes significativos para las organizaciones que incumplen estos estándares.
El cumplimiento de la normativa PCI DSS gira en torno a tres componentes principales:
- Gestionar la introducción de los datos de las tarjetas de crédito de los clientes; es decir, que los datos confidenciales de la tarjeta se recopilen y transmitan de forma segura.
- Guardar los datos de manera segura, según se describe en los 12 dominios de seguridad de la normativa PCI (por ejemplo, mediante cifrado, con una monitorización continua de los datos y verificando la seguridad del acceso a los datos de tarjeta).
- Validar cada año que se hayan implementado los controles de seguridad requeridos, que pueden incluir formularios, cuestionarios, servicios de análisis de vulnerabilidades externos y auditorías de terceros (consulta la guía detallada a continuación para ver una tabla con los cuatro niveles de requisitos).
Todas las empresas que aceptan pagos con tarjeta de crédito deben cumplir con la normativa PCI DSS, independientemente del volumen, la región geográfica o el método de integración. Al cumplir con este marco, las empresas pueden:
- Generar confianza en los clientes garantizando la protección de los datos de sus tarjetas.
- Protegerse del fraude y las filtraciones de datos.
- Evitar multas por el incumplimiento de la norma PCI.
Aviso de exención de responsabilidad: Este artículo debe usarse solo con fines orientativos y no debe tomarse como un consejo definitivo. Recomendamos consultar a un evaluador de seguridad cualificado (QSA) del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) para obtener informaciones más concretas.
Cómo ayuda Stripe a las organizaciones a lograr y mantener el cumplimiento de la normativa PCI
Si tu modelo de negocio requiere que manejes datos de tarjetas, seguramente deberás cumplir con cada uno de los más de 300 controles de seguridad de PCI DSS. Hay más de 1.800 páginas de documentación oficial, publicada por el Consejo de Normas de Seguridad de PCI, sobre PCI DSS, y más de 300 páginas solo para entender qué formularios hay que utilizar para validar el cumplimiento.
Stripe puede ayudar a reducir significativamente la carga de PCI para las empresas al proporcionar diversos métodos de integración tokenizados (p. ej., Checkout, Elements, SDK móviles, SDK de Terminal), evitando la necesidad de manejar directamente datos confidenciales de tarjetas de crédito.
- Stripe Checkout y Stripe Elements utilizan un campo de pago alojado para gestionar todos los datos de la tarjeta de pago, de modo que el titular de la tarjeta introduce toda la información confidencial de pago en un campo de pago que se origina directamente en nuestros servidores validados por PCI DSS.
- Los SDK móviles y de Terminal de Stripe también permiten al titular de la tarjeta enviar información de pago confidencial directamente a nuestros servidores validados por PCI DSS.
Para todos nuestros usuarios, sea cual sea el tipo de integración, Stripe actúa como promotor de la PCI y puede ayudar de diferentes maneras.
- Nuestro asistente de Stripe para PCI analiza tu método de integración y te aconseja sobre cómo reducir la carga que tienes que cumplir con la normativa.
- Te notificaremos con antelación si un volumen de transacciones creciente requerirá un cambio en la forma de validar el cumplimiento de la normativa.
- Para las empresas grandes o corporaciones que necesitan trabajar con un evaluador de seguridad cualificado (QSA) de PCI porque almacenan datos de tarjetas de crédito o tienen un flujo de pago más complejo, hay más de 400 empresas de QSA de este tipo en todo el mundo. Podemos ponerte en contacto con varios auditores que entienden a fondo los diferentes métodos de integración de Stripe.
Guía detallada para el cumplimiento de la normativa PCI DSS
1. Conoce tu nivel de PCI
El primer paso para lograr el cumplimiento de PCI es conocer qué requisitos se aplican a tu organización. Hay cuatro niveles diferentes de cumplimiento de la normativa PCI, que normalmente se basan en el volumen de transacciones con tarjeta de crédito que procese tu empresa en un período de 12 meses.
Dependiendo de tu nivel, tendrás diferentes requisitos, incluyendo escaneos regulares de vulnerabilidades de un Proveedor de Escaneo Aprobado (ASV). También existen requisitos adicionales para los proveedores de servicios, que son empresas que participan directamente en el procesamiento, almacenamiento o transmisión de datos de titulares de tarjetas (CHD) y/o datos sensibles de autenticación (SAD) en nombre de otra entidad (por ejemplo, pasarelas de pago, proveedores de servicios de pago y organizaciones de ventas independientes).
|
Nivel de cumplimiento de la normativa
|
Se aplica a
|
Requisitos
|
|---|---|---|
|
Nivel 1
|
|
|
|
Nivel 2
|
|
|
|
Nivel 3
|
|
|
|
Nivel 4
|
|
|
2. Conoce tu tipo de integración y los requisitos de documentación
Cuando conozcas tu nivel de PCI, el siguiente paso será determinar qué documentos de PCI tendrás que completar para validar tu cumplimiento de la normativa en función del tipo de integración que uses con Stripe, si eres proveedor de servicios, etc.
Usuarios de nivel 1
Las empresas de nivel 1 no pueden utilizar un SAQ para demostrar el cumplimiento de la normativa PCI. Necesitan cumplimentar un ROC firmado por un SAQ o un ejecutivo del comerciante para validar anualmente el cumplimiento de la normativa PCI.
Usuarios de nivel 2–4
Para los usuarios de los niveles 2 a 4 hay diferentes tipos de SAQ según tu método de integración de pagos. Si no tienes claro qué tipo de SAQ es el adecuado para ti, el asistente de Stripe PCI determinará automáticamente el tipo de documentación adecuada para tu empresa.
|
Integración
|
Requisito
|
Recomendación
|
|---|---|---|
|
Checkout o Elements
|
SAQ tipo A |
Checkout y Stripe.js y Elements alojan todas las entradas de recolección de datos de la tarjeta dentro de un iframe servido desde el dominio de Stripe (no el tuyo) para que la información de la tarjeta de tus clientes nunca llegue a tus servidores.
|
|
Connect
|
SAQ tipo A | Si recoges exclusivamente los datos de la tarjeta a través de una plataforma Connect (por ejemplo, Squarespace), podemos determinar que la plataforma proporciona la documentación necesaria sobre PCI. |
|
SDK móvil
|
SAQ tipo A |
El desarrollo y control de cambios del SDK móvil de Stripe cumple con la normativa de los estándares de seguridad de datos de la normativa PCI (PCI DSS) (requisitos 6.3-6.5) y se implementa a través de nuestros sistemas validados por PCI. Cuando solo usas componentes de interfaz de usuario de nuestros SDK oficiales para iOS o Android o creas un formulario de pago con Elements en un WebView, los números de tarjeta pasan directamente de tus clientes a Stripe, por lo que tiene la menor carga de cumplimiento de la normativa PCI. Si lo haces de otra manera y, por ejemplo, redactas tu propio código para gestionar los datos de tarjeta, es posible que seas responsable de cumplir con requisitos adicionales de PCI DSS (6.3 a 6.5) y que no tengas acceso al formulario SAQ tipo A. Comunícate con un evaluador de seguridad certificado de PCI para determinar la mejor manera de validar tu cumplimiento de la normativa conforme a las actuales directrices del Consejo de Estándares de Seguridad de PCI. Si tu aplicación requiere que tus clientes ingresen su información en sus propios dispositivos, entonces cumples los requisitos para completar un SAQ tipo A. Si tu aplicación acepta información de tarjetas para varios clientes en tu dispositivo (por ejemplo, una aplicación de punto de venta), consulta a un evaluador de seguridad certificado de PCI para obtener información sobre la mejor manera de validar tu cumplimiento de la normativa PCI. |
|
Stripe.js v2
|
SAQ tipo A-EP |
Si quieres usar Stripe.js v2 para transferir los datos de la tarjeta ingresados a un formulario en tu propio sitio tienes que completar un SAQ tipo A-EP anualmente para demostrar que tu empresa cumple con la normativa PCI. Alternativamente, tanto Checkout como Elements te brindan la flexibilidad y personalización de un formulario autoalojado, al tiempo que cumplen con los requisitos de la normativa PCI para el SAQ tipo A. |
|
Terminal
|
SAQ tipo C |
Si recoges datos de tarjeta exclusivamente a través de Stripe Terminal, puedes validarlos mediante un SAQ tipo C. Si realizas la integración con Stripe con los métodos adicionales indicados en esta tabla, deberás demostrar por separado que cumplen con la normativa tal como se describe. |
|
Dashboard
|
SAQ tipo C-VT |
Es posible realizar pagos manuales con tarjeta a través del Dashboard solo en circunstancias excepcionales, no para procesar pagos habituales. Proporciona un formulario de pago o una aplicación móvil acorde para que tus clientes ingresen la información de su tarjeta. No podemos garantizar que la información de tu tarjeta ingresada manualmente esté segura fuera de Stripe. Por ello, debes proteger los datos de las tarjetas en virtud de los requisitos de cumplimiento de la normativa PCI y completar anualmente el SAQ tipo C-VT para confirmar que tu empresa cumple con la normativa PCI. |
|
API Direct
|
SAQ tipo D |
Cuando transfieres información de la tarjeta directamente a la API de Stripe, tu integración gestiona directamente esos datos y se te solicita que demuestres anualmente tu cumplimiento de la normativa PCI mediante un SAQ tipo D, el SAQ más demandado. Para reducir esta carga:
Además, nuestra herramienta de prevención de fraude, Radar, que incluye evaluación de riesgos y reglas, solo está disponible cuando se utiliza cualquiera de nuestros métodos de tokenización del lado del cliente. |
Proveedores de servicios
Si participas directamente en el procesamiento, almacenamiento o transmisión de datos del titular de la tarjeta (CHD) y/o datos sensibles de autenticación (DAS) en nombre de otra entidad (por ejemplo, pasarelas de pago, proveedores de servicios de pago y organizaciones de ventas independientes), puedes ser clasificado como proveedor de servicios. Los proveedores de servicios suelen:
- Procesar datos de titulares de tarjetas para otras organizaciones.
- Almacenar los datos del titular de la tarjeta en nombre de los clientes.
- Transmitir los datos del titular de la tarjeta entre sistemas.
- Prestar servicios que puedan afectar a la seguridad de los datos de los titulares de las tarjetas o que puedan afectar a la seguridad de un entorno de titulares de tarjetas.
Algunos ejemplos habituales son las pasarelas de pagos, los proveedores de alojamiento (que almacenan los datos de los titulares de la tarjeta), los centros de datos de terceros, las empresas que proporcionan aplicaciones de pago y los proveedores de servicios de tokenización.
Como proveedor de servicios, dispones de requisitos adicionales que debes validar.
|
Categoría de proveedor de servicios |
Criterios |
Requisitos PCI |
|---|---|---|
|
Nivel 1 |
Todos los responsables del tratamiento (TPP) Todas las Entidades de Almacenamiento de Datos (EAD) con más de 300.000 transacciones combinadas totales de Mastercard y Maestro al año |
Evaluación anual in situ realizada por una QSA |
|
Nivel 2 |
Todos los DSE con 300.000 o menos transacciones totales combinadas de Mastercard y Maestro al año |
Autoevaluación anual |
3. Completa tu evaluación y envía tu documentación del SAQ
Una vez hayas identificado qué evaluación debes completar, el siguiente paso es realizar la evaluación, completar la documentación SAQ o ROC relevante y enviarla a Stripe para su revisión.
Los usuarios de gran volumen querrán asegurarse los servicios de una QSA que esté registrada para operar en las regiones en las que operas. La QSA te ayudará a revisar tus sistemas con respecto a los requisitos PCI y te asesorará sobre la corrección de cualquier deficiencia. También elaborará y firmará la documentación apropiada para que la compartas con Stripe anualmente.
Es probable que los usuarios de los niveles 3 y 4 tengan que cumplimentar el cuestionario de autoevaluación PCI DSS que sea adecuado para su línea de empresa. Tienes a tu disposición más recursos para comerciantes a través del Consejo de Estándares de Seguridad del Sector de las Tarjetas de Pago (PCI SSC). Stripe también está aquí para ayudarte, ya que nuestro asistente personalizado en tu Dashboard PCI te hará una serie de preguntas y generará la documentación necesaria para ti. Puedes utilizar el Dashboard PCI de Stripe para cargar cualquier documentación SAQ o ROC autocompletada.
4. Supervisar y mantener
Es importante tener en cuenta que el cumplimiento de la normativa PCI no es un hecho aislado. Es un proceso anual para garantizar que tu empresa siga cumpliendo con la normativa, incluso a medida que evolucionan los flujos de datos y los puntos de contacto con los clientes.
El PCI DSS establece estándares importantes para el manejo y almacenamiento de datos de titulares de tarjetas, pero no proporciona suficiente protección para todos los entornos de pago por sí solo. En cambio, cambiar a un método de aceptación de tarjetas más seguro que use datos tokenizados (como Stripe Checkout, Elements y SDK para móviles) es una manera mucho más eficaz de proteger a tu organización. Este enfoque proporciona a las empresas ágiles una forma de mitigar una posible filtración de datos y evitar el enfoque histórico costoso y prolongado que exige la validación de PCI.
A medida que una empresa crece, también lo harán la lógica y los procesos comerciales centrales, lo que significa que los requisitos de cumplimiento también evolucionarán. Una empresa en línea, por ejemplo, puede decidir abrir tiendas físicas, abrirse a nuevos mercados o lanzar un centro de atención al cliente. Si hay algo nuevo que involucre datos de tarjetas de pago, es una buena idea verificar de manera proactiva si esto tiene algún impacto en el método de validación de cumplimiento de la normativa PCI elegido, y revalidar el cumplimiento de PCI según sea necesario.
Para obtener más información sobre el complejo mundo del cumplimiento de la normativa PCI, visita la página web PCI Security Standards Council. Si solo lees esta guía y otra documentación sobre la PCI, te recomendamos que empieces por esta:
- Enfoque prioritario para PCI DSS
- Instrucciones y directrices del SAQ
- Preguntas frecuentes sobre el uso de los criterios de elegibilidad del SAQ para determinar los requisitos de la evaluación in situ
- Preguntas frecuentes sobre las obligaciones para las empresas que desarrollan aplicaciones para dispositivos de consumo que aceptan datos de tarjetas de pago
Cómo ayuda Stripe a las organizaciones a mantener el cumplimiento de la normativa PCI
Stripe, un proveedor de servicios de PCI de nivel 1, es certificado anualmente por un evaluador de seguridad cualificado e independiente de PCI con respecto a todos los requisitos de PCI DSS. Esto significa que todos nuestros productos son seguros de forma predeterminada, lo que reduce tus requisitos a la hora de cumplir la normativa.
Para todos nuestros usuarios, sea cual sea el tipo de integración, Stripe actúa como promotor de la PCI y puede ayudar de diferentes maneras.
Apoyo a nuestras pequeñas empresas
Stripe simplifica considerablemente la carga de cumplimiento de la normativa PCI para los usuarios de menor tamaño, ya que ofrece un recorrido personalizado para el cumplimiento de la normativa, que incluye SAQ precargados y flujos guiados para algunos usuarios que aprovechan métodos de integración más seguros, como Checkout, Elements, SDK para móviles y SDK de Terminal.
Experiencia personalizada del Dashboard
Una vez que te conviertas en cliente de Stripe, analizaremos tu historial de transacciones y te asesoraremos sobre cómo reducir tu carga de cumplimiento a través de una experiencia personalizada en el Dashboard.
Soporte mientras tu empresa crece
A medida que aumente tu volumen anual de transacciones, es posible que cambies los niveles de PCI en el transcurso de un año. Stripe te ayuda durante estas transiciones avisándote de los nuevos requisitos a medida que te acercas a la fecha de renovación de PCI.
Más de un proveedor de servicios
Si tu empresa utiliza más de un procesador, el proceso de cumplimiento de la normativa PCI puede resultar confuso. Stripe te lo pone fácil al aceptar la presentación de AOC de tus proveedores para facilitar tu camino hacia el cumplimiento de la normativa.
Compatibilidad con pagos MOTO (pedido telefónico/por correo)
Stripe ayuda a las empresas a aceptar pagos MOTO mediante la integración con servicios de terceros que permiten recolectar datos de tarjetas por teléfono de forma segura. Estos servicios automatizan la recolección de los datos de las tarjetas mediante tecnologías como la introducción de números de tarjeta por tonos o el reconocimiento de voz, y eliminan la necesidad de que una persona transcriba manualmente esta información. Este enfoque puede reducir significativamente las exigencias de cumplimiento de la normativa PCI, ya que evita que una persona tenga que intervenir directamente. Para los casos de uso de pagos MOTO, hay tres resultados probables en cuanto al cuestionario de autoevaluación (SAQ):
- SAQ-A: caso de uso con un conector de pagos en el que los datos del titular de la tarjeta se recogen por teléfono mediante una solución de terceros que cumple con la normativa PCI, y esta información se envía directamente a Stripe. En este caso de uso, el usuario no debe tener acceso a los datos de la tarjeta mientras se proporcionan por teléfono, ni almacenar, procesar o transmitir estos datos dentro de su entorno.
- SAQ C-VT: el usuario recibe los datos de la tarjeta a través de los pagos MOTO e introduce la información manualmente en el Dashboard de Stripe. Esta opción debe usarse solo en casos de uso puntuales (no recurrentes) y a sabiendas de que no está permitido almacenar electrónicamente la información de la tarjeta.
- SAQ-D: cualquier caso de uso en el que el usuario recoja los datos del titular de la tarjeta de su cliente y los almacene electrónicamente dentro de su entorno.
Para obtener orientación específica sobre el cumplimiento de la normativa PCI y tu implementación de pagos MOTO, te recomendamos que consultes con un evaluador de seguridad certificado (QSA) de PCI.