Empieza ahora  Contacta con ventas 
Empieza ahora  Contacta con ventas 

Cómo elegir un proveedor de servicios de pago que cumpla con la CCPA

Payments
Payments

Acepta pagos por Internet y en persona desde cualquier rincón del mundo con una solución de pagos diseñada para todo tipo de negocios, desde startups en crecimiento hasta grandes empresas internacionales.

Más información 
  1. Introducción
  2. ¿Por qué es importante la Ley de Privacidad del Consumidor de California para los pagos?
  3. ¿Qué datos personales utiliza un procesador de pagos?
  4. ¿Cómo debes evaluar el cumplimiento de la normativa CCPA de un proveedor?
  5. ¿Qué señales apuntan a una débil gobernanza de los datos en los pagos?
  6. ¿Cómo pueden los equipos de adquisiciones estructurar una solicitud de propuesta para detectar las deficiencias en el cumplimiento de la normativa CCPA desde el principio?
  7. Cómo puede ayudarte Stripe Payments
  8. Empieza a usar Stripe 

La Ley de Privacidad del Consumidor de California (CCPA) y su ampliación, la Ley de Derechos de Privacidad de California (CPRA), establecen normas sobre cómo los proveedores de servicios digitales cobran y comparten los datos de los clientes en este estado. El cumplimiento de la normativa de la CCPA y la CPRA es especialmente importante cuando se selecciona un proveedor de servicios de pago, ya que la multa por cada infracción puede ser de casi 8.000 $.

A continuación, explicaremos cómo elegir un proveedor de pagos que cumpla con la CCPA, incluida la forma de evaluar las funcionalidades de privacidad del proveedor y cómo encontrar brechas en el cumplimiento de la normativa al principio del proceso de búsqueda.

Esto es lo que encontrarás en este artículo:

  • ¿Por qué es importante la Ley de Privacidad del Consumidor de California para los pagos?
  • ¿Qué datos personales utiliza un procesador de pagos?
  • ¿Cómo debes evaluar el cumplimiento de la normativa CCPA de un proveedor?
  • ¿Qué señales apuntan a una débil gobernanza de los datos en los pagos?
  • ¿Cómo pueden los equipos de adquisiciones estructurar una solicitud de propuesta para detectar las deficiencias en el cumplimiento de la normativa CCPA desde el principio?
  • ¿Cómo puede ayudarte Stripe Payments?

¿Por qué es importante la Ley de Privacidad del Consumidor de California para los pagos?

La CCPA otorga a los californianos el derecho a saber cómo se recogen sus datos personales, solicitar su eliminación y evitar que se vendan. El alcance de la CCPA incluye a los proveedores de pagos, ya que manejan datos confidenciales, como nombres, correos electrónicos, direcciones, números de tarjeta y detalles de transacciones.

A menudo, los proveedores de pagos se consideran «proveedores de servicios» conforme a la ley. Las empresas pueden compartir datos de clientes con proveedores de pagos por razones limitadas y especificadas, y los proveedores deben proporcionar el mismo nivel de protección de la privacidad. Si un procesador de pagos reutiliza esos datos (p. ej., analizando historiales de transacciones para crear sus propios productos de marketing), sale de ese límite jurídico.

Ignorar la CCPA puede dar lugar a multas y daños a la reputación, incluso si tu empresa está ubicada fuera de California. La CCPA se aplica a todos los residentes de California, independientemente de dónde se encuentre tu empresa, de manera similar al Reglamento General de Protección de Datos (RGPD) de Europa.

¿Qué datos personales utiliza un procesador de pagos?

Cada pago implica una variedad de información personal y confidencial.

Dicha información puede incluir:

  • Identificadores de clientes: nombres, correos electrónicos, direcciones postales y nombres de cuenta. Incluso las direcciones de protocolo de Internet (IP) recogidas durante el proceso de compra se consideran datos personales.

  • Datos financieros: números de tarjetas de crédito y débito, fechas de caducidad, códigos de seguridad y números de cuentas bancarias y rutas. La CCPA los clasifica como datos personales confidenciales porque están directamente relacionados con la identidad financiera.

  • Datos de transacciones: historial de compras, valores de pedidos, marcas de tiempo y datos de la empresa. Estos registros revelan patrones de gasto vinculados a personas específicas.

  • Datos de prevención de fraude: las huellas dactilares, la geolocalización y los indicadores de comportamiento del dispositivo utilizados para detectar el fraude cuentan como datos personales conforme a la ley.

  • Datos de autenticación: las credenciales de inicio de sesión cifradas, los tokens de cuenta y, a veces, los identificadores biométricos, como la verificación facial o huella, se consideran datos confidenciales.

  • Comunicaciones con los cliente: los correos electrónicos de soporte, los registros de los chats y las grabaciones de llamadas a menudo contienen datos personales vinculados a cuentas o transacciones.

¿Cómo debes evaluar el cumplimiento de la normativa CCPA de un proveedor?

Los proveedores de pagos procesan datos en tu nombre, pero debes asegurarte de que puedan dar soporte a las solicitudes que tus clientes tienen derecho a hacer legalmente.

Debes tener en cuenta lo siguiente:

  • Gestión del consentimiento y la exclusión: según la CCPA, muchos proveedores de pagos no necesitan el consentimiento expreso para recoger datos, pero sí deben cumplir con las preferencias de «No vender ni compartir». Si dependen de cookies o herramientas de seguimiento para detectar o analizar fraudes, debes confirmar que no entran en conflicto con los derechos de exclusión.

  • Acceso y portabilidad: los clientes tienen derecho a saber qué datos personales posee una empresa. Esto significa que tu proveedor debe poder recuperarlos si así lo solicita. Pregunta cómo localiza y compila los registros particulares (por correo electrónico, token de tarjeta o ID de transacción) y cómo verifica la identidad antes de liberar los datos. Los proveedores maduros pueden producir esta información a través de una interfaz de programación de solicitudes de acceso (API) o un flujo de trabajo definido.

  • Controles de eliminación y retención: por lo general, los proveedores de servicios deben eliminar la información del cliente, si así se solicita. Eliminar los datos de pago no es siempre sencillo. Los proveedores deben poder eliminar los datos personales cuando tú se lo indiques, conservando lo que exige la ley para el cumplimiento de la normativa.

¿Qué señales apuntan a una débil gobernanza de los datos en los pagos?

Detectar las señales de advertencia de una gobernanza deficiente de los datos puede ahorrarte, más adelante, el riesgo de incumplir la normativa y de dañar la reputación.

Presta atención a lo siguiente:

  • Sin pruebas del cumplimiento de la normativa: un proveedor maduro puede mostrar pruebas de una gestión cuidadosa de los datos. Los informes del Estándar de seguridad de datos del sector de tarjetas de pago (PCI DSS), los procedimientos CCPA documentados, los informes Controles de Sistemas y Organizaciones (SOC) 2 o las certificaciones de la Organización Internacional de Normalización (ISO) pueden proporcionar contexto.

  • Prácticas de seguridad imprecisas: el cifrado, los controles de acceso y las pruebas de vulnerabilidad deben ser estándar. Si un proveedor almacena datos de tarjetas sin cifrar, carece de autenticación multifactor o no puede describir su plan de respuesta ante la infracción, se rompe el acuerdo.

  • Uso de datos opacos: algunos proveedores de pagos utilizan datos de transacciones para modelos de análisis, publicidad o machine learning no relacionados con tu empresa. Deben dar a los clientes la opción de prescindir de la publicidad dirigida.

  • Resistencia a la transparencia: las respuestas evasivas durante la diligencia debida (p. ej., evitar respuestas directas sobre flujos de datos, retención o subprocesadores) es una clara señal de advertencia. Otras señales preocupantes incluyen negarse a completar cuestionarios de seguridad o permitir auditorías con límites.

  • Sin liderazgo en materia de privacidad: si el proveedor no tiene un responsable de privacidad ni un equipo de cumplimiento de la normativa, o no tiene formación interna para el personal que maneja los datos de los clientes, su gestión de riesgos podría ser reactiva, en el mejor de los casos.

¿Cómo pueden los equipos de adquisiciones estructurar una solicitud de propuesta para detectar las deficiencias en el cumplimiento de la normativa CCPA desde el principio?

Una solicitud de propuesta (RFP) para un proveedor de servicios de pago puede ayudarte a comparar la madurez de la gobernanza de los datos de los proveedores.

Considera la posibilidad de tomar las siguientes medidas:

  • Incluye una sección dedicada a la privacidad: no entierres la protección de datos en el apéndice. Haz que el cumplimiento de la normativa CCPA sea una categoría en sí misma, lo que indica que la privacidad es parte de los criterios fundamentales de la empresa, no una cuestión secundaria.

  • Pide datos específicos: solicita una lista clara de qué datos personales recoge, procesa y retiene el proveedor, como nombres, correos electrónicos, datos de tarjetas e ID de dispositivos, y por qué. Compara las respuestas entre proveedores, entendiendo que recoger datos adicionales o innecesarios es una señal de advertencia.

  • Investiga la gestión de los derechos del cliente: pregunta cómo procesa las solicitudes de acceso y eliminación, incluidos los tiempos de verificación y entrega. Los proveedores sólidos pueden explicar esto paso a paso o proporcionar flujos de trabajo de muestra.

  • Verifica los procedimientos de retención y salida de datos: exige a los proveedores que indiquen cuánto tiempo conservan los datos personales, qué desencadena su eliminación y cómo gestionan los datos cuando finaliza tu contrato. Quieres compromisos para eliminar o devolver los datos siguiendo instrucciones.

  • Evalúa la seguridad y la transparencia: pide informes de auditoría (p. ej., SOC 2, PCI DSS, ISO/IEC 27001) y procedimientos por escrito de notificación de infracciones. Los proveedores que no pueden suministrarlos no están preparados para el cumplimiento de la normativa empresarial.

Cómo puede ayudarte Stripe Payments

Stripe Payments proporciona una solución de pagos unificada y global que ayuda a cualquier empresa —desde startups en expansión hasta empresas globales— a aceptar pagos en línea, en persona y en todo el mundo.

Stripe Payments puede ayudarte a:

  • Optimizar la experiencia en el proceso de compra: con Payments, puedes ofrecer una experiencia de compra ágil e intuitiva. Además, ahorrarás miles de horas de trabajo de desarrollo gracias a sus interfaces de pago prediseñadas, que te dan acceso a más de 125 métodos de pago y Link, el monedero digital desarrollado por Stripe.

  • Expandirte a nuevos mercados más rápido: llega a clientes de todo el mundo y simplifica la gestión de los tipos de intercambio gracias a las opciones de pago internacionales, que admiten 195 países y más de 135 divisas.

  • Unificar los pagos en línea y en persona: crea una experiencia de comercio unificado entre tus canales online y presenciales para personalizar la relación con tus clientes, fomentar su fidelidad y aumentar tus ingresos.

  • Mejorar el rendimiento de tus pagos: aumenta tu facturación con herramientas de pagos configurables y fáciles de implementar, que incluyen soluciones sin programación de protección contra el fraude y funciones avanzadas para mejorar las tasas de autorización.

  • Muévete más rápido con una plataforma flexible y fiable para el crecimiento: construye sobre una plataforma diseñada para escalar contigo, con un tiempo de actividad del 99,999 % y una fiabilidad líder en el sector.

Obtén más información sobre cómo Stripe Payments puede ayudarte a aceptar pagos por Internet y en persona o crea una cuenta hoy mismo.

El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, la adecuación o la vigencia de la información incluida en el artículo. Busca un abogado o un asesor fiscal profesional y con licencia para ejercer en tu jurisdicción si necesitas asesoramiento para tu situación particular.

Más artículos

  • Se ha producido un error. Vuelve a intentarlo o contacta con soporte.

¿A punto para empezar?

Crea una cuenta y empieza a aceptar pagos: no tendrás que firmar ningún contrato ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros y diseñaremos un paquete personalizado para tu empresa.
Payments

Payments

Acepta pagos por Internet, en persona y desde cualquier rincón del mundo con una solución de pagos diseñada para todo tipo de negocios.

Documentación de Payments

Encuentra una guía para integrar las API de pagos de Stripe.