Iniciar sesión 

Introducción al cumplimiento PCI

La norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS, por sus siglas en inglés) establece los requisitos mínimos para garantizar la seguridad de los datos. En esta guía, te contamos, paso a paso, cómo cumplir con esta norma y de qué manera Stripe puede ayudarte a hacerlo.

Payments
Payments

Acepta pagos en línea y en persona desde cualquier parte del mundo con una solución de pagos diseñada para todo tipo de negocios: desde startups en crecimiento hasta grandes empresas internacionales.

Más información 
  1. Introducción
  2. Cómo ayuda Stripe a las organizaciones a lograr y mantener el cumplimiento de la normativa PCI
  3. Guía paso a paso para el cumplimiento de la normativa PCI DSS
    1. 1. Conoce tu nivel de PCI
    2. 2. Conoce tu tipo de integración y los requisitos de documentación
    3. 3. Completa tu evaluación y envía tu documentación de SAQ
    4. 4. Monitoreo y mantenimiento
  4. Cómo ayuda Stripe a las organizaciones a mantener el cumplimiento de la normativa PCI
    1. Apoyo a nuestras pequeñas empresas
    2. Experiencia personalizada en el Dashboard
    3. Soporte a medida que crece tu negocio
    4. Más de un proveedor de servicios
  5. Obtén más información sobre Stripe 

Desde 2005, más de 10,000 millones de registros de consumidores se han visto comprometidos por más de 9000 filtraciones de datos en EE. UU. Estas son las últimas cifras del Privacy Rights Clearinghouse, que informa las filtraciones de datos y de seguridad que afectan a los consumidores desde 2005. Para mejorar la seguridad de los datos de los consumidores y la confianza en el ecosistema de pagos, se creó un estándar mínimo para la seguridad de los datos. Visa, Mastercard, American Express, Discover y JCB formaron el Consejo de Normas de Seguridad del Sector de Tarjetas de Pago (PCI SSC) en 2006 para administrar y gestionar los estándares de seguridad de las empresas que manejan datos de tarjetas de crédito.

La Norma de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS) es la norma de seguridad a nivel internacional para todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas o datos confidenciales de autenticación. La PCI DSS establece un nivel básico de protección para los consumidores y ayuda a reducir el fraude y las filtraciones de datos en todo el ecosistema de pagos. Se aplica a todas las organizaciones que aceptan o procesan tarjetas de pago, y existen sanciones, multas y costos significativos para las organizaciones que no cumplan con estos estándares.

El cumplimiento de la normativa PCI DSS implica tres componentes principales:

  1. Gestionar la introducción de datos de tarjetas de crédito de los clientes; es decir, que los datos confidenciales de la tarjeta se recopilen y transmitan de forma segura.
  2. Almacenar los datos de forma segura, según se describe en los 12 dominios de seguridad de la normativa PCI, como el cifrado, el monitoreo continuo y las pruebas de seguridad del acceso a los datos de las tarjetas.
  3. Validar anualmente que se implementen los controles de seguridad necesarios, que pueden incluir formularios, cuestionarios, servicios externos de escaneo de vulnerabilidades y auditorías de terceros (consulta la guía paso a paso que se encuentra a continuación para obtener una tabla con los cuatro niveles de requisitos).

Todas las empresas que aceptan pagos con tarjeta de crédito deben cumplir con la PCI DSS, independientemente del volumen, la región geográfica o el método de integración. Al cumplir con este marco, las empresas pueden:

  • generar confianza en los clientes y asegurarse de que los datos de sus tarjetas estén seguros;
  • protegerse del fraude y de las filtraciones de datos;
  • evitar multas por infracciones de cumplimiento de la normativa PCI.

Exención de responsabilidad: este artículo debe utilizarse únicamente con fines orientativos y no debe tomarse como un consejo definitivo. Te recomendamos que consultes a un auditor certificado en seguridad (QSA) de la Norma de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS) para obtener más aclaraciones.

Cómo ayuda Stripe a las organizaciones a lograr y mantener el cumplimiento de la normativa PCI

Si tu modelo de negocio requiere que manejes datos de tarjetas, es posible que debas cumplir con cada uno de los 300+ controles de seguridad de PCI DSS. Hay más de 1800 páginas de documentación oficial, publicada por el Consejo de Normas de Seguridad de PCI, sobre PCI DSS, y más de 300 páginas solo para entender qué formularios se deben utilizar al validar el cumplimiento de la normativa.

Stripe puede ayudar a reducir significativamente la carga del cumplimiento de PCI para las empresas al proporcionar una variedad de métodos de integración con tokenización (por ejemplo, Checkout, Elements, SDK para móviles, SDK de Terminal), lo que evita la necesidad de manejar directamente datos confidenciales de tarjetas de crédito.

  • Stripe Checkout y Stripe Elements utilizan un campo de pago alojado para gestionar todos los datos de la tarjeta de pago, de manera que el titular de tarjeta introduce toda la información confidencial de pago en un campo de pago que se origina directamente en nuestros servidores validados por la PCI DSS.
  • Los SDK para dispositivos móviles y de Terminal de Stripe también permiten al titular de tarjeta enviar información confidencial de pago directamente a nuestros servidores validados por la normativa PCI DSS.

Para todos nuestros usuarios, independientemente del tipo de integración, Stripe actúa como un defensor de la normativa PCI y puede ayudar de diferentes maneras.

  • Nuestro asistente de PCI de Stripe analiza tu método de integración y te aconseja sobre cómo reducir la carga de cumplimiento de la normativa.
  • Te notificaremos con antelación si el aumento del volumen de transacciones requiere un cambio en la forma de validar el cumplimiento de la normativa.
  • Para las empresas grandes o corporativas que necesitan trabajar con un PCI QSA porque almacenan datos de tarjetas de crédito o tienen un flujo de pago más complejo, hay más de 400 empresas QSA de este tipo en todo el mundo. Podemos ponerte en contacto con varios auditores que conocen a fondo los diferentes métodos de integración de Stripe.

Guía paso a paso para el cumplimiento de la normativa PCI DSS

1. Conoce tu nivel de PCI

El primer paso para lograr el cumplimiento de la normativa PCI es saber qué requisitos se aplican a tu organización. Existen cuatro niveles diferentes de cumplimiento de la normativa PCI, que suelen basarse en el volumen de transacciones con tarjeta de crédito que tu empresa procesa durante un periodo de 12 meses.

Dependiendo de tu nivel, tendrá diferentes requisitos, incluidos análisis de vulnerabilidades regulares de un proveedor de análisis aprobado (ASV). También existen otros requisitos para los proveedores de servicios, que son entidades comerciales directamente involucradas en el procesamiento, almacenamiento o transmisión de datos del titular de tarjeta (CHD) o datos de autenticación confidenciales (DUA) en nombre de otra entidad (por ejemplo, pasarelas de pago, proveedores de servicios de pago y organizaciones de ventas independientes).

Nivel de cumplimiento de la normativa
Se aplica a
Requisitos
Nivel 1
  • Organizaciones que procesan anualmente más de 6 millones de transacciones de Visa o Mastercard, o más de 2,5 millones para American Express, o
  • empresas que experimentaron una filtración de los datos, o
  • empresas que una asociación de tarjeta considera de «Nivel 1» (Visa, Mastercard, etc.).
  • Certificación de cumplimiento de la normativa (AOC) o informe anual sobre cumplimiento de la normativa (ROC) por un auditor certificado en seguridad (QSA)
  • Análisis trimestral de la red a cargo de un proveedor de análisis acreditado (ASV)
Nivel 2
  • Empresas que procesan entre 1 y 6 millones de transacciones por año
  • Cuestionario de autoevaluación (SAQ), Certificación de cumplimiento de la normativa (AOC) o informe anual sobre cumplimiento de la normativa (ROC)
  • La documentación de SAQ tipo A, SAQ tipo A-EP y SAQ tipo D debe tener la firma de un auditor certificado en seguridad (QSA) de PCI o un auditor de seguridad interno certificado para PCI (ISA).1
  • Análisis trimestral de la red a cargo de un proveedor de análisis acreditado (ASV)
Nivel 3
  • Empresas que procesan entre 20,000 y 1 millón de transacciones en línea al año
  • Empresas que procesan menos de 1 millón de transacciones en total al año
  • Los usuarios de nivel 3 y nivel 4 se registran automáticamente en nuestro Programa de gestión de riesgos, que brinda una experiencia personalizada y simplificada basada en diversos factores, incluido el tipo de integración. Este registro puede incluir completar uno o más cuestionarios de autoevaluación (SAQ) de la normativa PCI DSS.
  • Los usuarios de nivel 3 deben completar los análisis trimestrales de la red a cargo de un proveedor de análisis acreditado (ASV).
Nivel 4
  • Empresas que procesan menos de 20,000 transacciones en línea al año, o
  • empresas que procesan hasta 1 millón de transacciones en total al año.
  • Los usuarios de nivel 4 deben completar los análisis trimestrales de la red a cargo de un proveedor de análisis acreditado (ASV).
1 Los comerciantes de nivel 2 que completan el cuestionario de autoevaluación (SAQ) tipo A, el SAQ tipo A-EP o el SAQ tipo D deben trabajar con un evaluador de seguridad certificado (QSA) para la validación del cumplimiento de la normativa

2. Conoce tu tipo de integración y los requisitos de documentación

Una vez que conozcas tu nivel de PCI, el siguiente paso es determinar qué documentos de PCI debes completar para validar tu cumplimiento de la normativa, según el tipo de integración que utilices con Stripe, si eres un proveedor de servicios, etc.

Usuarios de nivel 1

Las empresas de nivel 1 no cumplen los requisitos para usar un SAQ para demostrar el cumplimiento de la normativa PCI. Deben completar un ROC firmado por un QSA para validar el cumplimiento de la normativa PCI anualmente.

Usuarios de nivel 2 a 4

Para los usuarios de nivel 2 a 4, existen diferentes tipos de SAQ según tu método de integración de pagos. Si no sabes qué tipo de SAQ es el adecuado para ti, el asistente de PCI de Stripe determinará automáticamente el tipo de documentación adecuada para tu empresa.

Integración
Requisito
Recomendación
Checkout o Elements
SAQ tipo A
Checkout y Stripe.js y Elements alojan todas las entradas de recopilación de datos de la tarjeta dentro de un iframe cargado desde el dominio de Stripe (no el tuyo) para que la información de la tarjeta de tus clientes nunca llegue a tus servidores.
Connect
SAQ tipo A Si recopilas exclusivamente los datos de la tarjeta a través de una plataforma Connect (por ejemplo, Squarespace), podemos determinar si la plataforma proporciona la documentación PCI necesaria.
SDK móvil
SAQ tipo A

El desarrollo y control de cambios del SDK móvil de Stripe cumple con la normativa de los estándares de seguridad de datos de la normativa PCI (PCI DSS) (requisitos 6.3-6.5) y se implementa a través de nuestros sistemas validados por PCI. Cuando solo usas componentes de interfaz de usuario (IU) de nuestros SDK oficiales para iOS o Android o creas un formulario de pago con Elements en un WebView, los números de tarjeta pasan directamente de tus clientes a Stripe, por lo que tienes la menor carga de cumplimiento de la normativa PCI.

Si lo haces de otra manera y, por ejemplo, redactas tu propio código para gestionar los datos de tarjetas, es posible que seas responsable de cumplir con otros requisitos de PCI DSS (6.3 a 6.5) y que no tengas acceso al formulario SAQ tipo A. Comunícate con un evaluador de seguridad certificado de PCI para determinar la mejor manera de validar tu cumplimiento de la normativa conforme a las actuales directrices del Consejo de Estándares de Seguridad de PCI.

Si tu aplicación requiere que tus clientes introduzcan su información en sus propios dispositivos, entonces cumples los requisitos para completar un SAQ tipo A. Si tu aplicación acepta información de tarjetas para varios clientes en tu dispositivo (por ejemplo, una aplicación de sistemas de punto de venta), consulta a un evaluador de seguridad certificado de PCI para obtener información sobre la mejor manera de validar tu cumplimiento de la normativa PCI.

Stripe.js v2
SAQ tipo A-EP

Si quieres usar Stripe.js v2 para transferir los datos de la tarjeta introducidos a un formulario en tu propio sitio tienes que completar un SAQ tipo A-EP anualmente para demostrar que tu empresa cumple con la normativa PCI.

Como alternativa, tanto Checkout como Elements te brindan la flexibilidad y personalización de un formulario autoalojado, al tiempo que cumplen con los requisitos de la normativa PCI para el SAQ tipo A.

Terminal
SAQ tipo C

Si recopilas datos de tarjeta exclusivamente a través de Stripe Terminal, puedes validarlos mediante un SAQ tipo C.

Si realizas la integración con Stripe con los otros métodos indicados en esta tabla, deberás demostrar por separado que cumplen con la normativa tal como se describe.
Dashboard
SAQ tipo C-VT

Es posible realizar pagos manuales con tarjeta a través del Dashboard solo en circunstancias excepcionales y no para procesar pagos habituales. Proporciona un formulario de pago o una aplicación móvil acorde para que tus clientes introduzcan la información de su tarjeta.

No podemos garantizar que los datos de tu tarjeta introducidos manualmente estén seguros fuera de Stripe; por ello, debes protegerlos en virtud de los requisitos de cumplimiento de la normativa PCI y completar anualmente el SAQ tipo C-VT para confirmar que tu empresa cumple con la normativa PCI.

API Direct
SAQ tipo D

Cuando transfieres datos de la tarjeta directamente a la API de Stripe, tu integración los gestiona directamente y se te solicita que demuestres anualmente tu cumplimiento de la normativa PCI mediante un SAQ tipo D, el SAQ más demandado. Para reducir esta carga, debes hacer lo siguiente:

Además, nuestra herramienta de prevención de fraude, Radar, que incluye la evaluación de riesgos y reglas, solo está disponible cuando se utiliza cualquiera de nuestros métodos de tokenización del lado del cliente.

Proveedores de servicios

Si participas directamente en el procesamiento, almacenamiento o transmisión de datos del titular de tarjeta (CHD) o datos de autenticación confidenciales (DU) en nombre de otra entidad (por ejemplo, pasarelas de pago, proveedores de servicios de pago y organizaciones de ventas independientes), es posible que se te clasifique como un proveedor de servicios. Esto significa que tendrás más requisitos que debes validar.

3. Completa tu evaluación y envía tu documentación de SAQ

Una vez que hayas identificado la evaluación que debes completar, el siguiente paso es realizar la evaluación, completar la documentación SAQ o ROC pertinente y enviarla a Stripe para su revisión.

Los usuarios de gran volumen querrán asegurarse los servicios de un QSA que esté registrado para operar en las regiones en las que estás operando. El QSA te ayudará a revisar tus sistemas con respecto a los requisitos de PCI y te aconsejará sobre la rectificación de cualquier deficiencia. También elaborarán y firmarán la documentación adecuada para que luego la compartas con Stripe anualmente.

Es probable que los usuarios de los niveles 3 y 4 deban completar el cuestionario de autoevaluación de la PCI DSS que sea adecuado para tu línea de negocio. Hay más recursos para comerciantes disponibles a través del Consejo de Normas de Seguridad de PCI. Stripe también está aquí para ayudarte, ya que nuestro asistente personalizado en tu Dashboard de PCI te hará una serie de preguntas y generará la documentación necesaria para ti. Puedes usar el Dashboard de PCI de Stripe para cargar cualquier documentación de SAQ o ROC autocompletada.

4. Monitoreo y mantenimiento

Es importante tener en cuenta que el cumplimiento de la normativa PCI no es un hecho único. Es un proceso anual para garantizar que tu empresa siga cumpliendo con la normativa, incluso a medida que evolucionan los flujos de datos y los puntos de contacto con el cliente.

La normativa PCI DSS establece estándares importantes para el manejo y almacenamiento de datos de titulares de tarjetas, pero no proporciona suficiente protección para todos los entornos de pago por sí solo. En cambio, pasar a un método de aceptación de tarjetas más seguro que utilice datos tokenizados (como Stripe Checkout, Elements y SDK para móviles) es una forma mucho más eficaz de proteger a tu organización. Este enfoque proporciona a las empresas ágiles una forma de mitigar una posible filtración de datos y evitar el enfoque histórico de la validación PCI, que consume mucho tiempo y dinero.

A medida que una empresa crece, también lo harán la lógica y los procesos empresariales básicos, lo que significa que los requisitos de cumplimiento de la normativa también evolucionarán. Una empresa que opera en línea, por ejemplo, puede decidir abrir tiendas físicas, ingresar a nuevos mercados o lanzar un centro de atención al cliente. Si algo nuevo involucra datos de tarjetas de pago, es una buena idea verificar de manera proactiva si esto tiene algún impacto en el método de validación de PCI elegido y volver a validar el cumplimiento de la normativa PCI según sea necesario.

Para obtener más información sobre el complejo mundo del cumplimiento de la normativa PCI, visita el sitio web del Consejo de Normas de Seguridad de PCI. Si solo lees esta guía y algunos otros documentos sobre PCI, te recomendamos que comiences con estos:

Cómo ayuda Stripe a las organizaciones a mantener el cumplimiento de la normativa PCI

Stripe, un proveedor de servicios de nivel 1 de la normativa PCI, es certificado anualmente por un auditor certificado en seguridad PCI independiente según todos los requisitos de PCI DSS. Esta certificación significa que todos nuestros productos son seguros por defecto, lo que reduce los requisitos de cumplimiento de la normativa.

Para todos nuestros usuarios, independientemente del tipo de integración, Stripe actúa como un defensor de la normativa PCI y puede ayudar de diferentes maneras.

Apoyo a nuestras pequeñas empresas

Stripe simplifica significativamente la carga del cumplimiento de la normativa PCI para nuestros usuarios más pequeños al ofrecer un recorrido de cumplimiento personalizado, que incluye SAQ completados previamente y flujos guiados para algunos usuarios que aprovechan métodos de integración más seguros, como Checkout, Elements, SDK para móviles y SDK de Terminal.

Experiencia personalizada en el Dashboard

Una vez que te conviertas en cliente de Stripe, analizaremos tu historial de transacciones y te asesoraremos sobre cómo reducir la carga de cumplimiento de la normativa a través de una experiencia personalizada en el Dashboard.

Soporte a medida que crece tu negocio

A medida que aumenta tu volumen anual de transacciones, es posible que cambies los niveles de PCI en el transcurso de un año. Stripe te apoya en estas transiciones y te notifica los nuevos requisitos a medida que te acercas a la fecha de renovación de la PCI.

Más de un proveedor de servicios

Si tu empresa utiliza más de un encargado del tratamiento, tu proceso de cumplimiento de la normativa PCI puede resultar confuso. Stripe simplifica el proceso admitiendo la presentación de AOC de tus proveedores para facilitarte el camino hacia el cumplimiento de la normativa.

¿Todo listo para empezar?

Crea una cuenta y empieza a aceptar pagos sin necesidad de firmar contratos ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros para que diseñemos un paquete personalizado para tu empresa.
Payments

Payments

Acepta pagos en línea y en persona desde cualquier parte del mundo con una solución de pagos diseñada para todo tipo de negocios.

Documentación de Payments

Encuentra una guía para integrar las API de pagos de Stripe.