Empieza ahora  Ponerse en contacto con ventas 
Empieza ahora  Contacta a ventas 

Cómo elegir un proveedor de servicios de pago que cumpla con la CCPA

Payments
Payments

Acepta pagos en línea y en persona desde cualquier parte del mundo con una solución de pagos diseñada para todo tipo de negocios: desde startups en crecimiento hasta grandes empresas internacionales.

Más información 
  1. Introducción
  2. ¿Por qué es importante la Ley de Privacidad del Consumidor de California en relación con los pagos?
  3. ¿Qué datos personales utiliza un procesador de pagos?
  4. ¿Cómo debes evaluar el cumplimiento de la normativa de la CCPA por parte de un proveedor?
  5. ¿Qué señales apuntan a una gobernanza débil de los datos en el sector de pagos?
  6. ¿Cómo pueden los equipos de adquisiciones estructurar una solicitud de propuesta para detectar las brechas de cumplimiento de la normativa de la CCPA de forma anticipada?
  7. Cómo puede ayudar Stripe Payments
  8. Primeros pasos con Stripe 

La Ley de Privacidad del Consumidor de California (CCPA) y su ampliación, la Ley de Derechos de Privacidad de California (CPRA), establecen normas sobre cómo los proveedores de servicios digitales recopilan y comparten los datos de los clientes en el Estado Dorado. El cumplimiento de la normativa de la CCPA y la CPRA es especialmente importante cuando se selecciona un proveedor de servicios de pago, ya que la multa por cada infracción puede ser de casi $8,000.

A continuación, explicaremos cómo elegir un proveedor de servicios de pago que cumpla con la CCPA, incluida la forma de evaluar las capacidades de privacidad del proveedor y cómo encontrar brechas en el cumplimiento de la normativa de forma anticipada durante el proceso de adquisición.

¿Qué contiene este artículo?

  • ¿Por qué es importante la Ley de Privacidad del Consumidor de California en relación con los pagos?
  • ¿Qué datos personales utiliza un procesador de pagos?
  • ¿Cómo debes evaluar el cumplimiento de la normativa de la CCPA de un proveedor?
  • ¿Qué señales apuntan a una gobernanza débil de los datos en el sector de pagos?
  • ¿Cómo pueden los equipos de adquisiciones estructurar una solicitud de propuesta para detectar las brechas de cumplimiento de la normativa de la CCPA de forma anticipada?
  • Cómo puede ayudar Stripe Payments

¿Por qué es importante la Ley de Privacidad del Consumidor de California en relación con los pagos?

La CCPA otorga a los californianos el derecho a saber cómo se recopilan sus datos personales, a solicitar su eliminación y a impedir que se los venda. El alcance de la CCPA incluye a los proveedores de servicios de pago, ya que estos manejan datos confidenciales, incluidos nombres, correos electrónicos, direcciones, números de tarjeta y detalles de transacciones.

A menudo, los proveedores de pago se consideran “proveedores de servicios” según la ley. Las empresas pueden compartir los datos de clientes con los proveedores de pago ante cuestiones limitadas y especificadas, y los proveedores deben proporcionar el mismo nivel de protección de la privacidad. Si un procesador de pagos reutiliza esos datos (p. ej., cuando analiza los historiales de transacciones para crear sus propios productos de marketing), se traspasa ese límite legal.

Ignorar la CCPA puede generar multas y daños a la reputación, incluso si tu empresa se ubica fuera de California. La CCPA se aplica a todos los residentes de California, independientemente de dónde se encuentre tu empresa, de manera similar al Reglamento General de Protección de Datos (RGPD) de Europa.

¿Qué datos personales utiliza un procesador de pagos?

En cada pago, se incluye una variedad de información personal y confidencial.

Entre esos datos, pueden incluirse los siguientes:

  • Identificadores de clientes: nombres, correos electrónicos, direcciones postales y nombres de cuentas. Incluso las direcciones de protocolo de Internet (IP) recopiladas durante el proceso de compra califican como datos personales.

  • Datos financieros: números de tarjetas de crédito y débito, fechas de vencimiento, códigos de seguridad y números de cuentas bancarias y de enrutamiento. La CCPA los clasifica como datos personales confidenciales porque están directamente relacionados con la identidad financiera.

  • Datos de transacciones: historial de compras, valores de pedidos, marcas de tiempo y datos de la empresa. Estos registros revelan patrones de gasto vinculados a particulares específicos.

  • Datos de prevención de fraude: las huellas de los dispositivos, la geolocalización y los indicadores de comportamiento que se utilizan para detectar fraude cuentan como datos personales según la ley.

  • Datos de autenticación: las credenciales de inicio de sesión cifradas, los tokens de cuenta y, a veces, los identificadores biométricos como la verificación facial o con huella se consideran datos confidenciales.

  • Comunicaciones con clientes: los correos electrónicos de soporte, los registros de chat y las grabaciones de llamadas a menudo contienen datos personales vinculados a cuentas o transacciones.

¿Cómo debes evaluar el cumplimiento de la normativa de la CCPA por parte de un proveedor?

Los proveedores de servicios de pago procesan datos en tu nombre, pero debes asegurarte de que puedan responder a las solicitudes que tus clientes tienen derecho legal a hacer.

Debes tener en cuenta lo siguiente:

  • Gestión del consentimiento y la exclusión: según la CCPA, muchos proveedores de servicios de pago no necesitan el consentimiento para recopilar datos, pero sí deben honrar las preferencias de «No vender ni compartir». Si dependen de cookies o herramientas de seguimiento para detectar o analizar fraudes, debes confirmar que estas no entren en conflicto con los derechos de exclusión.

  • Acceso y portabilidad: los clientes tienen derecho a saber qué datos personales retiene una empresa. Eso significa que tu proveedor debe poder recuperarlos a pedido. Pregunta cómo localiza y compila los registros particulares (por correo electrónico, token de tarjeta o ID de transacción) y cómo verifica la identidad antes de liberar los datos. Los proveedores experimentados pueden generar esta información a través de una interfaz de programación de aplicaciones (API) o de un flujo de trabajo definido.

  • Controles de eliminación y retención: por lo general, los proveedores de servicios deben eliminar la información del cliente si así se solicita. Eliminar los datos de pago no siempre es sencillo. Los proveedores deben poder eliminar los datos personales cuando se lo indiques y conservar lo que sea legalmente necesario en relación con el cumplimiento de la normativa.

¿Qué señales apuntan a una gobernanza débil de los datos en el sector de pagos?

Detectar las señales de advertencia de una gobernanza débil de los datos puede evitar que pongas en riesgo el cumplimiento de la normativa y que dañes tu reputación más adelante.

Presta atención a lo siguiente:

  • No hay pruebas de cumplimiento de la normativa: un proveedor experimentado puede mostrar evidencia de la gestión cuidadosa de los datos. Los informes del Estándar de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS), los procedimientos documentados de la CCPA, los informes de Controles de Sistemas y Organizaciones (SOC) 2 o las certificaciones de la Organización Internacional de Normalización (ISO) pueden aportar contexto.

  • Prácticas de seguridad vagas: el cifrado, los controles de acceso y las pruebas de vulnerabilidad deben ser la norma. Si un proveedor almacena datos de tarjetas sin cifrar, carece de autenticación multifactor o no puede describir su plan de respuesta a brechas, eso es un factor decisivo.

  • Uso no transparente de los datos: algunos proveedores de servicios de pago utilizan datos de transacciones para realizar análisis, generar publicidad o alimentar modelos de machine learning que no se relacionan con tu empresa. Esos proveedores deben darles a los clientes la opción de optar por no recibir publicidad dirigida.

  • Resistencia a la transparencia: la evasión durante la diligencia debida (p. ej., evitar respuestas directas sobre los flujos de datos, retención o subprocesadores) es una clara señal de advertencia. Entre otras señales preocupantes, se incluye negarse a completar cuestionarios de seguridad o realizar auditorías limitadas.

  • Falta de liderazgo en materia de privacidad: si el proveedor no cuenta con un director de privacidad o un equipo de cumplimiento de la normativa o si no ofrece capacitación interna para el personal que maneja los datos de los clientes, su gestión de riesgos podría ser reactiva en el mejor de los casos.

¿Cómo pueden los equipos de adquisiciones estructurar una solicitud de propuesta para detectar las brechas de cumplimiento de la normativa de la CCPA de forma anticipada?

Una solicitud de propuesta (RFP) para un proveedor de servicios de pago puede ayudarte a comparar la madurez de la gobernanza de los datos de los proveedores.

Considera tomar las siguientes medidas:

  • Incluye una sección dedicada a la privacidad: no relegues la protección de los datos al apéndice. Haz que el cumplimiento de la normativa de la CCPA sea una categoría con puntuación propia para indicar que la privacidad es parte de los criterios de la empresa y no una cuestión secundaria.

  • Pide detalles de los datos: solicita una lista clara de qué datos personales recopila, procesa y retiene el proveedor, como nombres, correos electrónicos, datos de tarjetas e ID de dispositivos, y consulta los motivos. Compara las respuestas de los proveedores. Se debe comprender que la recopilación de datos adicionales o innecesarios es una señal de advertencia.

  • Investiga cómo se gestionan los derechos del cliente: pregunta cómo se procesan las solicitudes de acceso y eliminación, incluidos los tiempos de verificación y respuesta. Los proveedores sólidos pueden explicar este paso a paso o proporcionar flujos de trabajo de muestra.

  • Verifica los procedimientos de retención y salida de datos: solicita a los proveedores que indiquen cuánto tiempo conservan los datos personales, qué desencadena su eliminación y cómo manejan los datos cuando finaliza tu contrato. Debes llegar a un consenso en cuanto a la eliminación o devolución de los datos previa instrucción.

  • Evalúa la seguridad y la transparencia: solicita informes de auditoría (p. ej., SOC 2, PCI DSS, ISO/IEC 27001) y procedimientos escritos de notificación de incumplimiento. Los proveedores que no pueden suministrarlos no están listos para el cumplimiento de la normativa empresarial.

Cómo puede ayudar Stripe Payments

Stripe Payments proporciona una solución de pagos unificada y global que ayuda a cualquier empresa, desde startups en expansión hasta empresas globales, a aceptar pagos en línea, en persona y en todo el mundo.

Con Stripe Payments, puedes hacer lo siguiente:

  • Optimizar tu experiencia de confirmación de compra: crea una experiencia de cliente sin problemas y ahorra miles de horas de ingeniería con interfaces de usuario (IU) de pago previamente diseñadas, acceso a más de 125 métodos de pago y a Link, una cartera creada por Stripe.

  • Llegar a nuevos mercados más rápido: conéctate con clientes de todo el mundo y reduce la complejidad y el costo de la gestión de múltiples monedas con opciones de pago transfronterizas, disponibles en 195 países en más de 135 monedas.

  • Unificar los pagos en persona y en línea: crea una experiencia de comercio unificado en todos los canales, tanto en línea como en persona, para personalizar las interacciones, recompensar la lealtad y aumentar los ingresos.

  • Mejorar el rendimiento de los pagos: aumenta los ingresos con una gama de herramientas de pago personalizables y fáciles de configurar, que incluyen protección contra fraudes y funcionalidades avanzadas que no requieren programación para mejorar las tasas de autorización.

  • Avanzar más rápido con una plataforma flexible y confiable para el crecimiento: desarrolla tu negocio a partir de una plataforma diseñada para crecer contigo, con un tiempo de actividad histórico del 99.999 % y una confiabilidad líder en el sector.

Obtén más información sobre cómo Stripe Payments puede impulsar tus pagos en línea y en persona, o empieza hoy mismo.

El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.

Más artículos

  • Hubo un problema. Vuelve a intentarlo o comunícate con soporte.

¿Todo listo para empezar?

Crea una cuenta y empieza a aceptar pagos sin necesidad de firmar contratos ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros para que diseñemos un paquete personalizado para tu empresa.
Payments

Payments

Acepta pagos en línea y en persona desde cualquier parte del mundo con una solución de pagos diseñada para todo tipo de negocios.

Documentación de Payments

Encuentra una guía para integrar las API de pagos de Stripe.