Empieza ahora  Ponerse en contacto con ventas 

Pagos

Ingresos

Gestión del dinero

Plataformas y marketplaces

Por etapa
Por caso de uso
Por sector
Documentación
Guías
Recursos
Aprender
Soporte
Empresa
Empieza ahora  Contacta a ventas 

No retención de datos de tarjetas de crédito: importancia y medidas en Japón

Payments
Payments

Acepta pagos en línea y en persona desde cualquier parte del mundo con una solución de pagos diseñada para todo tipo de negocios: desde startups en crecimiento hasta grandes empresas internacionales.

Más información 
  1. Introducción
  2. ¿Qué es la no retención de información de tarjetas de crédito?
    1. Condiciones para lograr la no retención
  3. La importancia de no retener los datos de las tarjetas de crédito
  4. Métodos para admitir la no retención de información de tarjetas de crédito
    1. Redirigir pagos
    2. Método JavaScript
  5. Puntos clave para implementar la no retención de la información de tarjetas de crédito
    1. El cumplimiento de la normativa PCI DSS es obligatorio cuando no se puede implementar la no retención
    2. Riesgo de paso accidental de información de la tarjeta
    3. Importancia de las contramedidas frente a la manipulación o explotación de vulnerabilidades
  6. Medidas que las empresas de comercio electrónico deben tomar para protegerse contra fraudes con tarjetas de crédito
    1. Usa 3D Secure 2 para mejorar la verificación de identidad
    2. Utiliza los servicios de detección de fraude para visualizar los riesgos
  7. Cómo puede ayudar Stripe Payments
  8. Primeros pasos con Stripe 

Cuando las empresas de comercio electrónico empiezan a aceptar tarjetas de crédito, el manejo seguro de la información de las tarjetas de los clientes es un asunto fundamental. Junto con los esfuerzos para ampliar la adopción de pagos sin efectivo, el Gobierno japonés está reforzando la seguridad de los pagos mediante el desarrollo de una serie de pautas para ayudar a los vendedores a aceptar transacciones con tarjeta en un entorno seguro.

En este contexto, cada vez más empresas adoptan políticas y prácticas para evitar la retención de datos de las tarjetas sin gestionarlas directamente. Este enfoque se convirtió en una de las medidas de seguridad que deben implementar las tiendas digitales.

En este artículo se explican claramente los conceptos fundamentales de la no retención de datos de tarjetas de crédito, su importancia y las medidas que deben tomar las empresas de comercio electrónico para admitirla.

¿Qué contiene este artículo?

  • ¿Qué es la no retención de información de tarjetas de crédito?
  • La importancia de no retener los datos de las tarjetas de crédito
  • Métodos para admitir la no retención de información de tarjetas de crédito
  • Puntos clave para implementar la no retención de la información de tarjetas de crédito
  • Medidas que las empresas de comercio electrónico deben tomar para protegerse contra fraudes con tarjetas de crédito
  • Cómo puede ayudar Stripe Payments

¿Qué es la no retención de información de tarjetas de crédito?

A medida que los procesos de compra sin efectivo se expanden en Japón, también aumentan los riesgos de fraude con tarjetas de crédito y de contracargos.

Según una encuesta de la Asociación Japonesa de Crédito al Consumo, las pérdidas por fraude con tarjetas de crédito alcanzaron un máximo histórico de aproximadamente ¥55,500 millones en 2024. En consecuencia, las empresas de comercio electrónico se enfrentan a una presión creciente para adoptar medidas de protección cada vez más sofisticadas.

El Ministerio de Economía, Comercio e Industria (METI) determinó las Directrices de Seguridad de Tarjetas de Crédito, que exigen a los vendedores digitales cumplir con una de las siguientes medidas como parte de sus pasos para proteger la información de las tarjetas:

  • Cumplimiento de la normativa de seguridad de datos de la industria de tarjetas de pago (PCI DSS)
  • Lograr la no retención

El punto central es que el cumplimiento de la normativa PCI DSS impone una carga significativa sobre los sistemas, la estructura organizativa y el personal.

PCI DSS es un estándar estricto que comprende 12 especificaciones y cientos de requisitos específicos, como cortafuegos, auditoría de registros, cifrado y control de acceso. Cumplirlos todos es extremadamente difícil.

Precisamente por eso, muchas empresas de comercio electrónico optan por externalizar el procesamiento de pagos con tarjeta a agentes de pago que cumplan con la normativa PCI DSS, en lugar de intentar cumplir los requisitos por su cuenta, ya que así pueden evitar manejar los datos de las tarjetas y, al mismo tiempo, cumplir con la no retención.

Condiciones para lograr la no retención

La no retención de datos de tarjetas de crédito se refiere a que las empresas de comercio electrónico no almacenan la información de las tarjetas de sus clientes en sus propios servidores o sistemas. Sin embargo, simplemente evitar almacenar estos registros en su propia plataforma no es suficiente para que se considere un enfoque de no retención.

Más específicamente, se deben cumplir las tres condiciones siguientes:

  • No conservar los datos de la tarjeta
  • No procesar los datos de la tarjeta
  • No transmitir los datos de la tarjeta a través de tus propios servidores

En la práctica, la configuración debe transmitir los datos de la tarjeta ingresados por el usuario directamente a un procesador de pagos que cumpla con la normativa PCI DSS, lo que garantiza que los datos nunca atraviesen el servidor del vendedor del comercio electrónico.

La importancia de no retener los datos de las tarjetas de crédito

Los pagos sin dinero en efectivo se aceptan ampliamente en Japón para las compras diarias y los servicios en la Web, y su adopción sigue ganando impulso. En respuesta a estos cambios en el proceso de compra, el Ministerio de Economía, Comercio e Industria (METI) se había propuesto duplicar la proporción de pagos sin efectivo para alcanzar aproximadamente el 40 % en junio de 2025. Para 2024, la proporción de pagos sin efectivo había subido al 42.8 % (¥141 billones), lo que permitió al Gobierno cumplir su objetivo antes de lo previsto.

En este contexto, los pagos sin dinero en efectivo y con tarjeta de crédito seguirán expandiéndose, y la necesidad de enfrentar amenazas como filtraciones de datos, fraude y contracargos crecerá junto con la adopción.

Mientras las tarjetas de crédito sigan siendo fundamentales para los procesos de compra sin dinero en efectivo, proteger la información de los clientes se convierte en una preocupación cada vez mayor para los vendedores digitales. Entre las medidas posibles, la no retención (la capacidad de operar sin almacenar ni manejar los datos de la tarjeta de crédito dentro de la organización) es un enfoque práctico que permite a las empresas seguir aceptando pagos electrónicos con seguridad.

Métodos para admitir la no retención de información de tarjetas de crédito

Cuando se implementa la no retención de datos de tarjetas de crédito, es fundamental identificar primero si el flujo de pago de tu empresa es «directo» o «no directo».

En el modelo intermediado, los números de tarjetas de crédito se enrutan a través de los servidores o redes de la empresa, lo que genera la posibilidad de dejar rastros no deseados en registros, copias de seguridad, herramientas de monitoreo y sistemas similares. En este caso, la organización asume la responsabilidad de almacenar datos de tarjetas y, por lo tanto, debe cumplir con la normativa PCI DSS.

Por otro lado, en el modelo no intermediado, dado que la infraestructura interna de la empresa nunca toca la información de la tarjeta, pueden lograr el estado de no retención, ya que el comercio electrónico no manejó ni retuvo los datos. Muchos vendedores digitales eligen este método para reducir la carga del cumplimiento de la normativa PCI DSS y, sobre todo, para alcanzar la condición de no retención.

Redirigir pagos

Redirigir pagos, o pagos por enlace, es un método que envía a los compradores a una página externa para completar el proceso de compra. Como se delega la pantalla del proceso de compra al procesador de pagos, la empresa de comercio electrónico no necesita almacenar, procesar ni transmitir los datos de la tarjeta.

Los pagos por enlace (enviados por correo electrónico o redes sociales) representan otro tipo de proceso de compra que se basa en este enfoque. Sin embargo, se reportaron ataques dirigidos a la interfaz de usuario, incluidos aquellos que reescriben la URL de destino. Por lo tanto, también deben implementarse medidas de seguridad básicas, como medidas contra la manipulación de la pantalla.

Método JavaScript

En el método JavaScript (sistema de tokenización), el navegador del comprador convierte los dígitos de la tarjeta en un token, y el vendedor recibe solo ese token. Los dígitos reales se envían directamente al procesador de pagos, por lo que la empresa de comercio electrónico nunca maneja los datos de la tarjeta.

La principal ventaja radica en su facilidad de configuración, lo que mantiene el diseño existente del sitio. Dicho esto, el riesgo de filtraciones sigue existiendo, ya que los archivos JavaScript pueden manipularse, lo que hace indispensable una sólida gestión de archivos y contramedidas frente a vulnerabilidades.

Puntos clave para implementar la no retención de la información de tarjetas de crédito

Mediante la implementación de la no retención de datos de tarjetas, las tiendas digitales pueden procesar pagos sin manejar directamente los datos de las tarjetas. Aun así, según la configuración y las condiciones operativas, quizá no sea posible alcanzar un enfoque sin almacenamiento de datos. A continuación, revisaremos los puntos clave para una implementación adecuada de la no retención.

El cumplimiento de la normativa PCI DSS es obligatorio cuando no se puede implementar la no retención

Las empresas suelen tratar erróneamente la no retención y el cumplimiento de la normativa PCI DSS como opciones excluyentes («o una u otra»). Para mayor claridad, pueden organizarse como se muestra a continuación:

¿Se almacena la información de la tarjeta de crédito?

Cumplimiento de la normativa PCI DSS

No retener

No es obligatorio si los datos no se retienen

Debe retenerse

Obligatorio

En otras palabras, si tu empresa no puede lograr la no retención, debes tener en cuenta que asumirás toda la carga de los requisitos de la normativa PCI DSS. Por ejemplo, si un número de tarjeta pasa por los servidores o la red de tu empresa, aunque sea una sola vez, se considera que la empresa de comercio electrónico está reteniendo los datos de la tarjeta. Debe cumplir con la normativa PCI DSS, el estándar global de las marcas internacionales de tarjetas.

Como se mencionó anteriormente, la normativa PCI DSS exige el cumplimiento de numerosas normas que abarcan aspectos técnicos y operativos, así como una supervisión continua, lo que genera una carga significativa para las organizaciones. Por esta razón, muchos vendedores digitales adoptan opciones no intermediadas y avanzan hacia la no retención, y así evitan por completo el manejo interno de los datos de las tarjetas.

Riesgo de paso accidental de información de la tarjeta

Cuando se adopta un enfoque no intermediado, los números de tarjeta pueden permanecer en registros, copias de seguridad, entornos de prueba, herramientas de monitoreo y sistemas similares, según cómo los configuren los equipos. Estos registros temporales podrían llevar a determinar que se transmitieron los datos de la tarjeta, aunque la empresa crea que dejó de retenerlos.

Dado que las comprobaciones de funcionalidad durante las pruebas y la configuración de depuración a veces se pueden transferir tal cual al entorno de producción activo, es necesario diseñar la infraestructura de manera que la aplicación nunca adquiera los datos de la tarjeta, desde el desarrollo hasta las operaciones diarias.

Importancia de las contramedidas frente a la manipulación o explotación de vulnerabilidades

Cuando se emplean sistemas no intermediados, se confirman casos de registros de tarjetas obtenidos de forma ilícita mediante manipulación en el propio sitio de comercio electrónico. El JavaScript malicioso integrado puede aparecer independientemente de la estructura del sitio y podría surgir por cualquier método, por lo que es necesario extremar precauciones.

Como contramedidas, es importante aplicar de forma continua los protocolos de seguridad fundamentales, incluida la detección de alteraciones en archivos, la gestión de vulnerabilidades, la eliminación de permisos innecesarios y las actualizaciones oportunas del CMS y de los plugins.

Medidas que las empresas de comercio electrónico deben tomar para protegerse contra fraudes con tarjetas de crédito

Si implementas un sistema que elimina el manejo de los datos de las tarjetas dentro de tu empresa mediante la no retención, la posibilidad de fraude no desaparece. Los pagos en línea siguen siendo susceptibles a diversas formas de uso indebido, como el robo no autorizado de datos de tarjetas, el acceso de alto riesgo desde el extranjero, los ataques de prueba de tarjetas y el robo de identidad.

Usa 3D Secure 2 para mejorar la verificación de identidad

Se considera que 3D Secure 2 es un método eficaz para reforzar la verificación de identidad en los pagos electrónicos, ya que permite evaluar riesgos a partir de la información del dispositivo, los indicadores de comportamiento y los detalles de la transacción, y exige autenticación adicional únicamente en los casos de alto riesgo.

Esto respalda un enfoque equilibrado que mantiene la comodidad para los usuarios legítimos, al mismo tiempo que protege frente a los actores fraudulentos mediante la exigencia de autenticación adicional.

Utiliza los servicios de detección de fraude para visualizar los riesgos

Puedes combinar servicios de detección de fraude, como Stripe Radar, con 3D Secure. Las herramientas de revisión provistas por los procesadores de pagos sirven para evaluar de manera exhaustiva factores como las direcciones IP, los datos del dispositivo, el historial de pedidos y el comportamiento de compra para asignar una puntuación de riesgo a cada transacción.

Mediante el uso de este tipo de herramientas, puedes identificar los siguientes patrones de transacción de forma automática:

  • Ataques de fuerza bruta de prueba de tarjetas
  • Acceso de alto riesgo desde direcciones IP extranjeras o a través de VPN
  • Cambios repentinos en la cantidad, frecuencia o comportamiento
  • Tendencias de fraude por país o región

A medida que aumenta el uso de tarjetas emitidas en el extranjero en el comercio electrónico transfronterizo, el uso de 3D Secure 2 y otros servicios de detección de fraude puede ayudar a reducir el riesgo de actividades no autorizadas.

Cómo puede ayudar Stripe Payments

Stripe Payments proporciona una solución de pagos unificada y global que ayuda a cualquier empresa, desde Startup en expansión hasta empresas globales, a aceptar pagos en línea, en persona y en todo el mundo.

Con Stripe Payments, puedes hacer lo siguiente:

  • Optimizar tu experiencia de confirmación de compra: crea una experiencia de cliente sin problemas y ahorra miles de horas de ingeniería con interfaces de usuario (IU) de pago previamente diseñadas, acceso a más de 125 métodos de pago y a Link, una cartera creada por Stripe.
  • Llegar a nuevos mercados más rápido: conéctate con clientes de todo el mundo y reduce la complejidad y el costo de la gestión de múltiples monedas con opciones de pago transfronterizas, disponibles en 195 países en más de 135 monedas.
  • Unificar los pagos electrónicos y en persona: crea una experiencia de comercio unificado en todos los canales, tanto en línea como en persona, para personalizar las interacciones, recompensar la lealtad y aumentar los ingresos.
  • Mejorar el rendimiento de los pagos: aumenta los ingresos con una gama de herramientas de pago personalizables y fáciles de configurar, las cuales incluyen protección contra fraudes que no requiere programación y funcionalidades avanzadas para mejorar las tasas de autorización.
  • Avanzar más rápido con una plataforma flexible y confiable para el crecimiento: desarrolla tu negocio a partir de una plataforma diseñada para crecer contigo, con un tiempo de actividad histórico del 99.999 % y una confiabilidad líder en el sector.

Obtén más información sobre cómo Stripe Payments puede impulsar tus pagos electrónicos y en persona, o empieza hoy mismo.

El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.

Más artículos

  • Hubo un problema. Vuelve a intentarlo o comunícate con soporte.

¿Todo listo para empezar?

Crea una cuenta y empieza a aceptar pagos sin necesidad de firmar contratos ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros para que diseñemos un paquete personalizado para tu empresa.
Payments

Payments

Acepta pagos en línea y en persona desde cualquier parte del mundo con una solución de pagos diseñada para todo tipo de negocios.

Documentación de Payments

Encuentra una guía para integrar las API de pagos de Stripe.