Cifrado de punto a punto (P2PE): Cómo funciona y qué implica para el cumplimiento de la normativa PCI

Terminal
Terminal

Crea una experiencia de comercio unificado en tus interacciones con los clientes tanto en línea como en persona. Stripe Terminal pone a disposición de plataformas y empresas herramientas para desarrolladores, lectores de tarjetas precertificados, Tap to Pay en dispositivos iPhone y Android compatibles y gestión de dispositivos basados en la nube.

Más información 
  1. Introducción
  2. Puntos clave
  3. ¿Qué es el cifrado punto a punto (P2PE)?
  4. ¿Cómo funciona el cifrado de punto a punto (P2PE) en una transacción?
  5. ¿Cuál es la diferencia entre el cifrado de punto a punto (P2PE) validado y no validado según la normativa PCI?
    1. P2PE validado según la normativa PCI
    2. Implicaciones del cuestionario de autoevaluación (SAQ)
    3. P2PE no validado
    4. Riesgo del alcance no validado
  6. ¿Por qué importa el cifrado de punto a punto (P2PE) para el alcance del cumplimiento de la normativa PCI?
  7. ¿Cómo se compara el cifrado de punto a punto (P2PE) con la tokenización y el cifrado solos?
  8. ¿Qué requiere implementar el cifrado de punto a punto (P2PE)?
    1. Hardware
    2. Gestión de claves
    3. Capacitación del personal
    4. Gestión de dispositivos
  9. Cómo puede ayudar Stripe Terminal

El cifrado de punto a punto (P2PE) es un marco de seguridad de pagos que cifra los datos de los titulares de tarjetas dentro de un lector de tarjetas antes de que toquen algún software, red o servidor de la empresa. Además, el P2PE mantiene los datos cifrados hasta que llegan al entorno de descifrado del proveedor de servicios de pago. Es un elemento fundamental de la reducción del alcance en el cumplimiento de la normativa del Estándar de seguridad de datos para la industria de tarjetas de pago (PCI DSS), y es lo que separa un entorno del comerciante que maneja datos de tarjetas en texto no cifrado de uno que nunca los ve.

Cuando se trata de cifrado, hay mucho en juego para las empresas. El costo promedio global de una filtración de datos alcanzó los $4.4 millones en 2025. Mantener los datos de los titulares de tarjetas fuera de los sistemas de una empresa reduce el riesgo de filtraciones y la responsabilidad potencial. A continuación, repasaremos cómo funciona el P2PE a nivel técnico, cómo difiere de la tokenización y el cifrado general, y qué requiere una implementación validada.

Puntos clave

  • El P2PE cifra los datos de los titulares de tarjetas en el punto de captura y los descifra únicamente en la infraestructura del proveedor de servicios de pago, por lo que los datos de las tarjetas en texto no cifrado nunca existen en el entorno del comerciante.

  • Las empresas que utilizan una solución de P2PE validada según la normativa PCI por lo general cumplen con los requisitos del Cuestionario de autoevaluación (SAQ, por sus siglas en inglés) P2PE, una evaluación de cumplimiento de la normativa más breve.

  • El P2PE y la tokenización resuelven problemas distintos: el P2PE protege los datos en la captura y la transmisión, mientras que la tokenización sustituye los datos de las tarjetas almacenados con un valor sustituto para su uso a futuro.

¿Qué es el cifrado punto a punto (P2PE)?

El P2PE es un estándar de seguridad de pagos que cifra los datos de los titulares de tarjetas en el momento exacto en el que la tarjeta interactúa con el lector. Ocurre antes de que los datos toquen el software o la red de la empresa y mantiene los datos cifrados hasta llegar a un entorno de descifrado seguro controlado por el proveedor de servicios de pago. El número de cuenta principal (PAN) de los titulares de tarjetas y otros datos confidenciales nunca se exponen en forma legible en ningún lado del entorno del comerciante.

¿Cómo funciona el cifrado de punto a punto (P2PE) en una transacción?

El P2PE ocurre cuando un cliente acerca, inserta o desliza la tarjeta en un lector de tarjetas certificado que cifra los datos a nivel interno antes de emitir un resultado. Al momento en el que se lee la tarjeta, el módulo criptográfico de seguridad cifra los datos con una clave que se ingresa durante el proceso de fabricación o mediante un proceso de ingreso de claves controlado. El dispositivo puede cifrar los datos con esta clave pero no puede descifrarlos. El descifrado requiere de una clave independiente a la que solo puede acceder el proveedor de servicios de pago.

La carga útil se llama texto cifrado. Sale del dispositivo, se traslada a través del sistema POS y la red de la empresa, y pasa por la infraestructura y el software de la empresa; pero ninguna parte de esa infraestructura puede leerlo. El texto cifrado llega al entorno del descifrado seguro del proveedor de servicios de pago, donde la clave privada recupera el PAN y la transacción se procesa.

Los conmutadores de redes, los servidores y el software del sistema POS de la empresa manejan únicamente texto cifrado. Una filtración en el entorno, como por ejemplo un servidor vulnerado, el ataque malicioso de un informante o una intrusión en la red, no aportaría información de utilidad porque los datos de las tarjetas no se habrían presentado de forma legible.

¿Cuál es la diferencia entre el cifrado de punto a punto (P2PE) validado y no validado según la normativa PCI?

El Consejo de Normas de Seguridad de la PCI mantiene una lista formal de las soluciones de P2PE validadas. Así funciona.

P2PE validado según la normativa PCI

Una solución obtiene esta designación únicamente después de que un asesor independiente audita toda la pila de software, lo que incluye el hardware, la gestión de claves, el entorno de descifrado y los controles de operaciones. La evaluación es exhaustiva, y el Consejo de Normas de Seguridad de la PCI publica las soluciones validadas en una lista pública que sirve de referencia para las empresas y los Asesores de seguridad calificados (QSA, por sus siglas en inglés), que son los expertos en seguridad de datos autorizados para validar que las empresas cumplan con el PCI DSS.

Implicaciones del cuestionario de autoevaluación (SAQ)

Las empresas que usan de forma correcta una solución validada que no almacena otros datos de las tarjetas por lo general cumplen con los requisitos del SAQ P2PE, que consta de poco más de 30 preguntas. El SAQ D, que es el predeterminado para muchos entornos con tarjeta presente (CP) que no cuentan con un P2PE validado, puede superar las 300 preguntas.

P2PE no validado

Estas implementaciones siguen el mismo concepto general: se cifran los datos en la captura y se descifran afuera del entorno del comerciante, de forma independiente del proceso de evaluación formal del Consejo de Normas de Seguridad de la PCI. No conllevan los beneficios de reducción de alcance automática bajo el PCI DSS.

Riesgo del alcance no validado

Con una solución no validada, es posible que una empresa aún apele por una reducción del alcance, pero tendría que demostrar que maneja los controles por su cuenta durante la evaluación. Cabe destacar que existe la posibilidad de que el banco adquirente o QSA no acepte ese argumento.

¿Por qué importa el cifrado de punto a punto (P2PE) para el alcance del cumplimiento de la normativa PCI?

Reducir el alcance del PCI DSS es uno de los beneficios financieros por usar el P2PE de forma correcta. El alcance se determina de acuerdo a cuáles son los sistemas que almacenan, procesan o transmiten los datos de los titulares de tarjetas, o los sistemas que podrían afectar a la seguridad de aquellos que lo hacen.

Ten en cuenta lo siguiente:

  • Elegibilidad de SAQ: Es la ruta de evaluación más corta para los entornos CP.

  • Costos del QSA: Un alcance más estrecho implica tener una menor cantidad de sistemas que tiene que revisar el Asesor de seguridad calificado. Esa es una gran reducción en la dificultad de la evaluación para los comerciantes con distintas ubicaciones.

  • Operaciones más simples: Cuando entran menos sistemas en el alcance, la gestión de parches, el inicio de sesión y los requisitos del control del acceso se aplican en una menor huella.

A pesar de que nada de esto elimina la necesidad del cumplimiento de la normativa PCI, reestructura lo que dicho cumplimiento requiere de tu parte. Ten en cuenta que el cumplimiento de la normativa de PCI DSS se ocupa del alcance, mas no de todas las consecuencias potenciales de las filtraciones.

¿Cómo se compara el cifrado de punto a punto (P2PE) con la tokenización y el cifrado solos?

El P2PE, la tokenización y el cifrado están diseñados para funcionar en conjunto. El P2PE abarca la fase de captura y transmisión, mientras que la tokenización abarca el almacenamiento y la reutilización. Ambos enfoques se complementan porque resuelven distintos problemas en diferentes puntos del ciclo de vida del pago.

A continuación, encontrarás la explicación:

  • Cifrado solo: El cifrado estándar de seguridad de la capa de transporte (TLS, por sus siglas en inglés) protege los datos en tránsito entre sistemas, pero no evita la exposición en los extremos. Si el servidor de una empresa recibe una transmisión cifrada y la descifra, los datos de texto no cifrado se encuentran en el servidor.

  • P2PE: Captura los datos de forma segura. Los datos de los titulares de tarjetas entran al entorno del comerciante ya cifrados y salen de él aún cifrados; el descifrado ocurre totalmente fuera de la infraestructura de la empresa. El entorno nunca almacena un PAN que se pueda usar.

  • Tokenización: Almacena los datos de forma segura. Una vez que se autoriza una transacción, se devuelve un token (es decir, un valor sustituto sin datos intrínsecos de la tarjeta) que se almacena en lugar del PAN. Si la empresa necesita procesar una transacción recurrente o aceptar pagos de una suscripción, hace referencia al token en su lugar.

El P2PE se aplica específicamente a transacciones con tarjeta presente (CP) porque no hay dispositivo físico en una transacción en línea. Puede aplicarse a transacciones de pedidos por correo o por teléfono (MOTO) si la persona que toma el pedido ingresa los datos de la tarjeta en un dispositivo de P2PE basado en hardware. La tokenización se aplica a los pagos en línea y en persona, y el cifrado estándar TLS se aplica a las ventas en línea.

¿Qué requiere implementar el cifrado de punto a punto (P2PE)?

Implementar una solución de P2PE validada requiere más que elegir un lector de tarjetas certificado. La solución completa engloba distintos componentes.

Hardware

Únicamente los dispositivos del listado de PCI pueden ser parte de una solución de P2PE validada. Estos dispositivos se crearon para tener módulos criptográficos seguros que previenen la extracción de claves y detectan manipulaciones. Si se abre un dispositivo o se rompe su estuche, se eliminan las claves de forma automática.

Gestión de claves

Se deben ingresar las claves de cifrado en las instalaciones seguras, generalmente a través del fabricante o de instalaciones de entrada de claves certificadas, antes de la implementación. Las claves se deben alternar en un plazo de tiempo definido. Los errores que se cometan durante la gestión de claves pueden crear vulnerabilidades que perjudican el proceso de forma general.

Capacitación del personal

El personal tiene que entender cómo manejar el dispositivo, que incluye saber qué hacer si parece haber sido manipulado, cómo reportar anomalías y por qué nunca debe aceptar que se le reemplace un dispositivo si no proviene de una fuente verificada. Los ataques físicos de fraude (skimming) que buscan vulnerar el hardware se han convertido en un riesgo comprobado.

Gestión de dispositivos

Los dispositivos necesitan que se actualice el firmware, una inspección física y seguimiento de inventario. Que un dispositivo se pierda o sea robado es un potencial incidente de seguridad según el estado de las claves. Algunos proveedores manejan la gestión de dispositivos como parte del servicio, mientras que otros se lo dejan a la empresa.

El caso de uso de una solución de P2PE gestionada en la que el proveedor maneja la entrada de claves, la certificación de dispositivos y la infraestructura del descifrado se reduce a dónde quieren centrar su atención las empresas de cara a sus operaciones.

Stripe Terminal es el ejemplo más claro de solución de P2PE gestionada. Los lectores de Terminal certificados, como BBPOS WisePOS E, Stripe Reader M2 y otros, cifran los datos de los titulares de tarjetas en el dispositivo antes de que salgan de este. Stripe maneja la entrada de claves y el descifrado.

Cómo puede ayudar Stripe Terminal

Con Stripe Terminal, las empresas pueden aumentar sus ingresos con pagos unificados a través de canales en persona y en línea. Admite nuevas formas de pago, logística de hardware simple, cobertura global y cientos de integraciones de sistemas POS y comercio con las cuales diseñar una pila de software ideal para pagos.

Stripe impulsa el comercio unificado para marcas como Hertz, URBN, Lands' End, Shopify, Lightspeed y Mindbody.

Stripe Terminal puede ayudarte a lograr lo siguiente:

  • Unificar el comercio: gestiona pagos en línea y en persona en una plataforma global con datos de pagos unificados.

  • Expandirte globalmente: expándete a 24 países con un único conjunto de integraciones y métodos de pago populares.

  • Integrarte a tu manera: desarrolla tu propia aplicación de sistema POS personalizada o conéctate con tu pila de software tecnológica existente mediante integraciones de comercio y sistema POS de terceros.

  • Simplificar la logística del hardware: pide, gestiona y supervisa fácilmente los lectores admitidos por Stripe, estén donde estén.

Obtén más información sobre Stripe Terminal o empieza hoy mismo.

El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.

Más artículos

  • Hubo un problema. Vuelve a intentarlo o comunícate con soporte.

¿Todo listo para empezar?

Crea una cuenta y empieza a aceptar pagos sin necesidad de firmar contratos ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros para que diseñemos un paquete personalizado para tu empresa.
Terminal

Terminal

Crea una experiencia de comercio unificado para la interacción con el cliente tanto en línea como presencial.

Documentación de Terminal

Utiliza Stripe Terminal para aceptar pagos en persona y llevar la solución de pagos de Stripe a tu punto de venta.