Todas las entidades que participan en el procesamiento de tarjetas de pago, entre las que se incluyen comerciantes, procesadores, instituciones financieras, emisores de tarjetas y proveedores de servicios, así como todas las demás entidades que almacenan, procesan o transmiten datos del titular de la tarjeta o datos de autenticación confidenciales deben cumplir la normativa PCI DSS( Payment Card Industry Data Security Standard) que certifica el estándar en seguridad de las principales compañías emisoras de tarjetas.
¿Qué es PCI DSS?
Certifica el estándar en seguridad de las principales compañías emisoras de tarjetas (débito y crédito) y ayuda a reducir el riesgo de fraude. Es un conjunto de requisitos dirigido a las compañías que procesan, transmiten y/o almacenan esta información y que deben validar su cumplimiento de forma periódica.
El número de requisitos técnicos que se aplican dependen del nivel PCI del comercio y de la forma en que el comercio configure su sitio web para aceptar pagos con tarjeta.
Niveles PCI
Existen cuatro niveles de cumplimento de PCI en función del número de transacciones procesadas en un período de un año.
| Nivel PCI | Transaciones procesadas |
|---|
| **1 ** | - Más de seis millones de transacciones con Visa, MasterCard o Discover.
- Más de dos millones y medio de transacciones con American Express.
- Si alguno de los esquemas de tarjetas identifica al comercio como un proovedor de Nivel uno.
|
| **2 ** | - Entre uno y seis millones de transaccionescon Visa, MasterCard o Discover.
- Entre cincuenta mil y dos millones y medio de transacciones con American Express.
|
| **3 ** | - Entre veinte mil y un millón de transacciones con Visa, MasterCard o Discover.
- Menos de cincuenta mil transacciones con American Express.
|
| **4 ** | - Menos de veinte mil transacciones con Visa.
|
Requisitos
El nivel PCI en combinación con el método de integración determinará los requisitos de cumplimiento. Para poder validar el cumplimiento PCI, los comercios disponen de un formulario de autoevaluación (SAQ) o un informe de cumplimiento (RoC) que debe realizar un asesor de seguridad aprobado (QSA).
| Nivel PCI comercio | Redirect/HPP | Embebed/Iframe | Componentes | Nativa | SDK | API |
|---|
| 1 | RoC A | RoC A | RoC A | RoC A | RoC A | RoC |
| 2 | SAQ A | SAQ A | SAQ A | SAQ A | SAQ A | SAQ D |
| 3 | SAQ A | SAQ A | SAQ A | SAQ A | SAQ A | SAQ D |
| 4 | SAQ A | SAQ A | SAQ A | SAQ A | SAQ A | SAQ D |
- Redirect/HPP
- Iframe/Embeded
- API
- SDK
- Nativa
- Componentes
| Nivel PCI comercio | Requisitos |
|---|
| 1 | Roc A |
| 2 | SAQ A |
| 3 | SAQ A |
| 4 | SAQ A |
| Nivel PCI comercio | Requisitos |
|---|
| 1 | Roc A |
| 2 | SAQ A |
| 3 | SAQ A |
| 4 | SAQ A |
| Nivel PCI comercio | Requisitos |
|---|
| 1 | RoC |
| 2 | SAQ D |
| 3 | SAQ D |
| 4 | SAQ D |
| Nivel PCI comercio | Requisitos |
|---|
| 1 | Roc A |
| 2 | SAQ A |
| 3 | SAQ A |
| 4 | SAQ A |
| Nivel PCI comercio | Requisitos |
|---|
| 1 | Roc A |
| 2 | SAQ A |
| 3 | SAQ A |
| 4 | SAQ A |
| Nivel PCI comercio | Requisitos |
|---|
| 1 | Roc A |
| 2 | SAQ A |
| 3 | SAQ A |
| 4 | SAQ A |