Certificación PCI DSS

En 2006, las principales compañías de tarjetas de crédito crearon el Consejo sobre Normas de Seguridad de la Industria de las Tarjetas de Pago (PCI SSC, por sus siglas en inglés). Su objetivo es desarrollar y gestionar los estándares de seguridad de las empresas que manejan datos de tarjetas. 

El Consejo define unas normas de seguridad de datos unificadas sobre el pago con tarjetas. Estas normas se denominan PCI DSS (Payment Card Industry Data Security Standard, por el significado de sus siglas en inglés). De esta forma, se garantiza la protección en pagos online para consumidores y entidades bancarias. Antes de la normativa PCI DSS, las compañías de tarjetas tenían sus propios programas de estándares de seguridad, con requisitos y objetivos bastante similares.

¿Qué es la normativa PCI DSS?

PCI DSS es la normativa internacional de seguridad para todas las entidades que capturan, almacenan, procesan o transmiten datos de titulares de tarjetas. La normativa PCI DSS fija un estándar básico de seguridad para los clientes, ayudando a reducir el fraude y filtraciones de datos de tarjetas. Se aplica a toda la empresa u organización que acepte o procese datos de tarjetas de pago. El cumplimiento de la normativa PCI DSS se basa en:

  • Reunir y transmitir los datos privados de las tarjetas de los clientes de manera segura.
  • Guardado de los datos de manera segura.
  • Validación anual de los controles de seguridad requeridos. Esto implica formularios, cuestionarios, servicios externos de escaneo de vulnerabilidades y auditorías de terceros.

¿Qué comercios están obligados?

Tu comercio NO está obligado a tener certificación PCI-DSS si tu plataforma de comercio electrónico:

  • Captura, envía o almacena datos de las tarjetas de tus clientes tokenizados. Al no tener contacto directo con los datos de la tarjeta, la normativa no le afecta.
  • Almacena y envía tokens o referencias de tarjetas que ha recibido Addon Payments.

Tu comercio SÍ está obligado a tener certificación PCI-DSS si tu plataforma de comercio electrónico:

  • Captura, envía o almacena datos de las tarjetas de los clientes sin tokenizar. Aunque los datos de las tarjetas sólo pasen durante unos instantes por tu servidor, deberás comprar, instalar y mantener el software y hardware de seguridad, así como contratar los servicios de auditorías de terceros.

Nota: Cuando mencionamos datos tokenizados/sin tokenizar nos referimos a los tokens de tarjetas de crédito. Estos son números y letras generados algorítmicamente para mantener los datos privados de la tarjeta confidenciales. 

Peticiones que requieren que el comercio disponga de certificación PCI DSS

En los siguientes ejemplos puedes ver qué tipo de peticiones requieren de la certificación y cuáles no. Fíjate en los campos a partir de «cardNumber» y «cardNumberToken».

 [merchantId] => 12345
 [merchantTransactionId] => 13035363
 [amount] => 1.00
 [currency] => EUR
 [country] => ES
 [customerId] => 1
 [paymentSolution] => creditcards
 [chName] => Nombre Apellido
 [cardNumber] => 4907270002222227
 [expDate] => 1234
 [cvnNumber] => 123
[merchantId] => 12345
[merchantTransactionId] => 13035363
[amount] => 1.00
[currency] => EUR
[country] => ES
[customerId] => 1
[paymentSolution] => creditcards
[cardNumberToken] => 6778376835132227

Como puedes ver en los ejemplos, la petición que SÍ requiere la certificación PCI DSS tiene los datos de la tarjeta (número, fecha de caducidad y CVN sin tokenizar, es decir, visibles. En cambio, la petición que NO requiere certificación tiene los datos tokenizados. 

¿Qué hacer si tu comercio requiere certificación PCI DSS?

Si tu plataforma de comercio electrónico captura, transmite o almacena datos de tarjetas de clientes en formato plano (sin tokenizar), te recomendamos que contactes con empresas de terceros especializadas en certificación PCI DSS. Estas empresas te informarán y guiarán en el cumplimiento de requerimientos y procedimientos a seguir para obtener la certificación.

Comparte este documento
Tabla de Contenidos

Productos

Ventas

Cuéntanos cómo es tu negocio para ofrecerte la mejor solución.

Contacta con un experto

Soporte técnico

¿Ya eres cliente y necesitas ayuda? Contacta con nosotros, estamos a tu disposición.

Ayuda

Socios

Trabajamos con los mejores partners de soluciones in-store y eCommerce. ¿Quieres unirte?

Únete a nosotros

© Comercia Global Payments

Política de privacidad
Ejercicio de Derechos
Información a Clientes
Canal de denuncia
Aviso Legal
Política de cookies

Cyberpac

Consulta la documentación de Cyberpac. Aquí tienes las distintas secciones:

Canales

Módulos de integración

Integraciones a medida

Consulta la documentación de las distintas secciones de integraciones:

Comienza a integrar

undraw_add_to_cart_re_wrdo 1 (1) (1)

Plugins para CMS

Complementa la integración

SDKs

Métodos de pago

Herramientas

Addon Payments

Consulta la documentación de Addon Payments. Aquí tienes las distintas secciones:

Integraciones

Consultas frecuentes

Portal Backoffice

Pagos integrados en TPV

Crea una solución que te ayudará a automatizar procesos. Incluso, podrás agregar procesos de pago en terminales físicos.

Pago integrado con TPV Android

Pago integrado con Smartphone TPV

Fichas Técnicas TPVs