Una pci compliant api no es simplemente una API con HTTPS: es una interfaz diseñada de forma que el sistema que la llama nunca tenga acceso a datos de pago sensibles. Con PCI Proxy EU, el desarrollador integra la pan tokenization a través de REST y los PAN permanecen en el vault seguro, fuera de su perímetro. Esta arquitectura reduce el scope PCI DSS de forma drástica y permanente.
Qué es una API PCI compliant y por qué cambia todo para el desarrollador
Una API se considera PCI compliant cuando el flujo de datos que atraviesa garantiza que el sistema solicitante nunca trate el PAN en forma legible. La forma más extendida de conseguirlo es la tokenización del lado servidor: el dato de tarjeta se envía directamente al vault del proveedor a través de un formulario o un SDK de recogida, y el backend del comercio recibe únicamente un token opaco para asociar al cliente o al pedido.
Este enfoque tiene un impacto directo sobre el scope PCI. Si el backend nunca recibe el PAN, no entra en el CDE (Cardholder Data Environment) y no necesita ser certificado como tal. El desarrollador puede escribir la lógica de pago, de reembolso y de cargo recurrente usando el token como identificador, sin preocuparse del cifrado, la gestión de claves o la auditoría de logs.
El flujo de integración: cómo funciona el proxy en la API
La integración con PCI Proxy EU sigue un patrón claro. El frontend recoge los datos de tarjeta a través de un componente de entrada hosted (un iframe o un SDK JavaScript), que envía el PAN directamente al endpoint de PCI Proxy EU por HTTPS. El vault devuelve al frontend un token, que el navegador o la app pasan al backend del comercio junto con el resto de los datos del pedido. A partir de ese momento, el backend trabaja únicamente con el token.
Cuando se necesita procesar un pago, el backend llama a la API de PCI Proxy EU con el token y las instrucciones de pago. El proxy recupera el PAN del vault, lo pasa al procesador o al adquirente, y devuelve el resultado de la transacción. El comercio solo ve la autorización o el rechazo: el dato de tarjeta nunca ha atravesado sus servidores.
Autenticación, rate limiting y seguridad de la API
La API de PCI Proxy EU utiliza autenticación mediante API key con scopes granulares: claves separadas para tokenización, destokenización y llamadas al procesador. Las claves deben rotarse periódicamente y nunca deben exponerse en el código frontend. Cada llamada queda registrada y monitorizada en busca de anomalías, con alertas automáticas en caso de patrones inusuales como ráfagas de solicitudes o accesos desde IPs no autorizadas.
El rate limiting es configurable por comercio y por endpoint, con políticas diferenciadas para el entorno de pruebas y el de producción. El sandbox replica fielmente el comportamiento de la API en producción, incluidas las respuestas de error, permitiendo al equipo de desarrollo probar cada escenario antes del despliegue. La documentación OpenAPI está disponible para generar clientes en cualquier lenguaje.
Preguntas frecuentes
¿Tengo que modificar mi backend para usar la API de PCI Proxy EU?
Las modificaciones afectan principalmente al frontend, donde el formulario de recogida de tarjeta se sustituye por el componente hosted. El backend requiere cambios menores: en lugar de recibir el PAN, recibe el token y lo usa en las llamadas API hacia PCI Proxy EU. La lógica de negocio permanece invariada.
¿La API es RESTful y soporta webhooks?
La API sigue las convenciones REST con payload JSON y responde con códigos HTTP estándar. Los webhooks están soportados para los eventos asíncronos como el resultado de transacciones diferidas, los 3DS2 challenge y las notificaciones de contracargo. Cada webhook incluye una firma HMAC para verificar su autenticidad.
¿Cómo pruebo la integración sin tarjetas reales?
PCI Proxy EU pone a disposición un entorno sandbox con credenciales de prueba dedicadas y un conjunto de tarjetas de prueba que simulan escenarios de éxito, rechazo, 3DS2 challenge y timeout. Ningún dato de tarjeta real transita en el entorno de pruebas, y no se requieren credenciales de adquirente para comenzar a desarrollar.
¿Listo para integrar la tokenización PCI sin tocar un PAN? Consulta la documentación y accede al sandbox en pocos minutos. Descubre PCI Proxy EU.