El outsourcing de PCI DSS es una estrategia válida y extendida, pero se malinterpreta con frecuencia. No existe una forma de delegar completamente la responsabilidad PCI DSS a un tercero: algunas responsabilidades permanecen siempre en manos del comerciante, por contrato con el adquirente y por la propia naturaleza del estándar. Entender dónde termina la responsabilidad del proveedor y dónde empieza la del comerciante es fundamental para construir un modelo de cumplimiento sostenible y sin sorpresas en caso de auditoría o brecha.
Qué se puede realmente externalizar en el PCI DSS
La parte del cumplimiento más fácilmente externalizable tiene que ver con la gestión de los datos de tarjeta. Un proveedor de tokenización certificado PCI DSS Level 1 asume el almacenamiento seguro de los PAN, el cifrado, la gestión del vault, los controles de acceso a los datos de tarjeta, el vulnerability scanning de su propia infraestructura y el penetration test periódico. El comerciante que utiliza este proveedor no tiene que preocuparse por ninguno de estos aspectos para los datos de tarjeta que gestiona el proveedor.
También se puede externalizar la gestión de la infraestructura de red y de procesamiento de pagos. Un proveedor de PCI DSS as a Service que gestiona el hosting, los firewalls, los sistemas de monitorización y los parches de seguridad de los entornos de pago transfiere al comerciante la responsabilidad residual de su propio perímetro reducido. Esta delegación funciona porque el PCI DSS prevé explícitamente la cadena de responsabilidad entre comerciante y proveedor de servicios: el proveedor de servicios atestado como conforme cubre los controles incluidos en su servicio, y el comerciante cubre los controles residuales en su propio entorno.
Qué sigue siendo siempre responsabilidad del comerciante
Incluso con el máximo nivel de outsourcing, algunas responsabilidades no pueden delegarse. El comerciante sigue siendo siempre responsable de completar y firmar el SAQ o, en los niveles superiores, de contratar a un QSA para el RoC. Esta responsabilidad es contractual con el adquirente y no puede transferirse al proveedor de servicios. El comerciante también debe gestionar sus propias políticas de acceso físico y lógico a los sistemas empresariales que se interfazan con el entorno de pago, aunque esté reducido.
El comerciante también mantiene la responsabilidad de formar al personal que gestiona procesos de pago, de verificar periódicamente que sus proveedores mantienen la certificación PCI DSS y de documentar el perímetro de su propio CDE. Este último punto es crítico: muchos comerciantes que utilizan proveedores certificados no documentan correctamente su propio ámbito reducido y se encuentran en dificultades cuando el adquirente solicita aclaraciones sobre el SAQ. El proveedor puede proporcionar documentación de apoyo, pero la responsabilidad de la correcta cumplimentación del SAQ es siempre del comerciante.
El modelo PCI DSS as a Service con PCI Proxy EU
Con PCI Proxy EU, el comerciante delega al proveedor la gestión completa de los datos de tarjeta: tokenización, vault cifrado en Europa, cumplimiento PCI DSS Level 1 de la infraestructura de pago. El comerciante mantiene el control de su negocio y de los flujos de pago, pero sin que los datos de tarjeta entren nunca en su entorno. Esto permite al comerciante cualificarse típicamente para el SAQ A, reduciendo su perímetro de responsabilidad directa a los pocos controles exigidos por ese cuestionario.
El modelo as-a-service incluye también soporte en la cumplimentación del SAQ, documentación del perímetro y, a petición, atestación del proveedor como proveedor de servicios conforme con PCI DSS que el comerciante puede adjuntar a su documentación de cumplimiento. Esto simplifica notablemente el proceso anual de renovación del cumplimiento con el adquirente. El comerciante no necesita contratar consultores externos para la auditoría o el vulnerability scanning de la infraestructura de pago: todo ello forma parte del perímetro del proveedor.
Preguntas frecuentes
¿Al externalizar el cumplimiento PCI estoy a salvo de sanciones?
Parcialmente. Externalizar la gestión de datos de tarjeta a un proveedor certificado reduce significativamente el riesgo de brecha y las sanciones asociadas. Pero si el comerciante no completa correctamente el SAQ, no gestiona sus propios accesos o no forma al personal en los procesos de pago, las responsabilidades residuales permanecen. En caso de auditoría o brecha, el adquirente verificará también la parte del perímetro que corresponde al comerciante, no solo la del proveedor.
¿Mi proveedor puede firmar una carta de responsabilidad PCI?
Sí. Los proveedores de servicios PCI DSS certificados suelen emitir una carta de responsabilidad (Responsibility Matrix o Attestation of Compliance) que documenta qué controles PCI DSS forman parte del perímetro del proveedor y cuáles corresponden al comerciante. Este documento es útil para adjuntarlo al SAQ cuando el adquirente solicita documentación del perímetro. Verifica con tu proveedor que su certificación esté actualizada y que la carta de responsabilidad haga referencia específica a los servicios que utilizas.
¿Cuánto cuesta externalizar respecto a gestionarlo internamente?
Para la mayoría de los comerciantes de tamaño medio, externalizar a un proveedor certificado es significativamente menos costoso que la gestión interna. Los costes internos incluyen infraestructura certificada, vulnerability scanning trimestral, penetration test anual, formación del personal y consultoría QSA. Un comerciante que gestiona internamente un CDE completo puede gastar entre 50.000 y más de 200.000 euros al año en cumplimiento. Un servicio de tokenización as-a-service tiene un coste fijo predecible, típicamente de un orden de magnitud inferior.
Delega el cumplimiento PCI DSS manteniendo el control de tu negocio: la tokenización as-a-service es el modelo más eficiente para la mayoría de los comerciantes. Descubre PCI Proxy EU.