El PCI DSS para pequeñas empresas es uno de los temas más malinterpretados en el panorama de los pagos digitales europeos. La creencia extendida de que las pymes están exentas no tiene ningún fundamento: el PCI DSS se aplica a cualquier empresa que acepte, almacene, transmita o procese datos de tarjetas de pago, independientemente del tamaño o del número de transacciones. Si tiene un POS, un sitio de comercio electrónico o acepta tarjetas por teléfono, está sujeto al estándar.
El mito de la exención: las pymes no están excluidas del PCI DSS
El PCI DSS clasifica a los comerciantes en cuatro niveles basados en el volumen anual de transacciones. Los comerciantes de Nivel 4, los que tienen menos de 20.000 transacciones de comercio electrónico anuales o hasta 1 millón de transacciones de cualquier tipo, son la gran mayoría de las pymes europeas. Este nivel no está exento de las obligaciones de conformidad: simplemente tiene un proceso de validación menos oneroso. En lugar de una auditoría formal llevada a cabo por un QSA certificado, un comerciante de Nivel 4 puede completar un SAQ (Self-Assessment Questionnaire) de forma autónoma.
La diferencia práctica entre niveles se refiere al método de validación, no a la aplicabilidad del estándar. Una pequeña tienda online con 500 transacciones al mes está igualmente sujeta al PCI DSS. Si no completa el SAQ exigido por su adquirente y sufre una violación de los datos de tarjeta, las sanciones contractuales se aplican de todos modos. La idea de que las pequeñas empresas son "demasiado pequeñas para estar en el punto de mira" es refutada por los datos: la mayoría de las brechas documentadas golpea precisamente a las organizaciones más pequeñas, a menudo menos protegidas.
Qué arriesga concretamente una pyme no conforme
El riesgo principal para una pyme no conforme al PCI DSS es de naturaleza contractual. El adquirente, el banco o el proveedor de servicios de pago con el que la pyme ha suscrito el contrato para aceptar tarjetas puede aplicar sanciones mensuales que van de 1.000 a 5.000 euros por incumplimiento continuado. En caso de violación de los datos de tarjeta, las sanciones aumentan drásticamente y pueden incluir el coste de la investigación forense, el reembolso de los contracargos fraudulentos y, en los casos graves, la revocación de la habilitación para aceptar las tarjetas de los circuitos afectados.
A esto se añade el daño reputacional. Una pyme local que sufre una brecha y queda asociada a una violación de los datos de tarjeta de sus clientes afronta consecuencias difícilmente cuantificables en términos de pérdida de confianza. El coste de una brecha para una pequeña empresa es a menudo desproporcionado con respecto a su tamaño: según las estimaciones del sector, una de cada dos pymes que sufre una brecha significativa no se recupera completamente en los dos años siguientes.
Cómo puede una pyme europea cumplir en poco tiempo
El camino más rápido para una pyme hacia la conformidad PCI DSS pasa por la reducción del perímetro. Si los datos de tarjeta no entran en los sistemas de la pyme, la mayoría de las obligaciones se reduce drásticamente. Concretamente, esto significa utilizar un formulario de pago hospedado por el proveedor (hosted payment page o hosted fields) que intercepta los datos de tarjeta antes de que lleguen a los servidores de la pyme. En este escenario el comerciante puede calificarse para el SAQ A, que requiere menos de 50 controles y puede completarse en pocas horas sin conocimientos técnicos especializados.
Para las pymes con POS físicos, la solución a menudo ya está en marcha: los terminales certificados P2PE (Point-to-Point Encryption) gestionados por el proveedor de servicios de pago reducen automáticamente el perímetro del comerciante. El paso importante es documentar esta arquitectura en el SAQ y verificar con el propio adquirente que el cuestionario haya sido completado y aceptado. Muchas pymes nunca completan este paso formal, aunque tengan una postura de seguridad adecuada, exponiéndose igualmente a sanciones contractuales en caso de controversias.
Preguntas frecuentes
¿Basta con tener un solo POS para estar obligado al PCI DSS?
Sí. Cualquier aceptación de tarjetas de pago de los principales circuitos (Visa, Mastercard, Amex, etc.) conlleva la obligación de conformidad PCI DSS. No existe un umbral mínimo de transacciones por debajo del cual el estándar no se aplique. La diferencia entre comerciantes de bajo y alto volumen se refiere únicamente al método de validación de la conformidad, no a la obligación en sí.
¿Quién controla el cumplimiento del PCI DSS para las pymes?
El control se produce principalmente a través de la relación contractual con el adquirente. Es el adquirente quien solicita la documentación de conformidad (SAQ completado, escaneos de vulnerabilidades) y quien aplica sanciones en caso de incumplimiento o brecha. Los circuitos de pago (Visa, Mastercard) tienen sus propios programas de conformidad que delegan la aplicación en los adquirentes. No existe una autoridad pública europea que sancione directamente por incumplimiento PCI DSS.
¿Una pyme puede gestionar la conformidad sin consultores?
Para un comerciante de Nivel 4 con arquitectura sencilla (página de pago hospedada, POS certificado P2PE), el SAQ A puede completarse internamente sin consultores. El cuestionario está disponible gratuitamente en el sitio del PCI Security Standards Council. Para arquitecturas más complejas o en caso de dudas sobre la clasificación del nivel, un consultor PCI o el soporte del proveedor de tokenización puede reducir el riesgo de errores en la cumplimentación.
PCI DSS accesible también para las pequeñas empresas: la tokenización reduce el perímetro y hace que la conformidad sea gestionable sin consultores costosos. Descubra PCI Proxy EU.