El cumplimiento PCI en marketplaces es uno de los escenarios más complejos del estándar porque la responsabilidad no recae sobre una única entidad, sino que se distribuye entre el propietario de la plataforma y los vendedores que operan en ella. Quien construye un marketplace debe responder a una pregunta fundamental antes de desarrollar su modelo de pago: ¿la plataforma toca los datos de tarjeta de los clientes o los pasa directamente a los vendedores? La respuesta determina quién entra en el perímetro PCI y con qué nivel de responsabilidad.
La cadena de responsabilidad PCI en los marketplaces multi-vendedor
En el modelo marketplace, el flujo de pago puede seguir dos esquemas principales. En el primero, el cliente paga a la plataforma que luego distribuye los fondos a los vendedores: en este caso el propietario de la plataforma es el comerciante principal, gestiona los datos de tarjeta y responde de las obligaciones PCI para la transacción completa. En el segundo, el pago se realiza directamente entre el cliente y el vendedor (con la plataforma como facilitador), y cada vendedor es responsable de su propio cumplimiento.
En la práctica, la mayoría de los marketplaces modernos opera con un modelo híbrido que hace ambigua la cadena de responsabilidad. Si la plataforma recoge los datos de tarjeta y los pasa a los vendedores para su procesamiento, actúa como proveedor de servicios PCI respecto a los vendedores. Si la plataforma simplemente enruta el pago a través de un PSP integrado sin ver los datos de tarjeta, su ámbito depende de la configuración técnica específica. A menudo es necesario contar simultáneamente con un abogado especializado en pagos y un QSA para mapear correctamente quién responde de qué.
¿El propietario de la plataforma responde por los vendedores?
El propietario de la plataforma no es automáticamente responsable del cumplimiento PCI de los vendedores que operan en ella, pero tiene obligaciones específicas si proporciona herramientas de pago a los vendedores o si los datos de tarjeta transitan por su infraestructura antes de llegar a ellos. El PCI DSS exige que los proveedores de servicios documenten la responsabilidad sobre cada requisito en su SAQ o RoC, especificando qué controles corresponden al proveedor y cuáles al cliente (vendedor).
En la práctica, los marketplaces que quieren proteger su posición contractual y reputacional suelen exigir a los vendedores su propia atestación de cumplimiento (AOC o SAQ completado) como condición de incorporación. Esto no transfiere la responsabilidad, pero crea un marco documentable para demostrar la diligencia del propietario de la plataforma. El adquirente del marketplace puede solicitar evidencias específicas sobre cómo se seleccionan y supervisan los vendedores en materia de cumplimiento.
Cómo PCI Proxy EU centraliza el cumplimiento del marketplace
La solución más eficiente para un marketplace es centralizar la recogida y el almacenamiento de datos de tarjeta en un vault común, en lugar de distribuir la responsabilidad entre cada vendedor. Con PCI Proxy EU, la plataforma recoge los datos de tarjeta una sola vez a través de la payment page certificada y los tokeniza. Los vendedores reciben tokens que pueden usar para autorizar pagos sin tocar nunca el PAN. El vault es compartido, pero los tokens están segmentados por vendedor: cada vendedor solo ve a sus propios clientes.
Este enfoque simplifica radicalmente el cumplimiento: el propietario de la plataforma gestiona un único CDE certificado, los vendedores no entran en el perímetro PCI para la parte de almacenamiento de datos y la incorporación de nuevos vendedores no requiere verificar su cumplimiento individual para este componente. El perímetro PCI permanece estable independientemente del crecimiento en el número de vendedores en la plataforma, eliminando el riesgo de una superficie de ataque que crece proporcionalmente al negocio.
Preguntas frecuentes
¿Debo exigir a mis vendedores la certificación PCI DSS?
Depende del modelo de pago. Si los vendedores gestionan datos de tarjeta de forma autónoma (por ejemplo, con terminales propios o cuentas PSP separadas), cada uno responde por sí mismo y el marketplace tiene interés en documentar la solicitud de atestación. Si en cambio la plataforma centraliza los pagos y los vendedores solo ven tokens, los vendedores no están en el ámbito del almacenamiento de datos y no es necesario exigirles una certificación específica para este aspecto.
¿Un marketplace que usa Stripe Connect sigue teniendo obligaciones PCI?
Sí. Stripe Connect reduce el perímetro PCI si la plataforma usa Stripe Elements o Stripe.js para recoger los datos de tarjeta directamente en el frontend de Stripe, sin que los datos transiten por el backend del marketplace. Si en cambio el backend de la plataforma toca los datos de tarjeta (aunque sea solo para reenviarlos), el perímetro se amplía. El AOC de Stripe cubre su propia infraestructura, no automáticamente el código del marketplace que lo integra.
¿Cómo funciona la responsabilidad compartida en un modelo SaaS con pagos?
Un SaaS que procesa pagos en nombre de sus clientes se clasifica como proveedor de servicios. Debe documentar formalmente, para cada requisito PCI, si la responsabilidad es del proveedor, del cliente o compartida. Este documento se denomina Responsibility Matrix y debe adjuntarse al AOC del proveedor. Los clientes del SaaS utilizan esta matriz para completar su propio SAQ y comprender qué requisitos les corresponden.
Un vault central para todo el marketplace: un CDE, todos los vendedores cubiertos. Descubre PCI Proxy EU.