Los niveles de comercio PCI DSS definen el perfil de riesgo de un comercio en función del volumen anual de transacciones con tarjeta procesadas. El nivel determina qué obligaciones se aplican: desde la autoevaluación autónoma hasta la auditoría obligatoria por parte de un QSA (Qualified Security Assessor) certificado. Conocer tu propio nivel es el primer paso para planificar el cumplimiento de forma eficaz y proporcional.
Los 4 niveles de comercio PCI DSS: los umbrales de transacciones
La clasificación por niveles se basa en el número de transacciones con tarjeta procesadas en un período de 12 meses, sumando todos los canales (e-commerce, POS, MOTO). Los umbrales principales definidos por Visa y Mastercard son:
- Level 1: más de 6 millones de transacciones anuales con cualquier red de pago, o comercio que haya sufrido una violación de datos. Obligación de auditoría anual por parte de un QSA y escaneo trimestral de vulnerabilidades certificado (ASV).
- Level 2: entre 1 y 6 millones de transacciones anuales. SAQ anual (completado internamente) y escaneo ASV trimestral.
- Level 3: entre 20.000 y 1 millón de transacciones e-commerce anuales. SAQ anual y escaneo ASV trimestral.
- Level 4: menos de 20.000 transacciones e-commerce anuales o hasta 1 millón de transacciones en otros canales. SAQ recomendado (en muchos casos obligatorio a petición del adquirente).
Obligaciones por nivel: de SAQ a QSA
La diferencia práctica entre los niveles no es solo en el número de transacciones: está en la complejidad y el coste de las obligaciones. Un comercio Level 1 debe encargar un Report on Compliance (ROC) anual a un QSA certificado, que incluye entrevistas, verificación documental y pruebas técnicas sobre toda la infraestructura. El coste de un ROC completo oscila entre 30.000 y 150.000 euros en función del tamaño del entorno.
Los comercios Level 2, 3 y 4 pueden gestionar el cumplimiento mediante autoevaluación, pero la complejidad del SAQ depende de la arquitectura de pago adoptada. Un Level 4 con checkout directo y CDE extendido puede tener que completar un SAQ D con cientos de preguntas. El mismo comercio con tokenización y página hosted puede clasificarse para el SAQ A y completar la autoevaluación de forma autónoma en pocas horas.
Cómo la tokenización reduce el riesgo independientemente del nivel
El nivel del comercio determina las obligaciones de validación, pero no cambia la lógica de seguridad: cuantos menos datos de tarjeta se gestionan directamente, menor es la superficie expuesta a ataques y a requisitos de cumplimiento. La tokenización con PCI Proxy EU reduce el CDE de forma transversal a todos los niveles: un comercio Level 1 que tokeniza los PAN reduce el perímetro del ROC y por tanto los costes de auditoría; un comercio Level 4 que tokeniza puede pasar al SAQ A.
Un aspecto a menudo pasado por alto: el nivel puede cambiar a raíz de una violación de datos. Un comercio que sufre una brecha es automáticamente clasificado como Level 1 durante los años siguientes, con todas las obligaciones de auditoría que ello conlleva. Reducir el CDE con la tokenización también reduce la probabilidad de que una brecha exponga datos de tarjeta reales, protegiendo al comercio de esta escalada.
Preguntas frecuentes
¿Cómo sé cuál es mi nivel de comercio?
El nivel lo define tu adquirente o banco conveniado en función del volumen anual de transacciones comunicado. Si no has recibido una comunicación explícita, contacta directamente con tu adquirente o PSP: están obligados a informarte del nivel asignado y de las obligaciones correspondientes.
¿El nivel de comercio cambia si uso varios adquirentes?
Sí. El volumen total de transacciones debe sumarse sobre todos los adquirentes y todas las redes de pago. No es posible "dividir" el volumen entre distintos adquirentes para mantenerse por debajo de los umbrales de nivel: las directrices PCI DSS y de los sistemas requieren considerar el volumen global.
¿Un comercio Level 4 puede realizar el SAQ de forma autónoma?
Sí, en la mayoría de los casos. El SAQ para los comercios Level 4 puede completarse internamente sin el apoyo de un QSA, siempre que el comercio entienda los requisitos aplicables y pueda documentarlos correctamente. Algunos adquirentes exigen la firma de un consultor cualificado para los SAQ más complejos como el SAQ D.
¿Quieres simplificar el cumplimiento PCI DSS sea cual sea tu nivel de comercio? Descubre PCI Proxy EU.