Antes de que un adquirente active a un comercio para la aceptación de tarjetas, exige la documentación de cumplimiento PCI DSS. El proceso de onboarding PCI DSS para comercios varía en complejidad en función del nivel de transacciones previsto y del tipo de integración técnica. Conocer de antemano qué se exige permite preparar la documentación en poco tiempo y evitar retrasos en la activación.
Qué pide el adquirente durante el onboarding PCI
El primer paso del onboarding PCI es la clasificación del comercio en función de los niveles de comercio PCI DSS. Los niveles van del Level 1 (más de 6 millones de transacciones anuales) al Level 4 (menos de 20.000 transacciones e-commerce anuales o menos de 1 millón de transacciones totales). El nivel determina los requisitos documentales: los comercios Level 1 deben completar un Report on Compliance (ROC) redactado por un QSA, mientras que los comercios Level 2, 3 y 4 pueden habitualmente completar un Self-Assessment Questionnaire (SAQ).
El adquirente solicita normalmente: el SAQ completado y firmado (o el ROC para los Level 1), la Attestation of Compliance (AOC) que certifica la finalización del proceso, los resultados de un escaneo de vulnerabilidades trimestral realizado por un Approved Scanning Vendor (ASV) para los comercios que gestionan componentes de red accesibles desde internet, y la documentación de las políticas de seguridad internas. Algunos adquirentes también exigen una prueba de penetración anual para los comercios de mayor nivel.
Los documentos y el SAQ: cuánto tiempo se necesita
El tiempo necesario para completar el onboarding PCI depende principalmente del tipo de SAQ aplicable. El SAQ A, que se aplica a los comercios que nunca acceden a datos de tarjeta (porque usan un proveedor certificado para la recogida y el tratamiento), tiene 22 requisitos y puede completarse en pocas horas. El SAQ D, que se aplica a los comercios que gestionan el CDE internamente, tiene más de 300 requisitos y requiere semanas de trabajo con el apoyo de un consultor.
Los documentos de identidad y registro mercantil, la información sobre la arquitectura técnica y el diagrama del flujo de datos de tarjeta son requeridos por casi todos los adquirentes independientemente del nivel. La elaboración del diagrama del flujo de datos, que debe mostrar cómo el PAN entra, transita y sale de los sistemas del comercio, es con frecuencia el paso que más tiempo requiere si no ha sido documentado previamente.
Cómo acelerar el onboarding con un perímetro reducido
El elemento que más influye en la velocidad del onboarding PCI es la complejidad del perímetro a declarar. Un comercio que usa PCI Proxy EU para la recogida y el tratamiento de los datos de tarjeta puede declarar un CDE reducido al mínimo: sus propios sistemas no tratan PAN en texto claro y por tanto no están incluidos en el perímetro. Esto se traduce en la posibilidad de completar un SAQ A en lugar de un SAQ D, con un ahorro de semanas en el proceso de onboarding.
Presentar al adquirente un diagrama del flujo de datos que muestra el proxy como único punto de tratamiento del PAN y un AOC de PCI Proxy EU como proveedor de servicios certificado acelera significativamente el proceso de aprobación. Muchos adquirentes tienen procedimientos simplificados para los comercios que usan proveedores de servicios certificados para el tratamiento de datos de tarjeta, reconociendo que el riesgo está gestionado por una infraestructura ya auditada.
Preguntas frecuentes
¿El adquirente puede bloquear los pagos si no presento el SAQ?
Sí. El adquirente tiene tanto el derecho contractual como la obligación hacia las redes de pago de verificar el cumplimiento PCI de sus comercios. En caso de no presentar la documentación en los plazos establecidos, el adquirente puede aplicar comisiones adicionales, limitar las funcionalidades de pago o, en los casos más graves, suspender el acuerdo de aceptación. Los plazos y las consecuencias específicas se indican en el contrato de merchant agreement.
¿Cada cuánto pide el adquirente la renovación del cumplimiento PCI?
El ciclo de cumplimiento PCI es anual. El SAQ o el ROC debe renovarse cada año, y los escaneos ASV (para los comercios en scope) deben realizarse cada trimestre. Algunos adquirentes envían un recordatorio automático con 60-90 días de antelación respecto al vencimiento del AOC actual, pero es responsabilidad del comercio iniciar el proceso de renovación con tiempo suficiente.
¿Tengo que enviar la attestation PCI también a la red de pago (Visa/MC)?
Para los comercios Level 1, el AOC debe transmitirse directamente a las redes de pago (Visa, Mastercard) además de al adquirente. Para los comercios Level 2, 3 y 4, la documentación suele gestionarla el adquirente, que la recoge y la transmite a las redes según los acuerdos internos. En ambos casos, el adquirente es el punto de contacto principal para el comercio durante el proceso de cumplimiento.
¿Quieres acelerar el onboarding PCI con tu adquirente presentando un CDE reducido? Descubre cómo PCI Proxy EU simplifica el proceso. Descubre PCI Proxy EU.