El open banking pci dss es uno de los temas más malentendidos en el panorama de los pagos digitales europeos. Muchas empresas asumen que adoptar pagos account-to-account las excluye automáticamente de las obligaciones PCI DSS, pero la realidad es más compleja. La PSD2 y el PCI DSS operan en planos normativos distintos, con superposiciones concretas que cada comercio y PSP debe conocer antes de diseñar su arquitectura de pagos.
Open banking y PCI DSS: cuándo se aplican ambas normativas
El PCI DSS se aplica a cualquier entidad que almacene, procese o transmita datos de tarjetas de pago, es decir, PAN, CVV, PIN y datos equivalentes. El open banking, en cambio, opera sobre pagos que parten directamente de la cuenta corriente a través de API reguladas por la PSD2: en este caso no transita ningún dato de tarjeta, por lo que el PCI DSS no se aplica al flujo A2A en sentido estricto.
Sin embargo, la distinción nunca es tan nítida en la práctica. Las empresas que ofrecen open banking como método de pago adicional casi siempre siguen aceptando también tarjetas. Y aquí surge el problema: mantener dos canales paralelos significa que el CDE (Cardholder Data Environment) existe de todas formas, con todas las obligaciones PCI asociadas. La lógica "tengo open banking, no necesito PCI DSS" es correcta solo si la empresa ha dejado definitivamente de aceptar tarjetas, un escenario extremadamente poco habitual.
Pagos A2A y account-to-account: scope PCI reducido pero no cero
Los pagos account-to-account (A2A) eliminan el PAN del flujo transaccional. Esto reduce concretamente el scope PCI: si un comercio procesa exclusivamente pagos vía transferencia instantánea o a través de un PISP (Payment Initiation Service Provider), no tiene técnicamente un CDE activo para ese canal. El nivel de cumplimiento requerido disminuye, y en algunos casos se puede completar un SAQ A para la porción de negocio residual.
Sin embargo, permanecen obligaciones operativas no desdeñables. Los datos IBAN y la información de cuenta corriente no entran en el perímetro PCI DSS, pero sí están sujetos al GDPR y a las normas de seguridad de las API previstas por la PSD2. Una brecha de datos sobre datos bancarios A2A puede conllevar sanciones GDPR de hasta el 4% del volumen de negocio global, independientemente del PCI DSS. La reducción del scope PCI no equivale a una reducción del riesgo global.
Stack híbrido: cuando usas tanto tarjetas como open banking
El escenario más habitual para comercios y PSP europeos en 2025 es un stack híbrido: tarjetas de crédito y débito para la mayoría de las transacciones retail, open banking para pagos B2B o para comercios que quieren reducir las comisiones interbancarias. En este caso el CDE existe de todas formas, y el cumplimiento PCI DSS afecta a toda la infraestructura que gestiona los datos de tarjeta, incluidos los componentes compartidos como los cortafuegos, los logs y los sistemas de autenticación.
La solución óptima para un stack híbrido es centralizar la gestión de los datos de tarjeta en un único vault certificado PCI DSS Nivel 1 externo, como el de PCI Proxy EU, y mantener los pagos open banking en un recorrido técnico separado. De este modo el perímetro PCI permanece contenido, la complejidad de la auditoría se reduce y los dos canales pueden evolucionar de forma independiente sin que los cambios en uno afecten al cumplimiento del otro.
Preguntas frecuentes
¿Una empresa que solo usa open banking debe ser PCI compliant?
Si la empresa no toca datos de tarjetas de pago en ningún flujo, el PCI DSS no se aplica. Esto solo es válido si todos los métodos de pago aceptados son A2A o a través de un PISP regulado por PSD2. En la práctica, casi ningún comercio europeo se encuentra en esta situación: la gran mayoría sigue aceptando tarjetas, lo que mantiene activa la obligación PCI DSS.
¿La PSD2 elimina las obligaciones PCI DSS para los bancos?
No. La PSD2 regula el acceso a las cuentas y los servicios de pago, mientras que el PCI DSS es un estándar de seguridad de datos de tarjeta gestionado por PCI SSC. Los bancos están sujetos a ambos: la PSD2 para las API de open banking, el PCI DSS para todos los servicios que tratan datos de tarjetas. Las dos normativas se integran, no se sustituyen.
¿PCI Proxy EU soporta los pagos open banking?
PCI Proxy EU se focaliza en la tokenización y la gestión segura de los datos de tarjeta. Para stacks híbridos tarjeta y open banking, la solución es integrar PCI Proxy EU para el canal de tarjeta y mantener un recorrido separado para los pagos A2A. Esto reduce al mínimo el perímetro PCI sin comprometer la flexibilidad de los métodos de pago ofrecidos.
¿Gestionas un stack híbrido tarjeta y open banking y quieres saber exactamente qué cae dentro de tu perímetro PCI? Descubre PCI Proxy EU.