El acquirer pci compliance no solo concierne al banco: concierne a cada comercio que tiene un contrato de aceptación. Las redes internacionales (Visa, Mastercard) imponen el PCI DSS a los adquirentes, que a su vez lo imponen a los comercios a través del merchant agreement. Entender esta cadena de responsabilidad ayuda al comercio a saber quién le controla, qué riesgos asume y cómo reducir su exposición.
La cadena de responsabilidad PCI: redes, adquirentes y comercios
En la cúspide de la cadena se encuentran las redes internacionales, Visa y Mastercard principalmente, que han definido el PCI DSS como requisito contractual para todos los participantes en su red. Las redes no tienen una relación directa con la mayoría de los comercios: su canal de enforcement son los adquirentes (bancos o entidades de pago que permiten a los comercios aceptar tarjetas).
El adquirente firma un acuerdo directo con la red en el que se compromete a garantizar que sus comercios cumplan el PCI DSS. Si un comercio bajo la gestión del adquirente sufre una brecha o se detecta que no cumple, la red aplica las sanciones al adquirente, no al comercio directamente. Y es el adquirente quien luego repercute las sanciones y los costes al comercio a través del merchant agreement. Este mecanismo convierte al adquirente en el principal garante del cumplimiento PCI para sus comercios.
Las obligaciones del adquirente frente al comercio
Las pci dss acquirer obligaciones frente a los comercios incluyen: informar al comercio de los requisitos PCI DSS aplicables a su nivel de transacciones, recopilar y verificar la documentación de cumplimiento (SAQ, AOC, resultados de los escaneos ASV), aplicar comisiones o penalizaciones por incumplimiento, y reportar a las redes los comercios que no presenten la documentación en los plazos previstos.
En caso de brecha confirmada, el adquirente está obligado a notificar inmediatamente a las redes y a coordinar la investigación forense. Los gastos forenses y las sanciones aplicadas por las redes son inicialmente a cargo del adquirente, que los recupera después del comercio a través de las cláusulas contractuales. En algunos casos, el adquirente puede imponer al comercio un aumento de la tasa de reserva (un porcentaje de las transacciones retenido como garantía) o la revocación del merchant ID.
Cómo la tokenización cambia la relación con tu banco
Un comercio que usa PCI Proxy EU para la gestión de los datos de tarjeta se presenta ante el adquirente con un perfil de riesgo significativamente diferente al de un comercio que conserva internamente los PAN. El perímetro a declarar se reduce al mínimo: el comercio puede presentar un SAQ A (22 requisitos) en lugar de un SAQ D (más de 300 requisitos), y el diagrama del flujo de datos muestra que el PAN nunca transita por sus propios sistemas.
Esto se traduce en ventajas concretas en la relación con el adquirente: onboarding más rápido, menor atención durante los ciclos de verificación anuales y, en algunos casos, mejores condiciones contractuales porque el comercio demuestra una gestión del riesgo madura. En caso de brecha en otros sistemas del comercio, la ausencia de PAN en los sistemas internos significa que la brecha no se convierte automáticamente en una brecha PCI, con un impacto drásticamente reducido sobre las obligaciones frente al adquirente.
Preguntas frecuentes
¿El adquirente es responsable si el comercio no cumple?
Sí, frente a las redes. Si un comercio gestionado por un adquirente no cumple el PCI DSS y sufre una brecha, la red aplica las sanciones al adquirente, que las transfiere luego al comercio a través de las cláusulas del merchant agreement. Este mecanismo incentiva fuertemente al adquirente a monitorizar el cumplimiento de sus comercios y a tomar medidas en caso de incumplimiento.
¿Puedo elegir el adquirente en función de su política PCI?
Las políticas PCI de los adquirentes varían en términos de frecuencia de los controles, severidad de las penalizaciones por incumplimiento y soporte ofrecido a los comercios en el proceso de cumplimiento. Es legítimo considerar estos aspectos en la elección del adquirente, especialmente en las fases iniciales de onboarding. Algunos adquirentes ofrecen herramientas de auto-evaluación integradas en el portal del comercio, reduciendo el trabajo administrativo del proceso anual.
¿Quién me sanciona en caso de incumplimiento: el adquirente o Visa/MC?
Las redes sancionan directamente al adquirente, no al comercio. Es el adquirente quien luego aplica las sanciones al comercio a través de las cláusulas del merchant agreement. Las sanciones de las redes frente al adquirente pueden ser mensuales y acumularse hasta la resolución del incumplimiento. En casos graves, las redes pueden revocar al adquirente la licencia de aceptación para un comercio específico o para categorías de comercios.
¿Quieres simplificar la relación PCI con tu adquirente presentando un perímetro reducido? PCI Proxy EU te ayuda a construir la documentación correcta. Descubre PCI Proxy EU.