El pci dss as a service es uno de los modelos de cumplimiento más adoptados en Europa, pero también uno de los más malentendidos. Muchos comercios creen que delegar el cumplimiento en un proveedor significa transferir toda la responsabilidad. La realidad es distinta: algunas responsabilidades PCI DSS siempre recaen sobre el comercio por ley, independientemente de cuántos componentes se externalicen. Conocer exactamente esta distinción es fundamental para no llevarse sorpresas durante una auditoría o tras una brecha de datos.
Qué es el PCI DSS como Servicio y qué cubre realmente
El pci dss outsourcing en sentido técnico significa delegar la gestión del CDE (Cardholder Data Environment) a un proveedor certificado PCI DSS Nivel 1. El proveedor asume la responsabilidad de todos los controles técnicos y organizativos relativos a su perímetro: cifrado de los datos de tarjeta, gestión de las claves criptográficas con HSM certificado, monitorización de seguridad, pruebas de penetración, actualizaciones de seguridad y documentación para la auditoría anual. El comercio no necesita certificar estos componentes: la certificación del proveedor cubre esa parte de la infraestructura.
Con la tokenization as a service europe, el perímetro PCI del comercio se reduce drásticamente. Los sistemas empresariales reciben únicamente tokens, no PAN, por lo que quedan fuera del perímetro PCI para los componentes que no tocan datos de tarjeta. Esto permite al comercio completar un SAQ A en lugar de un Informe de Cumplimiento completo, con un ahorro de tiempo y costes que en la práctica se traduce en decenas de miles de euros al año. El proveedor también gestiona las actualizaciones a la versión vigente del estándar (actualmente PCI DSS v4), garantizando que el perímetro delegado permanezca siempre conforme.
Qué nunca puedes delegar: responsabilidad residual del comercio
Incluso con el modelo as-a-service más completo, algunas responsabilidades siempre recaen sobre el comercio. La gestión de los accesos de los usuarios a sus propios sistemas, las políticas de seguridad internas, la formación del personal sobre los riesgos de seguridad, la monitorización de los logs de aplicaciones propios y la gestión de los incidentes de seguridad que afecten a la propia infraestructura (aunque no contenga datos de tarjeta) son ámbitos que no pueden delegarse a un proveedor externo.
En caso de brecha de datos que involucre datos de tarjeta custodiados por el proveedor, la responsabilidad contractual y legal frente a los clientes finales sigue recayendo sobre el comercio como responsable del tratamiento según el GDPR. El proveedor responde por su parte, pero el comercio no puede liberarse de la responsabilidad hacia sus clientes. Por eso los contratos con proveedores PCI DSS deben incluir cláusulas claras sobre responsabilidad, notificaciones en caso de brecha y garantías aseguradoras.
Comparación de costes: DIY vs PCI DSS como Servicio
Un comercio que gestiona internamente su propio CDE afronta costes fijos y variables significativos. En el lado fijo: infraestructura dedicada (servidores, HSM, cortafuegos certificados), personal especializado en seguridad (al menos un ingeniero de seguridad a tiempo completo), auditoría QSA anual (entre 30.000 y 80.000 euros para Nivel 1), pruebas de penetración semestrales (de 5.000 a 20.000 euros por intervención). En el lado variable: costes de remediación por cada gap encontrado durante las auditorías, actualizaciones de infraestructura requeridas por los nuevos requisitos del estándar.
Con el modelo as-a-service, el coste se reduce a una cuota mensual o por transacción que escala con los volúmenes. La auditoría del propio perímetro reducido (típicamente un SAQ A) requiere pocas horas de trabajo interno en lugar de semanas. No hay infraestructura que gestionar, no hay personal especializado que contratar y no hay costes de remediación para el perímetro delegado. Para la mayoría de las empresas europeas con menos de 6 millones de transacciones anuales, el punto de equilibrio frente al DIY se alcanza en el primer mes de uso.
Preguntas frecuentes
Con el PCI DSS como Servicio, ¿tengo que completar igualmente el SAQ?
Sí, pero de forma mucho más sencilla. Con un perímetro reducido gracias a la tokenización, la mayoría de los comercios puede completar un SAQ A, que es el cuestionario más breve y menos exigente, aplicable cuando ningún dato de tarjeta transita por los sistemas del comercio. La cumplimentación requiere unas horas en lugar de las semanas necesarias para los SAQ más complejos.
¿El modelo as a service vale también para comercios de Nivel 1?
Sí. Incluso un comercio de Nivel 1 puede reducir significativamente su perímetro delegando el CDE. La auditoría sigue siendo obligatoria (ROC con QSA), pero el perímetro a auditar es mucho más pequeño. Muchos comercios de Nivel 1 usan el modelo as-a-service precisamente para simplificar y reducir los costes de la auditoría anual.
¿Cuánto tiempo lleva activar el servicio?
La integración técnica de PCI Proxy EU requiere típicamente 3-10 días laborables para un equipo con experiencia en API REST. El proceso incluye la firma del contrato, el acceso al sandbox para las pruebas, la integración en producción y la verificación funcional. No se requiere ninguna infraestructura adicional por parte del comercio.
¿Quieres delegar la parte técnica del cumplimiento PCI DSS y mantener solo las responsabilidades que por ley corresponden al comercio? Descubre PCI Proxy EU.