El PCI DSS para pequeñas empresas es una realidad que muchos empresarios ignoran hasta que el adquirente o el PSP envía una solicitud de conformidad. El PCI DSS no tiene umbrales mínimos de facturación: cualquier organización que acepte pagos con tarjeta está sujeta a sus requisitos. Para las pequeñas empresas, la cuestión es entender qué trámites se aplican realmente y cómo gestionarlos sin un responsable de TI dedicado.
Quién debe cumplir el PCI DSS: también las pequeñas empresas
La obligación de conformidad PCI DSS deriva del contrato con el adquirente o el PSP que habilita los pagos con tarjeta. No depende del tamaño de la empresa, del número de empleados ni de la facturación: depende del hecho de aceptar, procesar, almacenar o transmitir datos de pago con tarjeta. Una tienda con un único POS, un pequeño comercio electrónico con unas pocas decenas de transacciones al mes, un artesano que acepta pagos online: todos están sujetos al PCI DSS.
La buena noticia para las pequeñas empresas es que el nivel de cumplimiento varía según el volumen de transacciones. Un comerciante con menos de 20.000 transacciones de comercio electrónico anuales entra en el Nivel 4, el nivel con los requisitos menos onerosos. En muchos casos puede completar un SAQ de forma autónoma, sin necesidad de un auditor externo certificado. La mala noticia es que "menos oneroso" no significa "inexistente": el SAQ debe completarse, los controles básicos deben implementarse, y el incumplimiento tiene consecuencias reales.
Qué arriesga una pyme sin conformidad PCI DSS
Las consecuencias del incumplimiento no llegan necesariamente de inmediato: a menudo emergen solo tras una brecha o un control del adquirente. Las principales sanciones son: penalizaciones mensuales de los esquemas de tarjeta (Visa, Mastercard) que pueden llegar a 100.000 dólares al mes en las situaciones más graves; aumento de las comisiones de intercambio; solicitud de auditoría forense a cargo del comerciante en caso de brecha; y, en el peor de los casos, la revocación de la capacidad de aceptar pagos con tarjeta, lo que para una pyme puede significar el cierre.
Una brecha que expone datos reales de tarjeta tiene un coste medio estimado de entre 50.000 y 200.000 euros para una pyme, entre costes de análisis forense, notificaciones a los clientes, reembolso de fraudes y posibles acciones legales. No es un riesgo teórico: las pymes son frecuentemente el objetivo de los atacantes precisamente porque tienen sistemas menos protegidos que las grandes empresas y manejan datos reales de tarjeta.
Cómo simplificar el PCI DSS para las pequeñas empresas
La estrategia más eficaz para una pyme es eliminar el tratamiento directo de los datos de tarjeta de la arquitectura de pagos. Si el checkout utiliza una página hospedada certificada PCI DSS o un SDK client-side que envía los datos directamente al vault del proveedor, la pyme nunca ve un PAN. El perímetro CDE se vuelve prácticamente nulo, el SAQ aplicable es el SAQ A (pocas decenas de preguntas), y la conformidad se gestiona de forma autónoma en pocas horas al año.
PCI Proxy EU está diseñado exactamente para este escenario: proporcionar a la pyme un vault certificado Level 1, API documentadas, SDK listos para usar y el apoyo para completar el SAQ A. El coste del servicio es proporcional al volumen de transacciones y resulta inferior al coste anual de la conformidad tradicional (consultor, escaneo de vulnerabilidades ASV, eventual prueba de penetración). Una pequeña empresa que adopta esta arquitectura reduce el riesgo, simplifica los trámites y se concentra en su negocio.
Preguntas frecuentes
¿Una pequeña tienda con POS está obligada al PCI DSS?
Sí. Cualquier comerciante que acepte pagos con tarjeta a través de un POS físico está sujeto al PCI DSS. En la práctica, si el POS es proporcionado directamente por el adquirente o el banco y no está conectado a la red corporativa, el perímetro es muy limitado y el SAQ aplicable es a menudo el SAQ B, con requisitos mínimos. El adquirente debería haber comunicado ya el nivel y el tipo de SAQ aplicable en el momento de la activación del servicio.
¿Mi adquirente me avisa si no soy conforme?
No sistemáticamente. El adquirente puede enviar solicitudes de cumplimentación del SAQ o recordatorios si no recibe la documentación de conformidad en los plazos previstos, pero no monitoriza en tiempo real el estado de su conformidad técnica. La responsabilidad de ser conforme es del comerciante: no espere un aviso para iniciar el proceso.
¿Puedo gestionar la conformidad PCI sin un responsable de TI dedicado?
Sí, con la arquitectura correcta. Si utiliza una página hospedada o un SDK certificado y su CDE es mínimo, el SAQ A puede ser completado por el titular o por un responsable administrativo sin conocimientos técnicos específicos. La clave es elegir una solución de pago que reduzca el perímetro al mínimo: con PCI Proxy EU, muchas pymes gestionan la conformidad de forma autónoma.
¿Quiere gestionar la conformidad PCI DSS sin un equipo de TI dedicado y sin costes desproporcionados? Descubra PCI Proxy EU.