Los pci dss requirements son solo una de las tres normativas que un comercio europeo debe cumplir en 2025. Junto al PCI DSS, el GDPR y la PSD2 forman un marco normativo complejo donde las responsabilidades se superponen, los plazos se acumulan y las sanciones pueden sumarse de forma significativa. Esta guía mapea las tres normativas de forma práctica: quién está obligado a qué, cuándo y qué ocurre si no se está en regla.
El marco normativo 2025: PCI DSS, GDPR y PSD2 comparados
Las tres normativas operan en planos distintos pero se intersectan continuamente. El PCI DSS es un estándar contractual impuesto por las redes de tarjetas (Visa, Mastercard, etc.) a través de los adquirentes: regula la seguridad técnica de los datos de tarjeta y se aplica a quienes aceptan, procesan o almacenan datos de pago con tarjeta. El GDPR es una ley europea con plena vigencia en todos los estados miembros: regula el tratamiento de todos los datos personales, incluidos los datos de tarjeta que identifican a una persona física. La PSD2 es una directiva europea transpuesta en cada país: regula los servicios de pago, el acceso a cuentas y la Autenticación Reforzada de Cliente.
Las superposiciones son concretas. Una brecha de datos que expone datos de tarjeta activa simultáneamente el PCI DSS (procedimiento de investigación forense y posibles sanciones de la red), el GDPR (notificación obligatoria a la autoridad de protección de datos en 72 horas y posibles sanciones de hasta el 4% del volumen de negocio global) y la PSD2 si la brecha afecta a cuentas de pago o datos de autenticación. Cada normativa tiene su propio procedimiento sancionador y su propio regulador: gestionarlas de forma integrada es mucho más eficiente que tratarlas como tres silos separados.
Quién debe cumplir qué en Europa: obligaciones por sector
El PCI DSS se aplica a cualquier entidad que acepte pagos con tarjeta: comercios de cualquier tamaño, PSP, adquirentes, pasarelas y procesadores. No existen exenciones por tamaño empresarial: incluso un pequeño e-commerce con 100 transacciones al mes debe cumplir los requisitos PCI DSS aplicables a su nivel. La diferencia entre niveles afecta a la complejidad de las obligaciones, no a su existencia.
El GDPR se aplica a cualquier empresa que trate datos personales de residentes en la UE, independientemente de la sede de la empresa. Para los pagos, esto incluye prácticamente a cualquier comercio europeo. La PSD2 se aplica directamente a los proveedores de servicios de pago (PSP, bancos, entidades de dinero electrónico), pero los comercios están indirectamente involucrados en los requisitos de SCA (Strong Customer Authentication) que sus sistemas de checkout deben soportar. Un comercio que no soporte 3DS2 en sus páginas de pago arriesga que las transacciones sean rechazadas por el banco del consumidor.
Sanciones acumulativas y cómo evitarlas con una sola solución
Las sanciones de las tres normativas se acumulan de forma independiente. Una única brecha de datos que exponga datos de tarjeta de clientes europeos puede activar: sanciones PCI DSS de la red (de 5.000 a 100.000 euros al mes por incumplimiento), sanciones GDPR de la autoridad de protección de datos (hasta el 4% del volumen de negocio global o 20 millones de euros), y posibles sanciones PSD2 si la brecha afecta a servicios de pago regulados. En un escenario real de gravedad media, el coste acumulado puede superar fácilmente los 500.000 euros, sin contar los daños reputacionales y la pérdida de clientes.
La estrategia más eficiente para cubrir los tres frentes es centralizar la gestión de los datos de tarjeta en un proveedor que satisfaga simultáneamente los pci dss requirements técnicos, los requisitos GDPR de seguridad y residencia de datos, y las especificaciones técnicas PSD2 para la autenticación. PCI Proxy EU está certificado PCI DSS Nivel 1, opera con datos localizados en la UE para el cumplimiento del GDPR, y soporta los flujos de autenticación 3DS2 requeridos por la PSD2. Una única integración reduce el perímetro de riesgo en los tres frentes normativos.
Preguntas frecuentes
¿Cuáles son los plazos normativos más urgentes en 2025?
En el frente PCI DSS, los requisitos adicionales de PCI DSS v4 se volvieron obligatorios el 31 de marzo de 2025. Quien no haya completado la transición desde la v3.2.1 ya está fuera de cumplimiento. En el frente GDPR, no hay plazos específicos en 2025, pero la obligación de notificar brechas en 72 horas es permanente. En el frente PSD2, los requisitos SCA para transacciones online están en vigor desde 2021 y continúan siendo objeto de verificación por parte de las autoridades supervisoras.
¿Un comercio europeo pequeño debe cumplir las tres normativas?
Para PCI DSS sí, pero con obligaciones proporcionales al volumen (SAQ en lugar de ROC). Para el GDPR sí, si trata datos de personas físicas (prácticamente siempre). Para la PSD2 en sentido directo no (se aplica a los PSP), pero sí indirectamente para los requisitos SCA en el checkout. En la práctica, cualquier comercio europeo que venda online debe tener en cuenta las tres normativas.
¿PCI Proxy EU cubre también las obligaciones PSD2?
PCI Proxy EU soporta los flujos de autenticación 3DS2 requeridos por la PSD2 para reducir los contracargos y maximizar la tasa de aceptación de las transacciones. La cobertura directa de las obligaciones PSD2 concierne a los PSP, no a los comercios, pero la integración con el vault de PCI Proxy EU facilita la implementación correcta de los flujos de autenticación que la PSD2 requiere indirectamente a los comercios a través de sus PSP.
¿Quieres cubrir PCI DSS, GDPR y PSD2 con una única solución integrada, datos en Europa y certificaciones completas? Descubre PCI Proxy EU.