El 31 de marzo de 2025 es la fecha que convirtió en obligatorios todos los requisitos de PCI DSS v4 previamente etiquetados como "con fecha futura". Para muchos comercios europeos este plazo pasó desapercibido, pero las consecuencias prácticas son concretas. Las nuevas obligaciones modifican cómo deben gestionarse los pagos online, los call centers y cualquier sistema que interactúe con datos de tarjetas. La tokenización sigue siendo la forma más eficaz de absorber estos cambios sin rediseñar toda la infraestructura.
Los requisitos v4 que se convirtieron en obligatorios en 2025
Los requisitos "con fecha futura" de PCI DSS v4 que se convirtieron en obligatorios en marzo de 2025 afectan a áreas específicas y con alto impacto operativo. El requisito 6.4.3 exige un inventario documentado de todos los scripts JavaScript presentes en las páginas de pago, con mecanismos para verificar su integridad. Esto nace como respuesta a los ataques de e-skimming que afectaron a miles de sitios de e-commerce en años anteriores. El requisito 11.6.1 añade la monitorización continua de las páginas de pago para detectar modificaciones no autorizadas en los scripts y las cabeceras HTTP.
En el ámbito de la autenticación, el requisito 8.4.2 extiende la obligación de MFA a todos los accesos al CDE, incluidos los de redes internas. En el v3.2.1, la MFA era obligatoria principalmente para los accesos remotos. Esta extensión tiene un impacto directo en las políticas de acceso a los sistemas de pago internos y en las herramientas de administración. Los comercios que gestionan sistemas propios por los que transitan datos de tarjetas deben revisar sus políticas de autenticación para estar alineados.
El impacto práctico en los comercios de e-commerce y MOTO
Para los comercios de e-commerce, el requisito más impactante es el 6.4.3 sobre los scripts. Si el sitio de pago carga bibliotecas JavaScript de terceros, CSS externos o píxeles de seguimiento, cada uno de estos elementos debe censarse y monitorizarse para verificar su integridad. Esto incluye también los scripts de proveedores como Google Analytics o Meta Pixel si están presentes en la página de pago. Muchos comercios descubren que tienen decenas de dependencias externas no documentadas que requieren una revisión completa de su proceso de pago.
Para los comercios MOTO (Mail Order/Telephone Order), los nuevos requisitos de MFA impactan en los puestos de los operadores de call center que introducen datos de tarjetas. Cada acceso al sistema que gestiona los PAN debe ahora estar protegido por autenticación multifactor. Esto suele requerir una actualización de las plataformas de gestión de pedidos telefónicos y una revisión de los procedimientos operativos de los agentes. La solución más directa es eliminar completamente los datos de tarjetas del entorno del call center usando tecnologías de enmascaramiento o tokenización en tiempo real.
Cómo la tokenización absorbe los nuevos requisitos
La tokenización con un proveedor certificado PCI DSS Level 1 elimina en origen muchos de los problemas creados por los nuevos requisitos v4. Si los datos de la tarjeta nunca entran en el entorno del comercio, el requisito 6.4.3 sobre los scripts se aplica a un perímetro muy reducido o no se aplica en absoluto, según la arquitectura del proceso de pago. Con una hosted payment page o un formulario de tokenización gestionado por el proveedor, las páginas de pago del comercio no contienen scripts que procesen datos de tarjetas, lo que elimina gran parte de la obligación de monitorización.
Del mismo modo, la extensión de la obligación de MFA al CDE pierde relevancia práctica si el propio CDE se reduce al mínimo o se elimina de la infraestructura del comercio. Un comercio con arquitectura SAQ A no tiene sistemas propios que almacenen, transmitan o procesen datos de tarjetas: su perímetro de conformidad es limitado y los nuevos requisitos v4 más onerosos no se aplican. Esto convierte la reducción del alcance en la estrategia de adaptación al v4 más conveniente, tanto en términos de costes inmediatos como de cargas recurrentes.
Preguntas frecuentes
¿Mi adquirente me pedirá PCI DSS v4 de inmediato?
Depende del adquirente y del contrato vigente. Muchos adquirentes europeos están actualizando ya sus procesos de alta y de renovación anual para solicitar SAQ conformes al v4. Si tiene una renovación anual próxima, verifique con su adquirente qué versión del cuestionario se requiere. No espere a que sea él quien señale el incumplimiento: el riesgo de sanciones contractuales es real.
¿Tengo que rehacer el SAQ con PCI DSS v4?
Sí, el próximo SAQ que cumplimente debe estar basado en las plantillas v4. Las plantillas SAQ actualizadas están disponibles en el sitio web del PCI Security Standards Council. El tipo de SAQ (A, A-EP, B, D, etc.) depende de su arquitectura de aceptación de pagos, no del estándar: si ya utiliza tokenización con hosted fields, podría ya estar en condiciones de optar por el SAQ A más sencillo.
¿Los requisitos v4 se aplican también a los comercios de Nivel 4?
Sí. Los comercios de Nivel 4 (menos de 20.000 transacciones de e-commerce anuales o hasta 1 millón de transacciones de cualquier tipo) están igualmente sujetos a PCI DSS v4. La diferencia respecto a los niveles superiores se refiere al método de validación (SAQ en lugar de ROC), no a la aplicabilidad del estándar. Los nuevos requisitos v4 se aplican a todos los comercios que aceptan tarjetas de los principales circuitos.
Conformidad PCI DSS v4 sin rediseñar la infraestructura: la tokenización es el camino más rápido para la mayoría de los comercios. Descubra PCI Proxy EU.