¿Quién debe cumplirlo?
Cualquiera que acepte, procese o almacene datos de tarjeta: tiendas online, plataformas, call centers, PSP. También quien gestiona pagos por cuenta de terceros.
Cumplimiento PCI DSS
Cumplimiento PCI DSS, menos trabajo para ti
Si aceptas pagos con tarjeta, debes cumplir con el PCI DSS. Nosotros custodiamos los datos de tarjeta en tu lugar: tú trabajas con los tokens y rellenar el cuestionario se vuelve mucho más sencillo.
Tu carga PCI −95% alcance
Tú solo conservas tokens
Qué aportamos nosotros
Heredas nuestra certificación: los datos de tarjeta permanecen en nuestro vault, no en tus servidores.
PCI DSS Nivel 1
El nivel más alto. Cada año, auditores independientes verifican nuestro vault.
Solo centros de datos en la UE
Los datos de tarjeta no salen de Europa. Útil también para el GDPR.
Cifrado y HSM
Datos cifrados en reposo y en tránsito. Claves protegidas en hardware certificado.
En resumen
¿Qué es el PCI DSS?
Es el estándar de seguridad para quienes aceptan pagos con tarjeta (Visa, Mastercard y otros circuitos). Sirve para proteger los datos de tarjeta donde quiera que se recojan, guarden o envíen.
12
Reglas
4
Niveles
1
Objetivo
Proteger los datos de tarjeta, siempre.
12 reglas básicas
Firewall, cifrado, accesos, monitorización y políticas. Muchas reglas: cuantos menos sistemas toquen los datos de tarjeta, menos trabajo para ti.
Si no cumples
Multas, comisiones más altas o bloqueo de los pagos con tarjeta. Una brecha de datos cuesta mucho más que cumplir.
Niveles de Cumplimiento
Los 4 niveles PCI
El trabajo que debes hacer depende de cuántas transacciones con tarjeta realizas cada año. Más transacciones, más controles (hasta la auditoría presencial para grandes volúmenes).
| Nivel | Transacciones Anuales | Requisitos de Validación | Entidades Típicas |
|---|---|---|---|
| Nivel 1 | >6 millones de transacciones/año | Auditoría presencial anual + análisis trimestrales | Grandes retailers, aerolíneas, PSP principales |
| Nivel 2 | 1-6 millones de transacciones/año | SAQ anual, análisis ASV trimestrales | E-commerce mid-market, cadenas hoteleras |
| Nivel 3 | 20.000-1 millón e-commerce/año | SAQ anual, análisis ASV trimestrales | Negocios online en crecimiento, plataformas SaaS |
| Nivel 4 | <20.000 e-commerce o <1 millón otras/año | SAQ anual (recomendado), análisis ASV trimestrales (si aplica) | Pequeños merchants, negocios locales, startups |
Importante: tras una brecha de datos puedes ser trasladado al Nivel 1 aunque vendas poco. El adquirente puede exigirte controles adicionales.
Menos ámbito para ti
Cómo reducimos tu carga
La forma más sencilla de hacer menos PCI es mantener los datos de tarjeta lejos de tus servidores. Nos envías los datos de tarjeta, nosotros los tokenizamos: tú guardas solo el token.
300+
Controles · SAQ D
Si lo gestionas todo tú
~30
Controles · SAQ A-EP
Con nuestra API
22
Controles · SAQ A
Con los campos hosted
Sin nosotros
Ámbito completoSitios, apps, bases de datos y redes que tocan los datos de tarjeta deben cumplir cientos de controles. A menudo más de 300 en el cuestionario SAQ D.
Con PCI Proxy
Ámbito mínimoLos datos de tarjeta no entran en tus servidores. Nosotros estamos certificados PCI DSS Nivel 1 y custodiamos el número de tarjeta. Tú gestionas solo tokens.
Hasta un 95% menos
Pasas del SAQ D (300+ controles) al SAQ A o A-EP (menos de 30). Menos auditorías, menos ingenieros dedicados, menos riesgo.
Cuánto tienes que rellenar
Sin PCI Proxy (SAQ D) 300+ controles
Con API (SAQ A-EP) ~30 controles
Con campos hosted (SAQ A) 22 controles
Estamos certificados PCI DSS Nivel 1
Autoevaluación
¿Qué cuestionario SAQ necesitas?
El SAQ es el cuestionario que rellenas para demostrar el cumplimiento. Depende de cómo pasan los datos de tarjeta por tus sistemas. Con nosotros, el camino se simplifica.
⭐ Recomendado
Autoevaluación
SAQ A
22 controles
7% del ámbito SAQ D
Para quienes usan nuestros campos hosted en iFrame: los datos de tarjeta no pasan por tu sitio. Es el camino más ligero.
Ideal con los campos hosted
Autoevaluación Ampliada
SAQ A-EP
~30 controles
10% del ámbito SAQ D
Si la página de pago está en tu sitio pero los datos de tarjeta van directamente a nosotros vía API o JavaScript. Pocos controles más respecto al SAQ A.
Con integración API o SDK
Cuestionario Completo
SAQ D
300+ controles
Ámbito completo - todos los sistemas
El cuestionario más largo. Se requiere cuando los datos de tarjeta pasan por tus servidores. Sin nosotros, muchos e-commerce acaban aquí.
Sin PCI Proxy
En Europa
PCI DSS y GDPR juntos
En la UE debes cumplir ambos. Los datos de tarjeta también son datos personales. Con los tokens simplificas PCI y privacidad.
Donde coinciden
Mismas prioridades
Datos de tarjeta = datos personales
Nombre, número de tarjeta y vencimiento están sujetos al GDPR. Debes protegerlos como datos sensibles.
Menos datos, menos riesgo
El GDPR pide conservar solo lo necesario. Nosotros eliminamos el número de tarjeta de tus sistemas y dejas solo el token.
Brechas y notificaciones
Si no conservas datos de tarjeta, una brecha en tus servidores es mucho menos grave. Menos estrés para ti y para los clientes.
Aspectos a coordinar
Requiere atención
Eliminación vs conservación
El GDPR reconoce el derecho al olvido. El PCI exige logs de transacciones. Con los tokens puedes eliminar la correspondencia y hacer los datos irrecuperables.
Datos solo en la UE
Muchas empresas europeas deben mantener los datos en la UE. Nosotros operamos solo desde centros de datos europeos: los datos de tarjeta no salen de la Unión.
Contrato con nosotros (DPA)
Para el GDPR somos responsables del tratamiento cuando custodiamos los datos de tarjeta por ti. Se necesita un acuerdo escrito sobre finalidad y seguridad.
En resumen: tú trabajas con los tokens. Nosotros custodiamos los datos de tarjeta. PCI y GDPR se vuelven más manejables.
Análisis de Costes
Cuánto cuesta hacer PCI solo vs con nosotros
Gestionar todo el PCI internamente cuesta mucho más que delegarnos los datos de tarjeta. Ejemplo orientativo para un merchant europeo medio.
| Categoría de Coste | Gestión Interna (SAQ D) Coste alto · Riesgo alto | Con PCI Proxy (SAQ A) RECOMENDADO |
|---|---|---|
| Auditoría anual | €30.000 a €150.000 | €3.000 a €8.000 |
| Seguridad de infraestructura | €50.000 a €200.000/año | €0 (lo gestionamos nosotros) |
| Riesgo de brecha de datos | €500.000 a €4.000.000+ | Casi nulo |
| Seguro cibernético | €15.000 a €60.000/año | €5.000 a €15.000/año |
| Equipo dedicado | 1-3 ingenieros | Supervisión ligera |
| Multas por incumplimiento | €5.000 a €100.000/mes | €0 (conforme by design) |
Cifras orientativas para merchants europeos con 1-6 millones de transacciones al año. Los costes reales dependen del tamaño y el sector.
FAQ
Preguntas Frecuentes
01 ¿Qué nivel PCI DSS se aplica a mi empresa?
Depende de cuántas transacciones con tarjeta realizas cada año. Más de 6 millones estás en el Nivel 1 (auditoría presencial). Por debajo de esa cifra, generalmente basta con el cuestionario SAQ. La mayoría de las pymes europeas están en el Nivel 3 o 4. Con nosotros puedes bajar al SAQ más sencillo.
02 ¿Cómo nos ayudáis a reducir el PCI?
Nos envías los datos de tarjeta, nosotros los tokenizamos y los custodiamos. En tus servidores no acaba el número de tarjeta: solo trabajas con los tokens. Así sales del perímetro PCI más pesado y pasas del SAQ D (300+ controles) al SAQ A o A-EP (menos de 30).
03 ¿Afecta el GDPR al cumplimiento PCI DSS en Europa?
Sí. En Europa debes cumplir el PCI DSS y el GDPR conjuntamente. Los datos de tarjeta son datos personales. El GDPR añade derechos (supresión, residencia en la UE, notificación de brechas). Con los tokens en tus sistemas y los datos de tarjeta en nuestro vault, ambas obligaciones se vuelven más sencillas.
¿Quieres saber qué SAQ necesitas?
Escríbenos: te ayudamos a entender tu nivel PCI y cuánto puedes simplificar con PCI Proxy.