Niveles de cumplimiento PCI DSS
PCI DSS tiene cuatro niveles de comercio, determinados por el número de transacciones con tarjeta que procesas al año. Aquí se explica qué significa cada nivel, qué exige — y cómo la tokenización simplifica tu validación sea cual sea el nivel en que estés.
Tu nivel depende del volumen — no del esfuerzo
Las marcas de tarjeta y los adquirentes asignan un nivel según tu volumen anual de transacciones por marca. A mayor volumen, más rigurosa la validación. Una brecha de datos puede situar a cualquier comercio directamente en el Nivel 1.
Determinado por el volumen
Tu número anual de transacciones por marca de tarjeta determina tu nivel, asignado por tu adquirente.
Validación diferente
El Nivel 1 requiere una auditoría externa; los Niveles 2–4 suelen autoevaluarse con un cuestionario.
Una brecha lo sube
Una incidencia puede situar a cualquier comercio en el nivel de informes del Nivel 1, independientemente de su tamaño.
Niveles de comercio PCI DSS de un vistazo
| Nivel | Volumen anual de transacciones | Validación típica |
|---|---|---|
| Nivel 1 | Más de ~6 M de transacciones/año (o cualquier comercio tras una brecha) | Informe anual sobre el Cumplimiento (QSA) + análisis trimestrales ASV |
| Nivel 2 | ~1 M–6 M de transacciones/año | Cuestionario anual de autoevaluación + análisis trimestrales |
| Nivel 3 | ~20 000–1 M de transacciones de comercio electrónico/año | Cuestionario anual de autoevaluación + análisis trimestrales |
| Nivel 4 | Menos de ~20 000 transacciones de e-commerce / hasta 1 M en otros canales/año | Cuestionario anual de autoevaluación (análisis donde corresponda) |
Umbrales orientativos — las cifras exactas varían según la red de tarjetas. Confirma tu nivel con tu banco adquirente.
Tu nivel se mantiene — tu carga de trabajo se reduce
La tokenización no cambia el nivel que determina tu volumen, pero transforma cuánto debes validar. Cuando los datos de tarjeta nunca tocan tus sistemas, la mayoría de comercios califican para SAQ A — el cuestionario más breve — en cualquier nivel. PCI Proxy es en sí mismo un vault PCI DSS Nivel 1, por lo que heredas el trabajo más pesado.
Niveles PCI DSS, respondidos
01 ¿Cuáles son los niveles de cumplimiento PCI DSS?
PCI DSS define cuatro niveles de comercio según el volumen anual de transacciones con tarjeta. El Nivel 1 es el mayor (en general, más de 6 millones de transacciones al año o cualquier comercio tras una brecha), el Nivel 2 abarca aproximadamente entre 1 y 6 millones, el Nivel 3 cubre en torno a 20 000–1 millón de transacciones de comercio electrónico y el Nivel 4 engloba a todos los que están por debajo. Los niveles más altos requieren una validación más rigurosa.
02 ¿Cómo sé en qué nivel PCI estoy?
Tu adquirente o las marcas de tarjeta asignan tu nivel según tu volumen anual de transacciones por marca. Los umbrales exactos varían ligeramente según la red de tarjetas, así que confírmalo con tu banco adquirente — pero el volumen es el factor principal, y una brecha puede situar a cualquier comercio en el Nivel 1.
03 ¿Qué debe hacer cada nivel PCI?
Los comercios del Nivel 1 necesitan un Informe sobre el Cumplimiento anual de un Asesor de Seguridad Cualificado más análisis trimestrales. Los Niveles 2–4 generalmente completan un Cuestionario de Autoevaluación y, cuando manejan datos de tarjeta, análisis trimestrales. Reducir los datos de tarjeta que tratas reduce el cuestionario que debes completar.
04 ¿La tokenización cambia mi nivel PCI?
La tokenización no cambia el nivel que determina tu volumen, pero reduce drásticamente lo que debes validar. Como los datos de tarjeta nunca tocan tus sistemas, la mayoría de comercios califican para el mucho más breve SAQ A — independientemente del nivel —, lo que simplifica enormemente el cumplimiento a cualquier volumen.
Simplifica el PCI en cualquier nivel
Cuéntanos tu volumen y cómo gestionas las tarjetas, y te mostraremos cómo la tokenización mantiene tu validación en SAQ A.