El PCI DSS para pequeñas empresas es uno de los temas mais malinterpretados en el panorama de los pagos digitales europeus. La creencia extendida de que las pymes estão exentas no tem ningún fundamento: el PCI DSS se aplica a cualquier empresa que acepte, almacene, transmita o procese dados de cartões de pago, independientemente del tamaño o del número de transações. Si tem un POS, un sitio de comércio electrónico o acepta cartões por telefone, está sujeto al estándar.
El mito de la exenção: las pymes no estão excluidas del PCI DSS
El PCI DSS clasifica a los comerciantes en cuatro niveles basados en el volumen anual de transações. Los comerciantes de Nivel 4, los que têm menos de 20.000 transações de comércio electrónico anuales o hasta 1 millón de transações de cualquier tipo, são la gran mayoría de las pymes europeas. Este nivel no está exento de las obrigações de conformidade: simplemente tem un proceso de validação menos oneroso. En lugar de una auditoría formal llevada a cabo por un QSA certificado, un comerciante de Nivel 4 pode completar un SAQ (Self-Assessment Questionnaire) de forma autónoma.
La diferencia práctica entre niveles se refiere al método de validação, no a la aplicabilidade del estándar. Una pequeña tienda online con 500 transações al mes está igualmente sujeta al PCI DSS. Si no completa el SAQ exigido por su adquirente e sufre una violação de los dados de cartão, las sancões contractuales se aplican de todos modos. La idea de que las pequeñas empresas são "demasiado pequeñas para estar en el punto de mira" es refutada por los dados: la mayoría de las brechas documentadas golpea precisamente a las organizaciones mais pequeñas, a menudo menos protegidas.
Qué arriesga concretamente una pyme no conforme
El riesgo principal para una pyme no conforme al PCI DSS es de naturaleza contractual. El adquirente, el banco o el fornecedor de serviços de pago con el que la pyme ha suscrito el contrato para aceptar cartões pode aplicar sancões mensuales que van de 1.000 a 5.000 euros por incumplimiento continuado. En caso de violação de los dados de cartão, las sancões aumentan drásticamente e podem incluir el custo de la investigação forense, el reembolso de los contracargos fraudulentos y, en los casos graves, la revocação de la habilitação para aceptar las cartões de los circuitos afectados.
A esto se añade el daño reputacional. Una pyme local que sufre una brecha e queda asociada a una violação de los dados de cartão de sus clientes afronta consecuencias difícilmente cuantificables en términos de pérdida de confianza. El custo de una brecha para una pequeña empresa es a menudo desproporcionado con respecto a su tamaño: según las estimaciones del setor, una de cada dos pymes que sufre una brecha significativa no se recupera completamente en los dos años siguientes.
Como pode una pyme europeia cumprir en poco tiempo
El camino mais rápido para una pyme hacia la conformidade PCI DSS pasa por la reducção del perímetro. Si los dados de cartão no entran en los sistemas de la pyme, la mayoría de las obrigações se reduz drásticamente. Concretamente, esto significa utilizar un formulário de pago hospedado por el fornecedor (hosted payment page o hosted fields) que intercepta los dados de cartão antes de que cheguem a los servidores de la pyme. En este escenario el comerciante pode qualificar-se para el SAQ A, que exige menos de 50 controles e pode completarse en pocas horas sin conocimientos técnicos especializados.
Para las pymes con POS físicos, la solução a menudo ya está en marcha: los terminales certificados P2PE (Point-to-Point Encryption) gestionados por el fornecedor de serviços de pago reducen automáticamente el perímetro del comerciante. El paso importante es documentar esta arquitectura en el SAQ e verificar con el propio adquirente que el cuestionario haya sido completado e aceptado. Muchas pymes nunca completan este paso formal, embora tengan una postura de segurança adecuada, exponiéndose igualmente a sancões contractuales en caso de controversias.
Preguntas frecuentes
Basta con ter un apenas POS para estar obligado al PCI DSS?
Sí. Cualquier aceptação de cartões de pago de los principales circuitos (Visa, Mastercard, Amex, etc.) implica la obligação de conformidade PCI DSS. No existe un umbral mínimo de transações por debajo del cual el estándar no se aplique. La diferencia entre comerciantes de bajo e alto volumen se refiere únicamente al método de validação de la conformidade, no a la obligação en sí.
Quem controla el conformidade del PCI DSS para las pymes?
El control se produce principalmente através de la relação contractual con el adquirente. Es el adquirente quien solicita la documentação de conformidade (SAQ completado, escaneos de vulnerabilidades) e quien aplica sancões en caso de incumplimiento o brecha. Los circuitos de pago (Visa, Mastercard) têm sus propios programas de conformidade que delegan la aplicação en los adquirentes. No existe una autoridade pública europeia que sancione directamente por incumplimiento PCI DSS.
Una pyme pode gerir la conformidade sin consultores?
Para un comerciante de Nivel 4 con arquitectura sencilla (página de pago hospedada, POS certificado P2PE), el SAQ A pode completarse internamente sin consultores. El cuestionario está disponible gratuitamente en el sitio del PCI Security Standards Council. Para arquitecturas mais complejas o en caso de dudas sobre la clasificação del nivel, un consultor PCI o el suporte del fornecedor de tokenização pode reduzir el riesgo de errores en la cumplimentação.
PCI DSS accesible também para las pequeñas empresas: la tokenização reduz el perímetro e faz que la conformidade sea gestionable sin consultores costosos. Descubra PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos