Los niveles de comércio PCI DSS definen el perfil de riesgo de un comércio en função del volumen anual de transações con cartão procesadas. El nivel determina qué obrigações se aplican: desde la autoavaliação autónoma hasta la auditoría obligatoria por parte de un QSA (Qualified Security Assessor) certificado. Conocer tu propio nivel es el primer paso para planificar el conformidade de forma eficaz e proporcional.
Los 4 niveles de comércio PCI DSS: los umbrales de transações
La clasificação por niveles se basa en el número de transações con cartão procesadas en un período de 12 meses, sumando todos los canais (e-commerce, POS, MOTO). Los umbrales principales definidos por Visa e Mastercard são:
- Level 1: mais de 6 millones de transações anuales con cualquier red de pago, o comércio que haya sufrido una violação de dados. Obligação de auditoría anual por parte de un QSA e escaneo trimestral de vulnerabilidades certificado (ASV).
- Level 2: entre 1 e 6 millones de transações anuales. SAQ anual (completado internamente) e escaneo ASV trimestral.
- Level 3: entre 20.000 e 1 millón de transações e-commerce anuales. SAQ anual e escaneo ASV trimestral.
- Level 4: menos de 20.000 transações e-commerce anuales o hasta 1 millón de transações en otros canais. SAQ recomendado (en muchos casos obligatorio a petição del adquirente).
Obrigações por nivel: de SAQ a QSA
La diferencia práctica entre los niveles no es apenas en el número de transações: está en la complejidade e el custo de las obrigações. Un comércio Level 1 deve contratar un Report on Compliance (ROC) anual a un QSA certificado, que inclui entrevistas, verificação documental e testes técnicas sobre toda la infraestrutura. El custo de un ROC completo oscila entre 30.000 e 150.000 euros en função del tamaño del ambiente.
Los comerciantes Level 2, 3 e 4 podem gerir el conformidade mediante autoavaliação, mas la complejidade del SAQ depende de la arquitectura de pago adoptada. Un Level 4 con checkout directo e CDE extendido pode ter que completar un SAQ D con cientos de preguntas. El mismo comércio con tokenização e página hosted pode clasificarse para el SAQ A e completar la autoavaliação de forma autónoma en pocas horas.
Como la tokenização reduz el riesgo independientemente del nivel
El nivel del comércio determina las obrigações de validação, mas no cambia la lógica de segurança: cuantos menos dados de cartão se gerem directamente, menor es la superficie expuesta a ataques e a requisitos de conformidade. La tokenização con PCI Proxy EU reduz el CDE de forma transversal a todos los niveles: un comércio Level 1 que tokeniza los PAN reduz el perímetro del ROC e por tanto los custos de auditoría; un comércio Level 4 que tokeniza pode pasar al SAQ A.
Un aspecto a menudo pasado por alto: el nivel pode cambiar a raíz de una violação de dados. Un comércio que sufre una brecha es automáticamente clasificado como Level 1 durante los años siguientes, con todas las obrigações de auditoría que ello implica. Reduzir el CDE con la tokenização também reduz la probabilidade de que una brecha exponga dados de cartão reales, protegiendo al comércio de esta escalada.
Preguntas frecuentes
Como sé cuál es mi nivel de comércio?
El nivel lo define tu adquirente o banco conveniado en função del volumen anual de transações comunicado. Si no has recibido una comunicação explícita, contacta directamente con tu adquirente o PSP: estão obligados a informarte del nivel asignado e de las obrigações correspondientes.
El nivel de comércio cambia si uso varios adquirentes?
Sí. El volumen total de transações deve sumarse sobre todos los adquirentes e todas las redes de pago. No es posible "dividir" el volumen entre distintos adquirentes para mantenerse por debajo de los umbrales de nivel: las directrices PCI DSS e de los sistemas exigem considerar el volumen global.
Un comércio Level 4 pode realizar el SAQ de forma autónoma?
Sí, en la mayoría de los casos. El SAQ para los comerciantes Level 4 pode completarse internamente sin el apoyo de un QSA, sempre que el comércio entienda los requisitos aplicables e pueda documentarlos correctamente. Algunos adquirentes exigen la firma de un consultor cualificado para los SAQ mais complejos como el SAQ D.
Quieres simplificar el conformidade PCI DSS sea cual sea tu nivel de comércio? Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nosNa prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para pci dss.
Na prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para pci dss.
Na prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para pci dss.