Antes de que un adquirente active a un comércio para la aceptação de cartões, exige la documentação de conformidade PCI DSS. El proceso de onboarding PCI DSS para comerciantes varía en complejidade en função del nivel de transações previsto e del tipo de integração técnica. Conocer de antemano qué se exige permite preparar la documentação en poco tiempo e evitar retrasos en la activação.
Qué pide el adquirente durante el onboarding PCI
El primer paso del onboarding PCI es la clasificação del comércio en função de los niveles de comércio PCI DSS. Los niveles van del Level 1 (mais de 6 millones de transações anuales) al Level 4 (menos de 20.000 transações e-commerce anuales o menos de 1 millón de transações totales). El nivel determina los requisitos documentales: los comerciantes Level 1 devem completar un Report on Compliance (ROC) redactado por un QSA, enquanto que los comerciantes Level 2, 3 e 4 podem habitualmente completar un Self-Assessment Questionnaire (SAQ).
El adquirente solicita normalmente: el SAQ completado e firmado (o el ROC para los Level 1), la Attestation of Compliance (AOC) que certifica la finalização del proceso, los resultados de un escaneo de vulnerabilidades trimestral realizado por un Approved Scanning Vendor (ASV) para los comerciantes que gerem componentes de red accesibles desde internet, e la documentação de las políticas de segurança internas. Algunos adquirentes também exigen una prueba de penetração anual para los comerciantes de mayor nivel.
Los documentos e el SAQ: cuánto tiempo se precisa
El tiempo necesario para completar el onboarding PCI depende principalmente del tipo de SAQ aplicable. El SAQ A, que se aplica a los comerciantes que nunca acceden a dados de cartão (porque usan un fornecedor certificado para la recogida e el tratamiento), tem 22 requisitos e pode completarse en pocas horas. El SAQ D, que se aplica a los comerciantes que gerem el CDE internamente, tem mais de 300 requisitos e exige semanas de trabajo con el apoyo de un consultor.
Los documentos de identidade e registro mercantil, la informação sobre la arquitectura técnica e el diagrama del fluxo de dados de cartão são requeridos por quase todos los adquirentes independientemente del nivel. La elaboração del diagrama del fluxo de dados, que deve mostrar como el PAN entra, transita e sale de los sistemas del comércio, es con frecuencia el paso que mais tiempo exige si no ha sido documentado previamente.
Como acelerar el onboarding con un perímetro reducido
El elemento que mais influye en la velocidade del onboarding PCI es la complejidade del perímetro a declarar. Un comércio que usa PCI Proxy EU para la recogida e el tratamiento de los dados de cartão pode declarar un CDE reducido al mínimo: sus propios sistemas no tratan PAN en texto claro e por tanto no estão incluidos en el perímetro. Esto se traduce en la posibilidade de completar un SAQ A en lugar de un SAQ D, con un poupança de semanas en el proceso de onboarding.
Presentar al adquirente un diagrama del fluxo de dados que muestra el proxy como único punto de tratamiento del PAN e un AOC de PCI Proxy EU como fornecedor de serviços certificado acelera significativamente el proceso de aprobação. Muchos adquirentes têm procedimientos simplificados para los comerciantes que usan fornecedores de serviços certificados para el tratamiento de dados de cartão, reconociendo que el riesgo está gestionado por una infraestrutura ya auditada.
Preguntas frecuentes
El adquirente pode bloquear los pagos si no presento el SAQ?
Sí. El adquirente tem tanto el derecho contractual como la obligação hacia las redes de pago de verificar el conformidade PCI de sus comerciantes. En caso de no presentar la documentação en los prazos establecidos, el adquirente pode aplicar comisiones adicionales, limitar las funcionalidades de pago o, en los casos mais graves, suspender el acuerdo de aceptação. Los prazos e las consecuencias específicas se indican en el contrato de merchant agreement.
Cada cuánto pide el adquirente la renovação del conformidade PCI?
El ciclo de conformidade PCI es anual. El SAQ o el ROC deve renovarse cada año, e los escaneos ASV (para los comerciantes en scope) devem realizarse cada trimestre. Algunos adquirentes envían un recordatorio automático con 60-90 días de antelação respecto al vencimiento del AOC actual, mas es responsabilidade del comércio iniciar el proceso de renovação con tiempo suficiente.
Tengo que enviar la attestation PCI também a la red de pago (Visa/MC)?
Para los comerciantes Level 1, el AOC deve transmitirse directamente a las redes de pago (Visa, Mastercard) além disso, de al adquirente. Para los comerciantes Level 2, 3 e 4, la documentação suele gestionarla el adquirente, que la recoge e la transmite a las redes según los acuerdos internos. En ambos casos, el adquirente es el punto de contacto principal para el comércio durante el proceso de conformidade.
Quieres acelerar el onboarding PCI con tu adquirente presentando un CDE reducido? Descubre como PCI Proxy EU simplifica el proceso. Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos