El open banking pci dss es uno de los temas mais malentendidos en el panorama de los pagos digitales europeus. Muchas empresas asumen que adoptar pagos account-to-account las excluye automáticamente de las obrigações PCI DSS, mas la realidade es mais compleja. La PSD2 e el PCI DSS operan en planos normativos distintos, con sobreposições concretas que cada comércio e PSP deve conocer antes de diseñar su arquitectura de pagos.
Open banking e PCI DSS: quando se aplican ambas normativas
El PCI DSS se aplica a cualquier entidade que almacene, procese o transmita dados de cartões de pago, es decir, PAN, CVV, PIN e dados equivalentes. El open banking, en cambio, opera sobre pagos que parten directamente de la cuenta corriente através de API reguladas por la PSD2: en este caso no transita ningún dato de cartão, por lo que el PCI DSS no se aplica al fluxo A2A en sentido estricto.
Sin embargo, la distinção nunca es tan nítida na prática. Las empresas que ofrecen open banking como método de pago adicional quase sempre siguen aceptando também cartões. Y aquí surge el problema: manter dos canais paralelos significa que el CDE (Cardholder Data Environment) existe de todas formas, con todas las obrigações PCI asociadas. La lógica "tengo open banking, no necesito PCI DSS" es correcta apenas si la empresa ha dejado definitivamente de aceptar cartões, un escenario extremadamente poco habitual.
Pagos A2A e account-to-account: scope PCI reducido mas no cero
Los pagos account-to-account (A2A) eliminan el PAN del fluxo transaccional. Esto reduz concretamente el scope PCI: si un comércio processa exclusivamente pagos vía transferencia instantánea o através de un PISP (Payment Initiation Service Provider), no tem técnicamente un CDE activo para ese canal. El nivel de conformidade requerido disminuye, e en algunos casos se pode completar un SAQ A para la porção de negocio residual.
Sin embargo, permanecen obrigações operativas no desdeñables. Los dados IBAN e la informação de cuenta corriente no entran en el perímetro PCI DSS, mas sí estão sujetos al RGPD e a las normas de segurança de las API previstas por la PSD2. Una brecha de dados sobre dados bancarios A2A pode conllevar sancões RGPD de hasta el 4% del volumen de negocio global, independientemente del PCI DSS. La reducção del scope PCI no equivale a una reducção del riesgo global.
Stack híbrido: quando usas tanto cartões como open banking
El escenario mais habitual para comerciantes e PSP europeus en 2025 es un stack híbrido: cartões de crédito e débito para la mayoría de las transações retail, open banking para pagos B2B o para comerciantes que quieren reduzir las comisiones interbancarias. En este caso el CDE existe de todas formas, e el conformidade PCI DSS afecta a toda la infraestrutura que gere los dados de cartão, incluidos los componentes compartidos como los cortafuegos, los logs e los sistemas de autenticação.
La solução óptima para un stack híbrido es centralizar la gestão de los dados de cartão en un único vault certificado PCI DSS Nível 1 externo, como el de PCI Proxy EU, e manter los pagos open banking en un recorrido técnico separado. De este modo el perímetro PCI permanece contenido, la complejidade de la auditoría se reduz e los dos canais podem evolucionar de forma independiente sin que los cambios en uno afecten al conformidade del otro.
Preguntas frecuentes
Una empresa que apenas usa open banking deve ser PCI compliant?
Si la empresa no toca dados de cartões de pago en ningún fluxo, el PCI DSS no se aplica. Esto apenas es válido si todos los métodos de pago aceptados são A2A o através de un PISP regulado por PSD2. En la práctica, quase ningún comércio europeu se encontra en esta situação: la gran mayoría sigue aceptando cartões, lo que mantiene activa la obligação PCI DSS.
La PSD2 elimina las obrigações PCI DSS para los bancos?
No. La PSD2 regula el acceso a las cuentas e los serviços de pago, enquanto que el PCI DSS es un estándar de segurança de dados de cartão gestionado por PCI SSC. Los bancos estão sujetos a ambos: la PSD2 para las API de open banking, el PCI DSS para todos los serviços que tratan dados de cartões. Las dos normativas se integran, no se sustituyen.
PCI Proxy EU soporta los pagos open banking?
PCI Proxy EU se focaliza en la tokenização e la gestão segura de los dados de cartão. Para stacks híbridos cartão e open banking, la solução es integrar PCI Proxy EU para el canal de cartão e manter un recorrido separado para los pagos A2A. Esto reduz al mínimo el perímetro PCI sin comprometer la flexibilidade de los métodos de pago ofrecidos.
Gestionas un stack híbrido cartão e open banking e quieres saber exactamente qué cae dentro de tu perímetro PCI? Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nosNa prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para regulamentação e rgpd.