El acquirer pci compliance no apenas concierne al banco: concierne a cada comércio que tem un contrato de aceptação. Las redes internacionales (Visa, Mastercard) imponen el PCI DSS a los adquirentes, que a su vez lo imponen a los comerciantes através del merchant agreement. Entender esta cadena de responsabilidade ayuda al comércio a saber quem le controla, qué riesgos asume e como reduzir su exposição.
La cadena de responsabilidade PCI: redes, adquirentes e comerciantes
En la cúspide de la cadena se encontram las redes internacionales, Visa e Mastercard principalmente, que han definido el PCI DSS como requisito contractual para todos los participantes en su red. Las redes no têm una relação directa con la mayoría de los comerciantes: su canal de enforcement são los adquirentes (bancos o entidades de pago que permiten a los comerciantes aceptar cartões).
El adquirente firma un acuerdo directo con la red en el que se compromete a garantir que sus comerciantes cumplan el PCI DSS. Si un comércio bajo la gestão del adquirente sufre una brecha o se detecta que no cumple, la red aplica las sancões al adquirente, no al comércio directamente. Y es el adquirente quien luego repercute las sancões e los custos al comércio através del merchant agreement. Este mecanismo convierte al adquirente en el principal garante del conformidade PCI para sus comerciantes.
Las obrigações del adquirente frente al comércio
Las pci dss acquirer obrigações frente a los comerciantes incluyen: informar al comércio de los requisitos PCI DSS aplicables a su nivel de transações, recopilar e verificar la documentação de conformidade (SAQ, AOC, resultados de los escaneos ASV), aplicar comisiones o penalizaciones por incumplimiento, e reportar a las redes los comerciantes que no presenten la documentação en los prazos previstos.
En caso de brecha confirmada, el adquirente está obligado a notificar inmediatamente a las redes e a coordinar la investigação forense. Los gastos forenses e las sancões aplicadas por las redes são inicialmente a cargo del adquirente, que los recupera después del comércio através de las cláusulas contractuales. En algunos casos, el adquirente pode imponer al comércio un aumento de la tasa de reserva (un porcentaje de las transações retenido como garantía) o la revocação del merchant ID.
Como la tokenização cambia la relação con tu banco
Un comércio que usa PCI Proxy EU para la gestão de los dados de cartão se presenta ante el adquirente con un perfil de riesgo significativamente diferente al de un comércio que conserva internamente los PAN. El perímetro a declarar se reduz al mínimo: el comércio pode presentar un SAQ A (22 requisitos) en lugar de un SAQ D (mais de 300 requisitos), e el diagrama del fluxo de dados muestra que el PAN nunca transita por sus propios sistemas.
Esto se traduce en ventajas concretas en la relação con el adquirente: onboarding mais rápido, menor atenção durante los ciclos de verificação anuales y, en algunos casos, mejores condiciones contractuales porque el comércio demuestra una gestão del riesgo madura. En caso de brecha en otros sistemas del comércio, la ausencia de PAN en los sistemas internos significa que la brecha no se convierte automáticamente en una brecha PCI, con un impacto drásticamente reducido sobre las obrigações frente al adquirente.
Preguntas frecuentes
El adquirente es responsable si el comércio no cumple?
Sí, frente a las redes. Si un comércio gestionado por un adquirente no cumple el PCI DSS e sufre una brecha, la red aplica las sancões al adquirente, que las transfiere luego al comércio através de las cláusulas del merchant agreement. Este mecanismo incentiva fuertemente al adquirente a monitorizar el conformidade de sus comerciantes e a tomar medidas en caso de incumplimiento.
Puedo elegir el adquirente en função de su política PCI?
Las políticas PCI de los adquirentes varían en términos de frecuencia de los controles, severidade de las penalizaciones por incumplimiento e suporte ofrecido a los comerciantes en el proceso de conformidade. Es legítimo considerar estos aspectos en la elecção del adquirente, especialmente en las fases iniciales de onboarding. Algunos adquirentes ofrecen ferramentas de auto-evaluação integradas en el portal del comércio, reduciendo el trabajo administrativo del proceso anual.
Quem me sanciona en caso de incumplimiento: el adquirente o Visa/MC?
Las redes sancionan directamente al adquirente, no al comércio. Es el adquirente quien luego aplica las sancões al comércio através de las cláusulas del merchant agreement. Las sancões de las redes frente al adquirente podem ser mensuales e acumularse hasta la resolução del incumplimiento. En casos graves, las redes podem revocar al adquirente la licencia de aceptação para un comércio específico o para categorías de comerciantes.
Quieres simplificar la relação PCI con tu adquirente presentando un perímetro reducido? PCI Proxy EU te ayuda a construir la documentação correcta. Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nosNa prática europeia, cumprir o PCI DSS exige mapear fluxos de PAN, definir o CDE e documentar controlos para auditoria ou SAQ. A tokenização via PCI Proxy EU remove dados sensíveis do ambiente do comerciante, alinhando conformidade PCI e RGPD com residência de dados na UE, especialmente relevante para pci dss.