El conformidade PCI para e-commerce es uno de los ámbitos en que los comerciantes cometen mais errores de valoração. Muchos creen que usar Stripe, PayPal o un gateway de pago conocido les exime automáticamente de toda obligação PCI DSS. La realidade es mais matizada: el tipo de integração elegido determina qué SAQ se aplica e cuántos controles recaen sobre el comerciante. Entender esta distinção permite reduzir al mínimo el perímetro de conformidade eligiendo la arquitectura correcta desde el principio.
Checkout e-commerce e PCI DSS: qué se activa quando aceptas cartões
Cualquier tienda online que acepte pagos con cartão activa las obrigações PCI DSS para el comerciante. La pregunta no es si se aplican las obrigações, sino cuáles e en qué medida. Todo depende de como fluyen los dados de cartão durante el checkout. Si el navegador del cliente envía los dados de cartão directamente a los servidores del comerciante (aunque sea apenas un instante), el comerciante está sujeto a las obrigações mais extensas del SAQ D, con mais de 200 controles que satisfacer. Si en cambio los dados de cartão nunca llegan a los servidores del comerciante porque el formulário de pago está alojado por el fornecedor, el comerciante pode cualificar para el SAQ A, mucho mais simple.
Existe una vía intermedia representada por el enfoque SAQ A-EP: el comerciante usa JavaScript del fornecedor para recoger los dados de cartão directamente en el navegador del cliente, sin que los dados transiten por los servidores del comerciante. Esto reduz el ámbito respecto al SAQ D, mas exige igualmente mais controles que el SAQ A, incluida la gestão de la segurança del servidor web e del código JavaScript de las páginas de checkout. Con el PCI DSS v4, el requisito sobre los scripts de las páginas de pago ha complicado aún mais la posição de los comerciantes SAQ A-EP.
Las opções de integração e su impacto en el SAQ
Las principales opções de integração para un e-commerce são tres, ordenadas de mayor a menor carga en términos de PCI DSS. La primera es el checkout nativo: el comerciante desarrolla e gere internamente el formulário de introducção de dados de cartão. Esto implica el SAQ D con el perímetro de conformidade mais amplio. La segunda opção são los hosted fields o JavaScript injection: el fornecedor inyecta campos de entrada en la página del comerciante que recogen los dados de cartão directamente en el navegador e los envían al fornecedor. Esto lleva al SAQ A-EP con un ámbito intermedio. La tercera e menos gravosa opção es la redirecionamento hacia una hosted payment page: el utilizador abandona el sitio del comerciante para completar el pago en una página alojada por el fornecedor, e regresa después de la confirmação. Esta arquitectura permite el SAQ A.
La tokenização añade un nivel adicional de proteção en cualquier escenario. Cuando un fornecedor de tokenização certificado intercepta el PAN antes de que llegue a los sistemas del comerciante e devuelve un token no reversible, el comerciante nunca posee dados de cartão sensíveis. El token pode almacenarse libremente para usos futuros (renovaciones de subscrição, encomendas recurrentes) sin que ello conlleve obrigações adicionales de segurança relativas a los dados de cartão, porque el token no tem valor fuera del sistema del fornecedor que lo gere.
Como PCI Proxy EU elimina el ámbito PCI de tu e-commerce
Con PCI Proxy EU, el checkout del comerciante nunca ve los dados de cartão. El formulário de pago es gestionado por la infraestrutura certificada PCI DSS Level 1 de PCI Proxy EU, que intercepta el PAN e devuelve al comerciante un token antes de que ningún dato sensible llegue a los servidores de la tienda online. Esto lleva al comerciante directamente al SAQ A, eliminando la necesidade de vulnerability scanning trimestral de los servidores, penetration test extensos, gestão de certificados e políticas de control de acceso específicas para el CDE.
La ventaja operativa es significativa também para las tiendas que gerem encomendas recurrentes o suscripciones. El token almacenado por el comerciante pode usarse para cobrar las cartões futuras sin que el comerciante conozca nunca el PAN original. Este escenario, antes complexo de gerir en conformidade con el PCI DSS, se vuelve lineal con un fornecedor de tokenização: el comerciante solicita al fornecedor que procese un cargo utilizando el token, e el fornecedor usa el PAN que custodia en su propio vault certificado. El comerciante nunca ve el dato sensible e mantiene el perímetro SAQ A en todas las fases del ciclo de vida del cliente.
Preguntas frecuentes
Si uso Stripe o PayPal ya cumplo el PCI DSS?
Depende de la integração. Si usas la redirecionamento hacia la checkout page de Stripe o PayPal, tu ámbito se reduz al SAQ A. Si usas sus API o sus elementos JavaScript con formularios alojados en tu dominio, tu ámbito es SAQ A-EP. Si has integrado directamente las API pasando los dados de cartão através de tu servidor, estás en SAQ D. Usar un gateway conocido no equivale automáticamente a cumprir el estándar: lo que cuenta es la arquitectura de la integração.
Un iframe de pago alojado reduz mi ámbito?
Sí, si el iframe se carga desde un dominio del fornecedor e los dados de cartão no transitan por los servidores del comerciante. En este caso la calificação habitual es SAQ A. Atenção sin embargo: si el comerciante tem JavaScript personalizado que se ejecuta en la misma página del iframe e podría teóricamente acceder a los dados, el PCI Council podría considerar que el comerciante deve completar el SAQ A-EP en lugar del SAQ A. Verifica sempre con tu adquirente la clasificação correcta.
Tengo una tienda WooCommerce: qué debo fazer?
WooCommerce por sí mismo no determina tu ámbito PCI: lo que cuenta es qué gateway de pago usas e como lo has integrado. Si usas la redirecionamento hacia una hosted payment page de tu fornecedor, puedes completar el SAQ A. Si usas plugins que recogen dados de cartão directamente en el checkout de WooCommerce e los pasan vía API, tu ámbito es mais amplio. Revisa la documentação de tu plugin de pago y, si es necesario, migra a una solução con formulário alojado.
Cero dados de cartão en tu e-commerce significa SAQ A, conformidade simplificado e clientes mais seguros. Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos