El PCI DSS para pequeñas empresas es una realidade que muchos empresarios ignoran hasta que el adquirente o el PSP envía una pedido de conformidade. El PCI DSS no tem umbrales mínimos de faturação: cualquier organização que acepte pagos con cartão está sujeta a sus requisitos. Para las pequeñas empresas, la cuestión es entender qué trámites se aplican realmente e como gestionarlos sin un responsable de TI dedicado.
Quem deve cumprir el PCI DSS: também las pequeñas empresas
La obligação de conformidade PCI DSS deriva del contrato con el adquirente o el PSP que habilita los pagos con cartão. No depende del tamaño de la empresa, del número de empleados ni de la faturação: depende del hecho de aceptar, processar, armazenar o transmitir dados de pago con cartão. Una tienda con un único POS, un pequeño comércio electrónico con unas pocas decenas de transações al mes, un artesano que acepta pagos online: todos estão sujetos al PCI DSS.
La buena noticia para las pequeñas empresas es que el nivel de conformidade varía según el volumen de transações. Un comerciante con menos de 20.000 transações de comércio electrónico anuales entra en el Nivel 4, el nivel con los requisitos menos onerosos. En muchos casos pode completar un SAQ de forma autónoma, sin necesidade de un auditor externo certificado. La mala noticia es que "menos oneroso" no significa "inexistente": el SAQ deve completarse, los controles básicos devem implementarse, e el incumplimiento tem consecuencias reales.
Qué arriesga una pyme sin conformidade PCI DSS
Las consecuencias del incumplimiento no llegan necesariamente de inmediato: a menudo emergen apenas tras una brecha o un control del adquirente. Las principales sancões são: penalizaciones mensuales de los esquemas de cartão (Visa, Mastercard) que podem llegar a 100.000 dólares al mes en las situaciones mais graves; aumento de las comisiones de intercambio; pedido de auditoría forense a cargo del comerciante en caso de brecha; y, en el peor de los casos, la revocação de la capacidade de aceptar pagos con cartão, lo que para una pyme pode significar el cierre.
Una brecha que expone dados reales de cartão tem un custo medio estimado de entre 50.000 e 200.000 euros para una pyme, entre custos de análise forense, notificaciones a los clientes, reembolso de fraudes e posibles acciones legales. No es un riesgo teórico: las pymes são frecuentemente el objetivo de los atacantes precisamente porque têm sistemas menos protegidos que las grandes empresas e manejan dados reales de cartão.
Como simplificar el PCI DSS para las pequeñas empresas
La estratégia mais eficaz para una pyme es eliminar el tratamiento directo de los dados de cartão de la arquitectura de pagos. Si el checkout utiliza una página hospedada certificada PCI DSS o un SDK client-side que envía los dados directamente al vault del fornecedor, la pyme nunca ve un PAN. El perímetro CDE se vuelve prácticamente nulo, el SAQ aplicable es el SAQ A (pocas decenas de preguntas), e la conformidade se gere de forma autónoma en pocas horas al año.
PCI Proxy EU está concebido exactamente para este escenario: proporcionar a la pyme un vault certificado Level 1, API documentadas, SDK listos para usar e el apoyo para completar el SAQ A. El custo del serviço es proporcional al volumen de transações e resulta inferior al custo anual de la conformidade tradicional (consultor, escaneo de vulnerabilidades ASV, eventual prueba de penetração). Una pequeña empresa que adopta esta arquitectura reduz el riesgo, simplifica los trámites e se concentra en su negocio.
Preguntas frecuentes
Una pequeña tienda con POS está obligada al PCI DSS?
Sí. Cualquier comerciante que acepte pagos con cartão através de un POS físico está sujeto al PCI DSS. En la práctica, si el POS es proporcionado directamente por el adquirente o el banco e no está conectado a la red corporativa, el perímetro es muito limitado e el SAQ aplicable es a menudo el SAQ B, con requisitos mínimos. El adquirente debería haber comunicado ya el nivel e el tipo de SAQ aplicable en el momento de la activação del serviço.
Mi adquirente me avisa si no soy conforme?
No sistemáticamente. El adquirente pode enviar solicitudes de cumplimentação del SAQ o recordatorios si no recibe la documentação de conformidade en los prazos previstos, mas no monitoriza en tiempo real el estado de su conformidade técnica. La responsabilidade de ser conforme es del comerciante: no espere un aviso para iniciar el proceso.
Puedo gerir la conformidade PCI sin un responsable de TI dedicado?
Sí, con la arquitectura correcta. Si utiliza una página hospedada o un SDK certificado e su CDE es mínimo, el SAQ A pode ser completado por el titular o por un responsable administrativo sin conocimientos técnicos específicos. La clave es elegir una solução de pago que reduzca el perímetro al mínimo: con PCI Proxy EU, muchas pymes gerem la conformidade de forma autónoma.
Quiere gerir la conformidade PCI DSS sin un equipa de TI dedicado e sin custos desproporcionados? Descubra PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos