La conformidade PCI DSS en el comércio minorista físico se percibe a menudo como un problema que apenas afecta al setor del comércio electrónico. En realidade, cualquier tienda que acepte pagos con cartão de crédito o débito está sujeta al PCI DSS, independientemente de su tamaño e canal. Los terminales POS, los sistemas de caja, las redes WiFi del punto de venta e incluso los dispositivos móviles utilizados para los pagos forman parte del perímetro. Identificar onde se encontram los puntos de riesgo es el primer paso para gerir la conformidade de forma eficiente.
POS, terminales e CDE: los puntos de contacto PCI en el comércio físico
En el comércio físico, el ambiente de dados de titulares de cartão comienza en el terminal POS. Si el terminal está certificado P2PE (Point-to-Point Encryption), el PAN se encripta directamente en el dispositivo hardware antes de salir e nunca transita en claro por la red de la tienda. Esto reduz drásticamente el perímetro PCI: los sistemas conectados a la red de la tienda mas no al terminal P2PE quedan fuera del CDE. Sin P2PE certificado, cualquier sistema en la misma red que el terminal POS está potencialmente en âmbito.
El sistema de caja (software POS), los servidores de back-office que registran las transações, la red WiFi de la tienda accesible desde los mismos dispositivos utilizados para los pagos e los sistemas de fidelização que asocian dados de cartão a perfiles de clientes são todos elementos a evaluar. Un inventario preciso de los fluxos de dados de cartão en el punto de venta es el requisito previo para determinar qué sistemas estão en âmbito e qué controles aplicar.
Obrigações PCI DSS para el comércio minorista por volumen de transações
Los niveles de comerciante PCI DSS se basan en el volumen anual de transações con cartão. Un minorista con menos de 20.000 transações Visa vía comércio electrónico o menos de 1 millón de transações totales está clasificado como Level 4 e pode completar un SAQ de forma autónoma, tipicamente el SAQ B (terminales autónomos no conectados a internet) o el SAQ B-IP (terminales IP autónomos). Un minorista Level 2 (de 1 a 6 millones de transações) deve completar un SAQ anual y, en algunos circuitos, un escaneo de vulnerabilidades trimestral certificado (ASV).
Un error común es pensar que las tiendas físicas têm obrigações menos estrictas que el comércio electrónico. A menudo ocurre lo contrario: los canais físicos presentan riesgos específicos como el skimming físico de terminales, las vulnerabilidades de la red interna del punto de venta e la gestão de accesos físicos a los dispositivos. El PCI DSS contempla controles específicos para la segurança física de los terminales (Requisito 9) que no têm equivalente en el canal online.
Como simplificar la conformidade en el punto de venta
La estratégia mais eficaz para reduzir las obrigações en el comércio físico combina terminales certificados P2PE con una red del punto de venta segmentada. Con terminales P2PE validados por el PCI SSC, el SAQ aplicable se reduz al SAQ P2PE, que tem apenas 35 requisitos frente a los mais de 200 del SAQ D. La elecção del terminal no es indiferente: apenas los terminales incluidos en la lista de soluciones P2PE validadas en el sitio del PCI SSC permiten esta reducção. Los terminales con encriptação propietario no certificado no ofrecen las mismas ventajas.
Para los retalhistas que gerem também un canal de comércio electrónico o un call center além disso, del físico, la tokenização del vault permite utilizar el mismo sistema de armazenamento seguro para todos los canais. Los tokens emitidos por PCI Proxy EU funcionan tanto para pagos online como para operaciones de back-office asociadas a cartões registradas en la tienda. Esto unifica la gestão de la conformidade en una sola plataforma en lugar de gerir sistemas separados para cada canal.
Preguntas frecuentes
Un POS certificado P2PE elimina las obrigações PCI?
No las elimina, mas reduz drásticamente el perímetro. Con una solução P2PE validada, el SAQ aplicable desciende a 35 controles e muchos requisitos de infraestrutura no se aplican a los sistemas del comerciante. Las obrigações residuales se refieren principalmente a la segurança física de los terminales, los procedimientos de notificação de manipulaciones e la formação del personal. El QSA pode confirmar la aplicabilidade de la reducção caso por caso.
Tengo 3 tiendas físicas: tengo un único nivel de comerciante o tres?
El nivel de comerciante se calcula a nivel de entidade legal (merchant ID), no de punto de venta individual. Si las tres tiendas operan bajo el mismo merchant ID con el mismo adquirente, los volúmenes se suman e el nivel es único. Si cada tienda tem un merchant ID separado, cada entidade tem su propio nivel. Es una práctica habitual consolidar los merchant ID para simplificar la gestão de la conformidade, mas deve verificarse con el adquirente.
La conformidade PCI DSS se aplica também a los códigos QR?
Depende de como se procese el pago. Si el código QR redirige a una página de pago alojada por el PSP sin que el comerciante vea los dados de cartão, el âmbito es muito reducido. Si, en cambio, el código QR inicia un fluxo que transmite dados de cartão através de la infraestrutura del comerciante, esos sistemas entran en el CDE. Muchas soluciones de pago por QR gestionadas por fornecedores certificados eliminan el problema de raíz.
Conformidade PCI en el comércio minorista sin ralentizar las operaciones de caja. Descubra PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos