Los pci dss requirements são apenas una de las tres normativas que un comércio europeu deve cumprir en 2025. Junto al PCI DSS, el RGPD e la PSD2 forman un marco normativo complexo onde las responsabilidades se superponen, los prazos se acumulan e las sancões podem sumarse de forma significativa. Esta guia mapea las tres normativas de forma práctica: quem está obligado a qué, quando e qué ocurre si no se está en regla.
El marco normativo 2025: PCI DSS, RGPD e PSD2 comparados
Las tres normativas operan en planos distintos mas se intersectan continuamente. El PCI DSS es un estándar contractual impuesto por las redes de cartões (Visa, Mastercard, etc.) através de los adquirentes: regula la segurança técnica de los dados de cartão e se aplica a quienes aceptan, procesan o almacenan dados de pago con cartão. El RGPD es una ley europeia con plena vigencia en todos los estados miembros: regula el tratamiento de todos los dados personales, incluidos los dados de cartão que identifican a una persona física. La PSD2 es una directiva europeia transpuesta en cada país: regula los serviços de pago, el acceso a cuentas e la Autenticação Reforçada de Cliente.
Las sobreposições são concretas. Una brecha de dados que expone dados de cartão activa simultáneamente el PCI DSS (procedimiento de investigação forense e posibles sancões de la red), el RGPD (notificação obligatoria a la autoridade de proteção de dados en 72 horas e posibles sancões de hasta el 4% del volumen de negocio global) e la PSD2 si la brecha afecta a cuentas de pago o dados de autenticação. Cada normativa tem su propio procedimiento sancionador e su propio regulador: gestionarlas de forma integrada es mucho mais eficiente que tratarlas como tres silos separados.
Quem deve cumprir qué en Europa: obrigações por setor
El PCI DSS se aplica a cualquier entidade que acepte pagos con cartão: comerciantes de cualquier tamaño, PSP, adquirentes, pasarelas e procesadores. No existen exenciones por tamaño empresarial: incluso un pequeño e-commerce con 100 transações al mes deve cumprir los requisitos PCI DSS aplicables a su nivel. La diferencia entre niveles afecta a la complejidade de las obrigações, no a su existencia.
El RGPD se aplica a cualquier empresa que trate dados personales de residentes en la UE, independientemente de la sede de la empresa. Para los pagos, esto inclui prácticamente a cualquier comércio europeu. La PSD2 se aplica directamente a los fornecedores de serviços de pago (PSP, bancos, entidades de dinero electrónico), mas los comerciantes estão indirectamente involucrados en los requisitos de SCA (Strong Customer Authentication) que os seus sistemas de checkout devem soportar. Un comércio que no suporte 3DS2 en sus páginas de pago arriesga que las transações sean rechazadas por el banco del consumidor.
Sancões acumulativas e como evitarlas con una sola solução
Las sancões de las tres normativas se acumulan de forma independiente. Una única brecha de dados que exponga dados de cartão de clientes europeus pode activar: sancões PCI DSS de la red (de 5.000 a 100.000 euros al mes por incumplimiento), sancões RGPD de la autoridade de proteção de dados (hasta el 4% del volumen de negocio global o 20 millones de euros), e posibles sancões PSD2 si la brecha afecta a serviços de pago regulados. En un escenario real de gravedade media, el custo acumulado pode superar fácilmente los 500.000 euros, sin contar los daños reputacionales e la pérdida de clientes.
La estratégia mais eficiente para cubrir los tres frentes es centralizar la gestão de los dados de cartão en un fornecedor que satisfaga simultáneamente los pci dss requirements técnicos, los requisitos RGPD de segurança e residência de dados, e las especificaciones técnicas PSD2 para la autenticação. PCI Proxy EU está certificado PCI DSS Nível 1, opera con dados localizados en la UE para el conformidade del RGPD, e soporta los fluxos de autenticação 3DS2 requeridos por la PSD2. Una única integração reduz el perímetro de riesgo en los tres frentes normativos.
Preguntas frecuentes
Cuáles são los prazos normativos mais urgentes en 2025?
En el frente PCI DSS, los requisitos adicionales de PCI DSS v4 se volvieron obligatorios el 31 de marzo de 2025. Quien no haya completado la transição desde la v3.2.1 ya está fuera de conformidade. En el frente RGPD, no há prazos específicos en 2025, mas la obligação de notificar brechas en 72 horas es permanente. En el frente PSD2, los requisitos SCA para transações online estão en vigor desde 2021 e continúan siendo objeto de verificação por parte de las autoridades supervisoras.
Un comércio europeu pequeño deve cumprir las tres normativas?
Para PCI DSS sí, mas con obrigações proporcionales al volumen (SAQ en lugar de ROC). Para el RGPD sí, si trata dados de personas físicas (prácticamente sempre). Para la PSD2 en sentido directo no (se aplica a los PSP), mas sí indirectamente para los requisitos SCA en el checkout. En la práctica, cualquier comércio europeu que venda online deve ter en cuenta las tres normativas.
PCI Proxy EU cubre também las obrigações PSD2?
PCI Proxy EU soporta los fluxos de autenticação 3DS2 requeridos por la PSD2 para reduzir los contracargos e maximizar la tasa de aceptação de las transações. La cobertura directa de las obrigações PSD2 concierne a los PSP, no a los comerciantes, mas la integração con el vault de PCI Proxy EU facilita la implementação correcta de los fluxos de autenticação que la PSD2 exige indirectamente a los comerciantes através de sus PSP.
Quieres cubrir PCI DSS, RGPD e PSD2 con una única solução integrada, dados en Europa e certificaciones completas? Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos