La segurança de pagos en Europa ha adquirido una nueva dimensión legal tras las sentencias Schrems II e las decisiones de las Autoridades de Proteção de Dados europeas. Armazenar dados de cartão en servidores fuera de la UE ya no es apenas una cuestión técnica: es un riesgo legal concreto que pode exponer a la empresa a sancões RGPD incluso sin que haya habido una brecha de dados. La residência de dados en la UE para los pagos se ha convertido en un requisito de facto para cualquier empresa que quiera operar en conformidade con el marco normativo europeu.
Schrems II e los dados de cartão: el problema legal de los vault fuera de la UE
La sentencia Schrems II de julio de 2020 invalidó el Privacy Shield UE-EE.UU. e estableció que las transferencias de dados personales hacia Estados Unidos são lícitas apenas con las garantías adecuadas (Cláusulas Contractuales Estándar mais medidas suplementarias) verificadas caso por caso. Los dados de cartões de pago entran en la definição de dados personales según el RGPD: el PAN asociado a un nombre e una direcção de faturação identifica a un individuo específico.
El Data Privacy Framework UE-EE.UU. de 2023 ha resuelto parcialmente la cuestión para las transferencias hacia empresas certificadas, mas su solidez jurídica sigue siendo objeto de debate legal. La Agencia Española de Proteção de Dados e otras Autoridades europeas ya han iniciado procedimientos contra empresas que transferían dados hacia EE.UU. sin las garantías adecuadas. Para un vault de dados de cartão, que por definição contiene dados personales de alta sensibilidade, el riesgo de una transferencia extra-UE no certificada es concreto e cuantificable.
Residência de dados en la UE e PCI DSS: qué dice la normativa
El PCI DSS no prescribe explícitamente la localização geográfica de los dados de cartão: un estándar global no pode imponer una jurisdicção específica. Sin embargo, la elecção de armazenar los dados en Europa no es apenas una cuestión RGPD. Es também una decisão de gobernanza del riesgo: los vault localizados en la UE estão sujetos a la normativa europeia sobre segurança de redes e sistemas de informação (NIS2), a la supervisión de las Autoridades de Proteção de Dados europeas, e a los estándares técnicos del EBA para pagos digitales.
Muchos adquirentes e socios comerciales europeus incluyen en sus contratos cláusulas sobre residência de dados. Algunas categorías de comerciantes, especialmente los que operan en sectores regulados como banca, seguros e sanidade, têm obrigações adicionales de localização de dados que hacen incompatible un vault fuera de la UE con los requisitos normativos del setor. La soberanía de dados, es decir, el control sobre los dados dentro de los límites de la propia jurisdicção, es un tema cada vez mais presente en los concursos públicos e en los contratos empresariales.
PCI Proxy EU: vault europeu con certificaciones completas
PCI Proxy EU armazena todos los dados de cartão en infraestrutura físicamente localizada en Europa, en centros de dados certificados ISO 27001 e conformes con los estándares técnicos del EBA. El vault opera sobre hardware HSM certificado FIPS 140-2, con claves criptográficas que nunca salen del perímetro europeu. La certificação PCI DSS Level 1 se renueva anualmente con auditoría QSA independiente, e los informes de conformidade estão disponibles para los clientes en sus actividades de due diligence.
Desde el punto de vista contractual, PCI Proxy EU opera como Encargado del Tratamiento según el RGPD, con un Acuerdo de Tratamiento de Dados conforme al artigo 28 que define de forma transparente las responsabilidades de ambas partes. No há transferencias de dados a países terceros, no há subencargados fuera de la UE e no há accesos por parte de entidades sujetas a legislaciones extraterritoriales como el CLOUD Act estadounidense. Para un comércio español o europeu, esto se traduce en una reducção concreta del riesgo legal e reputacional.
Preguntas frecuentes
Si mis dados de cartão estão en EE.UU. tengo un problema legal?
Depende de las garantías contractuales vigentes. Si el vault estadounidense está certificado en el marco del Data Privacy Framework e cuenta con Cláusulas Contractuales Estándar válidas, la transferencia pode ser lícita. Sin embargo, la solidez de estas garantías depende de un análise caso por caso, e muchas empresas prefieren eliminar el riesgo de raíz eligiendo un vault localizado en Europa.
La residência en la UE es obligatoria para los pagos o apenas recomendada?
No es obligatoria por ley de forma absoluta, mas se vuelve obligatoria implícitamente en muchos contextos: contratos con socios que incluyen cláusulas de localização, sectores regulados con requisitos específicos, contratos públicos e operaciones bancarias. Para un comércio que quiere un conformidade RGPD sólido e documentable, la residência en la UE elimina una clase de riesgos difíciles de gerir de otro modo.
Onde estão físicamente los servidores de PCI Proxy EU?
Los servidores de PCI Proxy EU estão localizados en centros de dados certificados ISO 27001 dentro de la Unión Europeia. La localização exacta no se divulga por razones de segurança operativa, mas la documentação contractual e el DPA confirman la residência de los dados en territorio de la UE. Los clientes podem solicitar evidencia escrita de la localização durante la due diligence contractual.
Quieres un vault de dados de cartão con residência confirmada en Europa, certificaciones completas e cero riesgos de transferencia extra-UE? Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos