Quién debe cumplirlo?
Cualquiera que acepte, procese o almacene datos de tarjeta: tiendas online, plataformas, call centers, PSP. También quien gestiona pagos por cuenta de terceros.
Conformidade PCI DSS
Conformidade PCI DSS, menos trabajo para ti
Se aceita pagamentos com cartão, deve cumprir o PCI DSS. Nós custodiamos os dados de cartão em seu lugar: trabalha com tokens e o preenchimento do questionário torna-se muito mais simples.
A sua carga PCI −95% âmbito
Conserva apenas tokens
O que proporcionamos
Herdou a nossa certificação: os dados de cartão permanecem no nosso vault, não nos seus servidores.
PCI DSS Nível 1
El nivel más alto. Cada año, auditores independientes verifican nuestro vault.
Solo centros de datos en la UE
Los datos de tarjeta no salen de Europa. Útil también para el RGPD.
Cifrado y HSM
Datos cifrados en reposo y en tránsito. Claves protegidas en hardware certificado.
En resumen
Qué es el PCI DSS?
Es el estándar de seguranca para quienes aceptan pagos con tarjeta (Visa, Mastercard y otros circuitos). Sirve para proteger los datos de tarjeta donde quiera que se recojan, guarden o envíen.
12
Reglas
4
Niveles
1
Objetivo
Proteger los datos de tarjeta, siempre.
12 reglas básicas
Firewall, cifrado, accesos, monitorización y políticas. Muchas reglas: cuantos menos sistemas toquen los datos de tarjeta, menos trabajo para ti.
Si no cumples
Multas, comisiones más altas o bloqueo de los pagos con tarjeta. Una brecha de datos cuesta mucho más que cumplir.
Niveles de Cumplimiento
Los 4 niveles PCI
El trabajo que debes hacer depende de cuántas transacciones con tarjeta realizas cada año. Más transacciones, más controles (hasta la auditoría presencial para grandes volúmenes).
| Nivel | Transacciones Anuales | Requisitos de Validación | Entidades Típicas |
|---|---|---|---|
| Nivel 1 | >6 millones de transacciones/año | Auditoría presencial anual + análisis trimestrales | Grandes retailers, aerolíneas, PSP principales |
| Nivel 2 | 1-6 millones de transacciones/año | SAQ anual, análisis ASV trimestrales | E-commerce mid-market, cadenas hoteleras |
| Nivel 3 | 20.000-1 millón e-commerce/año | SAQ anual, análisis ASV trimestrales | Negocios online en crecimiento, plataformas SaaS |
| Nivel 4 | <20.000 e-commerce o <1 millón otras/año | SAQ anual (recomendado), análisis ASV trimestrales (si aplica) | Pequeños merchants, negocios locales, startups |
Importante: tras una brecha de datos puedes ser trasladado al Nivel 1 aunque vendas poco. El adquirente puede exigirte controles adicionales.
Menos âmbito para si
Cómo reducimos tu carga
A forma mais simples de reduzir o PCI é manter os dados de cartão longe dos seus servidores. Envia-nos os dados de cartão, nós tokenizamo-los: guarda apenas o token.
300+
Controles · SAQ D
Si lo gestionas todo tú
~30
Controles · SAQ A-EP
Con nuestra API
22
Controles · SAQ A
Con los campos hosted
Sem nós
Ámbito completoSitios, apps, bases de datos y redes que tocan los datos de tarjeta deben cumplir cientos de controles. A menudo más de 300 en el cuestionario SAQ D.
Com PCI Proxy
Ámbito mínimoOs dados de cartão não entram nos seus servidores. Estamos certificados PCI DSS Nível 1 e custodiamos o número de cartão. Gere apenas tokens.
Hasta un 95% menos
Pasas del SAQ D (300+ controles) al SAQ A o A-EP (menos de 30). Menos auditorías, menos ingenieros dedicados, menos riesgo.
Cuánto tienes que rellenar
Sem PCI Proxy (SAQ D) 300+ controles
Con API (SAQ A-EP) ~30 controles
Con campos hosted (SAQ A) 22 controles
Estamos certificados PCI DSS Nível 1
Autoevaluación
Qué cuestionario SAQ necesitas?
O SAQ é o questionário que preenche para demonstrar conformidade. Depende de como os dados de cartão passam pelos seus sistemas. Connosco, o caminho simplifica-se.
⭐ Recomendado
Autoevaluación
SAQ A
22 controles
7% do âmbito SAQ D
Para quienes usan nuestros campos hosted en iFrame: los datos de tarjeta no pasan por tu sitio. Es el camino más ligero.
Ideal con los campos hosted
Autoevaluación Ampliada
SAQ A-EP
~30 controles
10% do âmbito SAQ D
Se a página de pagamento está no seu site mas os dados de cartão vão diretamente para nós via API ou JavaScript. Poucos controlos a mais face ao SAQ A.
Con integração API o SDK
Cuestionario Completo
SAQ D
300+ controles
Ámbito completo - todos los sistemas
O questionário mais longo. É necessário quando os dados de cartão passam pelos seus servidores. Sem nós, muitos e-commerce acabam aqui.
Sem PCI Proxy
En Europa
PCI DSS y RGPD juntos
En la UE debes cumplir ambos. Los datos de tarjeta también son datos personales. Con los tokens simplificas PCI y privacidad.
Donde coinciden
Mismas prioridades
Datos de tarjeta = datos personales
Nombre, número de tarjeta y vencimiento están sujetos al RGPD. Debes protegerlos como datos sensibles.
Menos datos, menos riesgo
O RGPD exige conservar apenas o necessário. Eliminamos o número de cartão dos seus sistemas e deixa apenas o token.
Brechas y notificaciones
Se não conservar dados de cartão, uma brecha nos seus servidores é muito menos grave. Menos stress para si e para os clientes.
Aspectos a coordinar
Requiere atención
Eliminación vs conservación
El RGPD reconoce el derecho al olvido. El PCI exige logs de transacciones. Con los tokens puedes eliminar la correspondencia y hacer los datos irrecuperables.
Datos solo en la UE
Muchas empresas europeas deben mantener los datos en la UE. Nós operamos solo desde centros de datos europeos: los datos de tarjeta no salen de la Unión.
Contrato connosco (DPA)
Para el RGPD somos responsables del tratamiento cuando custodiamos los datos de tarjeta por ti. Se necesita un acuerdo escrito sobre finalidad y seguranca.
Em resumo: trabalha com os tokens. Nós custodiamos os dados de cartão. PCI e RGPD tornam-se mais geríveis.
Análisis de Costes
Quanto custa fazer PCI sozinho vs connosco
Gestionar todo el PCI internamente cuesta mucho más que delegarnos los datos de tarjeta. Ejemplo orientativo para un merchant europeo medio.
| Categoría de Coste | Gestión Interna (SAQ D) Coste alto · Riesgo alto | Com PCI Proxy (SAQ A) RECOMENDADO |
|---|---|---|
| Auditoría anual | €30.000 a €150.000 | €3.000 a €8.000 |
| Segurança de infraestructura | €50.000 a €200.000/año | €0 (gerimos nós) |
| Riesgo de brecha de datos | €500.000 a €4.000.000+ | Casi nulo |
| Seguro cibernético | €15.000 a €60.000/año | €5.000 a €15.000/año |
| Equipo dedicado | 1-3 ingenieros | Supervisión ligera |
| Multas por inconformidade | €5.000 a €100.000/mes | €0 (conforme by design) |
Cifras orientativas para merchants europeos con 1-6 millones de transacciones al año. Los costes reales dependen del tamaño y el sector.
FAQ
Preguntas Frecuentes
01 Qué nivel PCI DSS se aplica a mi empresa?
Depende de cuántas transacciones con tarjeta realizas cada año. Más de 6 millones estás en el Nivel 1 (auditoría presencial). Por debajo de esa cifra, generalmente basta con el cuestionario SAQ. La maioría de las pymes europeas están en el Nivel 3 o 4. Con nós puedes bajar al SAQ más sencillo.
02 Cómo nos ayudáis a reducir el PCI?
Envia-nos os dados de cartão, nós tokenizamo-los e custodiamo-los. Nos seus servidores não fica o número de cartão: trabalha apenas com tokens. Assim sai do perímetro PCI mais pesado e passa do SAQ D (300+ controlos) para SAQ A ou A-EP (menos de 30).
03 O RGPD afeta a conformidade PCI DSS na Europa?
Sim. Na Europa deve cumprir o PCI DSS e o RGPD em conjunto. Os dados de cartão são dados pessoais. O RGPD acrescenta direitos (supressão, residência na UE, notificação de violações). Com tokens nos seus sistemas e dados de cartão no nosso vault, ambas as obrigações tornam-se mais simples.
Quieres saber qué SAQ necesitas?
Escríbenos: te ayudamos a entender tu nivel PCI y cuánto puedes simplificar con PCI Proxy.