Ingenico ePayments es una organización certificada de datos del sector de las tarjetas de crédito (Payment Card Industry Data Security Standard, PCI DSS).

El PCI-DSS es un estándar de seguridad de información que crearon las principales empresas de tarjetas de crédito (American Express, Discover, JCB, MasterCard y Visa) para mejorar los controles relacionados con la gestión de datos de la tarjeta de crédito y para reducir el fraude.

Para obtener más información, haga clic aquí.

  • Soy un pequeño comerciante. ¿Se me aplica PCI DSS?

    PCI DSS se aplica a todas las entidades que participan en el proceso de la tarjeta de pago, lo que incluye a los comerciantes, los procesadores, las entidades adquirentes, los emisores y proveedores de servicios, así como todas las demás entidades que almacenen, procesen o transmitan datos del titular (CHD, según sus iniciales en inglés) y/o datos de autenticación confidenciales (SAD, según sus iniciales en inglés).

    ¿Se aplica PCI DSS a la entidad que utiliza un proveedor de servicios tercero (TPSP, según sus siglas en inglés)?

    Sí. El uso de un proveedor de servicios tercero (TPSP) no exime la responsabilidad final de la entidad respecto a su propio cumplimiento de PCI DSS, ni exime a la entidad de responsabilidades y obligaciones a la hora de asegurar que los datos de su titular (CHD) y el entorno de datos de la tarjeta (CDE) sean seguros. No obstante, el uso de un proveedor de servicios tercero puede disminuir la exposición a riesgos y reducir el esfuerzo para validar y mantener la conformidad con PCI DSS.

  • ¿Qué es el esfuerzo PCI de un comerciante?
    El esfuerzo de un comerciante depende mucho de una serie de factores como, por ejemplo, el nivel del comerciante, el tipo de integración, la infraestructura de apoyo, el uso de proveedores de servicio con certificación PCI DSS, etc.
  • ¿Qué son los Cuestionarios de autoevaluación (Self Assessment Questionnaires, SAQ)?
    El SAQ de PCI DSS es una herramienta de validación para comerciantes y proveedores de servicios que no tienen que someterse a una evaluación de seguridad de datos in situ mediante los procedimientos de evaluación de seguridad de PCI DSS. El objetivo del SAQ es ayudar a las organizaciones en el cumplimiento de la autoevaluación con PCI DSS, y puede que, en tanto que comerciante, se le pida compartirlo con su banco adquiriente. Consulte con su entidad adquirente para obtener detalles relativos a sus requisitos de validación de PCI DSS específicos.
  • ¿Quién tiene autoridad en la selección del tipo de SAQ y el nivel del comerciante?

    Es la entidad adquirente del comerciante la que tiene la autoridad de definir el nivel del comerciante en función del número de transacciones anuales. En función del nivel del comerciante (si es de nivel 2, 3 o 4), podría cumplir los requisitos para usar un Cuestionario de autoevaluación (SAQ, según sus siglas inglesas). El tipo de SAQ está muy vinculado al flujo de pago y a si el comerciante captura, procesa, guarda o transmite datos del titular de la tarjeta como el número de tarjeta.

  • ¿Qué tipo de SAQ se me podría aplicar como comerciante?

    Si un comerciante cumple los requisitos para utilizar SAQ, entonces el tipo dependerá mucho de la integración y del hecho de si el comerciante está en contacto con números de tarjeta (PAN) y datos de autenticación confidenciales (por ejemplo, CVC, Track2, …)

    Para identificar el tipo de SAQ, el comerciante debe consultar con el banco adquiriente. El banco adquiriente le proporcionará detalles relativos a sus requisitos de validación de PCI DSS específicos. Si se cumplen los requisitos para SAQ y se tiene acceso a datos de la tarjeta como PAN, CVC, …, normalmente el banco adquiriente le pedirá que rellene el cuestionario SAQ-D.

    Sin embargo, cuando como comerciante no tiene acceso a los datos de titular y el proceso de los flujos de pago está externalizado a un proveedor de servicios de pago (PSP) que cumpla con PCI, el banco adquiriente podría optar por SAQ A o SAQ A-EP.

    Si desea más información, consulte SAQ para PCI DSS versión 3.

  • Comparación de SAQ A frente a SAQ A-EP

    La comparación del ámbito de aplicación de SAQ A y SAQ A-EP se describe en la siguiente tabla.

     

    SAQ A
    Todas las funciones de datos del titular completamente externalizadas

    SAQ A-EP
    Canal de pago de comercio electrónico parcialmente externalizado

    Se aplica a:

    Comerciantes sin presentación de tarjeta (comercio electrónico o correo/pedidos por teléfono)* Comerciantes de comercio electrónico

    Funciones externalizadas

    Todas las aceptaciones y todos los procesos de pago están completamente externalizados a proveedores de servicios terceros con validación PCI DSS Todo procesamiento de los datos del titular está externalizado a un procesador de pagos tercero validado por PCI DSS

    Control de datos del titular

    El sitio web de comercio electrónico del comerciante no recibe datos del titular y no tiene control directo de la manera en que se capturan, procesan, transmiten o almacenan lo datos del titular El sitio web de comercio electrónico del comerciante no recibe datos del titular pero controla la forma en que los consumidores, o sus datos de titular, se redireccionan a un procesador de pagos tercero validado por PCI DSS

    Páginas de pago

    La totalidad de las páginas de pago ofrecidas al navegador del cliente surgen directamente de un proveedor de servicios tercero validado por PCI DSS Todos los elementos de las páginas de pago que se ofrecen al navegador del cliente provienen del sitio web del comerciante o de un proveedor de servicios que cumple con PCI DSS

    Conformidad de terceros

    El comerciante ha confirmado que todos los terceros que gestionan la aceptación, el almacenamiento y/o la transmisión de los datos del titular cumplen con PCI DSS El comerciante ha confirmado que todos los terceros que gestionan el almacenamiento, el procesamiento y/o la transmisión de los datos del titular cumplen con PCI DSS

    Sistemas del comerciante

    El comerciante no almacena, procesa o transmite electrónicamente ningún dato del titular de la tarjeta en sus sistemas o locales, sino que confía totalmente en un tercero para que gestione todas estas funciones

    Conservación de datos

    El comerciante solo conserva informes o recibos en papel con los datos del titular, y dichos documentos no se reciben electrónicamente
  • ¿Dónde puedo encontrar más información sobre PCI DSS?

    Si desea más información, el comerciante siempre puede ponerse en contacto con el banco adquiriente.

    Toda la información relacionada con PCI se puede encontrar en el Sitio web del Consejo de estándares de seguridad PCI.

Este sitio web utiliza cookies para poder darle la mejor experiencia de usuario. Si usted no desea aceptar estas cookies, permitimos que cambie la configuración de cookies. Haga clic en "Aceptar" para permitir todas las cookies de este sitio web.

Ajustes de cookies

Introducción

Funcional

Cookies funcionales son necesarios para el sitio web funcione correctamente. Estas cookies no se pueden desactivar.

Optimizado

Cookies de optimización nos permiten analizar el uso del sitio para que podamos medir y mejorar nuestro sitio web.
Este es el nivel predeterminado.

Personalizado

Cookies de personalización se utilizan para los medios sociales y la personalización antelación. Ellos nos permiten mostrarle información relacionada con su empresa. 


Ejemplo de funcionalidad permitida

  • Tienda preferencia país
  • Tienda preferencia de idioma

Ejemplo de funcionalidad no permitido

  • Guardar los datos personales
  • Seguimiento anónimo a través de Google Analytics
  • Seguimiento para fines de marketing

Ejemplo de funcionalidad permitida

  • Tienda preferencia país
  • Tienda preferencia de idioma
  • Seguimiento anónimo a través de Google Analytics

Ejemplo de funcionalidad no permitido

  • Guardar los datos personale
  • Seguimiento para fines de marketing

Ejemplo de funcionalidad permitida

  • Tienda preferencia país
  • Tienda preferencia de idioma
  • Seguimiento anónimo a través de Google Analytics
  • Servir contenido relevante a sus intereses
  • Servir anuncios relevantes para sus intereses
  • Seguimiento para fines de marketing

Ejemplo de funcionalidad no permitido

  • Guardar los datos personale