Parte de nuestra serie Compliance & Regulation
Leer la guía completaCumplimiento de PCI-DSS para comercio electrónico: seguridad de pagos y tokenización
Las pérdidas por fraude con tarjetas superaron los 33 mil millones de dólares a nivel mundial en 2025, y el comercio electrónico representa el 73 % de todos los fraudes con tarjetas. El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) existe para combatir esto, y la versión 4.0, que se volvió obligatoria en marzo de 2025, introdujo nuevos requisitos importantes que muchas empresas de comercio electrónico todavía están luchando por implementar.
La buena noticia: si utiliza una solución de pago alojada como Shopify Payments o Stripe Checkout, el alcance de su PCI se reduce drásticamente. La mala noticia: nunca es cero. Todas las empresas de comercio electrónico que aceptan pagos con tarjeta tienen obligaciones PCI-DSS, incluso si nunca ven un número de tarjeta.
Conclusiones clave
- PCI-DSS v4.0 introduce enfoques de validación personalizados y MFA obligatorio para todos los accesos a los datos de los titulares de tarjetas
- La tokenización elimina entre el 80% y el 90% del alcance de PCI al reemplazar los números de tarjetas con tokens no reversibles.
- La selección de SAQ determina su carga de cumplimiento --- elegir el SAQ correcto ahorra meses de trabajo
- Los escaneos ASV trimestrales y las pruebas de penetración anuales son requisitos no negociables
PCI-DSS v4.0: Qué cambió
PCI-DSS v4.0, lanzado en 2022 y totalmente obligatorio desde el 31 de marzo de 2025, representa la actualización más importante del estándar en más de una década. Los cambios clave afectan a todos los negocios de comercio electrónico.
Cambios importantes en la versión 4.0
| Cambiar | Impacto | Fecha límite |
|---|---|---|
| Se permite un enfoque personalizado | Las empresas pueden diseñar controles alternativos que cumplan objetivos | Activo ahora |
| Análisis de riesgos dirigido | Frecuencia basada en el riesgo para algunos controles (por ejemplo, revisiones de registros) | Activo ahora |
| Autenticación mejorada | Se requiere MFA para TODOS los accesos a CDE (no solo remotos) | marzo 2025 |
| Revisión de registros automatizada | Mecanismos automatizados para detectar anomalías en los registros de auditoría | marzo 2025 |
| Gestión de guiones | Monitoreo de inventario y integridad de los scripts de las páginas de pago | marzo 2025 |
| Prevención del skimmer en el comercio electrónico | Mecanismos para detectar cambios no autorizados en páginas de pago | marzo 2025 |
| Requisitos de contraseña específicos | Mínimo 12 caracteres (u 8 si el sistema no admite 12) | marzo 2025 |
| Cifrado de SAD antes de la autorización | Los datos de autenticación confidenciales deben cifrarse si se almacenan antes de la autenticación | marzo 2025 |
El requisito de gestión de scripts
El requisito 6.4.3 es particularmente impactante para el comercio electrónico: debe mantener un inventario de todos los scripts en las páginas de pago e implementar un mecanismo para detectar cambios no autorizados. Esto significa:
- Cada archivo JavaScript cargado en su página de pago debe estar documentado
- Los encabezados de la Política de seguridad de contenido (CSP) deben restringir las fuentes de script
- Los hashes de integridad de subrecursos (SRI) deben verificar el contenido del script
- Un mecanismo de monitoreo debe alertar sobre cambios de script no autorizados.
Este requisito apunta directamente a ataques de skimming al estilo Magecart, donde los atacantes inyectan scripts maliciosos en páginas de pago para robar datos de tarjetas.
Comprender la tokenización
La tokenización es la tecnología más impactante para reducir el alcance de PCI. Reemplaza los datos confidenciales de la tarjeta con un token no confidencial que no tiene valor explotable si se viola.
Cómo funciona la tokenización
- El cliente ingresa los detalles de la tarjeta en el formulario alojado del proveedor de pago (nunca en su servidor)
- El proveedor de pagos crea un token que representa la tarjeta.
- Su sistema almacena solo el token (por ejemplo,
tok_1MqLkJLkdIwHu7ixUAuBjz5Y) - Para cargos posteriores, envía el token al proveedor de pago.
- El proveedor asigna el token a los detalles reales de la tarjeta y procesa el pago.
Tokenización versus cifrado
| Aspecto | Tokenización | Cifrado |
|---|---|---|
| Reversibilidad | No reversible (el token es aleatorio) | Reversible con la llave |
| Alcance de PCI | Elimina sistemas del alcance | Los sistemas siguen dentro del alcance |
| Gestión de claves | Sin claves para gestionar | Se requiere gestión de claves |
| Rendimiento | Basado en búsquedas, rápido | Basado en computación, un poco más lento |
| Impacto de la infracción | Los tokens son inútiles para los atacantes | Los datos cifrados son valiosos si la clave se ve comprometida |
Implementación con plataformas principales
Shopify: Shopify Payments maneja completamente la tokenización. Los comerciantes nunca tocan los datos de la tarjeta. El cumplimiento de PCI está cubierto por la certificación Nivel 1 de Shopify. Usted es responsable de SAQ-A.
Stripe: Utilice Stripe Elements o Stripe Checkout para garantizar que los datos de la tarjeta vayan directamente a los servidores de Stripe. Su backend solo recibe tokens. Esto lo califica para SAQ-A o SAQ-A-EP según la implementación.
Integración de pago personalizada con Odoo: Si está creando una solución de comercio electrónico personalizada en Odoo, intégrela con una pasarela de pago compatible con PCI (Stripe, Adyen, Authorize.net) utilizando sus campos alojados o enfoque de redireccionamiento. Nunca procese datos de tarjetas sin procesar en su servidor Odoo.
Guía de selección de SAQ
El Cuestionario de Autoevaluación (SAQ) que debe completar depende de cómo maneja los datos de la tarjeta. Elegir el SAQ correcto y diseñar su flujo de pagos para calificar para un SAQ más simple es la decisión PCI más importante que tomará.
Guía de selección de tipo SAQ
| Tipo SAQ | Para quién es | # de preguntas | Requisitos |
|---|---|---|---|
| SAQ-A | Totalmente subcontratado (página de pago alojada/iframe) | ~25 | Los datos de la tarjeta nunca tocan sus sistemas |
| SAQ-A-EP | Pago subcontratado pero su sitio controla la página | ~140 | Página de pago en su dominio, datos enviados directamente al procesador |
| SAQ-B | Pie de imprenta o terminal independiente únicamente | ~40 | Sin almacenamiento electrónico de datos del titular de la tarjeta |
| SAQ-B-IP | Terminales PTS autónomos con conexión IP | ~80 | Terminal se conecta al procesador a través de la red |
| SAQ-C | Aplicación de pago conectada a internet | ~160 | Aplicación procesa tarjetas pero no almacena datos |
| SAQ-C-VT | Terminal virtual (entrada manual de claves, basada en web) | ~80 | Una transacción a la vez, sin almacenamiento electrónico |
| SAQ-D | Todos los demás (almacena, procesa o transmite) | ~330 | Se requiere evaluación PCI completa |
Flujo de decisiones
¿Redirecciona a los clientes a una página de pago alojada (Shopify Checkout, Stripe Checkout, PayPal)? En caso afirmativo, SAQ-A.
¿Incrusta el formulario del proveedor de pagos en su página (Stripe Elements, Braintree Hosted Fields)? En caso afirmativo, SAQ-A-EP. Su página aloja el formulario, pero los datos de la tarjeta van directamente al proveedor.
¿Los datos de la tarjeta alguna vez tocan su servidor, aunque sea temporalmente? En caso afirmativo, SAQ-D. Esta es la evaluación completa y usted debería considerar seriamente la posibilidad de volver a diseñar para calificar para SAQ-A o SAQ-A-EP.
Implicaciones de costos
| Tipo SAQ | Costo de cumplimiento anual típico | Nivel de esfuerzo |
|---|---|---|
| SAQ-A | $2,000 - $5,000 | Días |
| SAQ-A-EP | $10,000 - $30,000 | Semanas |
| SAQ-C | $20,000 - $50,000 | Semanas a meses |
| SAQ-D | $50,000 - $300,000+ | Meses |
La decisión de la arquitectura de utilizar formularios de pago alojados en lugar de procesar los datos de la tarjeta usted mismo puede ahorrar entre 50 000 y 250 000 dólares al año en costos de cumplimiento.
3D Secure 2.0: cambio de responsabilidad y prevención de fraude
3D Secure 2.0 (3DS2) agrega una capa de autenticación a las transacciones con tarjeta en línea. Cuando se implementa correctamente, transfiere la responsabilidad por fraude del comerciante al emisor de la tarjeta.
Cómo funciona 3DS2
- El cliente inicia el pago en su sitio
- Su proveedor de pagos envía datos de la transacción al emisor de la tarjeta.
- El motor de riesgo del emisor evalúa la transacción (huella digital del dispositivo, historial de transacciones, monto)
- Flujo sin fricciones: Las transacciones de bajo riesgo se autentican de forma silenciosa (no es necesario que el cliente realice ninguna acción)
- Flujo de desafío: Las transacciones de alto riesgo requieren autenticación adicional (biométrica, OTP, confirmación de aplicación)
- Se devuelve el resultado de la autenticación y se procesa el pago.
Beneficios de 3DS2
- Transferencia de responsabilidad: Transferencias de responsabilidad por fraude al banco emisor para transacciones autenticadas
- Reducción del fraude: 3DS2 reduce las tasas de fraude entre un 40 y un 60 % en comparación con las transacciones no autenticadas.
- Mejor UX: La autenticación sin fricciones significa que entre el 85% y el 95% de las transacciones no requieren ninguna acción adicional del cliente.
- Cumplimiento normativo: PSD2 Strong Customer Authentication (SCA) requiere 3DS2 para transacciones en la UE
Consideraciones de implementación
- Habilite 3DS2 a través de su proveedor de pagos (Stripe, Adyen y la mayoría de los proveedores lo admiten de forma nativa)
- Configure umbrales de autenticación basados en riesgos: aplique 3DS2 a transacciones de mayor riesgo y exima las de bajo valor o riesgo.
- Supervise las tasas de autenticación: si se cuestionan demasiadas transacciones, revise sus señales de riesgo
- Pruebe minuciosamente los flujos sin fricción y de desafío antes de publicarlos
Escaneo de vulnerabilidades y pruebas de penetración
PCI-DSS requiere tanto un escaneo automatizado de vulnerabilidades (trimestralmente) como pruebas de penetración manuales (anualmente) para todos los entornos dentro del alcance.
Escaneos ASV trimestrales
Un proveedor de escaneo aprobado (ASV) debe realizar escaneos de vulnerabilidades externos cada trimestre. Requisitos:
- Los escaneos deben cubrir todas las direcciones IP y dominios externos en el entorno de datos del titular de la tarjeta (CDE)
- Todas las vulnerabilidades de alta gravedad (CVSS 4.0+) deben corregirse y volverse a escanear antes de que pase el escaneo.
- Los informes de escaneo aprobados deben conservarse para fines de auditoría.
- ASV comunes: Qualys, Tenable, SecurityMetrics, Trustwave
Pruebas de penetración anuales
El requisito 11.4 exige pruebas de penetración anuales de:
- Controles de segmentación de red (si se utilizan para reducir el alcance)
- Perímetro exterior del CDE
- Sistemas internos dentro del CDE
- Pruebas de capa de aplicación de aplicaciones de pago.
Nuevo en v4.0: Las pruebas de penetración ahora deben verificar explícitamente que los controles de segmentación estén funcionando y que el CDE esté correctamente aislado del resto de la red.
Monitoreo continuo
Más allá de las pruebas trimestrales y anuales, PCI-DSS v4.0 enfatiza el monitoreo continuo:
- Monitoreo de integridad de archivos (FIM) en archivos críticos del sistema y scripts de páginas de pago
- Sistemas de detección/prevención de intrusiones (IDS/IPS) en los límites de la red CDE
- Revisión de registros automatizada para detección de anomalías (nuevo requisito v4.0)
- Alertas en tiempo real para intentos de acceso no autorizados
Creación de una arquitectura de comercio electrónico compatible con PCI
El enfoque más eficaz para el cumplimiento de PCI es minimizar el alcance mediante decisiones de arquitectura.
Arquitectura recomendada
Nivel 1: página de pago (alcance mínimo). Utilice campos de pago alojados (Stripe Elements, Adyen Drop-in) integrados en un iframe en su página de pago. Los datos de la tarjeta fluyen directamente desde el navegador del cliente al proveedor de pago. Tu servidor nunca lo ve.
Nivel 2: servidor de aplicaciones (fuera de alcance). Su aplicación de comercio electrónico (Shopify, Odoo, personalizada) maneja la gestión de pedidos, el inventario y los datos de los clientes. Se comunica con el proveedor de pagos únicamente a través de tokens.
Nivel 3: Almacenamiento de datos (fuera del alcance para datos de tarjetas). Su base de datos almacena detalles de pedidos, información del cliente y tokens de pago, pero nunca números de tarjetas, CVV ni fechas de vencimiento.
Segmentación de red
Si alguna parte de su infraestructura procesa datos de tarjetas, la segmentación de la red es fundamental:
- Aislar el CDE en un segmento de red separado (VLAN, subred o VPC)
- Implementar reglas de firewall que restringen el tráfico hacia y desde el CDE
- Monitorear todo el tráfico que cruza el límite de segmentación.
- Controles de segmentación de pruebas durante las pruebas de penetración.
Para obtener una guía integral sobre la arquitectura de cumplimiento que se extiende más allá de PCI-DSS, consulte nuestro manual de cumplimiento empresarial.
Preguntas frecuentes
¿Necesito cumplir con PCI si solo vendo en Shopify?
Sí, pero su alcance es mínimo. Shopify es un proveedor de servicios certificado PCI-DSS Nivel 1, lo que significa que Shopify se encarga del trabajo pesado. Sin embargo, aún eres responsable de completar el SAQ-A anualmente y de mantener prácticas de seguridad básicas: contraseñas seguras, MFA en tu administrador de Shopify, no almacenar datos de tarjetas fuera de Shopify y capacitar al personal en seguridad.
¿Qué sucede si falla mi escaneo ASV trimestral?
Tiene la oportunidad de corregir las vulnerabilidades identificadas y solicitar una nueva exploración. No hay penalización por un escaneo fallido, solo por no tener un escaneo aprobado dentro del período trimestral. Sin embargo, si falla constantemente los escaneos y no puede demostrar el cumplimiento, su banco adquirente puede aumentar sus tarifas de procesamiento, exigir una evaluación más estricta o, en casos extremos, cancelar su cuenta comercial.
¿El cumplimiento de PCI es un requisito legal?
PCI-DSS no es una regulación gubernamental, es un requisito contractual de las marcas de tarjetas (Visa, Mastercard, American Express, Discover, JCB). El cumplimiento se aplica a través de su acuerdo comercial con su banco adquirente. El incumplimiento puede dar lugar a multas por parte de las marcas de tarjetas (entre 5000 y 100 000 dólares al mes), aumento de las tarifas de transacción y responsabilidad por transacciones fraudulentas. Algunas jurisdicciones (Nevada, Minnesota, Washington) han promulgado leyes que incorporan requisitos PCI-DSS.
¿Cómo se relaciona PCI-DSS con GDPR?
PCI-DSS y GDPR se superponen en áreas como control de acceso, cifrado y respuesta a incidentes, pero tienen enfoques diferentes. PCI-DSS protege específicamente los datos de las tarjetas de pago, mientras que GDPR protege todos los datos personales de los residentes de la UE. Un número de tarjeta de pago también es información personal según el RGPD, por lo que debes cumplir ambos. Consulte nuestra guía comparativa de privacidad de datos para obtener más información sobre cómo interactúan las diferentes regulaciones.
¿Qué sigue?
El cumplimiento de PCI-DSS no es opcional para ninguna empresa que acepte pagos con tarjeta. La buena noticia es que las plataformas de pago modernas lo han hecho mucho más fácil al manejar los aspectos más sensibles del procesamiento de datos de la tarjeta en su nombre. Su trabajo es elegir la arquitectura adecuada, completar el SAQ adecuado, mantener prácticas de seguridad continuas y mantenerse actualizado a medida que evoluciona el estándar.
ECOSIRE ayuda a las empresas de comercio electrónico a crear arquitecturas de pago compatibles con PCI desde el principio. Nuestras implementaciones de Shopify aprovechan la certificación de nivel 1 de Shopify para un alcance mínimo de PCI, y nuestras integraciones de Odoo ERP utilizan flujos de pago tokenizados que mantienen sus sistemas fuera del alcance de PCI. Contáctenos para una evaluación de seguridad de pago.
Publicado por ECOSIRE: ayuda a las empresas a escalar con soluciones impulsadas por IA en Odoo ERP, Shopify eCommerce y OpenClaw AI.
Escrito por
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
Escala tu tienda Shopify
Servicios personalizados de desarrollo, optimización y migración para comercio electrónico de alto crecimiento.
Artículos relacionados
Generación de contenido de IA para comercio electrónico: descripciones de productos, SEO y más
Escale el contenido del comercio electrónico con IA: descripciones de productos, metaetiquetas SEO, textos de correo electrónico y redes sociales. Marcos de control de calidad y guía de coherencia de la voz de marca.
Precios dinámicos impulsados por IA: optimice los ingresos en tiempo real
Implemente precios dinámicos de IA para optimizar los ingresos con modelos de elasticidad de la demanda, monitoreo de la competencia y estrategias de precios éticos. Guía de arquitectura y ROI.
Detección de fraude mediante IA para el comercio electrónico: proteja los ingresos sin bloquear las ventas
Implemente una detección de fraude mediante IA que detecte más del 95 % de las transacciones fraudulentas y mantenga las tasas de falsos positivos por debajo del 2 %. Puntuación de ML, análisis de comportamiento y guía de ROI.
Más de Compliance & Regulation
Ciberseguridad para el comercio electrónico: proteja su negocio en 2026
Guía completa de ciberseguridad de comercio electrónico para 2026. PCI DSS 4.0, configuración WAF, protección contra bots, prevención de fraude en pagos, encabezados de seguridad y respuesta a incidentes.
ERP para la industria química: seguridad, cumplimiento y procesamiento por lotes
Cómo los sistemas ERP gestionan los documentos SDS, el cumplimiento de REACH y GHS, el procesamiento por lotes, el control de calidad, el envío de materiales peligrosos y la gestión de fórmulas para empresas químicas.
ERP para comercio de importación/exportación: multidivisa, logística y cumplimiento
Cómo manejan los sistemas ERP cartas de crédito, documentación aduanera, incoterms, pérdidas y ganancias multidivisa, seguimiento de contenedores y cálculo de derechos para empresas comerciales.
Informes de sostenibilidad y ESG con ERP: Guía de cumplimiento 2026
Navegue por el cumplimiento de informes ESG en 2026 con sistemas ERP. Cubre CSRD, GRI, SASB, emisiones de alcance 1/2/3, seguimiento de carbono y sostenibilidad de Odoo.
Lista de verificación de preparación para la auditoría: Cómo preparar sus libros
Lista de verificación completa para la preparación de auditorías que cubre la preparación de los estados financieros, la documentación de respaldo, la documentación de controles internos, las listas de PBC de los auditores y los hallazgos comunes de las auditorías.
Guía australiana del GST para empresas de comercio electrónico
Guía completa del GST australiano para empresas de comercio electrónico que cubre el registro ATO, el umbral de $75 000, las importaciones de bajo valor, la presentación de BAS y el GST para servicios digitales.