¿Qué es una pasarela de pagos?

Una pasarela de pagos es la capa tecnológica que se sitúa entre el checkout de un comercio y el procesador de pagos, cifrando los datos de tarjeta en tránsito y llevando la solicitud de autorización al banco del titular. Es la puerta de entrada: captura el número de tarjeta desde un formulario web, un terminal, una IVR o el teclado del teléfono, formatea la solicitud, gestiona el 3D Secure cuando aplica y devuelve el resultado de aprobado o rechazado al comercio en alrededor de un segundo. Stripe, Adyen, Worldpay, Opayo (antes Sage Pay), The Payment Gateway, Braintree y Authorize.net operan pasarelas; algunas de ellas también actúan como procesador y adquirente, que es donde las líneas se difuminan. La mayoría cobran entre £0,10 y £0,30 por transacción, a veces con un porcentaje encima de la comisión del adquirente.

Donde la gente se lía es con la pregunta de pasarela frente a procesador. La pasarela de pagos es la tecnología que captura y transmite los datos de la tarjeta; el procesador (FIS, Fiserv, el back-end de Worldpay, etc.) es lo que realmente enruta la autorización a través de Visa o Mastercard hasta el banco emisor y luego liquida los fondos al comercio. Un proveedor full-stack como Stripe o Adyen hace los dos trabajos, y en algunos mercados también la adquirencia, por eso una sola marca cubre lo que antes eran tres contratos separados. Los montajes más pequeños o más antiguos siguen dividiendo los roles: una pasarela de Opayo conectada con un back-end de Worldpay es un patrón habitual en el Reino Unido. Para los pagos telefónicos en particular, la pasarela es lo que recibe los datos de tarjeta procedentes del enmascaramiento DTMF o de un terminal virtual: mismo flujo de autorización, distinto punto de captura.

¿Qué es una pasarela de pagos?

Una pasarela de pagos es un servicio tecnológico que autoriza y procesa los pagos con tarjeta para los comercios. Actúa como intermediario entre el comercio y las instituciones financieras implicadas en una transacción: captura los datos de la tarjeta del cliente, los cifra y los enruta a través de las redes de tarjetas hasta el banco emisor para aprobar o rechazar el pago.

Piénsalo como el equivalente digital de una máquina de tarjetas en una tienda física. Cuando un cliente introduce los datos de su tarjeta en un sitio web, a través de una app móvil o por teléfono, la pasarela de pagos es el sistema que transmite esos datos de forma segura y devuelve el resultado.

Cómo funciona una pasarela de pagos

El proceso de pago ocurre en segundos, pero implica varios pasos:

• Paso 1 - Captura de datos El cliente introduce el número de su tarjeta, la fecha de caducidad y el CVV/CVC a través de un formulario de pago, el teclado del teléfono o una interfaz similar
• Paso 2 - Cifrado La pasarela cifra los datos de la tarjeta usando TLS (Transport Layer Security) y los transmite al procesador de pagos
• Paso 3 - Enrutamiento El procesador enruta la transacción a la red de tarjetas correspondiente (Visa, Mastercard, etc.), que la reenvía al emisor de la tarjeta
• Paso 4 - Autorización El emisor comprueba los datos de la tarjeta, los fondos disponibles y las señales de fraude, y luego devuelve una aprobación o un rechazo
• Paso 5 - Respuesta La pasarela recibe la respuesta y la pasa al comercio y al cliente

Todo este viaje de ida y vuelta —desde que el cliente pulsa «pagar» hasta que ve el resultado— suele durar entre uno y tres segundos.

Pasarela de pagos frente a procesador de pagos

Estos dos términos se confunden a menudo, pero cumplen funciones distintas:

• La pasarela de pagos es la puerta de entrada: captura y cifra los datos de la tarjeta y entrega la respuesta al comercio
• El procesador de pagos es la trastienda: gestiona la comunicación real con las redes de tarjetas y los bancos para mover el dinero entre cuentas

Algunas empresas ofrecen los dos servicios bajo el mismo techo (como Stripe o Worldpay), lo que puede difuminar la distinción. Otras se especializan en uno o en otro. Al evaluar proveedores de pago, vale la pena entender qué funciones están incluidas y cuáles pueden requerir acuerdos separados.

Tipos de pasarelas de pago

Páginas de pago alojadas

El cliente es redirigido a una página de pago alojada por el proveedor de la pasarela. El comercio nunca maneja directamente los datos de tarjeta, lo que simplifica el cumplimiento de PCI DSS. La contrapartida es menos control sobre la experiencia de checkout.

Pasarelas integradas

El formulario de pago se incrusta directamente en el sitio web o la aplicación del comercio. Esto proporciona una experiencia de cliente fluida, pero significa que los sistemas del comercio están en contacto más estrecho con los datos de tarjeta, aumentando el alcance de PCI DSS.

Pasarelas basadas en API

Las pasarelas modernas ofrecen APIs que permiten a los desarrolladores construir flujos de pago personalizados. Aportan la máxima flexibilidad y son habituales en negocios con necesidades de pago complejas o multicanal.

Pasarelas de pago y pagos telefónicos

En un escenario de pago telefónico, la pasarela de pagos juega el mismo papel fundamental —autorizar la transacción con el emisor de la tarjeta— pero la captura de datos sucede de otra manera. En lugar de un formulario web, los datos de la tarjeta se introducen normalmente de alguna de estas formas:

• Un agente los teclea en un terminal virtual (que se conecta a la pasarela)
• El cliente los introduce en el teclado de su teléfono mediante tonos DTMF (que se capturan y se envían a la pasarela)
• Un sistema IVR recopila los datos automáticamente y los envía a la pasarela

La elección del método tiene implicaciones importantes para el cumplimiento de PCI DSS. Cuando los agentes manejan los datos de tarjeta manualmente, cada puesto de trabajo, pantalla y segmento de red que usan entra en el alcance PCI. Cuando es el enmascaramiento DTMF o un sistema IVR el que maneja los datos, el entorno del agente puede sacarse del alcance.

Cómo elegir una pasarela de pagos

Los factores clave a considerar al seleccionar una pasarela incluyen:

• Métodos de pago soportados ¿Gestiona los tipos de tarjeta y los métodos de pago alternativos que usan tus clientes?
• Soporte por canal ¿Puede procesar pagos desde tu web, tu sistema telefónico y cualquier otro canal que necesites?
• Complejidad de la integración ¿Con qué facilidad se conecta con tus sistemas actuales?
• Estructura de precios Mira las comisiones por transacción, los cargos mensuales y cualquier coste oculto
• Cumplimiento de PCI DSS ¿Qué nivel de cumplimiento tiene la pasarela y cómo afecta a tu propio alcance PCI?
• Velocidad de liquidación ¿Con qué rapidez llegan los fondos a tu cuenta tras una transacción?
• Informes y conciliación ¿Proporciona los datos que necesitas para gestionar tus finanzas?

Para los negocios que aceptan pagos en varios canales —online, presencial y por teléfono— la compatibilidad de la pasarela en todos ellos es esencial para no acabar gestionando varias integraciones de pago.

Pasarelas de pago y PCI DSS

Las pasarelas de pago deben cumplir con PCI DSS porque manejan datos sensibles de tarjeta directamente. Al elegir una pasarela, comprueba que tiene un certificado PCI DSS vigente en el nivel apropiado. Usar una pasarela compatible con PCI no convierte automáticamente a tu negocio en compatible: depende de cómo fluyen los datos de tarjeta por tus sistemas. Si los datos de tarjeta pasan por tus servidores antes de llegar a la pasarela, esos servidores están dentro del alcance. Si usas una página de pago alojada o enmascaramiento DTMF para mantener los datos de tarjeta totalmente fuera de tu entorno, puedes reducir significativamente tu alcance PCI y simplificar el cumplimiento.