¿Qué es una pasarela de pagos?

Una pasarela de pago es la capa tecnológica que se sitúa entre la página de pago de un comercio y el procesador de pagos, cifrando los datos de tarjeta en tránsito y llevando la solicitud de autorización al banco del titular de la tarjeta. Es la puerta de entrada: captura el número de tarjeta desde un formulario web, un terminal, un IVR o el teclado del teléfono, da formato a la solicitud, gestiona 3D Secure cuando corresponde y devuelve la aprobación o el rechazo al comercio en aproximadamente un segundo. Stripe, Adyen, Worldpay, Opayo (antes Sage Pay), Braintree y Authorize.net operan todas pasarelas; algunas además actúan como procesador y adquirente, que es donde las líneas se difuminan. La mayoría cobra entre 0,10 y 0,30 £ por transacción, a veces con un porcentaje añadido a la tarifa del adquirente.

Donde la gente se hace un lío es en la cuestión de pasarela frente a procesador. La pasarela de pago es la tecnología que captura y transmite los datos de tarjeta; el procesador (FIS, Fiserv, el back-end de Worldpay, etc.) es lo que realmente enruta la autorización a través de Visa o Mastercard hasta el banco emisor y luego liquida los fondos de vuelta al comercio. Un proveedor de pila completa como Stripe o Adyen hace ambas tareas —y en algunos mercados también la adquisición—, por lo que una sola marca abarca lo que antes eran tres contratos separados. Las configuraciones más pequeñas o antiguas todavía reparten los roles: una pasarela Opayo conectada a un back-end de Worldpay es un patrón habitual en el Reino Unido. Para los pagos telefónicos en concreto, la pasarela es lo que recibe los datos de tarjeta desde el enmascaramiento DTMF o un terminal virtual: el mismo flujo de autorización, distinto punto de captura.

¿Qué es una pasarela de pago?

Una pasarela de pago es un servicio tecnológico que autoriza y procesa los pagos con tarjeta para los comercios. Actúa como intermediario entre el comercio y las instituciones financieras que intervienen en una transacción: captura los datos de tarjeta del cliente, los cifra y los enruta a través de las redes de tarjetas hasta el banco emisor para su aprobación o rechazo.

Piense en ella como el equivalente digital de un datáfono en una tienda física. Cuando un cliente introduce los datos de su tarjeta en un sitio web, a través de una aplicación móvil o por teléfono, la pasarela de pago es el sistema que transmite esos datos de forma segura y devuelve el resultado.

Cómo funciona una pasarela de pago

El proceso de pago ocurre en segundos, pero consta de varios pasos:

• Paso 1: captura de datos. El cliente introduce el número de su tarjeta, la fecha de caducidad y el CVV/CVC a través de un formulario de pago, el teclado u otra interfaz similar.
• Paso 2: cifrado. La pasarela cifra los datos de tarjeta mediante TLS (Transport Layer Security) y los transmite al procesador de pagos.
• Paso 3: enrutamiento. El procesador enruta la transacción a la red de tarjetas correspondiente (Visa, Mastercard, etc.), que la reenvía al emisor de la tarjeta.
• Paso 4: autorización. El emisor comprueba los datos de la tarjeta, los fondos disponibles y las señales de fraude, y luego devuelve una aprobación o un rechazo.
• Paso 5: respuesta. La pasarela recibe la respuesta y la transmite de vuelta al comercio y al cliente.

Todo este recorrido de ida y vuelta —desde que el cliente hace clic en «pagar» hasta que ve el resultado— suele tardar entre uno y tres segundos.

Pasarela de pago frente a procesador de pagos

Estos dos términos se confunden a menudo, pero cumplen funciones diferentes:

• La pasarela de pago es la puerta de entrada: captura y cifra los datos de tarjeta y entrega la respuesta al comercio.
• El procesador de pagos es la trastienda: se encarga de la comunicación real con las redes de tarjetas y los bancos para mover el dinero entre cuentas.

Algunas empresas prestan ambos servicios bajo el mismo techo (como Stripe o Worldpay), lo que puede difuminar la distinción. Otras se especializan en uno u otro. Al evaluar proveedores de pagos, conviene entender qué funciones están incluidas y cuáles pueden requerir acuerdos aparte.

Tipos de pasarelas de pago

Páginas de pago alojadas

El cliente es redirigido a una página de pago alojada por el proveedor de la pasarela. El comercio nunca maneja los datos de tarjeta directamente, lo que simplifica el cumplimiento de PCI DSS. La contrapartida es un menor control sobre la experiencia de pago.

Pasarelas integradas

El formulario de pago se incrusta directamente en el sitio web o la aplicación del comercio. Esto ofrece una experiencia de cliente más cómoda, pero significa que los sistemas del comercio están en contacto más estrecho con los datos de tarjeta, lo que amplía el alcance de PCI DSS.

Pasarelas basadas en API

Las pasarelas modernas ofrecen API que permiten a los desarrolladores crear flujos de pago a medida. Aportan la máxima flexibilidad y son habituales en empresas con necesidades de pago complejas o multicanal.

Las pasarelas de pago y los pagos telefónicos

En un pago telefónico, la pasarela de pago cumple el mismo papel fundamental —autorizar la transacción con el emisor de la tarjeta—, pero la captura de datos ocurre de otra forma. En lugar de un formulario web, los datos de tarjeta los introduce normalmente:

• Un agente que los teclea en un terminal virtual (que se conecta a la pasarela).
• El cliente, que los introduce en el teclado de su teléfono mediante tonos DTMF (que se capturan y se envían a la pasarela).
• Un sistema IVR que recoge los datos automáticamente y los envía a la pasarela.

La elección del método tiene implicaciones importantes para el cumplimiento de PCI DSS. Cuando los agentes manejan los datos de tarjeta manualmente, cada puesto de trabajo, pantalla y segmento de red que utilizan entra dentro del alcance de PCI. Cuando el enmascaramiento DTMF o los sistemas IVR manejan los datos en su lugar, el entorno del agente puede quedar fuera de alcance.

Cómo elegir una pasarela de pago

Entre los factores clave que conviene tener en cuenta al seleccionar una pasarela de pago están:

• Métodos de pago admitidos. ¿Admite los tipos de tarjeta y los métodos de pago alternativos que usan sus clientes?
• Compatibilidad de canales. ¿Puede procesar pagos desde su sitio web, su sistema telefónico y cualquier otro canal que necesite?
• Complejidad de la integración. ¿Con qué facilidad se conecta a sus sistemas actuales?
• Estructura de precios. Fíjese en las tarifas por transacción, los cargos mensuales y cualquier coste oculto.
• Cumplimiento de PCI DSS. ¿Qué nivel de cumplimiento tiene la pasarela y cómo afecta a su propio alcance de PCI?
• Velocidad de liquidación. ¿Con qué rapidez llegan los fondos a su cuenta tras una transacción?
• Informes y conciliación. ¿Le proporciona los datos que necesita para gestionar sus finanzas?

Para las empresas que cobran a través de varios canales —en línea, presencial y por teléfono—, la compatibilidad de la pasarela en todos los canales es imprescindible para no tener que gestionar varias integraciones de pago.

Las pasarelas de pago y PCI DSS

Las pasarelas de pago deben cumplir PCI DSS porque manejan datos de tarjeta sensibles directamente. Al elegir una pasarela, compruebe que tiene un certificado PCI DSS vigente en el nivel adecuado. Usar una pasarela que cumple PCI no hace automáticamente que su empresa cumpla: depende de cómo fluyan los datos de tarjeta por sus sistemas. Si los datos de tarjeta pasan por sus servidores antes de llegar a la pasarela, esos servidores están dentro del alcance. Si utiliza una página de pago alojada o enmascaramiento DTMF para mantener los datos de tarjeta completamente fuera de su entorno, puede reducir notablemente su alcance de PCI y simplificar el cumplimiento.