¿Cuáles son los Niveles de PCI DSS?

Los niveles de PCI DSS (también llamados niveles de comercio o niveles PCI) son cuatro tramos que determinan cómo un comercio valida el cumplimiento del Payment Card Industry Data Security Standard. Los fija el volumen de transacciones: el Nivel 1 son más de 6 millones de transacciones con tarjeta al año y exige una auditoría presencial completa por un Qualified Security Assessor; el Nivel 2 va de 1 a 6 millones; el Nivel 3 va de 20.000 a 1 millón de transacciones de e-commerce; y el Nivel 4 cubre todo lo que esté por debajo. Todos los niveles deben cumplir los mismos 12 requisitos de PCI DSS: el nivel solo cambia cómo se demuestra. Una brecha puede saltar a cualquier comercio directamente al Nivel 1 independientemente del volumen.

Los niveles de PCI DSS importan sobre todo porque deciden su coste y esfuerzo de validación, no qué controles de seguridad debe poner en marcha. Una auditoría de Nivel 1 por un QSA suele costar entre 30.000 y 80.000 libras al año y produce un Report on Compliance firmado. Un comercio de Nivel 4 rellena el Self-Assessment Questionnaire adecuado y entrega una Attestation of Compliance: mucho más ligero, pero los controles subyacentes son idénticos. Los niveles de comercio los publica Visa y los siguen a grandes rasgos Mastercard, Amex, Discover y JCB; su banco adquirente le confirma cuál le aplica. Los proveedores de servicios tienen su propia escala: el SP de Nivel 1 son más de 300.000 transacciones al año y pasa por la misma auditoría dirigida por un QSA que un comercio de Nivel 1. La forma más rápida de hacer su nivel más llevadero es recortar el alcance: sacar los pagos telefónicos de su entorno con el enmascaramiento de DTMF puede llevar a un comercio de Nivel 2 a un SAQ mucho más corto, aunque su volumen de transacciones no haya cambiado.

¿Qué son los niveles de comercio de PCI DSS?

Los niveles de comercio de PCI DSS son un sistema de clasificación usado por las principales marcas de tarjeta —Visa, Mastercard, American Express y Discover— para determinar qué tipo de validación de cumplimiento debe completar un comercio. El nivel asignado a un negocio depende principalmente del volumen de transacciones con tarjeta que procesa cada año.

Cuanto mayor sea el volumen de transacciones, más rigurosos son los requisitos de validación. Sin embargo, todo comercio en todo nivel debe cumplir el estándar completo de PCI DSS. Los niveles solo determinan cómo se verifica ese cumplimiento, no qué requisitos aplican.

Los cuatro niveles de comercio

Nivel 1

El Nivel 1 se aplica a los comercios que procesan más de 6 millones de transacciones con tarjeta al año en todos los canales, o a cualquier comercio que haya sufrido una brecha de datos que haya comprometido datos de tarjetas. Los comercios de Nivel 1 deben:

• Completar un Report on Compliance (ROC) anual realizado por un Qualified Security Assessor (QSA)
• Presentar escaneos de vulnerabilidades de red trimestrales realizados por un Approved Scanning Vendor (ASV)
• Completar una Attestation of Compliance (AOC)

Es el nivel más exigente. La evaluación presencial por un QSA es exhaustiva y examina cada aspecto del entorno de datos del titular de la tarjeta. Los grandes minoristas, las grandes plataformas de e-commerce y los proveedores de servicios de pago suelen entrar en esta categoría.

Nivel 2

El Nivel 2 se aplica a los comercios que procesan entre 1 millón y 6 millones de transacciones al año. Estos comercios deben:

• Completar un Self-Assessment Questionnaire (SAQ) anual
• Presentar escaneos ASV trimestrales
• Completar una AOC

Algunos bancos adquirentes pueden exigir a los comercios de Nivel 2 que contraten a un QSA para su evaluación, sobre todo si el comercio tiene un entorno de datos del titular de la tarjeta complejo o ha tenido problemas de cumplimiento previos.

Nivel 3

El Nivel 3 se aplica a los comercios que procesan entre 20.000 y 1 millón de transacciones de e-commerce al año. Los requisitos son los mismos que los del Nivel 2: un SAQ anual, escaneos ASV trimestrales y una AOC. Este nivel está dirigido específicamente a los comercios online con volúmenes de transacción moderados.

Nivel 4

El Nivel 4 es el más habitual y cubre a los comercios que procesan menos de 20.000 transacciones de e-commerce o hasta 1 millón de transacciones totales al año a través de otros canales. Los requisitos incluyen:

• Completar el SAQ anual adecuado
• Escaneos ASV trimestrales (si aplica al tipo de SAQ)
• Una AOC

La mayoría de los pequeños y medianos negocios entran en el Nivel 4. Aunque los requisitos de validación son menos intensos que en los niveles superiores, los requisitos de PCI DSS subyacentes son exactamente los mismos.

Cómo se determinan los niveles

Cada marca de tarjeta fija sus propios umbrales, y pueden diferir ligeramente. Las cifras anteriores se basan en las definiciones de Visa, las más citadas. Mastercard usa umbrales similares pero cuenta las transacciones de forma distinta para algunos tipos de comercio.

Su banco adquirente es, en última instancia, el responsable de indicarle qué nivel se aplica a su negocio. Tienen en cuenta su volumen total de transacciones en todos los canales de pago: en tienda, online, telefónico y móvil. Si no está seguro de su nivel, su adquirente es el primer punto de contacto.

Qué pasa si cambia su nivel

Los niveles de comercio no son estáticos. Si su volumen de transacciones crece y cruza un umbral, se le reclasificará en un nivel superior. Esto suele significar una validación más rigurosa, pudiendo pasar de la autoevaluación a una auditoría presencial completa por un QSA.

Los cambios de nivel también pueden desencadenarse por eventos de seguridad. Si su negocio sufre una brecha de datos, las marcas de tarjeta pueden escalarle inmediatamente al Nivel 1 independientemente de su volumen de transacciones. Esta escalada suele venir acompañada de la exigencia de una investigación forense y un plan de remediación antes de poder volver al procesamiento normal.

Niveles para proveedores de servicios

Los proveedores de servicios —empresas que procesan, almacenan o transmiten datos de tarjeta en nombre de otros negocios— tienen un sistema de clasificación separado de dos tramos:

• Nivel 1: proveedores que almacenan, procesan o transmiten más de 300.000 transacciones al año. Deben completar un ROC anual realizado por un QSA.
• Nivel 2: proveedores que manejan menos de 300.000 transacciones al año. Deben completar un SAQ-D anual y escaneos ASV trimestrales.

Los proveedores de servicios se someten a un estándar más alto que los comercios con volúmenes equivalentes porque una brecha en un proveedor de servicios puede afectar a muchos comercios al mismo tiempo.

Pagos telefónicos y niveles de comercio

Los pagos telefónicos cuentan para su volumen total de transacciones igual que cualquier otro canal. Si su negocio recibe una proporción importante de los pagos por teléfono, esas transacciones contribuyen a determinar su nivel de comercio.

Más importante aún, los entornos de pagos telefónicos pueden aumentar sustancialmente su alcance de PCI DSS. Las estaciones de trabajo de los agentes, las grabaciones de llamadas, la infraestructura de telefonía y los segmentos de red que transportan los datos de voz pueden entrar todos en el alcance. Esta complejidad puede hacer la validación del cumplimiento más onerosa, independientemente de su nivel de comercio.

Al sacar el entorno de pagos telefónicos del alcance mediante tecnologías como el enmascaramiento de DTMF, los negocios pueden simplificar significativamente su validación de cumplimiento, a menudo cualificándose para un tipo de SAQ más sencillo incluso en niveles de comercio más altos.

Entender su nivel de comercio es el primer paso para planificar su estrategia de cumplimiento de PCI DSS. Determina el método de validación, el coste y los recursos que tendrá que asignar. Independientemente del nivel, invertir en reducir el alcance mediante tecnologías de pago seguras casi siempre ofrece mejor retorno que invertir en asegurar un entorno de datos del titular de la tarjeta grande y complejo.