¿Qué es un Proveedor de Servicios PCI Nivel 1?

Un Proveedor de Servicios PCI Nivel 1 es el nivel más alto de validación PCI DSS para empresas que gestionan transacciones con tarjeta por cuenta de comercios. El nivel lo determina el volumen de transacciones: cualquier proveedor de servicios que almacene, procese o transmita más de 300.000 transacciones con tarjeta al año pasa automáticamente a ser Nivel 1. Una vez que eres Nivel 1, no puedes autoevaluarte: el PCI Security Standards Council exige una auditoría anual in situ realizada por un Qualified Security Assessor (QSA) independiente, un Report on Compliance (ROC) completo que cubra cada requisito de PCI DSS aplicable, una Attestation of Compliance (AOC) firmada y escaneos externos de vulnerabilidades trimestrales por parte de un Approved Scanning Vendor (ASV). El QSA visita tus oficinas, ve los controles funcionando y firma el resultado con su nombre: no hay forma de simularlo.

El sello de Proveedor de Servicios PCI Nivel 1, a veces abreviado como PCI DSS Nivel 1 o PCI L1, se usa mucho en el marketing del sector de pagos porque es la declaración de cumplimiento más sólida que puede hacer un proveedor. Pero conviene saber qué hay detrás, porque la diferencia entre el Nivel 1 y los niveles inferiores es sustancial, tanto en esfuerzo como en lo que demuestra sobre un proveedor.

Los Cuatro Niveles de Proveedor de Servicios

El PCI Security Standards Council define cuatro niveles de proveedor de servicios, con el umbral ligado únicamente al volumen anual de transacciones:

• Nivel 1: Más de 300.000 transacciones al año. Auditoría QSA anual in situ, Report on Compliance, AOC, escaneos ASV trimestrales, inclusión en el Visa Global Registry of Service Providers y en la Mastercard Compliant Service Provider list.
• Nivel 2: Menos de 300.000 transacciones al año. Self-Assessment Questionnaire (SAQ D) anual con AOC, escaneos ASV trimestrales. Sin auditoría in situ obligatoria.

Visa y Mastercard mantienen sus propios niveles de proveedor de servicios y los umbrales se alinean bastante. La diferencia práctica clave entre el Nivel 1 y el Nivel 2 es la auditoría QSA in situ: el Nivel 1 la exige, el Nivel 2 no. La autoevaluación es más rápida y barata para el proveedor, pero ofrece muchas menos garantías al comercio que confía en los controles del proveedor.

Qué Implica Realmente una Auditoría de Nivel 1

El proceso anual de Nivel 1 suele durar entre tres y seis meses e incluye:

• Definición previa del alcance: el QSA documenta todos los sistemas, segmentos de red, aplicaciones y procesos que tocan datos de titulares de tarjeta. Todo lo que está dentro del alcance tiene que cumplir los controles de PCI DSS aplicables.
• Trabajo de campo in situ: el QSA visita los centros de datos, las oficinas y cualquier proveedor externo dentro del alcance. Entrevista al personal, revisa evidencias, observa procesos en directo y prueba los controles.
• Report on Compliance (ROC): un documento de varios cientos de páginas que cubre cada requisito de PCI DSS, con los hallazgos del QSA, evidencias de soporte y cualquier control compensatorio. El ROC se entrega a las marcas de tarjeta y al adquirente del comercio.
• Attestation of Compliance (AOC): el documento resumen corto y firmado que el proveedor puede compartir con clientes potenciales y existentes. La mayoría de proveedores lo publican en su web.
• Escaneos ASV trimestrales: escaneos externos de vulnerabilidades de red realizados por un Approved Scanning Vendor independiente, cada tres meses. Cualquier escaneo fallido debe remediarse y volver a escanearse para mantener el cumplimiento.

Todo el ejercicio se repite cada año. Dejar que caduque significa perder el estatus de Nivel 1 y ser eliminado del Visa Global Registry, una consecuencia comercial seria para cualquier proveedor de pagos que venda a sectores regulados.

Por Qué Importa al Elegir un Proveedor de Pagos

Para la mayoría de los comercios que contratan un servicio de pagos, el nivel PCI del proveedor es una de las señales más claras de madurez operativa disponibles. Algunas cosas que conviene saber al leer las declaraciones de cumplimiento de un proveedor:

• Pide el AOC, no solo el sello. Cualquier proveedor puede poner un logo de Nivel 1 en su web. Un AOC firmado con fecha dentro de los últimos doce meses y que nombre al QSA es la prueba real. Los proveedores serios lo comparten bajo NDA si se les pide.
• Comprueba el Visa Global Registry. Los Proveedores de Servicios Nivel 1 están listados en visa.com/splisting. Si el proveedor no está en esa lista, o no es realmente Nivel 1 o su certificación ha caducado.
• Mira el alcance del AOC. Un AOC de Nivel 1 cubre servicios e infraestructura específicos, no necesariamente todo lo que vende el proveedor. Asegúrate de que el servicio que vas a contratar está dentro del alcance.
• Comprueba la fecha. Los AOC tienen validez de un año. Los proveedores en plena recertificación tendrán uno algo más antiguo, pero deben poder confirmar que la nueva auditoría está en curso.

¿Usar un Nivel 1 Hace que Tu Negocio Cumpla PCI?

Usar un Proveedor de Servicios Nivel 1 es necesario, pero no suficiente. El nivel PCI del proveedor solo valida sus propios controles, la parte del flujo de pago que corre sobre su infraestructura. Tu negocio sigue teniendo su propio alcance PCI según cómo fluyen los datos de tarjeta por tu entorno, y sigue teniendo que completar su propio SAQ o auditoría completa. Lo que hace un proveedor de Nivel 1 es asumir la responsabilidad de los controles técnicos dentro de su servicio, lo que te permite marcar legítimamente ciertos requisitos del SAQ como 'gestionados por el proveedor de servicios' y reducir tu alcance.

La combinación que ofrece la mayor reducción de alcance es un Proveedor de Servicios Nivel 1 más una tecnología que mantenga los datos de tarjeta fuera de tu entorno desde el principio: para los centros de contacto, eso suele ser el enmascaramiento DTMF o la separación de canales. Con ambos en marcha, la mayoría de negocios pueden pasar de SAQ D (329 controles) a SAQ A (22 controles).