¿Qué es una matriz de responsabilidades PCI DSS?
Una matriz de responsabilidades PCI DSS es un documento del proveedor de servicios que detalla, requisito por requisito, qué controles PCI DSS cubre el proveedor y cuáles siguen siendo responsabilidad del comercio.
Una matriz de responsabilidades PCI DSS es un documento que tu proveedor de servicios de pago te entrega y que asigna cada requisito PCI DSS relevante a su responsable: el proveedor, tú, o ambos. Es la forma de demostrar que los controles que delegas en un tercero están realmente cubiertos.
Por qué existe la matriz
PCI DSS permite usar proveedores para gestionar partes del entorno de datos de tarjetas, pero no permite externalizar la responsabilidad. El requisito 12 espera que mantengas una lista de tus proveedores y sepas exactamente qué requisitos gestiona cada uno en tu nombre. La matriz es la respuesta estándar del sector a esa pregunta.
Cómo leerla
Una buena matriz enumera cada requisito con una de tres respuestas: responsabilidad del proveedor, del comercio, o compartida. Las filas compartidas merecen la mayor atención: normalmente significan que el proveedor opera el control pero tú debes configurarlo o usarlo correctamente.
Contrasta la matriz con la Attestation of Compliance (AOC) del proveedor: la AOC demuestra que el proveedor fue evaluado; la matriz indica qué cubre esa evaluación para clientes como tú.
Qué significa para tu SAQ
Cuantos más requisitos asuma tu proveedor, más corto será tu cuestionario de autoevaluación. Un proveedor que mantiene los datos del titular de la tarjeta completamente fuera de tus sistemas puede llevar a un centro de contacto de SAQ D hacia SAQ A, y la matriz es el documento que lo respalda.
Paytia es un proveedor de servicios PCI DSS Nivel 1 y entrega a cada cliente una matriz de responsabilidades que muestra qué requisitos cubrimos cuando la captura de la tarjeta ocurre en nuestra plataforma y no en la tuya. Como el enmascaramiento DTMF mantiene los datos de tarjeta fuera de tus agentes, grabaciones y red, la mayoría de los controles pesados quedan en nuestro lado de la matriz — exactamente lo que permite reducir tu evaluación a SAQ A.
Preguntas frecuentes
¿Quién entrega la matriz de responsabilidades PCI?+
Tu proveedor de servicios. Cualquier proveedor que gestione datos de tarjeta en tu nombre debería entregarte una matriz junto con su Attestation of Compliance; si no puede, es una señal de alerta.
¿Es obligatoria la matriz de responsabilidades?+
PCI DSS exige que documentes qué requisitos gestiona cada proveedor en tu nombre, y la matriz es la forma aceptada de evidenciarlo. Los evaluadores y bancos adquirentes la piden de forma habitual.
¿Qué diferencia hay entre la matriz y la AOC?+
La AOC demuestra que el proveedor superó su propia evaluación PCI DSS. La matriz indica qué requisitos cubre esa evaluación para ti como cliente. Normalmente necesitas ambas.
¿Cómo afecta la matriz a mi SAQ?+
Directamente: cuantos más requisitos queden del lado del proveedor, menos controles tienes que evidenciar tú. Es el documento que respalda pasar de SAQ D a un cuestionario más corto como SAQ A.
Ready to take secure payments?
Book a demo with our team. We'll show you DTMF masking live, talk through PCI DSS scope reduction, and put together pricing based on your call volume.
Trusted by law firms, insurers, healthcare providers and regulated businesses worldwide. Learn more about Paytia