Registro Global de Proveedores de Servicios de Visa explicado

Qué es realmente el Registro Global de Proveedores de Servicios de Visa

El Registro Global de Proveedores de Servicios de Visa es un directorio público que Visa mantiene con todos los agentes externos que han superado la verificación de cumplimiento de Visa dentro del programa Account Information Security (AIS). Si tu negocio almacena, procesa o transmite datos de titulares de tarjetas Visa en nombre de comercios, adquirentes o emisores, Visa espera que figures en esta lista. Los comercios y adquirentes la usan como punto de control de diligencia debida sobre el proveedor antes de firmar un contrato.

El registro no es lo mismo que el cumplimiento de PCI DSS por sí solo. PCI DSS es el estándar de seguridad de base. El registro con Visa es una capa adicional por encima: tienes que estar validado en PCI DSS, tienes que estar inscrito en el programa AIS de Visa y tienes que enviar tus documentos de validación a Visa cada año. Si superas las tres cosas, Visa te incluye. Si te saltas el plazo anual, desapareces de la lista.

Quién debe figurar en él

Visa define a un proveedor de servicios como cualquier tercero que maneje datos de titulares de tarjetas en nombre de otra parte dentro de la cadena de pago. Esto abarca un conjunto amplio de modelos de negocio:

• Pasarelas y procesadores de pago
• Plataformas de call center alojadas y proveedores de IVR
• Proveedores de enmascaramiento DTMF y de grabación de llamadas con pausa y reanudación
• Proveedores de alojamiento gestionado para sistemas dentro del alcance
• Servicios de tokenización y de bóveda de datos
• Proveedores de almacenamiento de tarjeta en archivo
• Servicios de detección de fraude que reciben datos del PAN
• Centros de impresión y de estados de cuenta que manejan datos de tarjeta

Si solo manejas datos de titulares de tarjetas para tu propia cuenta de comercio y no actúas en nombre de nadie más, eres un comercio, no un proveedor de servicios. No te registras. En su lugar, completas el SAQ correspondiente o un ROC de comercio.

Cómo aparecer en la lista

Aparecer en el registro es un proceso de tres pasos, y los tres pasos se ejecutan en un ciclo anual.

1. Supera una evaluación de PCI DSS como proveedor de servicios de Nivel 1

Cualquier proveedor de servicios que almacene, procese o transmita más de 300.000 transacciones Visa al año es de Nivel 1. Los proveedores de servicios de Nivel 1 deben tener un Informe de Cumplimiento (ROC) firmado por un Qualified Security Assessor (QSA). Los proveedores más pequeños que manejan menos de 300.000 transacciones pueden autoevaluarse con el SAQ-D adecuado para proveedores de servicios, pero Visa sigue exigiendo la vía del ROC para figurar en el registro en la mayoría de las categorías.

2. Inscríbete en el programa AIS de Visa

La inscripción se realiza a través de tu adquirente o directamente con Visa, según tu región. Envías los datos de tu empresa, los servicios que prestas y el alcance de los datos de titulares de tarjetas que manejas. Visa lo revisa y confirma que eres apto para ser evaluado conforme a sus requisitos.

3. Envía tu AOC y los documentos de respaldo a Visa

Una vez que tu QSA firma el ROC, tu Atestación de Cumplimiento (AOC) y las secciones correspondientes del ROC se envían a Visa. Visa los revisa y, si todo está en orden, apareces en el registro público en unas pocas semanas. La ficha muestra el nombre de tu empresa, los servicios cubiertos, la fecha de tu evaluación y la fecha de vencimiento de tu validez.

El ciclo de renovación anual

Tu ficha es válida durante un año a partir de la fecha de tu AOC. Para mantenerte en el registro, tienes que repetir la evaluación completa cada año y volver a enviarla. No hay un periodo de gracia en el que valga la pena confiar: si tu AOC vence y la nueva no está presentada ante Visa, desapareces del registro y los comercios que consulten la lista te verán como no conforme. La mayoría de los proveedores programan el trabajo de campo de su evaluación al menos tres meses antes del vencimiento para dar al QSA, a Visa y a cualquier trabajo de subsanación suficiente margen de maniobra.

Por qué los comercios consultan el registro

Para un comercio, contratar a un proveedor de servicios que maneje datos de titulares de tarjetas es una de las formas más fáciles de ampliar su propio alcance de PCI por accidente. Si tu proveedor sufre una brecha, puedes acabar respondiendo por ello bajo tu propio acuerdo de comercio.

Consultar el registro de Visa antes de firmar es un seguro barato. Te dice tres cosas:

• El proveedor cumple hoy. Su AOC está vigente, firmada por un QSA y aceptada por Visa.
• Los servicios que estás contratando están realmente dentro del alcance. La ficha del registro muestra qué servicios concretos se evaluaron. Un proveedor puede figurar para tokenización pero no para la captura de pagos en call center: lee el alcance.
• Tienes pruebas para tu propio evaluador. Cuando tu QSA te pida la prueba de la diligencia debida sobre el proveedor bajo el Requisito 12.8 de PCI DSS, la ficha del registro más una copia de la AOC del proveedor es la respuesta más limpia que puedes dar.

¿Y si un proveedor no está en el registro?

No todos los proveedores que cumplen PCI aparecen en el registro de Visa, y eso no es automáticamente una señal de alarma. Algunos negocios superan su evaluación de PCI DSS pero no se inscriben en AIS porque no atienden suficiente volumen de Visa para justificarlo, o porque solo prestan servicio a emisores y no a comercios. Pídele al proveedor directamente su AOC vigente y el nombre de su QSA. Si no pueden presentarlos, aléjate.

Un proveedor que solía estar en el registro y ya no lo está es otra conversación. Eso normalmente significa que no renovó a tiempo. Pregunta por qué y cuándo se espera la próxima AOC.

Registro de Visa frente al CSPCDP de Mastercard

Mastercard mantiene una lista equivalente llamada Compliant Service Provider Customer Database Portal (CSPCDP). La mayoría de los proveedores de servicios que manejan datos de tarjeta aparecen en ambas, porque la mayoría de los adquirentes y comercios consultarán las dos antes de contratar. American Express tiene su propia política operativa de seguridad de datos con un requisito de atestación similar, pero sin registro público: tienes que pedirle al proveedor su AOC directamente. Si estás verificando a un proveedor, prevé consultar Visa, Mastercard y solicitar la prueba de Amex por separado.