Módulo 3: Niveles de cumplimiento PCI explicados

Para ver la definición formal consulta Niveles de PCI DSS. Este módulo es la versión práctica.

Si procesas pagos con tarjeta, las reglas de PCI DSS aplican — pero con qué rigor depende de tu volumen de transacciones. Una florería que toma 200 pagos al año no enfrenta la misma carga de validación que una cadena de supermercados que toma millones. Para eso están los niveles de cumplimiento: ajustar el rigor de la auditoría al tamaño del riesgo.

Esta guía refleja PCI DSS v4.0.1, la versión actual del estándar (obligatoria desde el 31 de marzo de 2025).

Los niveles de cumplimiento de PCI DSS son cuatro escalones — numerados del 1 al 4 — que determinan cómo un comercio debe validar el cumplimiento del Payment Card Industry Data Security Standard. El nivel depende del volumen anual de transacciones con tarjeta: el Nivel 1 cubre comercios que procesan más de 6 millones de transacciones al año y exige una auditoría completa en sitio por un Qualified Security Assessor; el Nivel 2 cubre de 1 a 6 millones; el Nivel 3 cubre de 20.000 a 1 millón de transacciones de comercio electrónico; el Nivel 4 cubre menos de 20.000 transacciones de comercio electrónico o menos de 1 millón de transacciones totales, y se valida mediante un Cuestionario de Autoevaluación.

Los niveles de cumplimiento de PCI DSS — a veces llamados niveles de comercio o niveles PCI — se crearon para que el esfuerzo de validación escale con el volumen de transacciones. Un comercio de Nivel 1 enfrenta un Report on Compliance (RoC) completo firmado por un Qualified Security Assessor (QSA), que suele costar decenas de miles de libras y tomar meses. Un comercio de Nivel 4 suele poder autoacreditarse con un Cuestionario de Autoevaluación en una tarde. Los proveedores de servicio van en una escala aparte — cualquiera que maneje más de 300.000 transacciones con tarjeta al año está en Nivel 1 de proveedor de servicio, con requisitos de auditoría parecidos a los de un comercio Nivel 1.

Por qué existen los niveles de cumplimiento

No todos los negocios procesan el mismo volumen de transacciones con tarjeta, y no tendría sentido imponer requisitos de validación idénticos a una tienda de barrio y a una cadena nacional de supermercados. Por eso PCI DSS usa un sistema escalonado de niveles de cumplimiento. Tu nivel se determina principalmente por la cantidad de transacciones con tarjeta que procesas cada año, y dicta con cuánto rigor debes demostrar cumplimiento.

Hay cuatro niveles de cumplimiento, numerados del 1 al 4. El Nivel 1 es el más alto y exige la validación más rigurosa. El Nivel 4 es el más bajo, con requisitos más ligeros. La mayoría de negocios pequeños y medianos caen en Nivel 3 o Nivel 4, lo cual significa que pueden validar el cumplimiento con un Cuestionario de Autoevaluación (SAQ) en vez de una auditoría formal en sitio.

Entender tu nivel de cumplimiento es de las primeras cosas que debes hacer al abordar PCI DSS. Te dice qué validación necesitas, cuánto te va a costar, en términos generales, y qué recursos debes destinar. Vamos a desglosar cada nivel.

Los cuatro niveles de cumplimiento

Nivel 1 — Más de 6 millones de transacciones al año

El Nivel 1 aplica a los comercios más grandes — aquellos que procesan más de 6 millones de transacciones con tarjeta al año entre todos los canales (en tienda, en línea, telefónica y cualquier otro método sumados). Esto incluye grandes minoristas, aerolíneas, cadenas hoteleras y plataformas grandes de comercio electrónico.

Los requisitos de validación de Nivel 1 son los más estrictos:

• Evaluación anual en sitio realizada por un Qualified Security Assessor (QSA), que termina en un Report on Compliance (RoC)
• Escaneos trimestrales de vulnerabilidades de red realizados por un Approved Scanning Vendor (ASV)
• Pruebas de penetración anuales
• Attestation of Compliance (AoC) entregada al banco adquirente

El costo del cumplimiento de Nivel 1 es alto. Una evaluación QSA por sí sola puede costar de £30.000 a £100.000 o más, según la complejidad del entorno de datos del titular de tarjeta. Súmale los costos de remediación, herramientas de seguridad y recursos internos, y el costo total anual de cumplimiento para comercios Nivel 1 muchas veces llega a las seis cifras.

Nivel 2 — De 1 millón a 6 millones de transacciones al año

El Nivel 2 cubre comercios medianos que procesan entre 1 y 6 millones de transacciones al año. Cadenas minoristas regionales, negocios establecidos de comercio electrónico y proveedores de servicio medianos suelen caer en esta franja.

Los requisitos de validación de Nivel 2 incluyen:

• Cuestionario de Autoevaluación (SAQ) anual — aunque algunos bancos adquirentes pueden seguir exigiendo una evaluación QSA
• Escaneos trimestrales de vulnerabilidades de red por un ASV
• Attestation of Compliance (AoC)

La diferencia práctica con el Nivel 1 es que la mayoría de comercios Nivel 2 puede autoevaluarse en vez de contratar un QSA. Sin embargo, tu banco adquirente tiene la última palabra — algunos bancos exigen que los comercios Nivel 2 contraten un QSA, sobre todo si hubo un incidente de seguridad previo.

Nivel 3 — De 20.000 a 1 millón de transacciones de comercio electrónico al año

El Nivel 3 se centra específicamente en comercios de comercio electrónico que procesan entre 20.000 y 1 millón de transacciones en línea al año. Este nivel se diseñó para atender los riesgos particulares asociados a los sistemas de pago expuestos a internet.

Si tu negocio toma pagos principalmente en persona o por teléfono, el Nivel 3 normalmente no aplicaría solo por volumen de comercio electrónico — más probable es que caigas en Nivel 4 según tu total de transacciones.

Requisitos de validación para Nivel 3:

• Cuestionario de Autoevaluación (SAQ) anual
• Escaneos trimestrales de vulnerabilidades de red por un ASV
• Attestation of Compliance (AoC)

Nivel 4 — Menos de 20.000 transacciones de comercio electrónico o hasta 1 millón de transacciones totales al año

El Nivel 4 es donde se ubica la mayoría de los negocios. Si procesas menos de 20.000 transacciones de comercio electrónico al año, o hasta 1 millón de transacciones totales entre todos los canales, eres un comercio Nivel 4. Esto cubre la mayoría de negocios pequeños, minoristas independientes, despachos profesionales, organizaciones benéficas y centros de contacto pequeños.

Los requisitos de validación de Nivel 4 son los más ligeros:

• Cuestionario de Autoevaluación (SAQ) anual
• Escaneos trimestrales de vulnerabilidades de red por un ASV (recomendados y, muchas veces, exigidos por los bancos adquirentes)
• Attestation of Compliance (AoC)

Que sean "los más ligeros" no significa "opcional". Los comercios Nivel 4 siguen estando plenamente obligados por PCI DSS. Los 12 requisitos siguen aplicando. La diferencia está en cómo demuestras el cumplimiento — mediante autoevaluación en vez de auditoría externa.

Cómo se cuentan las transacciones

Una fuente común de confusión es cómo se cuentan las transacciones. Algunos detalles importantes:

• Cada transacción individual cuenta — si un cliente compra tres artículos en transacciones separadas, son tres transacciones, no una
• Todas las marcas de tarjeta se suman — sumas las transacciones de Visa, Mastercard, Amex y cualquier otra marca
• Todos los canales se suman para Nivel 1 y 2 — se totalizan las transacciones en línea, en tienda, telefónicas y por correo postal
• El comercio electrónico se cuenta por separado para Nivel 3 — este umbral mide específicamente las transacciones en línea
• Los reembolsos y contracargos normalmente cuentan porque siguen implicando transmitir datos de tarjeta

Tu banco adquirente es la autoridad final sobre tu nivel de cumplimiento. Si no estás seguro, pregúntales directamente. Te pueden decir tu clasificación según sus registros de tu volumen de transacciones.

Qué pasa cuando tu nivel cambia

Los niveles de cumplimiento no son permanentes. A medida que tu negocio crece y los volúmenes de transacción suben, te pueden reclasificar a un nivel más alto. Igual, si los volúmenes bajan, podrías pasar a un nivel más bajo — aunque es menos común y los bancos suelen ser conservadores para bajar a alguien de nivel.

También hay situaciones en las que te pueden subir de nivel sin importar el volumen:

• Tras una brecha de datos — las marcas de tarjetas o tu banco adquirente pueden escalarte a Nivel 1, exigiendo una evaluación QSA completa, sin importar cuántas transacciones proceses
• A criterio del banco adquirente — si tu banco tiene dudas sobre tu postura de seguridad, puede exigir validación más rigurosa
• Mandatos de las marcas de tarjetas — Visa, Mastercard y otras pueden designar comercios específicos para monitoreo reforzado en cualquier momento

Un punto importante: los niveles de cumplimiento definen la validación mínima. Tu banco adquirente siempre puede exigir más.

Niveles de cumplimiento para proveedores de servicio

Los niveles que vimos hasta ahora aplican a comercios — negocios que aceptan pagos con tarjeta. Los proveedores de servicio — empresas que almacenan, procesan o transmiten datos del titular de tarjeta en nombre de los comercios — tienen su propia clasificación:

• Proveedores de servicio Nivel 1 procesan más de 300.000 transacciones al año o están designados por una marca de tarjetas. Deben pasar una evaluación QSA anual y producir un Report on Compliance.
• Proveedores de servicio Nivel 2 procesan menos de 300.000 transacciones al año. Pueden completar un SAQ anual y escaneos ASV trimestrales.

Al evaluar soluciones de pago, verifica siempre que tu proveedor mantiene un cumplimiento PCI DSS adecuado. Por ejemplo, Paytia está validado como proveedor de servicio Nivel 1 de PCI DSS, lo cual significa que pasa la evaluación anual más rigurosa — dándoles a sus clientes confianza de que la plataforma cumple con los estándares de seguridad más altos.

La relación entre niveles y SAQ

Tu nivel de cumplimiento te dice cómo validar. Tu tipo de SAQ te dice qué validar. Trabajan en conjunto.

Un comercio Nivel 4 que tercerizó por completo su procesamiento de tarjetas podría completar SAQ A (22 preguntas) una vez al año. Un comercio Nivel 4 que almacena datos de tarjeta en sus propios servidores necesitaría SAQ D (326 preguntas). Ambos son Nivel 4, pero su carga de cumplimiento es muy distinta por cómo manejan los datos de tarjeta.

Por eso reducir el alcance — bajar la cantidad de sistemas que tocan datos de tarjeta — es tan valioso. No cambia tu nivel de cumplimiento, pero puede simplificar mucho tu SAQ. Cubrimos los tipos de SAQ a detalle en el Módulo 4 y las estrategias de reducción de alcance en el Módulo 5.

Puntos clave

• Hay cuatro niveles de cumplimiento para comercios, según el volumen anual de transacciones con tarjeta — Nivel 1 (más de 6 millones) hasta Nivel 4 (hasta 1 millón total o menos de 20.000 de comercio electrónico)
• La mayoría de negocios pequeños y medianos son Nivel 4, y validan el cumplimiento con Cuestionarios de Autoevaluación anuales en vez de auditorías en sitio
• Tu banco adquirente determina tu nivel y puede exigir una validación más rigurosa que el mínimo — sobre todo tras una brecha de datos
• Los proveedores de servicio tienen un sistema aparte de dos niveles — verifica siempre que tus proveedores de pago mantienen la validación PCI DSS adecuada
• Tu nivel define cómo validas; tu tipo de SAQ define qué validas — reducir el alcance simplifica el "qué" sin importar tu nivel
• Todos los niveles exigen cumplimiento total de PCI DSS — la diferencia está en el rigor de la validación, no en si los requisitos aplican