En México, cualquier organización que almacene, procese o transmita datos de tarjetas de pago (crédito, débito o prepago) debe cumplir con PCI DSS. Esta obligación aplica sin importar el tamaño de la empresa o su volumen de transacciones. Usar una pasarela de pagos de terceros puede reducir el alcance, pero no elimina la responsabilidad: lo crítico es definir con precisión qué sistemas, accesos y proveedores pueden ver o impactar la seguridad del flujo de pago.
Tabla de Contenido
¿Que empresas necesitan el cumplimiento PCI DSS?
En México, PCI DSS (Payment Card Industry Data Security Standard) aplica a cualquier empresa que, por su modelo de cobro o su rol operativo, toque (o pueda comprometer) datos de tarjeta. El país no cambia la lógica; cambia el ecosistema: adquirentes, pasarelas, procesadores, bancos, agregadores, ecommerce, call centers, franquicias, marketplaces.
La forma más útil de entenderlo es por roles:
1) Comercios (merchants): Quienes aceptan tarjeta como forma de pago
Eres “comercio” si aceptas tarjetas para vender productos o servicios, ya sea en tienda, en línea o por teléfono.
Ejemplos típicos en México:
- Retail y ecommerce que cobran con tarjeta en checkout.
- Restaurantes y cadenas con POS.
- Hospitales, escuelas, hoteles, aerolíneas.
- Marketplaces que cobran a nombre de terceros (en ciertos modelos también asumen obligaciones adicionales por el flujo de datos).
Punto clave: subcontratar el cobro no elimina tu responsabilidad. Lo que cambia es qué tanto alcance tienes y qué evidencia te van a pedir.
2) Proveedores de servicio (service providers): Quienes procesan o influyen en la seguridad del pago
Eres “proveedor de servicio” si procesas, almacenas o transmites datos de tarjeta en nombre de otra empresa, o si tu servicio puede impactar la seguridad del entorno de datos de tarjeta.
Ejemplos típicos:
- Pasarelas de pago y agregadores.
- Procesadores y switches de transacciones.
- Proveedores de tokenización y antifraude cuando tocan el flujo o el entorno.
- Call centers/BPO que toman pagos por teléfono.
- Proveedores de hosting, infraestructura o servicios administrados que alojan sistemas dentro del entorno de pago o con acceso que impacta su seguridad
3) Adquirentes e emisores: Bancos y entidades del sistema de pago
En esta normativa, también entran actores como adquirentes (quienes afilian comercios) y emisores (quienes emiten tarjetas), además de procesadores y otros participantes del ecosistema de pagos.
Niveles de cumplimiento de PCI DSS
| PCI DSS Nivel | Criterio | Documento requerido |
|---|---|---|
| Nivel 1 | Comercios que procesan más de 6 millones de transacciones por año (Visa, Mastercard, Discover o Amex) | Evaluación presencial de PCI DSS + Certificación de Cumplimiento (AoC) |
| Nivel 2 | Comercios que procesan entre 1 y 6 millones de transacciones anualmente | Cuestionario de Autoevaluación (SAQ) |
| Nivel 3 | Comercios que procesan entre 20,000 y 1 millón de transacciones anualmente | Cuestionario de Autoevaluación (SAQ) |
| Nivel 4 | Comercios que procesan menos de 20,000 transacciones anualmente | Cuestionario de Autoevaluación (SAQ) |
¿Qué pasa si no cumplo con la norma PCI DSS?
Incumplir PCI DSS no suele “pasar desapercibido”. En la práctica, el impacto llega por tres vías: penalizaciones contractuales, costos operativos por incidentes y restricciones para seguir procesando tarjetas.
1) Multas y cargos por incumplimiento
PCI DSS es un estándar de la industria, y las multas/penalizaciones por no cumplir se definen por cada marca de tarjeta y se aplican a través del banco adquirente o el procesador, que normalmente las traslada al comercio o proveedor.
En la industria se reportan rangos típicos de penalización por incumplimiento de aprox. USD $5,000 a $100,000 por mes (Fuente: LegalClarity).
2) Aumento de comisiones y condiciones más duras con el adquirente
Además de penalizaciones, el adquirente puede incrementar tarifas, imponer requisitos adicionales de validación o endurecer el monitoreo hasta que demuestres cumplimiento. En casos graves, puede terminar la relación y dejarte sin capacidad de procesar tarjetas.
3) Si hay brecha, el costo se multiplica
Cuando ocurre un incidente, normalmente aparecen costos que no estaban en el presupuesto: forense, contención, remediación, reposición de tarjetas, atención a tarjetahabientes, y esfuerzos acelerados de cumplimiento. PCI DSS no elimina el riesgo, pero sí cambia el escenario: exige controles y evidencia que reducen exposición y tiempos de respuesta.
Conoce más sobre: 10 errores de compliance que terminan en multas
Casos frecuentes en México donde PCI DSS sí aplica
Ecommerce con pasarela “externa”
Aunque uses un tercero, tu sitio puede seguir estando en alcance si:
- Rediriges mal el flujo.
- Inyectas scripts o plugins que tocan el checkout.
- Administras servidores donde vive el sitio.
Cobro por WhatsApp, mail o formularios
Si alguien pide “mándame la tarjeta por mensaje” y eso termina en correo, chat, CRM o tickets, ya tienes almacenamiento no intencional. Eso se vuelve un problema de alcance y evidencia.
Call center y reservas
Si tomas tarjeta por teléfono, la pregunta es directa: ¿se graba la llamada, se anota en algún sistema, se captura en pantalla, se guarda en notas? Si sí, PCI DSS te aplica.
Proveedores de TI con acceso a sistemas de cobro
No necesitas ver el número de tarjeta para entrar en alcance. Si administras infraestructura, accesos o despliegues del entorno donde se cobran tarjetas, puedes influir en su seguridad y, por tanto, en el alcance de PCI DSS.
¿Por qué cumplir con PCI DSS?
- Sostiene la confianza con evidencia, no con declaraciones: Cuando cobras con tarjeta, la reputación depende de si puedes demostrar control sobre el flujo de pago. PCI DSS te obliga a operar con prácticas verificables: accesos, segmentación, monitoreo, gestión de cambios y pruebas. Eso es lo que protege la confianza cuando hay auditoría, disputa o incidente.
- Ordena el cumplimiento porque define controles y evidencia por alcance: PCI DSS funciona como marco operativo para el entorno de pago: qué sistemas entran, qué queda fuera y qué evidencia respalda esa decisión. Esto no sustituye regulaciones locales ni requisitos de clientes, pero reduce fricción porque ya traes controles trazables y un lenguaje común de auditoría.
- Reduce pérdidas al bajar exposición y mejorar respuesta, según el alcance real: Cumplir no elimina el riesgo. Lo que hace es disminuir superficie de ataque del entorno de pago y mejorar tu capacidad de detectar, contener y demostrar control si ocurre un evento. Eso suele traducirse en menos costos por remediación acelerada, forense, interrupciones y penalizaciones contractuales.
- Habilita negocio B2B cuando el cliente exige evidencia antes del contrato: En corporativos, “tenemos seguridad” no es argumento. Lo que importa es alcance, controles operables y evidencia. PCI DSS te ayuda a llegar con eso: un entorno definido, responsabilidades claras con terceros y pruebas que soportan auditorías de proveedores.
¿Cómo puede ayudar TecnetOne a cumplir con la norma PCI DSS?
El problema que más aparece en auditorías PCI no es la falta de controles: es la falta de evidencia trazable que los soporte. Desde nuestro SOC as a Service, trabajamos el entorno de pago (CDE) con ese objetivo: monitoreo operativo, generación de evidencia auditable y respuesta documentada dentro del alcance definido, con responsabilidades compartidas.
- Alcance y cobertura (CDE): Definimos qué entra y qué queda fuera, validamos segmentación y priorizamos activos y fuentes de logs para reducir superficie de auditoría.
- Monitoreo y evidencia PCI: Detectamos actividad anómala y generamos evidencia trazable y reportes alineados a auditoría.
- Accesos privilegiados y cambios críticos: Alertamos sobre cuentas admin, accesos fuera de patrón y cambios sensibles en el entorno de pago.
- Respuesta a incidentes: Ejecutamos runbooks acordados, documentamos timeline, preservamos evidencia y emitimos reporte de remediación.
- Vulnerabilidades y remediación: Priorizamos por criticidad dentro del CDE y damos seguimiento a cierre con evidencia.
- Control de cambios y desviaciones: Detectamos desviaciones de configuración y registramos excepciones con responsable y vigencia.
- SLA medible: Operamos con SLA contratado para tiempos de triage, notificación, escalamiento y contención, y reportamos cumplimiento de SLA y métricas operativas para CISO/CTO y auditoría.
Nuestro SOC no "certifica" PCI DSS por sí solo. Lo que hace es operar, con evidencia continua, los controles que PCI exige dentro del alcance definido del entorno de pago, y dejar trazabilidad defendible ante auditoría.
