Cumplimiento normativo en materia de pagos: Normativas clave y mejores prácticas
Toda empresa que maneja dinero tiene problemas de cumplimiento normativo. Transacciones con tarjeta, pagos en línea, criptomonedas... da igual el canal. Las normas se aplican, las sanciones son reales y su incumplimiento rara vez termina sin consecuencias.
Lo que dificulta el cumplimiento normativo en materia de pagos no es saber que existe, sino comprender qué regulaciones se aplican a su negocio específico, cómo interactúan entre sí y qué medidas debe tomar. Esta guía aborda precisamente eso.
¿Qué es el cumplimiento normativo en materia de pagos y por qué es importante?
Si le preguntas a cinco operadores de pago diferentes qué significa "cumplimiento de pagos", probablemente obtendrás cinco respuestas distintas. En la práctica, abarca el conjunto completo de normas que rigen cómo las empresas recopilan, almacenan, transmiten y procesan los datos de pago. Estas normas existen porque cuando los sistemas de pago fallan —ya sea por fraude, lavado de dinero o filtración de datos— el daño se propaga rápida y ampliamente.
Las empresas sujetas a estas obligaciones incluyen prácticamente a todas aquellas que manejan dinero digitalmente: minoristas en línea, plataformas SaaS, mercados en línea, empresas fintech y comerciantes de criptomonedas. Las normas no contemplan exenciones por tamaño. Una startup de diez empleados se enfrenta a los mismos requisitos básicos que una gran empresa.
Cifras que ponen las cosas en perspectiva: se proyecta que el fraude en los pagos y las pérdidas en el comercio electrónico alcancen los 343 mil millones de dólares entre 2023 y 2027. El Informe de Seguridad de Pagos de Verizon de 2023 reveló que el 64 % de las empresas aún no cumplen completamente con la norma PCI DSS. Además, una sola filtración de datos puede desencadenar demandas, auditorías obligatorias y sanciones por parte de las redes de tarjetas que tardan años en resolverse.
Cumplir con la normativa mantiene abierto el acceso a la red de pagos. Perderlo, ya sea por una infracción o una brecha de seguridad, puede cerrar esa puerta definitivamente.
¿Quién regula el cumplimiento de los pagos a nivel mundial?
No existe una única autoridad que regule el cumplimiento normativo en materia de pagos a nivel mundial. Un conjunto heterogéneo de organismos establece estándares y aplica normas en distintas jurisdicciones, y la mayoría de las empresas terminan rindiendo cuentas a más de uno.
| Regulador | Jurisdicción | Alcance |
|---|---|---|
| PCI SSC (Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago) | Global | Establece PCI DSS, el estándar básico de seguridad de datos para pagos con tarjeta. |
| GAFI (Grupo de Acción Financiera Internacional) | Global (más de 40 países miembros) | Establece estándares contra el lavado de dinero y la financiación del terrorismo. |
| Banco Asiático Europeo / Banco Central Europeo | unión Europea | Aplica la PSD2 y otorga licencias a los proveedores de servicios de pago. |
| FinCEN (Red de Control de Delitos Financieros) | Estados Unidos | Aplicación de la normativa contra el blanqueo de capitales, Ley de Secreto Bancario, orientación sobre criptomonedas |
| FTC (Comisión Federal de Comercio) | Estados Unidos | Protección de datos del consumidor, prácticas de pago abusivas |
| ICO / Autoridades de Protección de Datos | UE y Reino Unido | Aplicación del RGPD |
| bancos centrales | Cada país | Autorizar y supervisar localmente a los proveedores de servicios de pago. |
Por ejemplo, un comercio con sede en la UE que acepta tarjetas estadounidenses de clientes internacionales debe cumplir simultáneamente con las normativas PCI DSS, GDPR y, potencialmente, con las directrices de FinCEN. Gestionar esta superposición es lo que implica el cumplimiento normativo y de pagos cuando una empresa opera a nivel internacional.
Explicación de las principales normativas de cumplimiento en materia de pagos.
Cinco normativas definen la mayor parte de lo que la mayoría de las empresas deben hacer. Cada una se centra en un área de riesgo diferente y tiene su propia estructura de sanciones.
- PCI DSS (Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago) se aplica a cualquier entidad que almacene, procese o transmita datos de titulares de tarjetas. Establece 12 requisitos técnicos y operativos. Las multas por incumplimiento oscilan entre $5,000 y $100,000 mensuales, según la gravedad de la infracción.
- PSD2 — La Directiva de Servicios de Pago 2 de la UE regula a los proveedores de servicios de pago en todo el Espacio Económico Europeo. El requisito principal es la Autenticación Reforzada del Cliente (SCA) para las transacciones electrónicas. Las multas pueden alcanzar los 5 millones de euros o el 3 % de los ingresos anuales globales.
- AML/KYC — Las regulaciones contra el lavado de dinero exigen que las empresas verifiquen la identidad de sus clientes (Conozca a su cliente), supervisen las transacciones para detectar actividades sospechosas y presenten informes de actividades sospechosas. Estas normas provienen de leyes nacionales basadas en las recomendaciones del GAFI.
- RGPD / CCPA : El Reglamento General de Protección de Datos (RGPD) de la UE y la Ley de Privacidad del Consumidor de California (CCPA) establecen las normas de privacidad de datos en los pagos, regulando la recopilación, el almacenamiento y el procesamiento de datos personales e información de pago. Las multas por incumplimiento del RGPD alcanzan un máximo de 20 millones de euros o el 4 % de la facturación anual global. La multa de 405 millones de euros impuesta a Meta en 2022 confirmó que los reguladores aplicarán la normativa con rigor.
- Normativa BSA/FinCEN : La Ley de Secreto Bancario de EE. UU. exige que las instituciones financieras y las empresas de servicios monetarios mantengan programas contra el lavado de dinero, informen sobre las transacciones en efectivo superiores a 10 000 dólares y presenten informes de actividades sospechosas (SAR). FinCEN ha extendido estas obligaciones a las empresas de criptomonedas que operan en EE. UU.
PCI DSS 4.0: La base de la seguridad de los datos de pago
La mayoría de las empresas online se enfrentan a la normativa PCI DSS antes que a cualquier otra. La versión 4.0 se finalizó en 2022 y entró en vigor en su totalidad en abril de 2025, introduciendo cambios importantes que los comerciantes y los proveedores de pago deben conocer.
El nivel de cumplimiento depende del volumen anual de transacciones con tarjeta:
- Nivel 1 : Más de 6 millones de transacciones al año: auditoría anual in situ realizada por un Evaluador de Seguridad Calificado (QSA).
- Nivel 2 : 1–6 millones de transacciones/año — Cuestionario de autoevaluación anual (SAQ) más análisis de red trimestrales
- Nivel 3 : 20.000–1 millón de transacciones de comercio electrónico/año — SAQ más escaneos trimestrales
- Nivel 4 : Menos de 20.000 transacciones de comercio electrónico al año — Se recomienda el SAQ
¿Qué cambió en la versión 4.0 en comparación con la versión 3.2.1?
- Enfoque personalizado : las empresas ahora pueden implementar controles alternativos que cumplan con el propósito de un requisito, en lugar de seguir al pie de la letra las especificaciones técnicas prescriptivas.
- Autenticación multifactor obligatoria : ahora se requiere la autenticación multifactor para todo acceso al entorno de datos del titular de la tarjeta, no solo para las sesiones remotas.
- Capacitación en phishing e ingeniería social : la capacitación específica en sensibilización es un requisito formal, no una recomendación.
- Contraseñas más seguras : mínimo 12 caracteres (antes 8), con rotación automática cada 90 días para cuentas con altos privilegios.
Ignorar la norma PCI DSS tiene consecuencias graves. Cuando Heartland Payment Systems sufrió una brecha de seguridad en 2008, las pérdidas totales superaron los 200 millones de dólares. Las acciones cayeron un 50 % en cuestión de días y perdieron el 77 % de su valor antes de recuperarse. Las pequeñas empresas no suelen sobrevivir a una situación así.
AML y KYC: Detección de delitos financieros en origen
El cumplimiento de las normas contra el blanqueo de capitales implica crear sistemas que detecten los delitos financieros antes de que se produzcan en su plataforma. El proceso KYC (verificación de identidad) es lo que hace posible este monitoreo.
Lo que realmente exige el cumplimiento de las normas contra el blanqueo de capitales:
- Monitoreo de transacciones : sistemas automatizados que detectan patrones inusuales: grandes transferencias, movimientos rápidos de fondos, estructuración (dividir transacciones para mantenerse por debajo de los umbrales de notificación).
- Presentación de SAR : cuando se detecta una actividad sospechosa, se debe presentar un Informe de Actividad Sospechosa ante la autoridad competente dentro de los plazos establecidos.
- Control de sanciones : cada cliente y contraparte se verifica en tiempo real con las listas de sanciones de la OFAC, la ONU y la UE.
- Debida diligencia del cliente (CDD) : revisión continua del perfil de riesgo, no solo una verificación inicial única.
- Debida diligencia reforzada (DDR) : mayor escrutinio para clientes de alto riesgo: personas políticamente expuestas (PEP) y cualquier persona procedente de una jurisdicción de alto riesgo.
El proceso KYC (Conozca a su cliente) durante la incorporación de clientes generalmente implica la verificación de documentos (identificación oficial, comprobante de domicilio) y una comprobación de autenticidad. Las soluciones eKYC ahora gestionan esto en segundos mediante inteligencia artificial; para cualquier empresa que incorpore clientes a gran escala, esto se ha convertido en el estándar.
La Regla de Viajes del GAFI añade una capa específica para criptomonedas: los proveedores de servicios de activos virtuales deben recopilar y transmitir información del remitente y del destinatario en las transferencias superiores a 1000 dólares. El umbral exacto varía ligeramente según la jurisdicción, pero la obligación se aplica tanto si la transferencia es de Bitcoin, stablecoins o cualquier otro activo digital.
Requisitos de PSD2, SCA y banca abierta
La directiva PSD2 transformó la autenticación para los proveedores de servicios de pago en toda la UE. Su principal requisito, la Autenticación Reforzada del Cliente, es ahora el estándar para cualquier servicio de pago que opere en el Espacio Económico Europeo.
SCA requiere autenticación mediante al menos dos de tres factores independientes:
- Algo que ya sabes : contraseña, PIN, pregunta de seguridad
- Algo que tengas : teléfono móvil, token de hardware, tarjeta inteligente
- Algo que eres : huella dactilar, reconocimiento facial, patrón de voz
3D Secure 2.0 es el principal estándar técnico para implementar la Autenticación Reforzada del Cliente (SCA) en transacciones sin presencia física de la tarjeta. Transmite señales de riesgo entre el comercio, la red de tarjetas y el banco emisor, permitiendo que las transacciones de bajo riesgo se realicen sin problemas.
Las exenciones de la SCA existen para reducir la fricción innecesaria:
| Exención | Condición |
|---|---|
| Transacciones de bajo valor | Menos de 30 € (hasta 5 transacciones consecutivas o 100 € acumulados) |
| Beneficiarios de confianza | El cliente ha autorizado previamente al beneficiario. |
| Pagos recurrentes de importe fijo | La misma cantidad al mismo beneficiario en cada período |
| Herramientas de pago corporativas | Protocolos de pago empresariales específicos |
| Análisis de riesgos de transacciones | Puntuación de fraude en tiempo real por debajo del umbral definido |
La PSD2 también exige la banca abierta. Los bancos deben otorgar a proveedores externos autorizados acceso a los datos de las cuentas de los clientes a través de API, con el consentimiento del cliente. El cumplimiento de estas normas de acceso es una condición para obtener la licencia; no es opcional.
Cumplimiento normativo en materia de pagos en el ámbito de las criptomonedas y los activos digitales.
La mayoría de las guías de cumplimiento de pagos se limitan a los pagos con tarjeta y las transferencias bancarias. Esto representa una importante laguna. Los comerciantes de criptomonedas, las pasarelas de pago y las empresas de activos digitales deben cumplir con la normativa AML/KYC en su totalidad, además de una creciente capa de reglas específicas para criptomonedas.
Los proveedores de servicios de activos virtuales (VASP, por sus siglas en inglés) —intercambios de criptomonedas, monederos, pasarelas de pago— se consideran instituciones financieras a efectos de la lucha contra el blanqueo de capitales según las directrices del GAFI. En la práctica, esto significa:
- KYC completo al momento de la incorporación, monitoreo continuo de transacciones y obligaciones de presentación de SAR
- Regla de viaje del GAFI : las transferencias superiores a 1000 dólares requieren que el nombre del remitente, el número de cuenta del originador y los datos del destinatario se incluyan en la transacción.
- Registro ante FinCEN como empresa de servicios monetarios para empresas de criptomonedas con sede en EE. UU.
- Licencia bajo el Reglamento de Mercados de Criptoactivos ( MiCA) de la UE , en vigor desde 2024, que abarca los requisitos de reserva, las normas de protección del consumidor y las obligaciones de divulgación para los emisores de stablecoins y los proveedores de servicios de criptomonedas.
El reto práctico reside en que el cumplimiento normativo debe funcionar en cientos de activos y cadenas de bloques, cada uno con diferente finalidad de liquidación y trazabilidad. Construirlo desde cero es costoso y lento.
Plisio gestiona el cumplimiento normativo a nivel de pasarela de pago, admitiendo más de 200 criptomonedas y manteniendo la monitorización de transacciones compatible con AML y la incorporación de comerciantes que cumple con los requisitos KYC. Para las empresas de comercio electrónico que desean aceptar criptomonedas sin tener que crear su propia infraestructura de cumplimiento normativo, elegir una pasarela que absorba esa complejidad regulatoria es la opción más práctica.
Cómo crear un flujo de trabajo de cumplimiento de pagos
El cumplimiento normativo no es una herramienta que se activa y desactiva. Es un proceso continuo que fracasa cuando se trata como un proyecto puntual.
- Analiza tu entorno : mapea todos los sistemas que manejan datos de pago: páginas de pago, procesadores, bases de datos e integraciones con terceros. La norma PCI DSS solo cubre lo que está dentro de su alcance, y la mayoría de las filtraciones ocurren en áreas que nunca se incluyeron en dicho alcance.
- Realice un análisis de brechas de cumplimiento : mida los controles actuales en función de PCI DSS, los requisitos AML/KYC y el RGPD (o CCPA). Anote lo que falta, no solo lo que está implementado.
- Implementar controles técnicos : la tokenización reemplaza los números de tarjeta por tokens no confidenciales; el cifrado protege los datos en tránsito y en reposo. Estos dos pasos por sí solos eliminan la mayor parte del alcance de la norma PCI DSS.
- Configure la monitorización de transacciones : los sistemas automatizados deben detectar transacciones sospechosas en tiempo real. Defina las reglas de alerta, revise las colas y los protocolos de escalamiento antes de la puesta en marcha, no después.
- Capacite al personal : la ingeniería social y el phishing provocan más brechas de seguridad que las fallas técnicas. La norma PCI DSS 4.0 ahora exige capacitación específica en concientización sobre seguridad; considérela como un control real.
- Documente todo : políticas, procedimientos, registros de auditoría, planes de respuesta ante incidentes. Los organismos reguladores exigen documentación como prueba de su intención y capacidad, no solo de que sus sistemas funcionan correctamente.
- Programe auditorías periódicas : evaluaciones anuales de PCI DSS, escaneos trimestrales de la red y revisiones continuas del programa AML. El cumplimiento normativo se deteriora sin un mantenimiento activo.
- Elija socios de pago que cumplan con la normativa : su procesador, pasarela de pago y socios bancarios comparten la responsabilidad. Un socio que gestione PCI DSS a nivel de infraestructura reduce drásticamente su alcance.
Buenas prácticas de cumplimiento en materia de pagos para el comercio electrónico
Una vez que su programa de cumplimiento de pagos esté en funcionamiento, estas prácticas evitarán que se desmorone silenciosamente:
- Utilice una pasarela con certificación PCI DSS Nivel 1 : esto delega el manejo de datos del titular de la tarjeta al proveedor, lo que normalmente reduce el alcance de su PCI DSS a un SAQ A.
- Habilitar 3D Secure 2.0 reduce la responsabilidad por fraude en transacciones sin presencia de la tarjeta y cumple con los requisitos de la SCA de la UE.
- Tokeniza todo : reemplaza los números de tarjeta con tokens en el punto de entrada; los datos brutos del titular de la tarjeta nunca deben permanecer en tus sistemas.
- Implementa la identificación de dispositivos y la geolocalización IP : genera señales de prevención de fraude a partir de datos de comportamiento sin añadir fricción al proceso de pago.
- Aplique la minimización de datos : según el RGPD, recopile solo lo que necesita, consérvelo solo durante el tiempo necesario y elimínelo según lo programado.
- Verifique a los comerciantes antes de habilitar los pagos ; en un mercado o plataforma, el cumplimiento de los requisitos de incorporación también se extiende a los subcomerciantes.
- Mantén un plan de respuesta ante incidentes : el RGPD exige la notificación de violaciones de seguridad a las autoridades reguladoras en un plazo de 72 horas; la mayoría de los estados de EE. UU. exigen 30 días. Un plan no probado es solo un documento.
