Skip to main content
Blog
Blog

¿Se puede usar Adyen para cumplir con PCI DSS?

Sí, PERO dependiendo de la integración, tu empresa sigue siendo responsable de garantizar el cumplimiento del Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS).

Mar 21, 2025 5 min read
adyen-pci-dss-image-cover

Sí, Adyen cumple con PCI DSS como Proveedor de Servicios de Nivel 1, pero los comerciantes que usan Adyen siguen siendo responsables de su propio cumplimiento de PCI según el método de integración que utilicen.

El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de normas de seguridad diseñadas para proteger la información de las tarjetas durante y después de una transacción financiera. El cumplimiento implica adherirse a 12 requisitos, que van desde la instalación y el mantenimiento de una red segura hasta la supervisión de scripts de terceros en tus aplicaciones web (PCI 6.4.3 y 11.6.1.).

Cómo cumplir con PCI DSS usando Adyen

Los productos de Adyen están diseñados para ayudar a las empresas a reducir su carga de cumplimiento de PCI DSS gestionando los datos sensibles de las tarjetas de forma segura. Sin embargo, tus requisitos de cumplimiento dependen de cómo integres Adyen.

Si rediriges a los usuarios a las páginas de pago alojadas de Adyen, tu alcance PCI es mínimo (SAQ A).

Si recopilas datos del titular de la tarjeta en tus propios servidores, necesitarás el SAQ D, que conlleva obligaciones de cumplimiento más estrictas.

Tu método de integración con Adyen determina qué SAQ debes completar:

Tipo de integración Alcance PCI SAQ requerido
Páginas de pago alojadas de Adyen (HPP) Mínimo: Adyen gestiona completamente los datos de la tarjeta SAQ A
Cifrado del lado del cliente (CSE)* Mínimo: los datos de la tarjeta se cifran antes de la transmisión* SAQ A-EP*
Integración directa por API Alto: los datos del titular de la tarjeta pasan por tu servidor SAQ D

*Ahora es necesario supervisar las dependencias en las páginas de pago; más información a continuación.

¿Cuál deberías elegir?

  • Usa las páginas de pago alojadas de Adyen (HPP) → SAQ A (cumplimiento más sencillo, los datos de la tarjeta nunca tocan tus servidores).
  • Usa el cifrado del lado del cliente (CSE) → SAQ A-EP (los datos de la tarjeta se cifran antes de llegar a Adyen).
  • Usa la integración directa por API → SAQ D (gestionas los datos de la tarjeta en bruto, mayor carga PCI).

Si tu empresa procesa o almacena datos del titular de la tarjeta (SAQ D), debes:

  • Implementar un cifrado sólido para los datos de pago.
  • Configurar políticas de cortafuegos y control de acceso.
  • Realizar análisis de red trimestrales con un Proveedor de Análisis Aprobado (ASV).
  • Completar una auditoría completa de PCI DSS si eres un comerciante de Nivel 1 (más de 6 millones de transacciones al año).

*Supervisión de dependencias para el cumplimiento del SAQ A

Según la actualización de enero de 2025, el PCI Security Standards Council destacó la importancia de supervisar las dependencias. Esto incluye tanto scripts propios como de terceros en los sitios web. Esta actualización exige a los comerciantes garantizar que sus sitios no sean vulnerables a ataques originados desde dichos scripts.

La guía de cumplimiento PCI DSS de Adyen es la fuente principal específica del procesador para integraciones con Adyen. Si estás comparando el alcance entre proveedores, consulta la guía de PCI DSS con Stripe.

Determina tu nivel de cumplimiento PCI

Nivel Criterios Requisito de validación
Nivel 1 Más de 6 millones de transacciones anuales Auditoría completa in situ por un QSA + SAQ D
Nivel 2 De 1 a 6 millones de transacciones anuales SAQ A, SAQ A-EP o SAQ D + Attestation of Compliance (AOC)
Nivel 3 De 20.000 a 1 millón de transacciones en línea anuales SAQ A, SAQ A-EP o SAQ D + Attestation of Compliance (AOC)
Nivel 4 Menos de 20.000 transacciones en línea O hasta 1 millón de transacciones totales SAQ A, SAQ A-EP o SAQ D + Attestation of Compliance (AOC)

Lectura relacionada: nuestra guía de cumplimiento PCI DSS 6.4.3 y 11.6.1 · responsabilidades PCI DSS compartidas con PayPal Braintree

  • Nivel 1 = Debe realizarse un ROC (Evaluación completa de PCI DSS con Informe completo de cumplimiento por parte de un QSA)
  • Nivel 2 = Debe realizarse al menos un SAQ con atestación de un QSA o ISA externo
  • Nivel 3 = Debe realizarse un SAQ
  • Nivel 4 = Opcional

Envía la certificación de cumplimiento PCI

  • ¿Usas páginas de pago alojadas? → SAQ A
  • ¿Usas cifrado del lado del cliente (CSE)? → SAQ A-EP
  • ¿Usas integración directa por API? → SAQ D

Para comerciantes con SAQ A y SAQ A-EP:

  • Completa el SAQ en el portal de cumplimiento PCI de Adyen.
  • Asegúrate de que ningún script de terceros interfiera con los campos alojados de Adyen.
  • Mantén la documentación para las revisiones anuales de PCI.

Para comerciantes con SAQ D:

  • Implementa controles de seguridad sólidos (cortafuegos, cifrado, supervisión).
  • Realiza análisis de red trimestrales con un Proveedor de Análisis Aprobado (ASV).
  • Somete tu empresa a una auditoría in situ por parte de un QSA si procesas grandes volúmenes.

Una vez que hayas identificado el SAQ correcto según tu método de integración, complétalo de forma exhaustiva. La documentación de PCI DSS de Adyen explica la evidencia y los pasos de validación que los comerciantes deben preparar para su integración específica.

Para un desglose detallado de qué requisitos de PCI DSS cubre Adyen y cuáles siguen siendo tu responsabilidad, consulta Adyen y PCI DSS: lo que cubre el procesador y lo que debes hacer tú.

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks, web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

Adyen tiene certificación PCI DSS Nivel 1 para su propia infraestructura de pagos, pero los comerciantes que usan Adyen no son automáticamente PCI conformes. Aún debes completar un SAQ, y si usas el checkout hospedado de Adyen puedes calificar para SAQ A, pero solo si ningún dato de tarjeta toca tus servidores. En el momento en que usas Web Components o Drop-in de Adyen, se aplica SAQ A-EP, que incluye los requisitos 6.4.3 y 11.6.1 para monitoreo de scripts del lado del cliente.

SAQ A aplica cuando las páginas de pago están totalmente externalizadas (hospedadas por Adyen). SAQ A-EP aplica cuando tu sitio controla cómo se construyen las páginas de pago, incluyendo cualquier uso de Web Components, Drop-in o integraciones iframe de Adyen. SAQ A-EP requiere inventario de scripts (6.4.3) y detección de manipulación (11.6.1) que Adyen no proporciona.

No. Adyen tokeniza los datos de tarjeta en sus servidores, pero los skimmers estilo Magecart atacan la capa del navegador antes de que los datos lleguen a Adyen. Un script comprometido en tu página de pago puede capturar pulsaciones de teclas o raspar campos antes de que el SDK de Adyen procese la tarjeta. Se requiere monitoreo a nivel del navegador.

Adyen cubre requisitos a nivel de infraestructura (cifrado, gestión de claves, almacenamiento). No cubre 6.4.3 (inventario de scripts en páginas de pago), 11.6.1 (detección de manipulación) o 12.8 (gestión de riesgo de proveedores para otros scripts de terceros en tu checkout). Consulta nuestra guía PCI Shield para cumplimiento en la capa del navegador.

Necesitas una solución en la capa del navegador que inventarie cada script en tu página de checkout de Adyen, rastree cambios y genere informes listos para QSA. cside se implementa con una sola etiqueta de script, funciona junto con el SDK de Adyen y produce evidencia lista para auditoría para 6.4.3 y 11.6.1.

Sí. cside es el proveedor preferido de AWS para los requisitos PCI DSS 4.0.1 6.4.3 y 11.6.1, respaldado por una alianza global. Los comerciantes que adoptan cside para monitoreo de scripts a nivel del navegador pueden adquirirlo a través del AWS Marketplace y alinear la implementación con sus herramientas de seguridad y flujos de cumplimiento existentes en AWS.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad
Related Articles
Reservar una demo