Skip to main content
Blog
Blog

¿Se puede usar Adyen para cumplir con PCI DSS?

Sí, PERO dependiendo de la integración, tu empresa sigue siendo responsable de garantizar el cumplimiento del Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS).

Mar 21, 2025 5 min read
adyen-pci-dss-image-cover
Share this post on X (Twitter) Visit cside on Instagram Share this post on LinkedIn

Sí, Adyen cumple con PCI DSS como Proveedor de Servicios de Nivel 1, pero los comerciantes que usan Adyen siguen siendo responsables de su propio cumplimiento de PCI según el método de integración que utilicen.

El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de normas de seguridad diseñadas para proteger la información de las tarjetas durante y después de una transacción financiera. El cumplimiento implica adherirse a 12 requisitos, que van desde la instalación y el mantenimiento de una red segura hasta la supervisión de scripts de terceros en tus aplicaciones web (PCI 6.4.3 y 11.6.1.).

Cómo cumplir con PCI DSS usando Adyen

Los productos de Adyen están diseñados para ayudar a las empresas a reducir su carga de cumplimiento de PCI DSS gestionando los datos sensibles de las tarjetas de forma segura. Sin embargo, tus requisitos de cumplimiento dependen de cómo integres Adyen.

Si rediriges a los usuarios a las páginas de pago alojadas de Adyen, tu alcance PCI es mínimo (SAQ A).

Si recopilas datos del titular de la tarjeta en tus propios servidores, necesitarás el SAQ D, que conlleva obligaciones de cumplimiento más estrictas.

Tu método de integración con Adyen determina qué SAQ debes completar:

Tipo de integración Alcance PCI SAQ requerido
Páginas de pago alojadas de Adyen (HPP) Mínimo: Adyen gestiona completamente los datos de la tarjeta SAQ A
Cifrado del lado del cliente (CSE)* Mínimo: los datos de la tarjeta se cifran antes de la transmisión* SAQ A-EP*
Integración directa por API Alto: los datos del titular de la tarjeta pasan por tu servidor SAQ D

*Ahora es necesario supervisar las dependencias en las páginas de pago; más información a continuación.

¿Cuál deberías elegir?

  • Usa las páginas de pago alojadas de Adyen (HPP) → SAQ A (cumplimiento más sencillo, los datos de la tarjeta nunca tocan tus servidores).
  • Usa el cifrado del lado del cliente (CSE) → SAQ A-EP (los datos de la tarjeta se cifran antes de llegar a Adyen).
  • Usa la integración directa por API → SAQ D (gestionas los datos de la tarjeta en bruto, mayor carga PCI).

Si tu empresa procesa o almacena datos del titular de la tarjeta (SAQ D), debes:

  • Implementar un cifrado sólido para los datos de pago.
  • Configurar políticas de cortafuegos y control de acceso.
  • Realizar análisis de red trimestrales con un Proveedor de Análisis Aprobado (ASV).
  • Completar una auditoría completa de PCI DSS si eres un comerciante de Nivel 1 (más de 6 millones de transacciones al año).

*Supervisión de dependencias para el cumplimiento del SAQ A

Según la actualización de enero de 2025, el PCI Security Standards Council destacó la importancia de supervisar las dependencias. Esto incluye tanto scripts propios como de terceros en los sitios web. Esta actualización exige a los comerciantes garantizar que sus sitios no sean vulnerables a ataques originados desde dichos scripts.

Puedes consultar la documentación de Stripe sobre PCI DSS aquí.

Determina tu nivel de cumplimiento PCI

Nivel Criterios Requisito de validación
Nivel 1 Más de 6 millones de transacciones anuales Auditoría completa in situ por un QSA + SAQ D
Nivel 2 De 1 a 6 millones de transacciones anuales SAQ A, SAQ A-EP o SAQ D + Attestation of Compliance (AOC)
Nivel 3 De 20.000 a 1 millón de transacciones en línea anuales SAQ A, SAQ A-EP o SAQ D + Attestation of Compliance (AOC)
Nivel 4 Menos de 20.000 transacciones en línea O hasta 1 millón de transacciones totales SAQ A, SAQ A-EP o SAQ D + Attestation of Compliance (AOC)
  • Nivel 1 = Debe realizarse un ROC (Evaluación completa de PCI DSS con Informe completo de cumplimiento por parte de un QSA)
  • Nivel 2 = Debe realizarse al menos un SAQ con atestación de un QSA o ISA externo
  • Nivel 3 = Debe realizarse un SAQ
  • Nivel 4 = Opcional

Envía la certificación de cumplimiento PCI

  • ¿Usas páginas de pago alojadas? → SAQ A
  • ¿Usas cifrado del lado del cliente (CSE)? → SAQ A-EP
  • ¿Usas integración directa por API? → SAQ D

Para comerciantes con SAQ A y SAQ A-EP:

  • Completa el SAQ en el portal de cumplimiento PCI de Adyen.
  • Asegúrate de que ningún script de terceros interfiera con los campos alojados de Adyen.
  • Mantén la documentación para las revisiones anuales de PCI.

Para comerciantes con SAQ D:

  • Implementa controles de seguridad sólidos (cortafuegos, cifrado, supervisión).
  • Realiza análisis de red trimestrales con un Proveedor de Análisis Aprobado (ASV).
  • Somete tu empresa a una auditoría in situ por parte de un QSA si procesas grandes volúmenes.

Una vez que hayas identificado el SAQ correcto según tu método de integración, complétalo de forma exhaustiva. Stripe ofrece un asistente de PCI en tu Panel de control para guiarte a lo largo de este proceso.

Simon Wijckmans
Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

Ask ChatGPT
Ask Perplexity AI
Ask Gemini
Grok Ask Grok
Ask Claude

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.
Reservar una demo
Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad
Related Articles
Reservar una demo