Sí, PayPal (y Braintree) cumple con PCI DSS como Proveedor de Servicios de Nivel 1 pero dependiendo de tu integración, aún debes completar un SAQ anual para cumplir con PCI tú mismo. Depende de cómo integres PayPal en tu negocio. Aquí te explicamos cómo:
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de estándares de seguridad diseñados para proteger la información de las tarjetas durante y después de una transacción financiera. El cumplimiento implica adherirse a 12 requisitos, que van desde instalar y mantener una red segura hasta tener un inventario de scripts de terceros que se ejecutan en tus páginas web (PCI 6.4.3 y 11.6.1).
Cómo cumplir usando PayPal
Según las directrices oficiales de PayPal, tus requisitos de cumplimiento de PCI DSS dependen de cómo tu negocio maneja los datos de pago. Si rediriges a los usuarios al checkout alojado de PayPal, tu alcance de PCI es mínimo (SAQ A). Sin embargo, si procesas datos de tarjetas sin procesar, debes completar el SAQ D y seguir controles de seguridad más estrictos.
Hay tres formas principales en que las empresas usan PayPal:
| Tipo de Integración | Alcance de PCI | SAQ Requerido |
|---|---|---|
| PayPal Standard, Express Checkout o Smart Button (redireccionamiento a PayPal) | Mínimo - Sin datos del titular de la tarjeta en tus servidores | SAQ A |
| Interfaz avanzada de Braintree drop-in UI* | Mínimo - Campos alojados, sin datos del titular de la tarjeta en tus servidores* | SAQ A* |
| Integración directa por API (PayPal Pro, Braintree, API o almacenamiento de datos de tarjetas) | Alto - Los datos del titular de la tarjeta pasan por tu servidor | SAQ D |
*Ahora necesitas monitorear las dependencias en las páginas de pago, más información a continuación.
- Si rediriges a los usuarios al checkout alojado de PayPal, calificas para SAQ A.
- Si usas campos alojados (por ejemplo, Braintree Drop-in UI), calificas para SAQ A.
- Si recopilas y almacenas datos del titular de la tarjeta, debes completar el SAQ D e implementar controles completos de PCI.
Si tu negocio procesa o almacena datos del titular de la tarjeta (SAQ D), debes:
- Implementar cifrado fuerte para los datos de pago.
- Configurar políticas de firewall y control de acceso.
- Realizar escaneos de red trimestrales con un Proveedor de Escaneo Aprobado (ASV).
- Completar una auditoría completa de PCI DSS si eres un comerciante de Nivel 1 (más de 6 millones de transacciones/año).
Braintree es propiedad de PayPal y opera como su subsidiaria. Esta relación tiene un impacto directo en el cumplimiento de PCI, dependiendo de qué producto de PayPal o Braintree uses. Braintree proporciona opciones de procesamiento de pagos más directas, lo que significa que podrías necesitar SAQ D si los datos de las tarjetas interactúan con tus servidores.
*Monitoreo de dependencias para el cumplimiento de SAQ A
Según la actualización de enero de 2025, el Consejo de Estándares de Seguridad de PCI enfatizó la importancia de monitorear las dependencias. Esto incluye tanto scripts propios como de terceros en los sitios web. Esta actualización requiere que los comerciantes se aseguren de que sus sitios no sean susceptibles a ataques originados por estos scripts.
Puedes encontrar la documentación de PayPal sobre PCI DSS aquí.
Determina tu nivel de cumplimiento de PCI
| Nivel | Criterio | Requisito de Validación |
|---|---|---|
| Nivel 1 | Más de 6 millones de transacciones anuales | Auditoría completa en sitio por un QSA + SAQ D |
| Nivel 2 | De 1 a 6 millones de transacciones anuales | SAQ A, SAQ A-EP o SAQ D + Certificación de Cumplimiento (AOC) |
| Nivel 3 | De 20,000 a 1 millón de transacciones en línea anuales | SAQ A, SAQ A-EP o SAQ D + Certificación de Cumplimiento (AOC) |
| Nivel 4 | Menos de 20,000 transacciones en línea O hasta 1 millón de transacciones totales | SAQ A, SAQ A-EP o SAQ D + Certificación de Cumplimiento (AOC) |
- Nivel 1 = Debe hacer un ROC (Evaluación Completa de PCI DSS con Informe Completo sobre Cumplimiento por QSA)
- Nivel 2 = Debe hacer al menos un SAQ con certificación de QSA o ISA de terceros
- Nivel 3 = Debe hacer SAQ
- Nivel 4 = Opcional
Envía la certificación de cumplimiento de PCI
Para comerciantes SAQ A:
- Completa el SAQ A a través del portal de cumplimiento de PCI de PayPal.
- Asegúrate de que ningún script interfiera con los campos alojados de PayPal.
- Mantén la documentación para las revisiones anuales.
Para comerciantes SAQ D:
- Realiza escaneos de red trimestrales a través de un Proveedor de Escaneo Aprobado (ASV).
- Implementa controles de seguridad de PCI (firewall, cifrado, control de acceso).
- Realiza una auditoría en sitio por QSA si es necesario.
Una vez que hayas identificado el SAQ correcto según tu método de integración, complétalo exhaustivamente. Stripe proporciona un asistente de PCI en tu Panel de Control para guiarte a través de este proceso.
