Libro Blanco de Innovación en Medios de Pago para eCommerce - Nov 2015

LIBRO
BLANCO
DEINNOVACION
ENMEDIOSDEPAGO
PARAECOMMERCE

LIBRO BLANCO
DE INNOVACIÓN
EN MEDIOS DE
PAGO PARA
ECOMMERCE
¿Cómo gestiono los pagos
en mi eCommerce? PayPal,
NFC, Bitcoins... ¿Qué son y
para qué sirven?

2 Libros Blancos de Observatorio eCommerce
Sumario
Prólogos 8
MEDIOS DE PAGO TRADICIONALES 13
#1. Tipologías: transferencia, contra reembolso, débito, crédito, PayPal 13
#2. Tarjetas, características, comisiones para eCommerce 17
#3. Medios de pago habituales en España 22
#4. Medios de pago internacionales 24
#5. Pasarelas de pago 28
PASARELAS DE PAGO EN ECOMMERCE 33
#1. Integración tecnológica de las pasarelas de pago 34
#2. Qué es el «ratio de abandono» y cómo disminuirlo 43
#3. Gestión del riesgo y control del fraude online 46
#4. La seguridad de los datos personales de la Industria de Tarjetas de Pago: PCI DSS 55
SEGURIDAD EN EL PAGO CON TARJETA 59
#1. Proceso de pago con tarjeta online y offline 59
#2. Normativa PCI DSS 67
#3. Estrategias de cumplimiento 77
#4. Obligaciones de cumplimiento con la normativa PCI DSS 86
#5. Nuevas tendencias 95
PAYPAL 101
#1. PayPal en eCommerce 101
#2. Internacionalización 107
#3. Seguridad y control del fraude 111
#4. Pagos móviles y apps para móvil 114
#5. El reto offline de PayPal 117
MOBILE COMMERCE 121
#1. Carrier Billing 122
#2. Pagos con el móvil 127
#3. Pago mediante códigos de barras y QRS 129
#4. Pagos NFC con la SIM como elemento seguro 131
#5. Pagos NFC con Host Card Emulation 136
#6. Apple Pay 140
INNOVACIÓN Y NUEVAS TENDENCIAS EN MEDIOS DE PAGO 145
#1. Nuevos actores 145
#2. Pagos en entornos no bancarizados 148
#3. Monedas virtuales: Bitcoin 156
3
4
5
6
2
1

Edición Noviembre 2015
© Del texto Observatorio eCommerce de Foro de Economía Digital
© De esta edición Publixed
Diseño de la portada: Foro de Economía Digital
Ilustraciones Freepik.es
Observatorio eCommerce de Foro de Economía Digital
Calle Príncipe de Vergara 120 Escalera 1 6ºA
28002 Madrid (España)
Tlf: 902 55 60 30
E-mail: contacto@foroeconomiadigital.com
http://observatorioecommerce.com
Publixed
E-mail: contacto@publixed.com
www.publixed.com www.libreriapublixed.com
ISBN: 978-84-942514-9-8 DL: M-21620-2015
Queda prohibida la reproducción total o parcial de la obra sin autorización previa de la
editorial o el autor

Editorial
Director editorial
Foro de Economía Digital
Jorge Ordovás Oromendía
Director de la Cátedra en innovación
en medios de pago online
Con la colaboración de
Ingenico
Oscar Martínez Tomé
Head of Sales Spain & Portugal
Joaquín Diaz de Terán
Sales Manager Spain & Portugal
ING Direct
Ana María Fernández-Polo García
Payments Strategy
David Manuel García Asín
Payments Strategy
Snap
Pablo Nebreda Cespedosa
Director de Marketing
Internet Security Auditors
Daniel Fernández Bleda
Sales Manager / Partner
Guillem Fàbregas Margenats
Consultor Senior Seguridad
PayPal
Raimundo Sala Albert
General Manager
Foro de Economía Digital
Héctor Iglesias

De pequeño en Nubia (Egipto), no necesitábamos dinero para comprar. Simplemente
intercambiábamos unas cosas por otras. Es posible que mi experiencia vital de la
infancia explique por qué siempre he sentido una curiosidad fascinante por lo que
el dinero significa: por su historia y su evolución, desde el metal al papel, desde los
primeros babilonios hasta las burbujas del siglo XXI. Vivimos una globalización del
poder económico (y del dinero que hay detrás) como nunca antes habíamos visto. Pero
vivimos también una revolución digital que está sacudiendo el statu quo tradicional. Por
eso es para mí un honor prologar este Libro Blanco de innovación en medios de pago
para eCommerce, en el que de una manera muy didáctica y amena se va explicar la
gran transformación que la tecnología ha traído a este mercado.
Destinia nació con Internet, convencidos de que la Red traería una nueva forma de
hacer y entender los negocios. Y así ha sido. Una revolución a la que ni la industria
financiera ha podido escapar: el dinero en metálico se va desvaneciendo y la innovación
llega a golpe de bit. Las monedas virtuales y los nuevos actores en escena como Google
o Apple están forzando una desintermediación inédita del sistema financiero. Si a estas
premisas sumamos nuestro innato espíritu provocativo, se entiende que decidiéramos
sumarnos al bitcoin. Una moneda virtual pensada para el comercio electrónico del siglo
XXI: sin fronteras, segura, sencilla, cómoda y sin comisiones. Es cierto que el bitcoin es
aún un mercado volátil, de nicho, y que despierta muchos interrogantes, pero en parte
lo es porque se le sigue juzgando con la mentalidad y los ojos del presente y no con una
visión de futuro. Y en el futuro los medios de pago serán diferentes. Se llamará bitcoin
o no, pero las monedas virtuales serán claros protagonistas, y nosotros queremos estar
preparados para cuando ese cambio ocurra.
Bienvenidos al cambio
Amuda Goueli,
CEO de Destinia

Hace ahora un año fuimos pioneros y abrimos una vía para el uso de una moneda
que es fácil de comprar y vender pero que entonces no era tan sencillo de gastar,
al menos en servicios de ocio y viaje. Y la acogida por la comunidad bitcoin ha
sido espectacular: tenemos clientes de casi 50 nacionalidades diferentes. Cuando
incorporamos la pasarela de pagos estimamos que tardaríamos 15 días en recibir
la primera operación en BTC, pero solo transcurrieron ¡4 horas! Un polaco compró
un paquete de vuelo+hotel por 2.197,3 miliBTC, esto es, 1.280 euros. Bitcoin ha
exigido adaptar nuestros sistemas pero también hemos recibido muchos consejos de
los usuarios para mejorar la experiencia de compra. Hoy, más del 80% de nuestra oferta
de vuelos se puede pagar con este sistema, así como hoteles, billetes de tren… Y
celebramos que la comunidad de comercios que aceptan bitcoin siga creciendo, con
nombres de la talla de Expedia, Microsoft o la propia PayPal.
El salto a bitcoin implica, sobre todo, un cambio de mentalidad. Como empresa estamos
abiertos al cambio aunque a veces lo desconocido genera miedo a la mayoría. El bitcoin
no es la primera moneda virtual ni tampoco será la última, pero ha conseguido poner
de los nervios a los sistemas centrales de países como Estados Unidos, Europa, Rusia
o China. Unos la regulan como propiedad, no como divisa, otros la prohíben.... ¡Tienen
miedo! Es cierto que como toda novedad disruptiva necesita una cierta regulación para
establecer unas garantías que redunden en una mayor confianza para el usuario. Pero
el bitcoin es, o mí me gusta creerlo así, el principio de un cambio en el que ya no hay
marcha atrás.
¡Bienvenidos!
Prólogos

Estamos ante uno de los momentos clave dentro de cualquier proceso basado en
negocio digital, la fase en la que todo el trabajo anterior que hemos estado preparando
junto al cliente final tiene que materializarse en una transacción económica que justifique
y sostenga el modelo de negocio que tenemos detrás, por eso es estratégico este
proceso ya que su organización será completamente diferente en función del producto o
servicio que estemos prestando, el país en el que opere el cliente online, las normativas
legales que afectan al pago y, sobre todo, a la capacidad de generación de confianza en
este momento de la compra.
La adaptación a los diferentes soportes, especialmente los denominados Mobile
Payments que suponen el futuro mas cercano, y la consolidación de las monedas virtuales
son dos de los aspectos que más apuesta generan como motores de crecimiento para el
próximo periodo, por eso les prestamos una atención especial.
En este libro analizamos las tendencias y oportunidades que se están planteando
para innovar, crecer y fortalecer el proceso de pago en las transacciones vinculadas
al comercio electrónico, donde hay una decidida apuesta tanto por los operadores
puros del mundo digital —que fueron los primeros en ganar cuota de mercado—, el
sector bancario más tradicional —que ahora definitivamente está apostando por este
mercado—, y los siempre decisivos «emprendedores» que a base de innovación y
capacidad de adaptación son los que siempre ayudan a mejorar nuestras capacidades.
Gracias a todos los profesionales y empresas que colaboran en esta edición del Libro
Blanco y que con sus experiencias cotidianas liderando la evolución de los medios de
pago nos permiten abrir este conocimiento a más comercios y clientes online cada día.
La innovación tecnológica en
medios de pago es estratégica
Roberto Palencia
Director General
Foro de Economía Digital, Business School

1CAPÍTULO

MEDIOS DE PAGO
TRADICIONALES
#1. Tipologías: transferencia, contra
reembolso, débito, crédito, PayPal
Dentro de los medios que un comercio online puede utilizar
para cobrar las ventas que realice, es necesario diferenciar
dos tipologías en función del momento en que se efectúe el
pago, que puede ser en el mismo instante de la compra o en
un momento posterior.
En cuanto a los medios en los que el pago se realiza en el
mismo instante de la compra, los más utilizados son las tarje-
tas y las carteras digitales (PayPal, Iupay…). Estos métodos
garantizan la inmediatez del procesamiento del pedido, y los
avances en la red han hecho que actualmente cuenten con
importantes niveles de seguridad para los consumidores.
Los medios de pago en los que el abono se realiza en un
momento posterior basan su popularidad en la confianza que
les genera a los compradores que sus datos viajen fuera de
la red. El cliente confirma su compra en la tienda virtual, pero
realiza el pago después, ya sea por transferencia o contra
reembolso. Sin embargo, su principal desventaja es el retraso
y la complejidad que añaden a los procesos de compra.
Actualmente, la distribución del uso de estos métodos de
pago en Internet es la siguiente:

Transferencia
El comercio proporciona al cliente los datos de una cuenta
bancaria para que realice el pago del pedido, que se gestio-
nará una vez se confirme dicho pago. Es el método menos
utilizado en la actualidad, siendo su principal ventaja el bajo
coste para el comercio, debido a que no requiere desarrollos
técnicos específicos de conexión en la tienda virtual.
Los principales inconvenientes se basan en el retraso del
proceso de compra, ya que hasta que el vendedor no reciba
la transferencia y sea capaz de conciliarla con el comprador,
no se procederá al envío del producto. Este método conlleva
además cierto riesgo de que el comprador no llegue a realizar
el pago, lo cual disminuye la conversión y puede dificultar
otras tareas como la gestión del stock.

Contra reembolso
El comprador realiza el pago en el momento en el que recibe
la mercancía, lo que supone que se perciba como un método
de pago seguro para quienes no confían en las ventas por In-
ternet, ya que pueden comprobar la calidad del pedido antes
de proceder a su abono.
Para el vendedor suele suponer un aumento de costes, sien-
do el principal inconveniente el riesgo de devoluciones o en-
tregas fallidas, puesto que la vuelta de la mercancía conlleva
asumir los gastos del mensajero de manera íntegra.
El comprador normalmente ve incrementado el importe de la
compra, debido a que se repercute la comisión que cobra
la empresa de mensajería. En los últimos años ha perdido
fuerza como método de pago en tiendas virtuales, debido
fundamentalmente al aumento de la confianza en el mercado
online y al retraso que añade al proceso de compra.
Tarjeta de débito/crédito
Se trata del método de pago más utilizado en las ventas on-
line. El instrumento que se utiliza para materializar estos pa-
gos es el TPV (Terminal de Punto de Venta) virtual, la versión
online del clásico datáfono que se encuentra en las tiendas
tradicionales.
Medios de pago tradicionales

El comercio tiene que solicitar el terminal en su entidad
bancaria y, una vez concedido, deberá instalarlo en su página
web.
Después de la instalación, cuando sus clientes realicen las
compras solo tendrán que introducir los datos de sus tarje-
tas para validar el pago. El banco que suministra el terminal
virtual, denominado «banco adquirente», se encargará de
abonar al comercio online las compras realizadas a través de
este método en su correspondiente cuenta bancaria.
El concepto más habitual por el que el comercio tendrá que
pagar al adquirente es la tasa de descuento, una comisión
por transacción cuya media de mercado actual es del 0,67%1
,
aunque algunas entidades cobran también por otros concep-
tos, como el alta, el servicio, la instalación y el mantenimiento.
En cuanto a la seguridad, los terminales virtuales de las enti-
dades bancarias cumplen con estándares de seguridad que
garantizan que el comercio no tenga acceso a los datos de
las tarjetas, ya que el pago se realiza en el servidor del banco.
Adicionalmente, las entidades tienden a implantar en las va-
lidaciones de las compras el sistema 3D Secure, que consis-
te en un proceso de validación de la identidad del titular de
la tarjeta mediante la introducción de una clave durante el
proceso de pago, que normalmente llega a nuestro teléfono
móvil a través de un SMS o mensaje push.
1 Inmark Europa (Comportamiento financiero de las empresas entre 1 y 50 millones) – 2014

PayPal
Actualmente se presenta como una alternativa consolidada
en las formas de pago online a nivel internacional. El compra-
dor utiliza la plataforma como una cartera digital, considerán-
dolo un método seguro y sencillo, mientras que el vendedor
percibe como una ventaja la confianza que ha adquirido la
marca.
Utilizar esta plataforma de pago supone para el comercio vir-
tual asumir una comisión variable de entre el 1,9% y el 3,4%
del total de las ventas (en función del volumen), más una ta-
rifa fija de 0,35€ por transacción.
#2. Tarjetas, características,
comisiones para eCommerce
El mundo de los medios de pago está sufriendo cambios a
gran velocidad debido a la entrada de nuevos competidores
en el mercado. En la mayoría de las ocasiones, cada vez que
realizamos un pago, está implícito el uso de una tarjeta finan-
ciera, ya sea porque hemos ido a un cajero a extraer efectivo
o porque hemos pagado con la propia tarjeta.
Actualmente existen cuatro tipos distintos de tarjeta para pa-
gar ya sea en comercios físicos o a través de Internet: tarjeta
de crédito, débito, prepago y virtual.

Vamos a analizar en qué consiste cada una: sus ventajas y
desventajas, la operativa que podemos realizar con ellas, así
como las posibles comisiones que podemos encontrar a la
hora de realizar un pago tanto en un comercio físico como a
través de Internet.
Tarjeta de crédito
A diferencia de una tarjeta de débito, en las que las canti-
dades se cargan en la cuenta bancaria en el momento de
realizar la compra, las tarjetas de crédito ofrecen distintas
posibilidades de pago, siendo la más común la de abono a
fin de mes.
Las ventajas de esta modalidad de pago son las de contar
con una financiación a tipo cero por parte de la entidad emi-
sora de la tarjeta, además de poder ver los movimientos agru-
pados en un solo extracto. Nuestro banco nos otorgará un
límite de crédito para disponer al mes en función de una serie
de criterios del área de riesgos.
Además, este producto permite financiar las compras, en
momentos puntuales, sin necesidad de solicitar un préstamo,
tanto la totalidad del importe del extracto (operativa revol-
ving) como financiar una compra puntual (operativa compra
aplazada). Ambas modalidades llevan asociado el pago de
un tipo de interés para el titular de la tarjeta, que varía según
nuestra entidad bancaria.

Por último, la gran mayoría de tarjetas de crédito tienen un
seguro de accidentes en viajes que nos puede resultar de
gran utilidad ante imprevistos.
En nuestro país, debido a la crisis financiera de los últimos
tiempos, se ha detectado un aumento de la aversión al uso
de las tarjetas de crédito, al igual que una menor concesión
de las mismas por parte de las entidades bancarias. Sin em-
bargo, en el último año se ha experimentando un incremento
en términos absolutos de la emisión de ellas.

Tarjeta de débito
Con la tarjeta de débito, el importe de las adquisiciones que
hagamos se descontará de nuestra cuenta bancaria en el
momento de la compra.
Para muchos consumidores, el control del gasto con este tipo
de tarjeta es mayor que con la de crédito.
Las posibles retiradas de efectivo que tengamos que realizar
en cajeros, llevarán asociado un coste o no, dependiendo de
la red de cajeros y de nuestro banco. Para ello, lo mejor será
consultar el libro de tarifas del mismo.
Tarjeta prepago
Las tarjetas prepago son muy similares a las de débito, con la
única diferencia que hay que cargarlas previamente a su uti-
lización con dinero para disponer de saldo y por consiguiente
realizar compras.
Es una solución que algún banco ya ofrece a sus clientes.
Nos pueden llegar a cobrar comisiones por cada recarga que
hagamos en la misma.

Tarjeta virtual
Las tarjetas virtuales son un medio de pago que todavía no
se ha extendido entre los consumidores. Es muy similar a
las tarjetas prepago, ya que hay que cargarlas para poder
realizar compras, con la única diferencia que la tarjeta no es
física sino virtual, es decir, la numeración de la misma la ten-
dremos en la página web de nuestro banco donde realizamos
la operativa común.
La finalidad de la tarjeta virtual y prepago es aportar un ex-
tra de seguridad al consumidor en el momento de realizar
las compras por Internet, debido a que solo dispondremos
de una cantidad determinada a gastar, según el saldo que
hayamos cargado en ella.
En general las tarjetas mencionadas anteriormente no tienen
comisiones por compras en Internet salvo en aquellas ope-
raciones que tengan asociado un tipo de cambio, es decir,
aquellas en que la moneda sea distinta del euro. No obstan-
te, en determinados comercios online, como aerolíneas, la
compra puede llevar aparejada una comisión por pagar con
tarjeta.

#3. Medios de pago habituales en España
En cuanto a la forma de pagar de los consumidores, la más
usada es la tarjeta de débito o crédito con un 72%, segui-
do de las carteras digitales con un 35% (como por ejemplo
PayPal y la solución de la banca española, Iupay). Además,
hay otras carteras internacionales como MasterPass y V.me.
Un 15% usa las transferencias como forma de pago preferi-
da y un 20% usa otros métodos como, por ejemplo, el pago
contra reembolso.

En el gráfico podemos apreciar cómo ha cambiado la distribu-
ción entre el año 2011 y 2014:
• Las tarjetas siguen siendo el medio de pago más utilizado.
• Se registra un cambio significativo en las carteras digitales,
pasando del 21% en 2011 al 35% en 2014. El uso de las
carteras digitales está cada vez más extendido entre los
consumidores que compran a través de Internet.
• El pago a través de transferencia se mantiene estable a lo
largo de estos últimos 4 años.
• En cuanto a otros medios de pago como el contra
reembolso, ha caído un 20% con respecto a 2011.
Casi 13 millones de españoles
realizaron alguna compra durante
2014 en nuestro país a través de
Internet. En este último año la cifra
ha crecido un 17% comparado con
2013.
El incremento en las compras por
Internet viene derivado de la po-
sibilidad de obtener precios más
competitivos, comodidad por el
envío a domicilio, condiciones fa-
vorables, posibilidad de encontrar
algo que en el comercio físico no
se encuentra, etc.

#4. Medios de pago internacionales
Vamos a ver que, a nivel mundial, el liderazgo en cuanto a
forma de pago es para la tarjeta de crédito. Las principales
marcas de tarjetas financieras a nivel mundial son Master-
Card, Visa, American Express, Diners Club y Discover.
No obstante, dependiendo del país en el que nos encontre-
mos, podremos destacar otros tipos de medios de pago.
El número de jugadores que no son entidades financieras e
irrumpen en el mercado es cada vez mayor: Google, Apple,
Amazon, Facebook o Twitter, entre otros muchos.
El éxito de estos nuevos entrantes se debe principalmente a
dos factores: tienen un gran volumen de capital para invertir
y realizar proyectos de innovación, y conocen perfectamente
a sus usuarios gracias al Big Data.
Además, no nos podemos olvidar de la irrupción de las mo-
nedas virtuales, como la mundialmente conocida Bitcoin, que
explicaremos con más detalle en el último capítulo.
En África las compras por Internet son escasas, dada la
limitación en el acceso a la red y la falta de regulación es-
pecífica de los sistemas de pago por parte de gobiernos y
entidades financieras. A pesar de que la sociedad africana
usa mayoritariamente el dinero en efectivo, es sorprendente

el auge que tiene el uso de los teléfonos móviles como me-
dio para hacer transacciones bancarias y cada vez más para
hacer compras online. En África, solamente un 9,8% de la
población es usuaria de Internet. Compañías africanas como
M-PESA o PesaPal son claros casos de éxito de cómo han
sabido superar esa barrera a la hora de pagar ofreciendo un
servicio a comercios para recibir pagos a través del teléfono
móvil.
América del Norte es el lugar más desarrollado del mun-
do en cuanto a pagos online. Los norteamericanos prefieren
como medio de pago en eCommerce las tarjetas de crédito y
débito seguido de PayPal y Google Checkout. El resto prefie-
re pagar con tarjetas prepago o tarjetas de crédito emitidas
por comercios.
Destacar el uso de las tarjetas de crédito en América del
Sur, seguido de pagos por transferencia. No obstante, los
países donde más auge tienen las compras online son Brasil
y México. El caso de Brasil es el más notable debido al eleva-
do número de habitantes y la alta penetración de Internet. La
pasarela de pago Boleto Bancário, una solución basada en
pagos por transferencia y contra-reembolso, a día de hoy re-
presenta el 30% de todas las transacciones online en el país.
En el caso de México, debido a que la población está me-
nos bancarizada, el medio de pago más usado para compras
online es el pago contra-reembolso seguido de la tarjeta de
crédito.

Europa está a la cabeza junto con América del Norte en
cuanto a compras por Internet. La elevada penetración de
Internet y un marco regulatorio y legal sólido hacen que sea
posible un elevado número de transacciones online. Cabe
destacar el uso mayoritario de las tarjetas de crédito como
medio de pago preferido por los europeos; sin embargo hay
soluciones locales que toman mucha relevancia en deter-
minados países; estamos hablando de las llamadas Credit
Transfers, pagos realizados por transferencia que ordena un
tercero, previa facilitación de las credenciales bancarias por
parte del usuario al proveedor del servicio.
Este es el caso de iDEAL en Holanda. Una pasarela de pago
creada por los bancos holandeses en 2005, y cerrada para
las entidades participantes. La mayoría de holandeses usan
este medio de pago debido a la seguridad y sencillez que
ofrece. El uso de esta solución no solo está disponible en
comercios online sino que poco a poco se va extendiendo a
entornos físicos como por ejemplo medios de transporte.
Otro caso de éxito de pasarelas de pago para Credit Trans-
fer es Trustly y Sofort en Alemania. La idea es muy similar a
iDEAL, ofreciendo seguridad y sencillez a la hora de realizar
el pago ya que solo se necesitan las credenciales de nuestra
entidad financiera para llevar a cabo el pago.
Hay casos como los de Irlanda e Italia donde el pago de las
compras online se reparte entre pagos con tarjeta, pagos
contra-reembolso y transferencia.

Otras naciones, como Eslovaquia y República Checa, desta-
can como países en los que el uso de las tarjetas de crédito
ocupa el último lugar en pagos por Internet. Allí las compras
son principalmente contra-reembolso, seguidas de pago por
transferencia y en último lugar las tarjetas de crédito.
Por último, destacar el Reino Unido, país donde el uso tanto
de la tarjeta de crédito y débito representa el 80% del total de
pagos online, seguido de PayPal y otros métodos.
Asía-Pacífico: El continente oriental ha conseguido pasar
de estar a la cola en comercio electrónico a unirse junto con
América del Norte y Europa a la cabeza del ranking, gracias
al aumento de la penetración de Internet en el continente y al
mayor gasto realizado por sus habitantes.
En concreto, los japoneses, chinos y surcoreanos lideran
dentro de Asia el uso de Internet para hacer compras online.
Alipay, a día de hoy, es la plataforma de pago más utilizada
en el mundo con alrededor de 500 millones de cuentas.
Asimismo, Tenpay, otra pasarela de pago china, junto con
Alipay, se consolidan como referentes a la hora de realizar
pagos por Internet.
En Australia predomina el uso de tarjetas de crédito para ha-
cer pagos por Internet seguido de pasarelas de pago como
PayPal, BPAY o Paymate.
India, un país con un potencial de crecimiento económico muy
alto, se encuentra en fase de crecimiento en compras por In-
ternet. Actualmente está superando barreras tales como el
acceso a la tecnología por parte de sus ciudadanos, falta de
marcos regulatorios y legales y escasez en las soluciones de
pago online. Una de las plataformas más conocidas es PayU.

Como conclusión, a nivel mundial todavía queda camino por
recorrer en los medios de pago para encontrar una solución
universal, segura y fácil de utilizar.
Actualmente estamos viendo que cada país adopta soluciones
distintas según las necesidades de sus habitantes y su acceso
a Internet. No obstante, el éxito de las distintas soluciones ra-
dica en un buen marco regulatorio y en la seguridad que ofrez-
can a la hora de realizar el pago a los usuarios.
#5. Pasarelas de pago
Los comercios que optan por utilizar un TPV virtual como
medio de pago dentro su eCommerce tienen varias opciones
para empezar a operar. Lo más habitual es acudir en primer
lugar a su entidad bancaria. El Banco analizará la solicitud y,
siempre que se cumplan una serie de criterios de riesgo de
crédito y política de fraude, se concederá el terminal.
En los últimos años se puede acudir también a un Proveedor
de Servicios de Pago (PSP), habitualmente empresas tec-
nológicas especializadas en servicios de pago online. Estas
lidian con el proceso de alta de cuenta bancaria y ofrecen
servicios dedicados en todos los aspectos clave del eCom-
merce: herramientas de detección de fraude, soporte de
atención al cliente 24/7, etc.

Tras la concesión, el procedimiento más común entre las en-
tidades suele ser el envío de claves de seguridad e instruc-
ciones para que el comercio realice la instalación en su tienda
virtual.
Para proceder a la integración de la pasarela de pago, el co-
mercio o su departamento informático pueden utilizar la guía
de instalación que le proporcione su entidad o PSP, o incluso
acudir a los servicios técnicos de ayuda y soporte a la insta-
lación que ponen a su disposición. Siguiendo las instruccio-
nes técnicas podrán integrar el TPV virtual de forma rápida y
sencilla.
En el proceso de instalación, la tienda virtual deberá incluir en
su página de pagos un botón de pago con tarjeta y vincularlo
a la pasarela. Como resultado, cuando los clientes seleccio-
nen esta opción para confirmar la compra se establecerá una
conexión con el servidor seguro de la entidad o PSP, y se
mostrará una pantalla para que introduzcan los datos de su
tarjeta.
Una vez el cliente seleccione el pedido y opte por la opción
de pago con tarjeta, el esquema básico que seguirá una ope-
ración segura es el siguiente:
• El comercio conectará con el TPV de la entidad adquirente
indicándole los datos de la operación (nombre del
comercio, importe, fecha, moneda, etc.).
• El titular de la tarjeta (comprador) introduce los datos de su
tarjeta en la pantalla del terminal virtual.

• El TPV establece conexión con la entidad emisora (entidad
financiera que ha emitido la tarjeta del comprador) y solicita
la autorización de la operación.
• El Banco emisor solicita autenticación a su cliente.
El sistema más común de validación de la identidad
consiste en solicitarle la introducción de una clave que
habrá acordado antes con el Banco, o que recibirá en el
momento. Si la entidad no cuenta con procedimientos de
autenticación, este paso no se realizará.
En cuanto a la gestión y consulta de las operaciones, en la
mayoría de los casos el comercio contará con un módulo de
administración en un portal externo donde entre otras accio-
nes podrá consultar el detalle de las ventas realizadas, reali-
zar devoluciones, etc.
Una vez se complete el proceso de integración, el comercio
tendrá la opción de pago con tarjeta disponible en su tienda
virtual. La principal ventaja operativa de este método de pago
es que tanto el vendedor como el comprador confirmarán la
operación online, y el pedido se podrá tramitar de forma in-
mediata.
Posteriormente, el comercio recibirá los importes de las com-
pras en su cuenta bancaria, con una periodicidad que puede
variar en función de la entidad. En concepto de gastos de
servicio, las entidades bancarias cobran una comisión por
operación (denominada tasa de descuento) cuya media de
mercado actual está en torno al 0,67% 2
En el próximo capítulo analizaremos en detalle todos los as-
pectos relacionados con las pasarelas de pago.
2. Inmark Europa (Comportamiento financiero de las empresas entre 1 y 50 millones) - 2014

www.isecauditors.com
info@isecauditors.com
C. Santander, 101. Edificio A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-28043 Madrid (Spain)
Tel.: +34 91 763 40 47
Fax: +34 91 382 03 96
Calle 90 # 12-28.
Bogotá (Colombia)
Tel.: +57 (1) 638 68 88
Fax: +57 (1) 638 68 88
Expertos en
Normas PCI
PCI Data Security Standard (PCI DSS) es un estándar de
seguridad que define el conjunto de requerimientos para
gestionar la seguridad, definir políticas y procedimientos de
seguridad, arquitectura de red, diseño de software y todo tipo
de medidas de protección que intervienen en el tratamiento,
procesado y almacenamiento de información de datos de
tarjetas de pago.
Desde el año 2007 aportamos las mejores ideas y propuestas
en multitud de proyectos desarrollados con éxito en Europa y
América, colaborando activamente con el PCI Security Stand-
ards Council en la mejora de los estándares PCI.
Permítanos ayudarle a garantizar la seguridad de sus
procesos y aplicaciones de pago.
Internet Security Auditors es líder en consultoría
para la implantación y certificación de PCI DSS y
PCI PA-DSS.

2CAPÍTULO

PASARELAS DE PAGO
EN ECOMMERCE
Las pasarelas de pago son un punto estratégico de la expe-
riencia online dentro del eCommerce. Una mala elección o im-
plementación de la pasarela de pago del comercio tendrá un
impacto directo en la tasa de conversión a ventas y en el éxito
del proyecto, ya que garantiza que el cliente pueda pagar de
una forma eficaz. Una vez que nuestro cliente está dispuesto
a comprar, el proceso de pago debe ser lo más rápido, sencillo
y seguro posible.
La pasarela de pago es un servicio por el que un comercio
online puede aceptar pagos digitales, permitiendo finalizar las
transacciones de venta en todas sus variantes. Es el equiva-
lente online al TPV físico (el terminal donde se introducen las
tarjetas en un comercio).
Con la irrupción de los procesadores de servicios de pago, las
pasarelas han ido añadiendo a lo largo del tiempo servicios y
funcionalidades adicionales con las que mejorar la experiencia
de compra online adaptada a cada negocio, habitualmente:
• Varias opciones de integración con plataforma de
eCommerce.
• Páginas de pago adaptadas a dispositivos móviles
(Responsive Web Design) o nativas para estos dispositivos.
• Soporte 24/7.
• Herramientas de prevención del fraude.
• Cumplimiento de los diferentes estándares de seguridad,
como por ejemplo PCI DSS.
• Ventas en canales adicionales como televenta y mail.
eleventa.

• Personalización de pantallas de pago, adaptándose a la
estética del comercio.
• Integración con otros medios de pago alternativos (locales
y globales).
• Sistemas de valor añadido como pagos recurrentes,
diferidos o almacenamiento de tarjetas bancarias para
garantizar la agilidad en compras sucesivas mediante la
funcionalidad «1-click shopping».
• Multidivisa y conversión dinámica de divisa (DCC).
• Fácil integración con soluciones de gestión y contables.
Además, las pasarelas de pago cifran información sensible,
tal como números de tarjetas de crédito, para garantizar que
la información se procesa de forma segura.
#1. Integración tecnológica de
las pasarelas de pago
En la fase inicial de plantificación y toma de requisitos de
cualquier proyecto de eCommerce, la elección de la plata-
forma CMS (Content Management System), es fundamental
para garantizar la viabilidad y éxito del proyecto. Se debe ele-
gir una u otra según variables como: presupuesto, tamaño de
la comunidad de desarrolladores específica (Open Source),
modelo económico de coste fijo o bajo demanda, necesida-
des de escalabilidad (multisite), compatibilidad con tecnolo-
gías previas, nivel de integración con aplicaciones externas o
arquitecturas de información corporativas, o necesidades de

Pasarelas de pago en eCommerce
negocio específicas de las diferentes áreas funcionales de la
empresa (operaciones, marketing, ventas).
Es bastante frecuente que la elección de la pasarela de pago
quede relegada a las fases finales dentro del proceso de im-
plantación de un eCommerce, cuando esta decisión debería
ser una de las primeras a tener en cuenta, ya que de ello
dependerán factores tan críticos para el éxito o fracaso de
nuestro negocio como la mejora de las tasas de conversión,
la prevención del fraude, la seguridad de nuestras transaccio-
nes o la diversidad de los métodos de pago que ponemos al
alcance de nuestros clientes.
Esquema de funcionamiento de una pasarela de pago
Fuente: elaboración equipo Snap

Concepto de integración
Desde el primer momento que elegimos una plataforma CMS
para nuestro eCommerce, bien sea un desarrollo ad-hoc, con
licencia, u Open Source (Magento, OsCommerce, Prestas-
hop, Wordpress, Drupal, etc.) debemos tener en cuenta qué
opciones de integración ofrece para la integración con nues-
tra pasarela de pago. Cabe destacar que sea cual sea la tec-
nología del CMS se podrá integrar con la mayoría de las pa-
sarelas del mercado, pero existen soluciones paquetizadas
o módulos que facilitan este trabajo. Cuanto más conocido y
extendido sea el CMS, más opciones de integración ofrecerá
la comunidad de desarroladores a través de los marketplaces
de cada plataforma.
Para integraciones con necesidades más específicas y avan-
zadas (ERP, CRM) algunas pasarelas ofrecen la posibilidad
de integración directamente con APIs o arquitecturas orienta-
das a servicios (WebServices–XML).
Aspectos a tener en cuenta
La integración entre nuestra plataforma de eCommerce y la
pasarela de pago debe permitir:
• Compatibilidad con múltiples opciones de integración (P
Formulario de pago, InFrame o WebServices XML-API).

• Sencillez de la integración.
• Soporte 24/7 en la fase de integración, puesta en
producción y despliegue. Control de los pagos desde el
Back Office, con el objetivo de tener el control total de las
transacciones pudiendo ejecutar operativas diarias de
devoluciones, cancelaciones, etc. Aceptación de diversos
tipos de transacción. Cada negocio exige diferentes
modelos de ingresos. El pago «diferido», por ejemplo,
bloquea los fondos en la tarjeta del cliente y procesa
el pago más tarde, cuando se ha hecho la entrega del
producto. El pago «pre-autorizado» permite verificar los
datos de la tarjeta en el momento de la compra, pero solo
procesa el pago cuando el importe final se ha comprobado
(muy frecuente si vendemos productos cuyo precio varía
según el peso, o hemos de comprobar los tipos de cambio
con otra moneda).
• Proceso de checkout sin costuras, a través de la
customización de las páginas de pago.
• Selección y gestión permanente de las herramientas de
prevención del fraude desde el módulo de la plataforma de
eCommerce (CVV, 3D Secure, etc.).
• Opciones avanzadas de valor añadido, como el
almacenamiento de tarjetas, la tokenización para la
seguridad y la facilidad de compras sucesivas, etc.
• Selección de medios de pago alternativos, según el
mercado target: el cliente debe poder escoger entre
cualquiera de las tarjetas de crédito o débito más comunes
y otros medios de pago alternativos como monederos
digitales, pago por banca online u otros medios de pago
locales, etc.

Tipos de integración
Existen varias formas de integración con una plataforma de
eCommerce a elegir dependiendo de las características del
negocio: tamaño del comercio, necesidades de integración
con sistemas externos, recursos de desarrollo, tipo de servi-
cio o producto que se comercializa, número de transacciones
esperadas, nivel de seguridad requerido, etc.
Formulario de pago
La integración más simple, recomendada si:
• Quieres separar del proceso de compra el pago online.
• Quieres aceptar pagos de forma rápida y fácilmente.
• No tienes necesidades avanzadas de integración con
sistemas externos.
• Quieres la seguridad que te proporciona la externalización
de los pagos online.
• Quieres reducir al mínimo tus requisitos de cumplimiento
de PCI DSS.
• Estás buscando una pasarela de pago compatible con
numerosos carritos de compra.
• No deseas recoger ni almacenar información confidencial
en tu sitio web.

Ejemplo de integración con Formulario de pago con Snap*

InFrame
Esta alternativa es preferible si:
• Quieres que los clientes no abandonen tu sitio web cuando
realicen una compra, es decir, que no sean redireccionados
a una página externa.
• Deseas una apariencia final igual a las soluciones de
alojamiento propio.
• No deseas gestionar datos de tarjeta en tu web pero sí
recopilar información adicional de clientes.
• Estás buscando una pasarela de pago compatible con
los carritos compra y plataformas de comercio electrónico
más utilizadas.
• Quieres la seguridad que ofrece la externalización de los
pagos online.
• Quieres reducir al mínimo tus requisitos de cumplimiento
de PCI DSS.
Ejemplo de integración inFrame

Web Services XML-API
La alternativa que permite mayor control, a costa de una ma-
yor complejidad de integración. A valorar si:
• Quieres obtener un control completo sobre el proceso de
checkout.
• Quieres gestionar internamente todo el proceso de pago.
• Quieres desarrollar tu propio software de pago (por
ejemplo, para un call center).
• Estás buscando una pasarela de pago que se integre con
las plataformas de comercio electrónico más comunes, o
tu programa de Back Office ya implementado.
• Cuentas con un área de gestión y elaboración de informes
de las transacciones propia.
• Puedes invertir en medidas de seguridad de datos como
certificados, auditorías y análisis de riesgos.
• Deseas mantener un nivel más elevado de cumplimiento
de PCI DSS (lo que suele implicar mayores costes).
Ejemplo de integración por Web Services XML-API con Snap

39
Lasiguientetablaresumelasprincipalescaracterísticas
delosdistintostiposdeintegración:
Libros Blancos de Observatorio eCommerce
Opciónde
integración
¿Mispáginasdepagose
alojanenmiPSP?
¿Laspáginasdepago
sonpersonalizables?
¿Cuálessonmisrequisitos
paracumplirconPCIDSS?
Formulario
depago
Sí
Estaeslaopcióndeintegración
másrápidaysencilla.
No
Sinauditoría.
Cuestionariode
autoevaluaciónonline.
inFrameSí
Sí
Controlcompletosobreel
Brandingyelformatode
lapágina,aexcepciónde
loscamposnecesarios
paraelpago.
Sinauditoría.
Análisisderiesgosrealizado
porlaentidadadquirente.
Análisisdevulnerabilidades
mensualotrimestral.
services
XML-API
No
Tuclientenuncaabandona
tusitioweb.
DisponesdeBackOfficepropio.
Sí
Setratadeunserviciode
marcablanca,demodoque
existeuncontrolcompletodel
aspecto.Túproveestodala
partevisibleporelcliente.
DebescumplirconPCIDSS.
Esnecesarioinvertirenun
certificadodigitalpropio.

#2. Qué es el «ratio de abandono»
y cómo disminuirlo
Tras todos los esfuerzos encaminados a dirigir tráfico a la
web, destacar aquello que los clientes demandan y ofrecer
el mejor precio por ello, todavía hay un gran porcentaje de
nuestras pequeñas y medianas empresas que ni siquiera sa-
ben dónde ni por qué se abandonan los procesos de compra.
Y es que muchas veces se nos olvida que es muy importan-
te proporcionar una experiencia de usuario satisfactoria, es
decir: que comprar en un website sea fácil, intuitivo, seguro y
que no requiera de muchos pasos.
La elección de una pasarela de pago u otra puede contribuir
a que los ratios de abandono disminuyan, al proporcionar la
experiencia de usuario que los clientes están buscando.
Los ratios de abandono en España
Los principales motivos son los siguientes:
22% carrito de la compra.
15% página de confirmación.
10% página 3D Secure.

Estrategias para disminuir la tasa de abandono
La integración con una buena pasarela de pago permite abor-
dar distintas alternativas para la disminución de la tasa de
abandono, gracias a varios factores:
• Minimizar el número de pasos para el pago: con las
integraciones tipo Inframe los pasos pueden reducirse a
1-2, acelerando el proceso de checkout.
• Branding: una marca genera confianza. La pasarela de
pago debe permitir que esta esté presente en las páginas
de pago, al menos con su logotipo, o a través de la completa
personalización de las mismas con el look & feel del
comercio. El cliente tendrá la sensación de permanecer en
todo momento en el mismo, incrementando su seguridad,
confianza y nivel de conocimiento durante todo el proceso
de pago.
• Mostrar la información al cliente en su propio idioma:
de este modo, se podrá informar a los compradores de
detalles cruciales sobre el pago en su idioma, aumentando
la sensación de seguridad.
• Acelerar el proceso de checkout: es posible almacenar de
manera segura los detalles de las tarjetas de los clientes
a través de un token o alias cifrado. El comercio no
almacena la información de tarjeta, sino el PSP (Proveedor
de Servicios de Pago), pero el sistema permite que los
clientes no tengan que introducir los datos de su tarjeta
cada vez que realizan una compra en la web (lo que se
denomina pago en one-click).

• Elegir un adquirente de confianza, y mostrarlo en las
páginas de pago. Para los pequeños comercios puede
resultar difícil convencer a sus clientes de que los pagos
son seguros. Ser transparente y mostrar qué compañía se
encarga de procesar las transacciones facilitará que estos
perciban que sus pagos se encuentran en buenas manos.
• Ofrecer una gran variedad de medios de pago: cada país
tiene su idiosincrasia y preferencias a la hora de escoger
sus medios de pago online. Puesto que los clientes de un
eCommerce pueden encontrarse en cualquier lugar del
planeta, cuanto mayor sea el abanico de opciones que se
les ofrezca, mejor será su respuesta.
Formas de pago preferidas en España por los internautas que compran online
Fuente: Estudio sobre Comercio Electrónico B2C 2013 (Edición 2014) – ONTSI

#3. Gestión del riesgo y
control del fraude online
Según el último Informe sobre eCommerce de la Comisión
Nacional de los Mercados y la Competencia , en el primer
trimestre de 2014 los ingresos del comercio electrónico en
España alcanzaron los 3 578,7 millones de euros, con un au-
mento interanual del 26,8%. Estos ratios se han mantenido
incluso durante la crisis económica, lo que demuestra la con-
solidación del eCommerce en nuestro país.
Evolución trimestral del volumen de negocio del Comercio Electrónico y variación interanual
Fuente: CNMC - Informe sobre el Comercio Electrónico en España a través de Entidades de Medios de Pago

El fraude online. Datos en España
Desde el punto de vista del usuario, en España durante 2014
continúa la tendencia a la baja, ya que se observa menor pro-
porción de situaciones que pudieran derivar en fraude, como
afirma un 49,6% de los usuarios entrevistados en el Informe
Estudio sobre la Ciberseguridad y Confianza en los hogares
españoles de INTECO , lo que supone un cambio de tenden-
cia con respecto a 2013 (cuando esta proporción alcanzaba
el 52,9%).
Estadísticas sobre intentos de fraude online en España
Fuente: ONTSI-INTECO - Estudio sobre la Ciberseguridad y Confianza en los hogares españoles

Sin embargo, si observamos el fenómeno del fraude desde
el punto de vista del comercio online, obtenemos unos datos
algo más preocupantes, puesto que el 45% de las pequeñas
y medianas empresas reconocen no utilizar herramientas
anti-fraude.
Importe anual de las pérdidas derivadas del fraude online
Fuente:Javelin Strategy & Research

Principales tipos de fraude online
Profundizando en las características del fraude online, pode-
mos destacar las siguientes tipologías:
• Robo de identidad: robo de los datos de la tarjeta, la propia
tarjeta o los datos del usuario en PayPal.
• Ingeniería social: los consumidores reciben
comunicaciones donde se les solicitan los detalles de sus
tarjetas, fingiendo ser su banco, o un comercio.
• Fraude interno: los empleados de un eCommerce utilizan
los datos de sus clientes de un modo fraudulento.
• Fraude de afiliación: construcción de réplicas falsas de un
comercio online, fingiendo todas las transacciones.
• Fraude amistoso: el consumidor declara no haber recibido
los productos y rechaza la transacción, cuando esto no es
cierto.
Visión de las principales herramientas anti-fraude.
Beneficios y limitaciones
Existen distintas alternativas, no excluyentes, que permiten
reducir la probabilidad de generar fraude en eCommerce, y
sus consecuencias.

CVV/CVV2
El sector bancario introdujo las herramientas CVV y CVV2
para contribuir en la lucha contra los crecientes problemas de
autenticación del consumidor durante las transacciones CNP
(Card Not Present), correspondientes a los pagos online, en
los que no hay una verificación de autenticidad de la tarjeta
bancaria.
CVV y CVV2 son los acrónimos de Card Verification Value,
utilizados por Visa y MasterCard. Se trata del código de tres
dígitos que aparece en la parte posterior de la tarjeta del com-
prador, junto a la banda magnética.
En el caso de American Express se denomina CID (Card
Identification Digits), que aparecen normalmente como un
código de 4 dígitos en la parte anterior de la tarjeta.
Estas herramientas son servicios de notificación electrónica
que permiten la verificación tanto en procesos de pago online
como en transacciones a través del teléfono o correo electró-
nico. Tienen por objetivo proporcionar información adicional
en cada transacción, ofreciendo así más seguridad al comer-
cio a la hora de minimizar el riesgo de pagos fraudulentos.
Beneficios:
• Rapidez: la verificación de CVV/CVV2 se ejecuta en
tiempo real, por lo que se reciben los resultados antes de
la autorización de la operación.

• CVV/CVV2 proporciona más información sobre la
transacción, de manera que es posible decidir si se
requiere realizar algún tipo de comprobación anti-fraude
adicional.
• Los fallos en CVV/CVV2 son indicadores tempranos de
que la tarjeta se está utilizando de forma fraudulenta, lo
que evitará otras comprobaciones manuales.
• Respuestas detalladas que limitan los errores: los
resultados se dividen en 3 categorías para reducir el
número de respuestas fallidas originadas por un error del
usuario.
Limitaciones:
• No se pueden utilizar en tarjetas privadas: si el comercio
acepta pagos con tarjetas de empresa puede recibir el
resultado «datos no comprobados», ya que los bancos no
tienen acceso a esta información para este tipo de tarjetas.
3D Secure
3D Secure, denominado Verified by Visa (VbV) o MasterCard
Secure Code (MSC), se trata de una iniciativa contra el frau-
de lanzada por los emisores de tarjetas como el método más
seguro para la autenticación del titular de la tarjeta en tiempo
real antes de una transacción.
3D Secure (3 Domain Secure) hace referencia a las partes
que participan en este proceso:

• El comercio.
• El banco adquirente.
• Visa y MasterCard.
Beneficios:
• Traslado del riesgo de la transacción fraudulenta al emisor:
el riesgo no es imputable al comercio si procesa sus pagos
a través de un proceso 3D Secure. Si la transacción resulta
ser fraudulenta, el comercio estará protegido por el emisor
de la tarjeta contra el repudio de operaciones, ya que será
el propio banco emisor quien asumirá los importes.
• Flexibilidad: es posible definir si se activa o no, a criterio
del comercio, en función de las características de la
transacción (potencial riesgo de fraude), si bien el emisor
puede denegar una transacción que no se gestione
mediante 3D Secure.
• Tarjetas que pertenecen a 3D Secure: VISA, VISA
DELTA, MASTERCARD, MASTERCARD DÉBITO,
INTERNATIONALMAESTRO, LASER y VISAELECTRON.
Limitaciones:
• Las devoluciones pueden ocurrir: una transacción validada
por 3D Secure no garantiza que un cliente pueda ejercer
su derecho a anular una venta en los plazos y condiciones
determinados por la ley de comercio.
• No todas las tarjetas participan: no existen iniciativas
similares para American Express, JCB o Diner’s Club.

Consejos adicionales para minimizar el fraude
Debido a las limitaciones que hemos comentado, es reco-
mendable que el comercio no base su política de detección
del fraude únicamente en estas herramientas (CVV/CVV2 y
3D Secure), tratando de implementar en la medida de lo po-
sible comprobaciones adicionales:
• Cotejar el número de teléfono y la dirección de entrega
con la dirección de facturación. Llamar al número indicado
para comprobar que es real, y (para entregas dentro del
territorio nacional) comprobar que el prefijo concuerda.
Incluso verificar si el edificio encaja con las expectativas
revisando la dirección en Google Street View.
• Desconfiar de una transacción de bajo importe seguida de
varias de importes altos. Los delincuentes siempre hacen
una prueba inicial a través de pequeñas compras antes
de abordar el gran asalto. Además, se aprovechan de
las temporadas de gran actividad para esconderse entre
el volumen de datos. Es imprescindible incrementar la
cautela durante esos periodos.
• Tener especial cuidado con los países de «alto riesgo»,
algo que cada vez es más importante dado el gran alcance
de los negocios online en los últimos tiempos.
• Comprobar la concordancia del país de entrega con la
dirección IP del usuario.

• «Velocity Checks». Comprobar aquellas transacciones
que se repiten de forma intermitente o un cierto número de
veces en un lapso de tiempo concreto.
• Comprobar que la dirección de correo electrónico sea
válida (el correo será devuelto si no lo es), y sospechar
de aquellas cuentas de correo gratuitas, temporales o
anónimas.
• Si todas las comprobaciones anteriores son correctas,
pero todavía existen sospechas, considera la opción de un
envío certificado para asegurar que el propio destinatario
firmará su recepción y así evitar reclamaciones en la
entrega.
• Hoy en día existe tecnología que consigue el compromiso
casi perfecto entre riesgo y crecimiento. Se trata de
herramientasbasadasenelanálisispreyposttransaccional
que son capaces de definir un scoring transaccional en
tiempo real.

#4. La seguridad de los datos
personales de la Industria de
Tarjetas de Pago: PCI DSS
Independientemente de su tamaño, cuando un negocio acep-
ta pagos con tarjeta debe cumplir la normativa PCI DSS (Pay-
ment Card Industry Data Security Standard) como condición
imprescindible para la prestación de sus servicios.
Estos estándares ayudan a las entidades que procesan, al-
macenan y/o transmiten datos de titulares de tarjeta a prote-
ger dicha información, con el fin de prevenir los fraudes que
involucran tarjetas de pago de débito y crédito.
El cumplimiento de PCI DSS permite:
• Mayor seguridad para las compras por Internet, al reducir
las brechas de seguridad online.
• Impedir el robo y el uso no autorizado de tarjetas de crédito
y débito.
• Proteger a los consumidores y a los negocios ante
actividades fraudulentas.
• Garantizar que los comerciantes almacenan, procesan y
transmiten los datos de tarjetas de forma segura.
• Evitar los daños en la reputación y los costes financieros
asociados a un fallo en la seguridad de los datos.

Puesto que la norma PCI DSS afecta a todos los actores par-
tícipes en el proceso de pago procesando, almacenando y/o
transmitiendo datos de tarjeta, la forma más sencilla para re-
ducir el impacto de su cumplimiento para los comercios pasa
por evitar en todo momento el «contacto» con esta informa-
ción. Pero si se quieren ofrecer al cliente opciones avanzadas
de pago (one click, compras recurrentes, etc.) se necesita
almacenar estos datos.
La solución pasa por el uso de tokens, una referencia de los
datos de un comprador (número de tarjeta, dirección de fac-
turación, etc.) asociado a un comercio y almacenado en el
servidor, ofreciendo al comercio flexibilidad para procesar las
transacciones sin comprometerse a la seguridad que implica
el almacenamiento de datos de tarjetas. Únicamente los pro-
veedores de pago que cumplan el nivel 1 de la normativa PCI
DSS pueden almacenar datos de tarjetas.
El uso de tokens es ideal para ofrecer soluciones avanzadas
de pago, delegando en su proveedor (que es quien propor-
ciona estos tokens) el procesamiento y almacenamiento de la
información de tarjeta:
• Agilizar el proceso de compra 1-click en las futuras visitas
de los clientes.
• Facilitar al comprador los pagos recurrentes.
• Realizar ventas 1-touch a través de dispositivos móviles.
• Reducir la tasa de abandono en el proceso de compra.
En el siguiente capítulo profundizaremos en estos aspectos
relacionados directamente con el cumplimiento de la norma-
tiva PCI DSS.

3CAPÍTULO

SEGURIDAD EN EL
PAGO CON TARJETA
Pagar con una tarjeta de plástico hoy en día es algo básico
para cualquier ser humano que no viva alejado de la civiliza-
ción. Nadie podría plantearse no disponer de alternativas al
dinero físico para realizar unos pagos que, además, serían
imposibles en un mundo «virtualizado», donde la necesidad
de tener herramientas adecuadas para realizar compras im-
plica disponer de tarjetas bancarias con uno u otro formato,
físico o virtual.
La cuestión que se presenta es si estos sistemas de pago,
que en los últimos cinco años han sufrido una revolución im-
portante, han ido implementando los requerimientos de segu-
ridad acordes a sus riesgos.
En este capítulo se presentarán las más recientes iniciativas,
técnicas y estándares tanto en el pago con tarjeta como las
medidas de seguridad en él, cuyo fin es reducir el fraude y
proteger al usuario final.
#1. Proceso de pago con
tarjeta online y offline
Las tarjetas bancarias son facilitadas por una entidad finan-
ciera, que a su vez están vinculada a las marcas de tarjetas
de pago (VISA, MasterCard, American Express, etc.), para la
realización de una transacción monetaria.

Gracias a la comodidad, facilidad de uso y seguridad que
proporcionan a las personas, al evitar llevar encima gran-
des cantidades de dinero en efectivo, estas tarjetas se han
convertido en una parte muy común de nuestras vidas y son
ampliamente conocidas y aceptadas tanto por usuarios como
por comercios.
Existen dos métodos fundamentales de pago a través de
tarjetas bancarias: el pago online, vigente cuando existe
conexión directa con los centros autorizadores, y el pago
offline, que se da cuando no existe conexión directa con
dichos centros. En este último caso, los datos de tarjeta son
habitualmente almacenados en el terminal o sistemas de la
entidad, para la realización posterior de la transacción, en el
momento en que sí exista conectividad directa con el centro
autorizador.
Además, existen dos categorías principales de pago para este
tipo de tarjetas: el pago presencial y el pago no presencial,
que son detalladas a continuación.
Pago presencial
Esta categoría incluye los pagos donde la transacción se rea-
liza de manera presencial, a través de una tarjeta de pago en
una compra física, y mediante un Terminal de Punto de Venta
(TPV) o Datáfono.

Seguridad en el pago con tarjeta
En dicho proceso, y en el momento de la realización del pago,
el usuario interactuará con su tarjeta de crédito o débito en
este TPV, de manera que la transacción se realizará a través
de redes que pueden ser o bien cableadas (telefónicas, redes
Ethernet, etc.) o bien inalámbricas (GSM, GPRS, WiFi, etc.).
Para interactuar con el terminal, el usuario dispone de varios
métodos para realizar la transacción. Estos métodos son la
Banda Magnética, el Chip EMV y el Contactless, que vemos
con más detalle seguidamente.
Banda Magnética
La banda magnética de una tarjeta de pago puede contener
hasta tres pistas de grabación. En dichas pistas se almacena
la información asociada a la tarjeta, como puede ser el
Número Personal de la Cuenta o PAN (Personal Account
Number), el Valor de Verificación de la Tarjeta o CVV (Card
Verification Value) o el Valor de Verificación PIN PVV (Pin
Verification Value).
En el momento del pago (o reembolso monetario), el usua-
rio «deslizará» la banda magnética de su tarjeta por el TPV,
de manera que el dispositivo accederá a la información que
contiene. Una vez identificada y validada la tarjeta, se proce-
derá al cobro del importe del pago a la cuenta asociada a la
misma.

EMV
EMV es un estándar de interoperabilidad entre tarjetas con
microprocesador (chip) y dispositivos TPV con soporte para
este tipo de tecnología.
Las transacciones mediante EMV ofrecen una mayor se-
guridad frente el fraude que los pagos mediante la banda
magnética. Esto se debe al uso de algoritmos de cifrado
como DES, Triple DES, RSA y SHA para el cifrado de la
información contenida en el chip.
En el momento del pago, el usuario introducirá su tarjeta
con chip en el lector y este extraerá la información asocia-
da a dicha tarjeta, como el PAN o el PVV. Si es necesa-
rio, el TPV solicitará al usuario que introduzca su PIN en el
terminal, para garantizar su identidad (la necesidad de ello
vendrá determinado por la entidad financiera, aunque para
importes inferiores a 20 € la mayoría no solicitará la intro-
ducción del PIN).
Contactless
Para facilitar el pago en los terminales TPV, hace pocos años
se desarrolló la tecnología Contactless3
, que permite el inter-
cambio de información entre la tarjeta y el TPV sin que exista
contacto físico, solo la proximidad (unos centímetros).
3. Mastercard contactless http://www.mastercard.com/contactless/

La tecnología utilizada para operar de esta manera se
conoce como NFC (Near Field Communication), un sistema
de comunicación inalámbrico de corto alcance que funciona
por proximidad. La ventaja principal consiste en que no es
necesario introducir la tarjeta en un TPV, sino que únicamente
tendremos que acercar la tarjeta al dispositivo y el traspaso
de información se realizará de manera automática.
Así pues, en el momento de la transacción, el usuario
acercará su tarjeta al terminal y este obtendrá la información
necesaria para su identificación y validación. Como en el
caso del EMV, una vez obtenidos los datos necesarios, si es
preciso, el TPV solicitará al usuario su PIN, de manera que se
garantice su identificación antes de proceder a la aceptación
de la transacción.
Pago no presencial
Esta categoría de métodos de pago incluye todas las transac-
ciones donde la tarjeta no se puede validar de manera pre-
sencial (físicamente), como pueden ser las compras o pagos
a través de comercios electrónicos (eCommerce), así como
los canales de venta por teléfono o correo electrónico (MOTO
- Mail Order/Telephone Order).
Dentro de la subcategoría de comercios electrónicos, pode-
mos encontrar tres métodos diferenciados de pago: TPV Vir-
tual, TPV Virtual con autenticación adicional y Pago online a
través de un intermediario.

TPV Virtual
La mayoría de eCommerce disponen de esta modalidad de
pago, mediante la cual un TPV físico es emulado a través de
un programa o recurso de una entidad bancaria.
Para efectuar un pago con este método, la página web o por-
tal de compra realiza una redirección hacia el TPV virtual del
banco, donde el usuario debe introducir los datos asociados
a su tarjeta (PAN, fecha de caducidad y CVV2/CVC2/CID/
CAV2).
Una vez introducidos, a través de TPV se solicita autorización
al emisor de la tarjeta (entidad bancaria relacionada), que es
quien autoriza o deniega la operación. En ocasiones, y como
medida de seguridad adicional, el portal del banco solicitará
al usuario que introduzca algún dato más, como el valor de
una tarjeta de coordenadas propia de ese usuario o el con-
tenido de un mensaje de texto, que el banco enviará en ese
instante al usuario.
TPV Virtual con autorización adicional
Para evitar que el comercio pueda acceder a los datos de
la tarjeta del usuario empleada en la realización del pago,
algunos TPV virtuales utilizan sistemas como 3D Secure, en
el que se requiere de una autenticación adicional en los sis-
temas de la entidad bancaria para disminuir aún más la posi-
bilidad de fraude.

Para la realización de este tipo de pagos, el usuario debe
asociar su tarjeta de pago a una contraseña o clave secreta
a través del portal de su entidad financiera. En el momento
del pago online, se añade un paso más respecto al caso an-
terior, que consiste en una redirección adicional a un portal
propio del banco donde se requiere al usuario que introduzca
dicha clave, además de un documento de identidad adicional,
como puede ser su DNI o Pasaporte.
Una vez hecha la validación de todos estos datos, el pago se
realizará como en el caso de un TPV virtual normal.
Pago online a través de un intermediario
Existen también procedimientos de pago online en los que la
transacción se realiza a través de un intermediario o tercero.
En este tipo de pagos nos podemos encontrar dos métodos
principales, el monedero virtual y la pasarela de pago:
• En el primero de estos métodos, conocido como
monedero virtual, el usuario deberá crear una cuenta
en uno de estos proveedores, asociada a su tarjeta
de pago, y posteriormente, en el momento del
pago, introducir los datos asociados a dicha cuenta.
Con esto, el usuario no necesitará aportar los datos
confidenciales de su tarjeta de pago en la web del
comercio, sino que los datos introducidos serán los

asociados a su cuenta en el intermediario (datos no tan
sensibles), y la entidad tercera será a su vez la encargada
de facilitar a la entidad bancaria la información necesaria
para la realización de la transacción.
• En el segundo método, conocido como pasarela de
pago, será el comercio el que tendrá un contrato con
un intermediario, de manera que la transacción se
realizará a través de dicha pasarela. El intermediario
será el encargado de interactuar con la entidad financiera
asociada al comercio para que la transacción se lleve a
término de manera correcta.
Otra subcategoría dentro de los pagos no presenciales son
las ventas a través de teléfono o correo electrónico (MOTO
- Mail Order/Telephone Order), en las que los datos de tarje-
tas son o bien enviados por su titular a través de un correo
electrónico, o bien facilitados directamente a un operador te-
lefónico.
En ambos casos, la entidad responsable de recibir dichos da-
tos será la encargada de realizar la transacción monetaria,
normalmente a través de un TPV Virtual con conexión con el
centro autorizador.

#2. Normativa PCI DSS
La PCI DSS (Payment Card Industry Data Security Stan-
dard)4
es una normativa de seguridad que se aplica a entor-
nos que procesan, transmiten o almacenan datos de tarjetas
bancarias. Por lo tanto, vemos que dicha normativa es de
total aplicación para plataformas de eCommerce que integren
pagos con tarjetas.
Los diferentes agentes implicados en la normativa se descri-
ben a continuación:
Titular de tarjeta (Cardholder): persona que posee una
tarjeta bancaria de crédito o débito, asociada a una cuenta
bancaria.
Marca de pago: organizaciones responsables de las tarje-
tas de crédito y débito. Las marcas de pago que forman el
PCI SSC5
(responsable de la normativa PCI DSS) son VISA6
,
MasterCard7
, American Express8
, JCB9
y Discover10
.
4. Normativa PCI DSS v3.0 https://www.pcisecuritystandards.org/documents/PCI_DSS_v3_
05Nov13_Final_ES-LA.pdf
5. PCI SSC https://www.pcisecuritystandards.org
6. VISA https://www.visaeurope.es
7. Mastercard https://www.mastercard.com
8. American Express https://www.americanexpress.com
9. JCB http://www.jcbeurope.eu/
10. Discover https://www.discover.com/

Emisor: institución financiera que mantiene contratos y
emisiones de tarjetas con sus titulares. Son los responsa-
bles de la administración de las cuentas de los titulares,
así como de aprobar las solicitudes de autorización.
Adquiriente: miembro de una marca de tarjetas de
pago que mantiene relaciones y cuentas para los comer-
cios que aceptan las tarjetas (intermediario entre un co-
mercio y una marca de tarjeta, normalmente una entidad
bancaria).
Comercio: negocio que cumple con los estándares de
calificación de una marca de pago y que se encuentra
aprobado por un adquiriente.
Proveedor de servicio: entidad que presta servicios a
otras entidades afectadas por el estándar PCI DSS. Algu-
nos ejemplos de servicios pueden ser: acceso a Internet,
desarrollo de software a medida, alojamiento de aplica-
ciones web, etc.
Los datos de tarjeta a los que aplica la normativa son
tanto los datos del titular (PAN, nombre del titular, cadu-
cidad y código de servicio), como los datos sensibles de
autenticación (banda magnética, CVV2/CVC2/CAV2/CID
y PIN/PIN block).
Aunque la normativa permite el almacenamiento de algu-
nos de estos datos (siempre que exista justificación de
negocio y se empleen las medidas de seguridad adecua-
das), prohíbe el almacenamiento de otros de estos datos,
como se puede observar en la siguiente tabla.

Almacenamiento de datos de tarjeta
Tipos de dato Dato
Almacenamiento
permitido
Protección de
datos según
Req. 3.4
Datos del titular de la
tarjeta
PAN Sí Sí
Nombre del titular Sí No
Código de Servicio Sí No
Caducidad Sí No
Datos sensibles de
autenticación
Banda magnética No N/A
CVV2/CVC2/CAV2/CID No N/A
PIN/PIN Block No N/A
Cada versión de la normativa PCI DSS dispone de un ciclo
de vida de 3 años, y es monitorizada durante este tiempo
por el PCI Security Standards Council, que es un organismo
formado por las principales marcas de tarjeta (VISA, Master-
Card, American Express, JCB y Discover) y que se encarga
de publicar y mantener los estándares PCI. La versión actual
es la 3.0, vigente desde Octubre/Noviembre de 2013, y de
obligado cumplimiento desde Enero de 2015.
Dicha normativa está conformada por 12 Requerimientos
principales, y estos son agrupados a su vez en 6 Principios,
que aparecen en la tabla a continuación.

Requerimientos PCI DSS (versión 3.0)
Principio Requerimiento
Desarrolle y mantenga
redes y sistemas seguros
1. Instalar y mantener una configuración de firewall
para proteger los datos del titular de la tarjeta.
2. No utilizar contraseñas de sistemas y otros
parámetros de seguridad provistos por los proveedores.
Proteger los datos del
titular de la tarjeta
3. Proteger los datos del titular de la tarjeta que fueron
almacenados.
4. Cifrar la transmisión de datos del titular en redes
públicas abiertas.
Mantener un programa
de administración de
vulnerabilidades
5. Utilizar y actualizar con regularidad los programas o
software antivirus.
6. Desarrollar y mantener sistemas y aplicaciones
seguras.
Implementar medidas
sólidas de control de
acceso
7. Restringir el acceso a los datos del titular de la tarjeta
según la «necesidad de saber» que tenga la empresa.
8. Identificar y autenticar el acceso a los componentes
del sistema.
9. Restringir el acceso físico a los datos del titular de
la tarjeta.
Supervisar y evaluar las
redes con regularidad
10. Rastrear y supervisar todos los accesos a los
recursos de red y a los datos de los titulares de las
tarjetas.
11. Probar con regularidad los sistemas y procesos de
seguridad.
Mantener una política de
seguridad de información
12. Mantener una política que aborde la seguridad de la
información para todo el personal.

A continuación, procedemos a analizar cada uno de estos 12
requerimientos de seguridad, haciendo énfasis en sus puntos
clave y dando consejos sobre cómo lograr el cumplimiento
de los mismos.
Req 1. Instalar y mantener una configuración de firewall
para proteger los datos del titular de la tarjeta
Este requerimiento se centra en la seguridad perimetral del
entorno de cumplimiento y su objetivo es que se instale y se
mantenga una infraestructura de firewalls o cortafuegos, así
como de otros dispositivos de red, que supongan un primer
nivel de protección frente a amenazas que provengan del en-
torno exterior hacia el entorno PCI DSS.
Req 2. No utilizar contraseñas de sistemas y otros pará-
metros de seguridad provistos por los proveedores
Este requerimiento está enfocado a la debida fortificación de
los parámetros de seguridad de todos los elementos que con-
forman el entorno de cumplimiento PCI DSS, y eso incluye
servidores, elementos de red y otros dispositivos configura-
bles relacionados con el entorno.
Para ello, es necesario que se desarrollen normas de con-
figuración para todos ellos, actualizadas y basadas en las
mejores prácticas de la industria, que den pautas sobre su
correcto abastionamiento.

Req 3. Proteger los datos del titular de la tarjeta que
fueron almacenados
Este requerimiento se enfoca hacia la protección de la in-
formación relativa a tarjetas de pago que sea almacenada
en un entorno PCI DSS, tanto de manera temporal como de
manera permanente.
Para lograrlo, se debe almacenar la menor cantidad de in-
formación de tarjetas de pago necesaria para el curso del
negocio, y el menor tiempo posible. Cuando el PAN sea al-
macenado en el entorno, dicho almacenamiento se debe-
rá realizar bajo métodos que lo hagan ilegible en cualquier
ubicación.
Req 4. Cifrar la transmisión de los datos del titular de la
tarjeta en redes públicas abiertas
Este requerimiento cubre la necesidad de que se cifren to-
das las comunicaciones por redes públicas en las que se
transmitan datos de tarjetas.
En este tipo de canales de transmisión, se deben utilizar
metodologías de cifrado robusto reconocidas por la indus-
tria, como TLS 1.2, IPSEC, SSH v2, VPN, etc. Las redes
inalámbricas, por su parte, deberán implementar también
métodos de cifrado robustos (como WPA2 con 802.11i en el
caso de las redes WiFi).

Req 5. Utilizar y actualizar con regularidad los programas
o software antivirus
Este requerimiento establece las pautas necesarias para que
los diferentes servidores y equipos del entorno de cumpli-
miento cuenten con software antivirus activo y actualizado,
de manera que se encuentren protegidos contra antivirus,
gusanos, troyanos y todo tipo de malware en general.
Para lograr dichos objetivos, se deberá instalar y mantener
operativo software antivirus en todos los sistemas del entorno
de cumplimiento susceptibles de ser afectados por malware.
Req 6. Desarrollar y mantener sistemas y aplicaciones
seguras
Este requerimiento pretende que se establezca una metodo-
logía de desarrollo de software que incorpore la seguridad en
todo el ciclo de vida del desarrollo, así como que el nivel de
parcheado de sistemas sea el adecuado, de manera que las
aplicaciones y sistemas resultantes sean seguros frente a los
ataques más comunes.
Para ello, será necesario definir un correcto ciclo de vida de
desarrollo de software (SDLC-Software Development Life
Cicle), así como seguir guías de desarrollo seguro para los
diferentes lenguajes de programación utilizados, basadas en
las normas o mejores prácticas de la industria.

Req 7. Restringir el acceso a los datos del titular de la tar-
jeta según la «necesidad de saber» que tenga la empresa
Dicho requerimiento se ocupa de que solo el personal auto-
rizado y con necesidad de negocio para ello, pueda acceder
a los datos de tarjetas de pago contenidos en el entorno de
cumplimiento.
Para ello, se deberá limitar el acceso a los datos y componen-
tes de sistema a aquellos individuos que lo necesiten, bajo
justificación y para la operativa de negocio a la que están
asignados.
Req 8. Identificar y autenticar el acceso a los componen-
tes del sistema
Este requerimiento va muy ligado al anterior, y en él se espe-
cifican las medidas de seguridad a seguir para que la iden-
tificación y la autenticación de los usuarios en los accesos a
datos o componentes de sistema del entorno sean las ade-
cuadas.
Además, las cuentas con acceso al entorno deberán dispo-
ner de una política de seguridad adecuada, con bloqueo tras
seis intentos de acceso fallidos, caducidad de 90 días, histó-
rico de cuatro contraseñas, etc. Y las conexiones remotas al
entorno deberán realizarse a través de una autenticación de
doble factor.

Req 9. Restringir el acceso físico a los datos del titu-
lar de la tarjeta
El requerimiento 9 contempla la seguridad física del en-
torno de cumplimiento, incluyendo en su alcance las ins-
talaciones, Centros de Procesado de Datos (CPD) y to-
das las áreas que lo conforman.
Para ello, se deberán implementar controles de acceso
físico, de manera que se limiten los accesos a los impres-
cindibles para la operativa de negocio de la entidad.
Req 10. Rastrear y supervisar todos los accesos a los
recursos de red y a los datos de los titulares de las
tarjetas
Este requerimiento cubre la necesidad de disponer y
mantener registros de auditoría o logs en todas y cada
una de las tecnologías del entorno de cumplimiento, de
manera que se monitoricen todos los accesos y acciones
realizadas tanto a datos de tarjeta como a las configura-
ciones de los sistemas.
Dichas pistas o registros de auditoría deberán registrar
todas las acciones realizadas sobre el entorno de cumpli-
miento PCI DSS.

Req 11. Probar con regularidad los sistemas y procesos
de seguridad
Este requerimiento cubre la necesidad de realizar pruebas de se-
guridad periódicamente en el entorno de cumplimiento, de mane-
ra que se asegure que no existan vulnerabilidades en el mismo.
Para ello, es necesario que se implementen escaneos trimes-
trales de vulnerabilidades, además de escaneos de búsqueda
de puntos de acceso inalámbricos y pruebas de penetración.
También será necesario implementar Sistemas de Detección/
Prevención de Intrusos (IDS/IPS), así como mecanismos de
Monitorización de Integridad de Ficheros (FIM-File Integrity
Monitoring) en el entorno.
Req 12. Mantener una política que aborde la seguridad de
la información para todo el personal
El último requerimiento de la normativa establece la necesi-
dad de que exista y se mantenga una correcta política de se-
guridad en todos los procedimientos y aspectos de seguridad
relativos al entorno de cumplimiento. Para ello, será necesa-
rio que se establezca, se mantenga actualizada y se distribu-
ya al personal implicado una correcta política de seguridad,
que cubra las necesidades, obligaciones y responsabilidades
de todo personal implicado en el entorno.
Además, también se deberá realizar un análisis de riesgos anual,
implantar programas formales de concienciación, implementar
estrictas medidas de control y monitorización de proveedores, y
definirunplanderespuestaaincidentesdeseguridadenlaentidad.

#3. Estrategias de cumplimiento
Como hemos podido observar, la normativa PCI DSS es muy
extensa, profunda y exigente, y sus doce requerimientos cu-
bren un amplio abanico de controles y procedimientos de se-
guridad, tanto a nivel técnico como a nivel procedimental y
organizativo.
Todo esto comporta que alcanzar la adecuación con el están-
dar implique en muchos casos una elevada inversión, tanto
a nivel económico como temporal, requiriendo un gran nivel
de esfuerzo de todos los actores implicados. Por todo esto,
es importante hacer énfasis en aquellas estrategias que nos
faciliten el cumplimiento del estándar.
Identificación del entorno de cumplimiento
Una de las primeras consideraciones a tener en cuenta an-
tes de abordar la implantación del estándar es realizar una
correcta identificación del entorno de cumplimiento afectado
por la normativa, de manera que se puedan concentrar los
esfuerzos de implantación en los elementos del mismo.
Para ello, es necesario que se identifiquen todos aquellos sis-
temas y tecnologías relacionados con el tratamiento, proce-
sado y almacenamiento de los datos de tarjetas de pago, así
como todos los elementos que pueden alterar la seguridad

del entorno, entre los que destacan los procesos de negocio,
los proveedores externos y el personal con acceso a los da-
tos de tarjeta.
Si dicha identificación no se realiza de manera correcta, se
corre el peligro de tener una falsa sensación de cumplimien-
to, ya que puede darse el caso de que una entidad haya apli-
cado todos los controles de la normativa solo a una parte del
entorno (con el elevado esfuerzo que eso supone), omitiendo
elementos que hacen que no se consiga un debido alinea-
miento con el estándar.
Reducción del entorno de cumplimiento
Una vez se ha identificado de manera clara el entorno de
cumplimiento de una entidad, se deben aplicar procedimien-
tos de reducción del mismo, y es que es importante que el
número de sistemas y procedimientos operativos a los que
aplicar los doce requerimientos de seguridad de la PCI DSS
sean los mínimos posibles, de manera que se reduzca el al-
cance de lo que definimos como entorno de cumplimiento.
La primera consideración a tener en cuenta es que el PAN
no se debe almacenar a no ser que sea imprescindible para
el negocio. Y en el caso de que sea necesario, se deberá
hacerlo en el número mínimo de puntos posible. Con esto,
conseguiremos que los requerimientos de la normativa re-
lacionados con el almacenamiento seguro de los datos se
apliquen al menor número de elementos, de manera que se
nos facilitará en gran medida el cumplimiento del estándar.

Además, se podrán llevar a cabo otras técnicas de reducción
del entorno PCI DSS, entre las que destacan la segmenta-
ción de red, la tokenización, las soluciones P2PE (Point-to-
point encryption) o la externalización a proveedores certifica-
dos PCI DSS, que son detalladas seguidamente.
Segmentación de red
Para lograr la reducción del entorno de cumplimiento,
se puede llevar a cabo el procedimiento conocido como
segmentación de red11
.
Una vez identificados todos los elementos que conformarán
el entorno de cumplimiento (ver puntos anteriores), se crea
una especie de «burbuja» PCI a nivel conceptual, que inclu-
ya todos estos elementos identificados. Dicha burbuja es lo
que llamamos entorno de cumplimiento PCI DSS, también
conocido como Entorno de Datos de Tarjeta (CDE-Cardhol-
der Data Environment).
Hay que tener en cuenta, no obstante, que todos aquellos
elementos que interactúen de manera directa con la burbuja
PCI DSS también deberán ser considerados como parte de la
propia burbuja. Un ejemplo de esto pueden ser elementos de
seguridad como consolas de antivirus o herramientas de mo-
nitorización, que, a pesar de no tratar con datos de tarjeta de
manera directa, tienen interacción con elementos del entorno
que sí que los tratan, y por tanto, si se llegaran a comprometer
11. Internet Security Auditors – Usando la segmentación de red para reducir el alcance de PCI DSS

dichos elementos, esto podría conducir a una afectación de
la seguridad del entorno de cumplimiento.
Por tanto, una vez identificados todos los elementos de la burbu-
ja PCI DSS será necesario aislarlos adecuadamente del resto de
elementos de la infraestructura, de manera que no sea necesario
aplicar los requerimientos de la normativa a dichos elementos exte-
riores. Para realizar este aislamiento, debe existir una segmentación
a nivel del firewall perimetral del entorno.
Además, se debe estudiar cada caso por separado, así como ase-
gurar que los elementos exteriores no puedan generar tráfico de
entrada a la burbuja PCI DSS que pueda modificar su nivel de se-
guridad. En el caso de que así fuera, dichos elementos exteriores se
deberían incluir también dentro de la burbuja, y así sucesivamente
con todos aquellos elementos que interactúen con el entorno de
cumplimiento.
Una vez aislados todos los elementos que conforman el entorno de
cumplimiento, será necesario aplicar los doce requerimientos de la
normativa PCI DSS solo en ellos, excluyendo aquellos elementos
exteriores a la burbuja de alcance del estándar. De esta manera, el
alcance de la normativa se verá reducido en gran escala.
Tokenización
Otroprocedimientootécnicaqueesimportantetenerencuentapara
reducirelalcancedelanormativaPCIDSSeslatokenización12
,que
consiste en el reemplazo de un dato confidencial por otro que no lo
es, garantizando la misma operatividad sobre el dato en cuestión:

1. Un sistema recibe un dato confidencial, como el PAN de una
tarjeta de pago.
2. El dato confidencial se almacena en una ubicación segura,
bajo métodos de cifrado robustos, que garanticen su protec-
ción y confidencialidad.
3. El sistema asocia dicho dato confidencial cifrado a un valor
token único, que no es más que un dato no confidencial único,
y a través del cual y sin más información es imposible deducir
el valor del dato confidencial asociado al mismo.
4. A partir de este punto, todas las acciones operativas asocia-
das a dicho dato se realizan sobre el token, en vez de sobre
el dato confidencial en cuestión. A no ser, obviamente, que se
necesite el valor del dato original para alguna operación (como
puede ser el cobro de un importe bancario), momento en el
cual se realiza una consulta al dato original.
Visto el funcionamiento de dicha técnica, y teniendo en cuenta
que la PCI DSS solo se aplica sobre sistemas que almacenen,
transmitan o procesen datos de tarjetas de pago, vemos que
esta técnica también nos puede ayudar a reducir en gran me-
dida el alcance del entorno de cumplimiento.
Para entender cómo llevar a cabo dicho procedimiento, lo primero
que hay que tener en cuenta es que un token NO es un dato de
tarjeta, y que, por tanto, si tenemos un sistema o proceso que trata,
procesa o almacena solo dicho token, y se encuentra debidamente
segmentado del resto de sistemas o procesos de la burbuja PCI
DSS, este sistema se podrá omitir del alcance del estándar.
12. PCI DSS Tokenization Guidelines

La idea será entonces emplear dicha técnica para tokenizar los
datos de tarjeta confidenciales (como el PAN), y proceder a reali-
zar el mayor número de acciones operativas de negocio posibles
sobre dicho token, de manera que el dato original no se utilice a
no ser que sea estrictamente necesario. Una vez empleado dicho
procedimiento, se podrán omitir del alcance del estándar todos
aquellos sistemas y operaciones que traten solo con los token.
No obstante, para que dicha técnica sea válida para lograr la re-
ducción del alcance de un entorno de cumplimiento, se deberán
cumplir ciertas premisas, como es el hecho de que el sistema en-
cargado de la tokenización debe estar ubicado en una red interna,
que el valor del token no pueda aportar ninguna información a
un atacante, etc. Dichas premisas, así como el resto de detalles
sobre esta técnica, pueden ser consultadas en el sitio oficial del
PCI SSC.
Hay que tener en cuenta, además, que esta técnica se puede
implementar partiendo de cero en los propios sistemas de una
entidad afectada, o bien implementarse a través de alguna solu-
ción de tokenización externa y comercial, diseñada previamente
para tal efecto.
Point-to-point encryption (P2PE)
Otra técnica para conseguir la reducción del alcance de la nor-
mativa es el uso de una solución de Point-to-point encryption
(P2PE)13
, certificada previamente por el PCI SSC.
13 PCI SSC – Point-to-Point Encryption

Dicha técnica se basa en la realización de una transmisión
con cifrado punto a punto de los datos de tarjeta, con el uso
de una solución de cifrado ya certificada previamente, para
conseguir así sacar el canal de transmisión de los datos del
alcance de la normativa PCI DSS.
Para su uso, el primer paso a realizar por un comercio será
contratar alguna solución comercial y certificada por la nor-
mativa PCI P2PE, e implementarla en su propio entorno de
cumplimiento. De esta forma, cuando se desee transmitir
datos de tarjeta, estos serán cifrados previamente con dicha
solución, y, a continuación, serán transmitidos por el canal
habitual.
En el momento en el que los datos lleguen a su destino, vol-
verán a ser descifrados, de manera que sea posible el acceso
a los mismos por parte de su legítimo receptor.
Como la solución P2PE ya ha sido certificada previamente
por parte del PCI SSC (según el estándar PCI P2PE), se ga-
rantiza que cumple con las medidas de seguridad adecua-
das, como puede ser la implementación de algoritmos de
cifrado robustos de los datos, la realización de una correcta
gestión de las claves de cifrado, etc. Y, por lo tanto, todos
los sistemas por los que se transmiten los datos cifrados con
dicha solución quedaran fuera del alcance del entorno de
cumplimiento.
No obstante, para que esta reducción del entorno sea válida,
el comercio deberá tener en cuenta una serie de premisas de

obligado cumplimiento, como puede ser el aislamiento correcto
del entorno P2PE, que el propio comercio no disponga de ac-
ceso a las claves de cifrado/descifrado de los datos, etc. Dichas
premisas, así como el detalle de la normativa PCI P2PE, pue-
den ser consultados en la documentación oficial del PCI SSC.
Externalización a proveedores certificados PCI DSS
La última técnica comentada para lograr la reducción del en-
torno de cumplimiento de la normativa PCI DSS es la exter-
nalización (outsourcing) de parte del entorno a proveedores
certificados PCI DSS.
Esta técnica se basa en utilizar soluciones operativas ofreci-
das por proveedores externos, y ya certificadas previamente
por el estándar PCI DSS, de manera que una entidad se aho-
rre el cumplimiento de la normativa PCI DSS en las partes del
entorno cubiertas por dichas soluciones.
Un ejemplo claro de estas técnicas puede ser el uso del
Cloud computing, que una entidad puede contratar para ex-
ternalizar el almacenamiento de los datos de tarjeta de su
propio entorno de cumplimiento.
Haciendo esto, y si, como hemos indicado, el servicio contrata-
do cumple con la normativa PCI DSS, todos los requerimientos
relativos a la seguridad de los datos almacenados en dicho en-
torno pasarán a ser de aplicación por el proveedor externo y el
alcance de la normativa PCI DSS en el propio comercio se verá
reducido en gran medida.

No obstante, es importante destacar que el cumplimiento de
los requerimientos PCI DSS que afecten a un proveedor ex-
terno serán en última instancia responsabilidad de la entidad
contratante, y no del proveedor.
Por ello, es necesario que la entidad estudie cada caso en
detalle, y que firme los acuerdos y cláusulas adecuadas con
dicho proveedor, de manera que este se comprometa al con-
tinuo cumplimiento de los requerimientos de la normativa.
Además, tal y como se indica en el requerimiento 12 del estándar,
se deberá implementar un programa de monitorización y control
periódico de estos proveedores, de manera que se asegure el con-
tinuo cumplimiento de los requerimientos PCI DSS implicados.
#4. Obligaciones de cumplimiento
con la normativa PCI DSS
Para demostrar el cumplimiento de la normativa, las entida-
des afectadas por su cumplimiento deben realizar una valida-
ción formal de manera anual.
A pesar de que el PCI SSC gestiona el estándar de manera
común para todas las marcas de tarjeta, cada una de ellas
dispone de su propio programa independiente de cumpli-
miento (AIS-Account information Security) para VISA14
, SDP
(Site Data Protection) para Mastercard15
, etc.
14 VISA Account Information Security (AIS)
15. Mastercard Site Data Protection

Y, por lo tanto, la manera de evidenciar el cumplimiento de
la normativa será diferente para cada una de estas marcas.
Las medidas de validación de cumplimiento varían en función
del nivel con el que está identificado un negocio, que a su vez
depende del número de transacciones con datos de tarjeta
que procese el entorno de cumplimiento durante un periodo
anual.
Podemos observar en la siguiente tabla una relación de los
niveles definidos por VISA Europa para los comercios en su
programa de cumplimiento AIS, así como los requerimientos
de validación necesarios para cada nivel, para poder
demostrar el cumplimiento anual con la normativa (ver tabla
Niveles de comercios y requerimientos por VISA Europa).
Podemos observar también los niveles de comercios y reque-
rimientos de validación de cumplimiento anuales definidos
por Mastercard en su programa de cumplimiento SDP (ver
tabla Niveles de comercios y requerimientos por Mastercard).

NivelesdecomerciosyrequerimientosporVISAEuropa
NivelCriteriodeNivelRequerimientosdevalidación
1
Comerciosqueprocesen
másdeseismillonesde
transaccionesanualesde
tarjetasVISA.
-Auditoríaanualensitio,realizadaporunQSA,demostrableatravésdela
entregadeunRoCfirmadopordichoQSA.
-Declaracióndecumplimiento(AoC).
-Escaneodevulnerabilidadestrimestralexterno,realizadoporunApproved
ScanningVendor(ASV).
2
entreunoyseismillonesde
tarjetasVISA.
-Cuestionariodeauto-evaluaciónanual(SAQ).
-Escaneodevulnerabilidadestrimestralexterno,realizadoporunASV.
3
entre20000yunmillónde
tarjetasVISA.
-EmplearunproveedordeserviciosquecumplaconPCIDSS.
o
4
eCommercequeprocesen
menosde20000
tarjetasVISA.
o
Comerciosnoelectrónicos
queprocesenmásdeun
millóndetransacciones
anualesdetarjetasVISA.

NivelesdecomerciosyrequerimientosporMastercard
NivelCriteriodeNivelRequerimientosdevalidación
1
Comerciosqueprocesenmásdeseis
millonesdetransaccionesanualesde
tarjetasVISA.
-Auditoríaanualensitio,realizadaporunQSA,demostrableatravésdela
entregadeunRoCfirmadopordichoQSA.
-Escaneodevulnerabilidadestrimestralexterno,realizadoporunApproved
ScanningVendor(ASV).
2
Comerciosqueprocesenentreunoy
seismillonesdetransaccionesanuales
detarjetasVISA.
3
Comerciosqueprocesenentre20000y
unmillóndetransaccionesanualesde
tarjetasVISA.
o
4
eCommercequeprocesenmenos
de20000transaccionesanualesde
tarjetasVISA.
o
Comerciosnoelectrónicosque
procesenmásdeunmillónde
transaccionesanualesdetarjetasVISA.

A continuación, procedemos a describir cada uno de los
documentos requeridos por ambas marcas para poder
demostrar el cumplimiento con la normativa PCI DSS, así
como las acciones anuales necesarias que se deben llevar a
cabo para su obtención:
ReportedeCumplimiento(RoC-ReportonCompliance)
El Informe de Cumplimiento (RoC) es un documento
que debe ser completado de manera anual por todos los
comercios calificados como de nivel 1, y se utiliza para validar
de manera oficial que un entorno concreto cumple con el
estándar PCI DSS. Para la obtención de dicho documento,
es necesario que un Asesor de Seguridad Calificado (QSA
- Qualified Security Assessor) por el PCI SSC realice una
auditoría en sitio del estándar, de manera que dicho asesor
pueda verificar que todos los requerimientos de la normativa
se cumplen en el entorno revisado.
Declaración de Cumplimiento (AoC - Attestation of
Compliance)
La Declaración de Cumplimiento (AoC) es un formulario que
debe ser completado de manera anual por todas las entidades
a las que se aplique la normativa PCI DSS (entidades que
procesen, transmitan o almacenen datos de tarjetas de
pago), para garantizar que el entorno afectado cumple con los
requisitos de seguridad de la misma.Adiferencia del RoC, dicho
documento es de alto nivel y no incluye información en detalle
sobre el entorno de cumplimiento revisado. Este documento
deberá ser completado por un QSAo por los propios empleados
de la entidad, según el nivel del comercio tratado.

Libro Blanco de Innovación en Medios de Pago para eCommerce - Nov 2015

Libro Blanco de Innovación en Medios de Pago para eCommerce - Nov 2015

Recomendados

Recomendados

Más contenido relacionado

Similar a Libro Blanco de Innovación en Medios de Pago para eCommerce - Nov 2015

Similar a Libro Blanco de Innovación en Medios de Pago para eCommerce - Nov 2015 (20)

Libro Blanco de Innovación en Medios de Pago para eCommerce - Nov 2015