Skip to main content

No eres el único si el cumplimiento PCI te parece un juego interminable de normas regulatorias.

Tu procesador de pagos te envía un correo: "Completa tu cuestionario PCI SAQ anual antes del viernes". Buscas en Google "PCI SAQ" y encuentras cinco cuestionarios diferentes—A, A-EP, B, C, D—cada uno con requisitos distintos.

Uno tiene 22 preguntas. Otro, 329. No tienes idea de cuál te corresponde.

Want more from The Retail Exec?

Sign up for a free membership to complete reading this article:

Este campo es un campo de validación y debe quedar sin cambios.
Name*
Este campo está oculto cuando se visualiza el formulario

Si eliges el incorrecto, pierdes horas respondiendo preguntas irrelevantes. O peor, pasas por alto controles necesarios y te expones a brechas de seguridad, multas o sanciones del procesador.

¿La solución? Este test.

Te pregunta cómo aceptas pagos hoy, por dónde fluye la información de las tarjetas y qué sistemas la procesan. Dos minutos después, obtienes tu tipo de SAQ, una explicación clara en español y una lista de tareas para que puedas actuar.

Cómo funciona este test de PCI SAQ

El test revisa tu entorno de pagos sistemáticamente:

  1. Cómo los clientes ingresan los datos de la tarjeta. ¿Pago alojado? ¿Página de pago en tu sitio? ¿Terminal independiente? ¿POS en tu red? ¿Terminal virtual? La respuesta determina el alcance básico.
  2. Por dónde fluye la información de tarjeta. Confirmarás qué sistemas procesan los datos de la tarjeta y si algo los almacena, aunque sea temporalmente. El almacenamiento cambia todo.
  3. Verificación de P2PE y entradas manuales. Los terminales validados con P2PE reducen el alcance drásticamente. La entrada manual en un navegador—aunque sea "de vez en cuando"—lo amplía.
  4. Preguntas finales de verificación. Algunas preguntas de sí/no para aclarar casos límite y confirmar tu configuración.
  5. Tu resultado. Obtén tu tipo de SAQ, la razón de por qué aplica a tu negocio y una lista de tareas concretas para cumplir los requisitos sin perder tiempo.

Sign up and stay in the loop with fresh content, podcasts, how-to guides, tool reviews, and product exclusives.

Este campo es un campo de validación y debe quedar sin cambios.
Name*
Este campo está oculto cuando se visualiza el formulario

Qué obtienes con tu resultado

  • Tu tipo de SAQ exacto. Sin dudas. El test te indica qué cuestionario completar—A, A-EP, B, C o D—según cómo aceptas pagos realmente.
  • Explicación clara en español. Verás por qué este SAQ se ajusta a tu entorno, para que puedas explicarlo a tu procesador, auditor o equipo sin sonar como si leyeras un manual de cumplimiento.
  • Lista de tareas prácticas. Pasos concretos—segmenta tu red, migra a campos alojados, usa P2PE—que hacen del cumplimiento un proyecto realizable este trimestre en vez de alargarlo durante meses.
  • Contexto para aprender más. ¿Nuevo en PCI? Incluimos un enlace a nuestra guía sobre cumplimiento PCI para pequeñas empresas para que entiendas el porqué de cada requisito.

Definiciones rápidas de SAQ—Qué significa cada tipo

SAQ A — Los datos de la tarjeta nunca tocan tus sistemas

Comercio electrónico totalmente alojado o facturación recurrente. Tu sitio redirige a una página de pago o usa un iframe donde el proveedor se encarga de todo. Tus sistemas nunca ven, procesan o almacenan datos de tarjetas.

SAQ A-EP — Tu sitio aloja elementos de pago

Tu sitio web aloja páginas de pago, JavaScript o scripts que pueden afectar el flujo de pago. Mayor alcance que SAQ A porque tu infraestructura interviene—aunque no almacene los datos de la tarjeta.

SAQ B — Sólo terminales que marcan por teléfono

Terminales independientes que marcan por línea telefónica o antiguas máquinas manuales de impresión. Sin conexión a internet significa un alcance mínimo.

SAQ C — Terminales independientes conectados por IP

Terminales de pago conectados a internet pero aislados de la red de tu negocio. Común en el comercio minorista con configuraciones POS segmentadas. No almacenan datos de tarjetas.

SAQ D — Todo lo demás

Flujos de pago personalizados, cualquier almacenamiento de datos de tarjeta o un entorno de red amplio donde varios sistemas puedan acceder a los datos de pago.

Este es el grande—329 preguntas que cubren todo tu entorno.

Errores comunes que te ponen en el SAQ equivocado

  • Asumir que eres SAQ A cuando insertas campos de pago. Los iFrames y las redirecciones alojadas pueden calificar como SAQ A, pero si tu página carga los campos de pago directamente (incluso a través de javascript), probablemente estés viendo A-EP en su lugar. El cuestionario lo aclara rápidamente.
  • Permitir que el personal ingrese tarjetas en un navegador, incluso "solo a veces". Un gerente de tienda ingresando los datos de la tarjeta en un terminal virtual desde una laptop no controlada amplía tu alcance PCI. Corrige este flujo de trabajo con terminales adecuados o una configuración de terminal virtual bloqueada.
  • Omitir P2PE. Los dispositivos de cifrado punto a punto significan que los datos de la tarjeta se cifran en el terminal y permanecen cifrados hasta llegar a tu procesador. Los terminales validados por P2PE reducen drásticamente el alcance—pregunta a tu proveedor por ellos.
  • Mezclar sistemas en una red plana. ¿Terminales de punto de venta en la misma red que tus estaciones de trabajo administrativas, WiFi y otros dispositivos? Eso es expansión de alcance. Segmenta tu red para que los sistemas de pago estén aislados. Es menos trabajo de lo que piensas y ahorra problemas de auditoría enormes después.
  • Ignorar los pagos móviles. Si tomas pedidos por teléfono e ingresas tarjetas en un terminal virtual, cuenta. Si tu app procesa pagos, cuenta. El cuestionario contempla estos escenarios.

Próximos pasos después de recibir tu resultado

Si tienes recursos limitados, utiliza la lista de verificación del cuestionario junto con nuestra guía de cumplimiento PCI para pequeñas empresas.

Avanzarás paso a paso sin contratar un consultor hasta que realmente lo necesites.

Si vas a cambiar de plataforma o actualizar sistemas, prioriza proveedores con campos alojados y soporte para P2PE.

Nuestra comparativa de mejores proveedores de pasarelas de pago cubre cuáles plataformas facilitan el cumplimiento—y cuáles generan dolores de cabeza.

Si el cuestionario te dirige a SAQ D, no entres en pánico.

Sí, es el cuestionario más largo, pero muchos negocios comienzan ahí y luego reducen el alcance.

Despliega terminales P2PE, cambia a pagos en checkout alojados para comercio electrónico, y segmenta las redes. En unos meses, podrías calificar para un SAQ más sencillo—y ahorrar tiempo y dinero en las auditorías continuas.

Por qué esto es más importante de lo que la mayoría de los minoristas piensa

PCI no se trata solo de evitar multas—aunque esas se acumulan rápidamente. Se trata de proteger tu negocio de los costos de una brecha, que promedian $200 por tarjeta comprometida, según datos de la industria.

Una brecha en un comercio minorista mediano que procese 500 tarjetas al mes podría costar $100,000 en análisis forense, notificación, reemisión de tarjetas y daños a la marca.

El SAQ correcto significa que te enfocas en controles que realmente reducen el riesgo, en lugar de simplemente cumplir requisitos irrelevantes. Es la diferencia entre perder una semana en el cuestionario equivocado y terminar el cumplimiento en una tarde con una lista de verificación clara.

Haz el cuestionario ahora: dos minutos para conocer tu SAQ y empezar a actuar.