Última actualización: 26 nov 2025, 3:26 p.m.
Obtén información sobre el cumplimiento, las expectativas, las responsabilidades, los requisitos y los costos de la PCI.
En este artículo, encontrarás:
| Este documento se proporciona con fines informativos y no tiene como propósito brindar asesoramiento legal, de cumplimiento ni ningún otro tipo de recomendación profesional. Puede ser recomendable que consultes a un profesional, como un abogado u otro asesor relevante, para obtener asesoramiento específico para tus circunstancias. |
Todos los clientes de Toast que acepten tarjetas de pago deben cumplir con la normativa PCI, por lo que es importante entender qué significa esto. Toast refuerza continuamente sus sistemas y plataformas de pago, y cumple con más de estos requisitos en nombre de sus clientes. Las actualizaciones recientes de nuestro programa de PCI facilitan aún más que los clientes cumplan con sus responsabilidades en materia de PCI. Este artículo proporciona una descripción general de PCI, cómo acceder a la documentación de responsabilidad y cómo estos cambios afectan a los clientes de Toast.
"PCI" es la abreviatura de "PCI DSS", que significa Estándar de Seguridad de Datos del Sector de las Tarjetas de Pago. Esto se refiere a un conjunto de reglas para manejar la información de tarjetas de pago de tus clientes a fin de minimizar el riesgo de robo de datos de tarjetas. Todos los negocios que acepten pagos con tarjeta, incluso algunas tarjetas de crédito al mes, deben asegurarse de hacerlo de manera que cumplan con estos requisitos. Esto es lo que se entiende por “cumplir con la normativa PCI”.
Para entender cómo cumplir con la normativa PCI, primero hay que entender por qué tienen que cumplirla, quién es el responsable de realizar cada uno de los requisitos de la normativa PCI y qué se debe hacer cada año. Este artículo tiene como propósito ayudar a reducir la confusión sobre el cumplimiento de la normativa de la PCI en Toast y ayudarte a asegurarte de que cumples con estos requisitos.
| Para clientes activos y potenciales, las Guías de responsabilidades de la PCI están disponibles a pedido a través de un representante de atención al cliente, consultor de incorporación u otro representante de ventas. |
Como cliente de Toast, debes cumplir con la normativa PCI. Toast también debe cumplir con la normativa PCI. Ten en cuenta que, si tienes otro acuerdo con otro proveedor de pagos comerciales (p. ej., para una línea de negocio no relacionada ), también es posible que te exijan cumplir con la normativa PCI.
Sin embargo, es importante entender que estas obligaciones no se superponen: cualquier requisito PCI impuesto a ti por otro proveedor de pagos comerciales no debería incluir tus dispositivos o servicios de Toast, ya que nuestros dispositivos solo pueden usarse para procesar datos de tarjetas de pago de clientes utilizando los servicios de procesamiento comercial de Toast. De manera similar, a medida que te acercas a los requisitos de cumplimiento de la PCI para los datos de tu tarjeta de pago de clientes destinados al procesamiento por Toast, tu cumplimiento de la PCI para Toast no debería incluir dispositivos o plataformas proporcionados por otros proveedores de servicios comerciales.
Esto puede sonar obvio, pero es bastante común que los clientes de Toast asuman erróneamente que, debido a que tienen que enviar un cuestionario de autoevaluación (SAQ) u obtener un informe de cumplimiento (ROC) para cumplir con las obligaciones de otro proveedor de pagos a comerciantes, deben incluir sus dispositivos Toast en este informe. Toast ofertas una discusión más técnica sobre este tema en nuestra “Guía QSA”, que puede solicitarse a un representante de atención al cliente.
Ahora, cuando se trata de esta obligación de cumplir con la normativa PCI en los dispositivos y plataformas Toast, Toast es responsable de la mayoría de los Requisitos PCI al usar la Plataforma Toast y los dispositivos aprobados para aceptar pagos con tarjeta.
El documento oficial que lo detalla se llama Guía de responsabilidad. Toast tiene varias guías de responsabilidad que cubren nuestros diversos productos y capacidades relacionados con el procesamiento de pagos. Estas guías pueden solicitarse a través de tu consultor de incorporación, el equipo de éxito y servicio al cliente o el servicio de atención al cliente. Revisa la(s) guía(s) de responsabilidad correspondiente(s) para ver los detalles de tus responsabilidades en comparación con las responsabilidades que Toast se compromete a cumplir en tu nombre. También hay algunas responsabilidades que se comparten, y se proporcionan detalles para cada una de ellas a fin de comprender lo que esto significa para tu entorno. Trabaja con tu equipo de gestión e TI para implementar las políticas descritas en estos documentos que satisfagan tus requisitos de PCI de Toast.
Toast se complace en anunciar que ha obtenido una validación independiente de su software de pago, utilizado en todos los productos POS de Toast, y ha completado la migración de todos los dispositivos de captura de tarjetas y dispositivos POS compatibles para usar configuraciones endurecidas, cifrado sólido y microsegmentación. Ahora hemos completado evaluaciones independientes de terceros de nuestro ecosistema de pagos y confirmado que todos los dispositivos de pago cumplen o superan los requisitos de la PCI, lo que elimina la necesidad de muchos controles a nivel de red. Como resultado de estas mejoras, Toast se complace en transmitir los beneficios de estas mejoras al asumir la responsabilidad total de muchos de los requisitos de los DSS de la PCI.
Por último, aunque muchos proveedores de POS y procesadores comerciales requieren que sus clientes presenten documentación cada año, llamados SAQ (Cuestionarios de Autoevaluación) y/o AOC (Certificaciones de Cumplimiento), la mayoría de los clientes de Toast no necesitan presentar dicha documentación de cumplimiento de la PCI ni contratar a una empresa para completar escaneos de vulnerabilidad. Toast no envía correos electrónicos en los que te pida que completes ninguno de estos documentos. Si recibes un correo electrónico de este tipo, examínalo cuidadosamente para determinar si proviene de otro proveedor de plataforma; ¿tal vez olvidaste cancelar tu proveedor de servicios de POS o cuenta comercial anterior?
Todo esto habla de los requisitos de la PCI, pero ¿cuáles son exactamente? La tabla a continuación es una descripción general de los DSS de PCI. Cada uno de estos requisitos contiene múltiples subrequisitos que, como se indicó anteriormente, pueden corresponder a Toast, a ti o a una combinación de ambos. Revisa nuestras Guías de responsabilidad de Toast PCI para obtener más información, incluido un desglose de la lista completa de requisitos por responsabilidad.
| Objetivos | Requisitos de DSS de PCI |
| Crear y mantener una red y sistemas seguros | 1. Instalar y mantener controles de seguridad de la red 2. Aplicar configuraciones seguras a todos los componentes del sistema Proteger datos de la cuenta |
| Proteger datos de la cuenta | 3. Proteger los datos de la cuenta almacenados 4. Protege los datos del titular de la tarjeta con criptografía sólida durante la transmisión a través de redes públicas abiertas |
| Mantener un programa de gestión de vulnerabilidades | 5. Protege todos los sistemas y redes contra software malicioso 6. Desarrollar y mantener sistemas y software seguros |
| Implementar fuertes medidas de control de acceso | 7. Restringir el acceso a los componentes del sistema y a los datos de titulares de tarjetas por necesidad comercial 8. Identificar usuarios y autenticar el acceso a los componentes del sistema 9. Restringir acceso físico a datos del titular de la tarjeta |
| Monitorea y prueba periódicamente las redes | 10. Registrar y supervisar todo el acceso a los componentes del sistema y los datos de los titulares de la tarjeta 11. Probar periódicamente la seguridad de los sistemas y redes |
| Mantener una política de seguridad de la información | 12. Apoyar la seguridad de la información con políticas y programas organizacionales |
Los negocios que no cumplen con la normativa de la PCI se ponen en riesgo de violación de datos, lo que puede resultar en daños a su marca, multas, tarifas de reemplazo de tarjetas, costos de auditoría forense y más. Las empresas que utilizan sistemas de punto de venta, plataformas de comercio electrónico y otros servicios de pago que no cumplen muchos de estos requisitos en su nombre deben incurrir en tiempo y gasto para proteger estos sistemas y evitar estos resultados. Usar una plataforma que satisfaga estas necesidades simplemente tiene sentido.
Afortunadamente, Toast es una plataforma de este tipo. Cumple con casi todos los requisitos de la PCI en nombre de sus clientes. Esto prácticamente elimina la necesidad de costos adicionales relacionados con la PCI para los clientes de Toast. Revisa las guías de responsabilidad de Toast PCI para obtener más información. Los clientes activos pueden solicitar estas guías a través del servicio de atención al cliente, según corresponda, en sus canales de pago.