Si la vostra botiga en línia carrega ni que sigui un sol script de tercers a la pàgina que interaccioni amb un formulari de pagament, ja no podeu assumir que se us aplica la versió més senzilla del compliment de la normativa PCI. Aquesta única línia, enterrada a les preguntes freqüents (FAQ) de la PCI DSS v4.0.1, ha redibuixat silenciosament el mapa del compliment normatiu per a centenars de milers de petits comerciants el 2026 —i molts d'ells no se n'adonaran fins que el seu adquirent els demani evidències que no poden generar.
La versió 4.0.1 de la normativa PCI DSS no és una actualització superficial. Els 64 requisits nous o actualitzats han estat obligatoris des del 31 de març de 2025; totes les avaluacions del 2026 es realitzen seguint el nou estàndard, i les regles d'elegibilitat per al qüestionari d'autoavaluació més senzill s'han endurit de tal manera que agafaran per sorpresa la majoria de botigues de comerç electrònic externalitzades. La bona notícia és que l'estàndard encara és navegable per a un negoci petit amb les idees clares i una llista de verificació. La mala notícia és que "utilitzem Stripe Checkout, així que estem bé" ja no és una resposta automàtica.
Aquesta guia analitza què ha canviat, quin qüestionari necessita realment el vostre negoci, els dos nous requisits (6.4.3 i 11.6.1) que han absorbit l'antic SAQ A, les regles d'autenticació que fan ensopegar els equips petits i el cost real de fer qualsevol d'aquestes coses malament.
L'estat de la PCI DSS el 2026
L'Estàndard de Seguretat de Dades de la Indústria de Targetes de Pagament (PCI DSS) és el reglament contractual que les principals marques de targetes —Visa, Mastercard, American Express, Discover, JCB— imposen a qualsevol empresa que emmagatzemi, processi o transmeti dades de titulars de targetes. No és quelcom que "presenteu al govern". El vostre adquirent (el banc o processador que us permet acceptar targetes) el fa complir mitjançant el vostre acord comercial, i ells són els qui cobren les multes si alguna cosa surt malament.
La PCI DSS v4.0 es va publicar el març de 2022. La versió 4.0.1 —una versió d'aclariment més que un nou estàndard— es va convertir en la versió activa a mitjans de 2024. El calendari de transició va finalitzar el 31 de març de 2025: a partir d'aquesta data, cadascun dels 51 requisits amb data futura entra en vigor sense període de gràcia, i totes les avaluacions realitzades durant el 2026 es porten a terme segons la v4.0.1. Ja no existeix l'opció de recórrer a la v3.2.1.
Les 12 famílies de requisits d'alt nivell segueixen sent les mateixes, organitzades en sis objectius de control:
- Construir i mantenir una xarxa segura: tallafocs i valors predeterminats del proveïdor (Requisits 1–2)
- Protegir les dades dels titulars de targetes: dades emmagatzemades i dades en trànsit (Requisits 3–4)
- Mantenir un programa de gestió de vulnerabilitats: anti-malware i desenvolupament segur (Requisits 5–6)
- Implementar un control d'accés sòlid: necessitat de conèixer, identificació, accés físic (Requisits 7–9)
- Monitoritzar i provar les xarxes regularment: registre de logs i proves (Requisits 10–11)
- Mantenir una política de seguretat de la informació: governança (Requisit 12)
El que ha canviat a la v4.0.1 és la profunditat, no l'abast. L'estàndard ara espera que penseu en com s'executen els scripts a les pàgines de pagament, amb quina freqüència reviseu els vostres propis controls, com autentiqueu els administradors i si la contrasenya que el vostre comptable va triar fa cinc anys encara és acceptable.
Nivells de comerciant: on se situen la majoria de petites empreses
Les marques de targetes assignen cada comerciant a un dels quatre nivells segons el volum anual de transaccions. El nivell dicta com es valida el compliment, no si s'aplica l'estàndard.
- Nivell 1: més de 6 milions de transaccions amb targeta a l'any, o qualsevol comerciant que hagi patit una compromissió confirmada de les dades del compte. Requereix una avaluació anual in situ per part d'un Assessor de Seguretat Qualificat (QSA) i un escaneig trimestral per un Proveïdor d'Escaneig Aprovat (ASV).
- Nivell 2: d'1 a 6 milions de transaccions a l'any. Normalment un SAQ anual o una avaluació QSA in situ segons la marca.
- Nivell 3: de 20.000 a 1 milió de transaccions de comerç electrònic a l'any. SAQ anual més escanejos ASV trimestrals.
- Nivell 4: menys de 20.000 transaccions de comerç electrònic a l'any, o fins a 1 milió de transaccions totals a través de tots els canals. SAQ anual i, per a la majoria de canals, escanejos ASV trimestrals.
Si teniu una botiga de roba en línia, un flux de facturació SaaS, un negoci de serveis regionals o un restaurant amb un sol local, gairebé segur que sou de Nivell 4. Aquesta és la gran majoria dels comerciants a tot el món. La validació és més senzilla, però l'estàndard subjacent és idèntic: un número de targeta filtrat d'un comerciant amb 200 transaccions a l'any es tracta igual que una filtració d'una gran empresa.
Qüestionaris d'autoavaluació: trieu el correcte
El Qüestionari d'autoavaluació (SAQ) és la manera com els comerciants dels nivells 2 al 4 certifiquen el seu compliment. El Consell PCI manté nou SAQ, i el correcte depèn exactament de com flueixen les dades de pagament. Triar el SAQ equivocat és l'error més comú que cometen els petits comerciants.
- SAQ A: comerciants de comerç electrònic o de comandes per correu/telèfon que externalitzen totalment totes les funcions de dades de titulars de targetes a tercers validats per la PCI DSS. Acostumava a ser l'opció fàcil per als comerciants de Shopify, Stripe Checkout i PayPal, però llegiu la secció següent, perquè les regles d'elegibilitat s'han endurit.
- SAQ A-EP: comerciants de comerç electrònic que externalitzen parcialment el processament de pagaments però el lloc web dels quals encara afecta la seguretat de la transacció (per exemple, llocs que construeixen la seva pròpia pàgina de pagament i fan una crida a una API de pagament).
- SAQ B: comerciants que només utilitzen màquines d'impremta o terminals independents connectats per línia commutada. Cap connexió a Internet toca les dades de les targetes.
- SAQ B-IP: comerciants que utilitzen terminals de pagament independents connectats per IP (la majoria de terminals de taulell moderns).
- SAQ C-VT: comerciants que introdueixen dades de targetes a través d'una terminal virtual en una estació de treball aïllada.
- SAQ C: comerciants amb una aplicació de pagament connectada a Internet, on no s'emmagatzemen dades.
- SAQ P2PE: comerciants que utilitzen una solució d'encriptació punt a punt validada.
- SAQ D-Comerciant: categoria general per als comerciants que no s'ajusten a cap altre SAQ, i amb diferència la més llarga.
- SAQ D-Proveïdor de serveis: per a proveïdors de serveis aptes per a l'autoavaluació.
Cada SAQ pregunta només el subconjunt dels més de 300 controls rellevants per a aquest model d'acceptació. L'SAQ A té menys de 30 preguntes; l'SAQ D-Comerciant en té més de 250. La diferència d'esforç és enorme, per això els comerciants volen qualificar-se per a l'SAQ A sempre que poden fer-ho legítimament.
El parany de l'elegibilitat per a l'SAQ A
El canvi més important que els petits comerciants de comerç electrònic han d'entendre el 2026 és qui compleix realment els requisits per a l'SAQ A. El PCI Security Standards Council va publicar la FAQ 1588 a principis de 2025 i va restringir significativament els criteris.
Sota la versió 4.0.1, l'SAQ A només està disponible si podeu confirmar que les vostres pàgines de comerç electrònic —inclosa la pàgina que conté l'iframe de pagament incrustat o la redirecció— no són susceptibles d'atacs mitjançant scripts que puguin afectar el vostre entorn de pagament. Aquesta és una reacció a l'onada d'atacs de digital skimming (sovint anomenats "Magecart") en què els atacants comprometen una biblioteca de JavaScript de tercers i exfiltren dades de targetes fins i tot de llocs que pensaven que ho havien externalitzat tot.
A la pràctica, podeu satisfer aquest requisit d'una de les dues maneres següents:
- Implementar vosaltres mateixos les proteccions d'scripts dels Requisits 6.4.3 i 11.6.1. Inventarieu cada script que es carregui a la vostra pàgina de pagament, autoritzeu-ne cadascun, justifiqueu per què és necessari i desplegueu un mecanisme de detecció de canvis i manipulacions que us alerti quan una capçalera HTTP o el contingut de la pàgina canviïn inesperadament. El mecanisme ha d'avaluar la pàgina de pagament almenys cada set dies, o amb una freqüència que justifiqueu mitjançant una anàlisi de riscos dirigida.
- Obtenir una confirmació per escrit del vostre processador de pagaments que la seva solució incrustada inclou proteccions integrades contra atacs basats en scripts en nom vostre.
El segon camí és el que seguiran la majoria dels petits comerciants, però no és automàtic. Necessiteu una declaració documentada del processador, no una pàgina de màrqueting. Molts comerciants de Stripe, Adyen, Braintree i Square trobaran que el seu processador ha publicat una atestació; algunes passarel·les més petites no ho han fet. Si el vostre processador no us pot donar aquesta confirmació per escrit, us haureu d'acollir a l'SAQ A-EP o crear els controls vosaltres mateixos.
Si la vostra finalització de compra "externalitzada" carrega, de fet, qualsevol JavaScript controlat pel comerciant que pugui influir en el formulari de pagament —analítica, proves A/B, ginys de xat, gestors d'etiquetes—, la lectura conservadora és que ja no compliu els requisits per a l'SAQ A, independentment del que digui el vostre processador.
Autenticació: Les dues regles que afecten els equips petits
Independentment de l'SAQ que s'apliqui, dos canvis en el control d'accés de la v4.0.1 agafen gairebé totes les petites empreses desprevingudes.
Requisit 8.3.6: les contrasenyes han de tenir almenys 12 caràcters. Si el sistema només en admet 8, podeu quedar-vos en 8, però qualsevol sistema amb més capacitat s'ha d'actualitzar. Les contrasenyes han d'incloure tant caràcters numèrics com alfabètics. El vell mínim de 7 caràcters de la v3.2.1 ha desaparegut.
Requisit 8.4.2: autenticació multifactor per a tot l'accés a l'entorn de dades dels titulars de targetes. Anteriorment, l'MFA només era necessària per a l'accés remot dels administradors. Sota la v4.0.1, qualsevol persona —administrador, desenvolupador, suport de tercers, vosaltres mateixos— necessita MFA cada vegada que accedeixi a qualsevol component del sistema dins de l'entorn de dades dels titulars de targetes, no només quan es connecti des de fora de la xarxa. L'MFA en si ha de ser resistent als atacs de repetició (replay attacks) i requerir almenys dos d'aquests elements: quelcom que saps, quelcom que tens, quelcom que ets.
Per a un petit comerciant, la traducció pràctica és: activeu l'MFA al portal del vostre processador, al panell de control del vostre allotjament, al vostre registrador de dominis, al vostre proveïdor de DNS, a l'administració del vostre comerç electrònic, al back office del vostre punt de venda i a qualsevol ordinador portàtil que toqui aquests sistemes. Utilitzeu una aplicació d'autenticació o una clau de maquinari; l'MFA basada en SMS es considera cada cop més inadequada, tot i que l'estàndard encara la permet tècnicament.
Anàlisi de riscos dirigida: El document que probablement necessiteu
La PCI DSS v4.x introdueix l'anàlisi de riscos dirigida (TRA): una anàlisi breu i documentada que us permet justificar la freqüència amb què realitzeu determinats controls. Prop d'una dotzena de requisits inclouen la "freqüència definida en l'anàlisi de riscos dirigida de l'entitat" com a opció.
El Requisit 12.3.1 detalla què ha de contenir una TRA: identificació de l'actiu protegit, la amenaça mitigada, els factors que influeixen en la probabilitat i l'impacte, i la justificació de la freqüència triada. El PCI Council publica una plantilla a l'Apèndix E2 de l'estàndard.
Per a un comerciant de Nivell 4, normalment es tracta d'un document d'una sola pàgina per control. L'error que cal evitar és saltar-se'l completament. Si el vostre assessor o adquirent us pregunta per què escanegeu la vostra pàgina de pagament per detectar manipulacions cada 30 dies en lloc de cada 7, "pensàvem que era suficient" no és una resposta acceptable; "aquí teniu la nostra TRA amb data de 14 de gener de 2026, signada pel propietari" sí que ho és.
Mantingueu-vos allunyats de l'enfocament personalitzat de la v4.0. Existeix per a empreses amb maduresa en riscos i equips de seguretat dedicats; per als petits comerciants, l'enfocament definit amb la seva llista de verificació explícita és més ràpid, més barat i més fàcil de defensar.
Què costa realment l'incompliment
Els petits comerciants subestimen l'exposició financera perquè les multes semblen hipotètiques fins que deixen de ser-ho. Les xifres, recollides de les tarifes dels adquirents i d'informes del sector, són aclaparadores.
L'incompliment rutinari —no presentar un SAQ, escanejos ASV caducats— sol desencadenar multes mensuals de l'adquirent que comencen entre 5.000 i 10.000 dòlars al mes. Després de tres a sis mesos d'incompliment, aquestes sancions solen augmentar fins als 25.000-50.000 dòlars mensuals, i les violacions cròniques poden arribar als 50.000-100.000 dòlars o més al mes. L'adquirent també pot augmentar les vostres comissions de processament per transacció o rescindir el compte de comerciant, cosa que sovint és més perjudicial que les multes.
Una bretxa de seguretat confirmada pertany a una categoria diferent. Les marques de targetes imposen sancions d'aproximadament 50 a 90 dòlars per registre compromès, a més dels costos obligatoris d'investigació forense (15.000 dòlars en endavant), les taxes de reemissió de targetes que les marques repercuteixen al comerciant i els reestorns (chargebacks) per transaccions fraudulentes. Estudis del sector situen el cost total mitjà d'una bretxa de targetes de pagament per a un comerciant de mida mitjana entre 150.000 i 3 milions de dòlars, i la xifra per a una gran bretxa és de milions. Per a un comerciant de Nivell 4, el compliment anual pot costar 3.000 dòlars l'any, mentre que una sola bretxa pot esborrar una dècada de beneficis.
Les lleis estatals i la FTC també s'hi sumen. Els costos de notificació, els honoraris d'advocats, l'exposició a demandes col·lectives i el seguiment dels reguladors solen superar les pròpies sancions de les marques de targetes.
Una llista de verificació pràctica de compliment per al 2026 per a petits comerciants
L'estàndard pot semblar intimidatori en conjunt, però la llista de verificació per a un petit comerciant típic de serveis o comerç electrònic és finita. Treballeu-hi en aquest ordre.
- Confirmeu el vostre nivell de comerciant amb el vostre adquirent per escrit. Els nivells s'assignen per cada relació amb l'adquirent, no de forma global.
- Mapegeu el vostre flux de dades dels titulars de targetes. Dibuixeu un diagrama que mostri on entren les dades de la targeta, per on es mouen i per on surten. Si les dades de la targeta arriben mai als vostres servidors, el vostre abast s'amplia enormement.
- Seleccioneu el SAQ correcte. Llegiu cada opció detingudament. Si sou un comerciant de comerç electrònic que sol·licita el SAQ A, verifiqueu la vostra elegibilitat amb la FAQ 1588.
- Obtingueu una confirmació per escrit del vostre processador de pagaments sobre les proteccions contra atacs de scripts en la seva solució integrada. Arxiveu-la amb els vostres registres de compliment.
- Inventarieu cada script a les vostres pàgines de pagament. Si no podeu obtenir la confirmació del processador, prepareu-vos per implementar el Requisit 6.4.3 (scripts autoritzats) i l'11.6.1 (detecció de manipulacions).
- Activeu l'MFA a tot arreu on un administrador pugui tocar els sistemes de pagament. Utilitzeu una aplicació d'autenticació, no SMS.
- Augmenteu les contrasenyes a més de 12 caràcters amb contingut mixt numèric i alfabètic.
- Programeu escanejos ASV trimestrals si el vostre SAQ els requereix (la majoria ho fan per als sistemes connectats a internet).
- Documenteu una anàlisi de riscos específica per a qualsevol control on establiu la freqüència vosaltres mateixos.
- Redacteu una política de seguretat de la informació (Requisit 12). Un document senzill d'una sola pàgina que cobreixi l'ús acceptable, els contactes de resposta a incidents i el calendari de revisió anual satisfà els aspectes bàsics per a un petit comerciant.
- Formeu cada empleat que gestioni pagaments anualment. Guardeu els fulls de signatura o els registres d'aprenentatge en línia.
- Envieu el SAQ i l'Atestació de Compliment al vostre adquirent segons el calendari previst. Poseu-ho al calendari.
Fins i tot amb aquest nivell de detall, un cap de setmana de treball intensiu més uns quants centenars de dòlars per a un escaneig ASV cobreix la majoria de petits comerciants.
Com es connecta la comptabilitat amb tot això
El compliment del PCI no és només un exercici de seguretat; té conseqüències comptables directes. Els costos de compliment (eines SAQ, escanejos ASV, maquinari MFA, serveis de detecció de manipulacions), les tarifes del processador que varien segons el vostre estat de compliment i qualsevol multa o despesa de reparació passen pels vostres llibres. També hi passen els efectes sobre els ingressos d'una bretxa: devolucions de càrrec, reemborsaments, taxes de reemissió transferides pel vostre adquirent i pèrdua de vendes durant la resposta a l'incident.
Mantenir una comptabilitat neta i partida per partida per a cada despesa relacionada amb els pagaments —desglossada per processador, eines de seguretat i serveis de compliment— dóna fruits de tres maneres. Documenta que s'estan realitzant inversions en compliment (útil quan un adquirent o una asseguradora ho demana). Fa visible el cost real de cada canal d'acceptació, cosa que us ajuda a negociar les tarifes del processador. I si es produeix una bretxa, ofereix al vostre comptable forense un rastre net per quantificar els danys per a la recuperació de l'assegurança.
Manteniu els vostres registres de compliment preparats per a auditories
Tant si esteu responent a un qüestionari d'un adquirent, a un subscriptor de ciberassegurances o a un comptable forense després d'una bretxa, els comerciants que superen bé els esdeveniments PCI són aquells els llibres i registres dels quals expliquen una història clara. Beancount.io ofereix comptabilitat en text pla i amb control de versions que us proporciona un rastre transparent i amb segell de temps de cada tarifa de processament de pagaments, eina de seguretat i despesa de compliment: sense caixes negres, sense dependència de proveïdors i preparat per a l'era de les finances assistides per IA. Comenceu de franc i combineu la vostra tasca de compliment amb una comptabilitat que resisteixi qualsevol escrutini.