Ir al contenido principal

Formularios de autorización de tarjeta de crédito: una guía para la facturación recurrente, el cumplimiento de PCI y la defensa contra contracargos

· 15 min de lectura
Mike Thrift
Mike Thrift
Marketing Manager

Un cliente disputa un cargo de $4,800 en una tarjeta a la que le has estado facturando cada mes durante dos años. El banco te da diez días para demostrar que el cargo fue autorizado. Buscas en tu bandeja de entrada, en tu CRM y en una unidad compartida, y no encuentras nada más que un acuerdo verbal de un gerente de cuenta que se fue hace mucho tiempo. El contracargo se mantiene. El procesador retira el dinero, añade una comisión de $25 y te acerca más al umbral de alto riesgo que duplica tus tasas de procesamiento.

Este es exactamente el escenario que un formulario de autorización de tarjeta de crédito está diseñado para prevenir. Es un documento pequeño, casi aburrido, que realiza silenciosamente parte del trabajo más importante en tu sistema de facturación: captura el consentimiento, ancla tu defensa contra disputas y otorga permiso al resto de tu operación para funcionar en piloto automático.

2026-04-23-credit-card-authorization-form-complete-guide

Si se usa bien, te permite facturar con confianza honorarios (retainers), suscripciones, depósitos y pedidos telefónicos. Si se usa mal —o se guarda en un archivador junto a las declaraciones de impuestos del año pasado— se convierte en una bomba de cumplimiento normativo esperando a detonar. Esta guía cubre qué son estos formularios, cuándo los necesitas realmente, qué campos deben contener y cómo manejarlos sin exponerte a una multa de PCI o a una filtración de datos.

¿Qué es un formulario de autorización de tarjeta de crédito?

Un formulario de autorización de tarjeta de crédito es un documento escrito, firmado por el titular de la tarjeta, que otorga a un comercio permiso para cargar su tarjeta bajo circunstancias específicas. Piensa en ello como un permiso para tu sistema de facturación: te indica qué puedes cobrar, cuándo puedes cobrarlo, cuánto y por cuánto tiempo.

El formulario cierra la brecha que antes llenaba el deslizamiento físico de la tarjeta. Cuando un cliente entrega una tarjeta y firma un recibo en una terminal de pago, el consentimiento es implícito e instantáneo. Cuando facturas a una tarjeta tres semanas después por un servicio que el cliente aún no ha visto, ese consentimiento tiene que provenir de algún lugar —y "lo discutimos por teléfono" no es una defensa que el banco aceptará.

Un formulario de autorización firmado es evidencia documentada de consentimiento. No garantiza que ganarás cada contracargo (más sobre esto abajo), pero inclina la balanza drásticamente a tu favor en las disputas que dependen de si el cliente aceptó el cargo en primer lugar.

Cuándo lo necesitas realmente

No todas las transacciones requieren un formulario de autorización por separado. Si estás pasando una tarjeta en una terminal de punto de venta, el recibo y la firma (o el chip y PIN) gestionan el consentimiento. El formulario se vuelve esencial en tres situaciones específicas.

1. Transacciones sin tarjeta física (CNP - Card-Not-Present)

Cualquier momento en que la tarjeta física no esté frente a ti, te encuentras en territorio CNP. Esto incluye:

  • Pedidos telefónicos donde el cliente lee su número de tarjeta en voz alta
  • Pedidos de servicios por correo electrónico o fax
  • Pagos enviados por correo postal
  • Cargos iniciados por el personal de tu oficina contra una tarjeta que tienes guardada en archivo

Las transacciones CNP conllevan tasas de intercambio aproximadamente de 30 a 60 puntos básicos más altas que las transacciones con tarjeta presente, y es mucho más probable que sean disputadas. Un formulario de autorización es la documentación que la red espera ver cuando se impugna un cargo CNP.

2. Facturación recurrente o tarjeta guardada (Card-on-File)

Si estás facturando a la misma tarjeta de forma programada —honorarios mensuales, suscripción trimestral, renovación anual— las redes de tarjetas requieren específicamente que obtengas y conserves la autorización del titular de la tarjeta para la relación recurrente. Visa, Mastercard y American Express tienen sus propias reglas sobre lo que debe contener la autorización (llegaremos a la lista de campos en breve), pero todas requieren que sea por escrito o mediante un acuerdo digital verificable.

Esto se aplica incluso cuando el cargo recurrente es variable. Una firma de contabilidad que factura a un cliente basándose en el volumen de transacciones mensuales todavía necesita una autorización que cubra explícitamente montos variables, con un tope establecido o un activador de notificación.

3. Depósitos, retenciones y preautorizaciones

Hoteles que realizan retenciones por imprevistos, contratistas que aceptan depósitos de proyectos, consultorios dentales que reservan horarios de citas —en cualquier lugar donde el dinero se mueva antes de que se entregue el servicio, un formulario de autorización documenta que el cliente aceptó la retención o el cargo bajo términos específicos.

Esto es importante porque muchos clientes no se dan cuenta de que una retención de "depósito" puede convertirse en un cargo real bajo ciertas condiciones. Poner esa conversión por escrito evita la conversación que comienza con "pero yo nunca acepté eso".

Campos requeridos: La anatomía de un formulario útil

Un formulario al que le faltan campos es peor que no tener ningún formulario. Crea la ilusión de protección mientras te deja expuesto. Como mínimo, cada formulario de autorización de tarjeta de crédito debe capturar:

Identificación del titular de la tarjeta:

  • Nombre legal completo en la tarjeta
  • Dirección de facturación (debe coincidir con la que tiene el emisor en sus registros)
  • Número de teléfono y correo electrónico para seguimiento
  • Últimos cuatro dígitos del número de tarjeta (nunca guardes el número completo — ver sección de cumplimiento abajo)
  • Tipo de tarjeta (Visa, Mastercard, etc.)
  • Fecha de vencimiento

Alcance de la autorización:

  • Tipo de cargo: único, recurrente o variable
  • Monto en dólares específico (o monto máximo para cargos variables)
  • Frecuencia para cargos recurrentes (mensual, trimestral, etc.)
  • Fecha de inicio y fecha de finalización o condiciones de terminación
  • Una descripción clara de lo que se está comprando

Lenguaje de consentimiento y revocación:

  • Declaración en lenguaje sencillo de que el titular de la tarjeta autoriza los cargos descritos
  • Una cláusula que explique cómo el titular de la tarjeta puede revocar la autorización (típicamente 30 días de aviso por escrito)
  • Firma y fecha

Identificación del comercio:

  • El nombre de tu negocio tal como aparece en el estado de cuenta del cliente
  • Información de contacto para preguntas sobre facturación

El descriptor que aparece en el estado de cuenta del titular de la tarjeta merece especial atención. Los descriptores vagos o desconocidos son la causa principal de los contracargos de tipo "no reconozco este cargo", incluso cuando el cargo subyacente es totalmente legítimo. Asegúrate de que el formulario le diga al cliente exactamente qué debe esperar ver en su estado de cuenta.

Cumplimiento de PCI: La parte en la que la mayoría de las pequeñas empresas se equivocan

El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) se aplica a todas las empresas que aceptan pagos con tarjeta. No existe una exención para pequeñas empresas. La mayoría de los pequeños operadores entran en el Nivel 4 —menos de 20,000 transacciones de comercio electrónico o menos de 1 millón de transacciones totales con tarjeta al año— lo que significa que pueden autoevaluar el cumplimiento mediante un Cuestionario de Autoevaluación (SAQ) en lugar de someterse a una auditoría formal. La autoevaluación no es opcional; simplemente es menos onerosa que la alternativa.

La regla de PCI más importante para los formularios de autorización es esta: no debe almacenar números de tarjeta completos en ningún lugar, de ninguna forma, después de que la autorización inicial sea capturada y tokenizada por su procesador.

Eso significa:

  • Nada de formularios en papel con números de tarjeta completos en archivadores
  • Nada de PDFs con números de tarjeta completos en unidades compartidas o correo electrónico
  • Nada de hojas de cálculo para rastrear tarjetas de clientes
  • Nada de campos personalizados de CRM que contengan datos de tarjetas
  • Nada de mensajes de Slack, páginas de Notion o notas adhesivas

Si su formulario de autorización es un PDF en papel que captura el número completo de la tarjeta, en el momento en que un miembro del personal guarda una copia o la envía por correo electrónico, es probable que haya violado el PCI DSS, y su responsabilidad en caso de una brecha de seguridad es sustancial. Las sanciones oscilan entre $5,000 y $100,000 por mes por incumplimiento, además de la posible pérdida total de los privilegios de aceptación de tarjetas.

El camino que cumple con la normativa es utilizar un procesador de pagos que tokenice los datos de la tarjeta en el momento de la captura. El formulario (papel o digital) recoge el número de tarjeta una vez, el procesador lo almacena como un token opaco y sus sistemas solo verán y harán referencia a ese token a partir de ese momento. Stripe, Square, Braintree, Adyen y la mayoría de los procesadores modernos manejan esto de forma nativa.

Para las pequeñas empresas, la regla práctica es: deje que su procesador conserve los datos de la tarjeta y que su formulario de autorización conserve el consentimiento. Se trata de dos elementos diferentes con dos perfiles de seguridad distintos.

Defensa contra contracargos: De qué le protege realmente el formulario

Un formulario de autorización firmado es su defensa más sólida en una categoría específica de disputas: aquellas en las que el titular de la tarjeta afirma que nunca autorizó el cargo. Los códigos de motivo varían según la red, pero los comunes incluyen:

  • "Transacción no autorizada"
  • "Transacción recurrente no cancelada"
  • "Sin autorización por el monto cobrado"

Para estas disputas, presentar una autorización firmada que cubra claramente la transacción disputada traslada la carga de la prueba al titular de la tarjeta. Los bancos generalmente se ponen del lado del comercio cuando la documentación es clara.

Lo que el formulario no le protege es:

  • Disputas de calidad: "el servicio no era como se describió"
  • Disputas por falta de entrega: "nunca recibí lo que pagué"
  • Disputas por productos defectuosos
  • Fraude amistoso donde el cliente simplemente miente

Para esas categorías, necesitará pruebas diferentes: confirmación de entrega, documentos de alcance de trabajo firmados, registros de comunicación, etc. El formulario de autorización es necesario pero no suficiente. Trátelo como una capa más en una pila de documentación.

También vale la pena señalar que las autorizaciones tienen límites de tiempo. Es posible que una autorización firmada en 2020 no se considere evidencia válida para un cargo facturado en 2026; las redes generalmente esperan que las autorizaciones se renueven periódicamente, especialmente después de que se reemite una tarjeta o la relación cambia sustancialmente.

Digital vs. Papel: ¿Cuál es mejor?

Los formularios en papel resultan familiares y no requieren inversión tecnológica. También son una pesadilla de seguridad y cumplimiento para casi todas las empresas que los utilizan. Los formularios en papel se fotocopian, escanean, envían por correo electrónico, se pierden, se envían a la persona equivocada y se guardan en cajones a los que cualquiera con una llave puede acceder.

Los flujos de trabajo de autorización digital, implementados correctamente, resuelven casi todos estos problemas:

  • Las firmas electrónicas son legalmente vinculantes. La Ley ESIGN de EE. UU. y la UETA otorgan a las firmas electrónicas el mismo peso legal que a las firmas en tinta, y los rastros de auditoría digital (marcas de tiempo, direcciones IP, hashes de firma) a menudo las hacen más defendibles que el papel.
  • Los datos de la tarjeta se tokenizan al momento de la captura. El cliente ingresa su tarjeta directamente en un campo compatible con PCI alojado por el procesador de pagos, por lo que el documento de autorización en sí nunca contiene datos sensibles.
  • El almacenamiento está encriptado y el acceso controlado. En comparación con un archivador, un almacén de documentos en la nube configurado correctamente es drásticamente más seguro.
  • La revocación es auditable. Los clientes pueden revocar la autorización a través de un canal documentado, y la marca de tiempo crea una evidencia clara de cuándo finalizó la autorización.

Si todavía utiliza formularios de autorización en papel en 2026, la actualización a un flujo de trabajo digital es una de las mejoras de seguridad de mayor impacto que puede realizar.

Errores comunes que crean una responsabilidad real

Algunos patrones aparecen repetidamente en las disputas de contracargos y en las investigaciones de PCI. Evítelos:

Almacenar el CVV. El código de seguridad de tres o cuatro dígitos en el reverso de la tarjeta nunca debe almacenarse después de que se autoriza la transacción, ni siquiera por un momento, ni siquiera encriptado. Si su formulario de autorización tiene un campo de CVV que se conserva en cualquier lugar, tiene un grave problema de cumplimiento.

Lenguaje de autorización vago. Un formulario que dice "Autorizo a Acme Corp. a realizar cargos en mi tarjeta" sin especificar el monto, la frecuencia o la duración es esencialmente inútil en una disputa. El banco preguntará: "¿autorizarlos para qué?".

Sin fecha de vencimiento en la propia autorización. Un cliente que firmó una autorización hace tres años puede tener un argumento sólido de que nunca esperó que la relación continuara indefinidamente. Establezca una cadencia de renovación; una vez al año es razonable para la mayoría de las relaciones.

Usar formularios de autorización como sustituto de un contrato. El formulario documenta el consentimiento de pago. No documenta el alcance del trabajo, los entregables ni los términos del servicio. Estos pertenecen a un acuerdo separado al que hace referencia la autorización.

Letting authorizations live only in someone's inbox. Cuando la persona que recopiló la autorización deja la empresa, la documentación a menudo se va con ella. Centralice el almacenamiento en un sistema al que pueda acceder toda la función de facturación.

Implicaciones contables: Seguimiento de cargos autorizados

Los cargos recurrentes autorizados crean flujos de ingresos predecibles, lo cual es beneficioso para la previsión del flujo de caja, pero solo si sus libros contables reflejan las autorizaciones subyacentes en lugar de simplemente los depósitos bancarios.

Al facturar una lista de autorizaciones recurrentes, tres aspectos son fundamentales para una contabilidad limpia:

  1. Haga coincidir los depósitos con las facturas, no al revés. Cada cargo de una tarjeta guardada debe generar una factura en su sistema contable que se vincule a una autorización específica. Cuando el depósito llega a su cuenta bancaria (normalmente de 1 a 3 días hábiles después, neto de comisiones de procesamiento), se realiza la conciliación contra la factura, no contra el importe bruto de la autorización.

  2. Realice el seguimiento de las comisiones de procesamiento como un gasto independiente. Las redes de tarjetas cobran entre un 1,5% y un 3,5% por transacción; desglosar estas comisiones de los ingresos le permite obtener una visión más clara de su rentabilidad unitaria (unit economics). Un sistema de contabilidad que separa automáticamente las ventas brutas, las comisiones del procesador y los depósitos netos ahorra horas de limpieza mensual.

  3. Identifique los vencimientos de las autorizaciones antes de que causen problemas. Si una tarjeta guardada vence y el cliente no la actualiza, el siguiente ciclo de facturación fallará, y es posible que pasen semanas de servicio prestado sin pago antes de que alguien se dé cuenta. Integre una verificación mensual en su cierre contable que señale los cargos recurrentes fallidos.

Para las empresas de servicios, contadores y operadores de SaaS con ingresos recurrentes significativos, tratar los cargos autorizados como una categoría discreta en el plan de cuentas (separada de las ventas únicas) agiliza drásticamente la conciliación de fin de mes.

Una lista de verificación rápida para la implementación

Si está implementando formularios de autorización o auditando los que ya tiene, siga estos pasos en orden:

  1. Elija un procesador de pagos que cumpla con la normativa PCI y que gestione la tokenización por usted. No recopile datos de tarjetas en infraestructuras que usted controle.
  2. Adopte un flujo de trabajo de autorización digital, ya sea a través de los formularios alojados de su procesador o mediante una herramienta específica que se integre con él.
  3. Estandarice una única plantilla de autorización con todos los campos obligatorios descritos anteriormente. Una sola plantilla, utilizada en todas partes.
  4. Audite y destruya cualquier formulario en papel existente que contenga números de tarjeta completos. Triture los originales; no se limite a archivarlos.
  5. Capacite a cada miembro del personal que interactúe con datos de tarjetas bajo la regla: "Capturar una vez, directamente en el procesador. Nunca lo anote. Nunca lo repita".
  6. Establezca un recordatorio en el calendario para renovar anualmente las autorizaciones de larga duración y para verificar mensualmente las fechas de vencimiento de las tarjetas.
  7. Documente su proceso de respuesta ante disputas para que, cuando llegue un contracargo, el equipo sepa dónde encontrar la autorización correspondiente dentro del plazo de respuesta (normalmente de 7 a 14 días).

Mantenga sus registros de facturación limpios desde el primer día

Un formulario de autorización de tarjeta de crédito es solo la mitad de la ecuación. La otra mitad es lo que sucede después del cargo: cada pago autorizado se convierte en una transacción en sus libros, y la forma en que rastrea esas transacciones determina si el cierre de mes toma una hora o una semana. Beancount.io ofrece contabilidad en texto plano que le brinda transparencia total sobre cada cargo recurrente, comisión de procesamiento y conciliación: con control de versiones, listo para IA y sin dependencia de proveedores (vendor lock-in). Comience gratis y descubra por qué los profesionales de las finanzas se están pasando a la contabilidad en texto plano para sus flujos de trabajo de facturación y conciliación.

Share on TwitterFollow @beancount_io

Comience con Beancount.io

Tome el control de sus finanzas con nuestro sistema de contabilidad de partida doble de código abierto. Comience su libro mayor hoy mismo.

Comenzar gratisVer precios

Primeros pasos

Funciones

Comunidad

Legal

Beancount.io© 2019 - 2026 Beancount.io
Descargar en la App StoreConsíguelo en Google Play
Construido con transparencia • Controlado por versiones • Impulsado por IA