Guía de cumplimiento de pagos para comerciantes

Febrero 17, 2022

Introducción

Las soluciones de pago modernas permiten a los comerciantes llegar a los mercados objetivo, expandirse a nuevas regiones y aceptar pagos desde cualquier parte del mundo con más facilidad que nunca.

Al vender productos y servicios en línea, las empresas deben cumplir con numerosos reglamentos de procesamiento de pagos y leyes de protección de datos locales e internacionales.

Los comerciantes deben trabajar con proveedores de servicios de pago, bancos y redes de tarjetas para garantizar que sus prácticas comerciales y soluciones técnicas cumplan con todas las normas y estándares pertinentes.

Más información sobre las normas esenciales de cumplimiento de pagos y cómo impactan en su negocio.

Un guía al frente de un grupo de mercaderes.

Cumplimiento de pagos y comerciantes

Las leyes, los reglamentos y los estándares de la industria de pagos previenen actividades ilegales y protegen los datos confidenciales de los clientes. También definen los derechos y obligaciones de los participantes en el proceso de pago.

Dependiendo de la regla y regulación de cumplimiento de procesamiento de pagos en cuestión, los comerciantes pueden estar obligados a:  

  • Contratar personal técnico y administrativo adicional.
  • Compre soluciones de software sofisticadas.
  • Implementar nuevo métodos y herramientas de autenticación de pago.
  • Introducir políticas sólidas de protección de datos.
  • Rediseñar sitios web o incluso revisar su modelo de negocio.

Los dueños de negocios a menudo ven estos requisitos como trámites burocráticos innecesarios que sofocan la innovación y aumentan los costos operativos. Sin embargo, los pagos en línea están asociados con muchos riesgos, y una industria de pagos bien regulada es un requisito previo para un entorno empresarial predecible y seguro.

Regulaciones de Cumplimiento de Procesamiento de Pagos

Las reglamentaciones y estándares que los comerciantes deben cumplir dependen del país o la región donde esté registrada su empresa. Otros factores importantes incluyen:

  • La ubicación del banco del cliente (emisor).
  • La ubicación del banco del comerciante (adquirente).
  • Los métodos de pago que el comerciante desea aceptar.
  • Los tipos de productos y servicios que venden.

Se introducen nuevas regulaciones todo el tiempo, mientras que las regulaciones existentes se actualizan y revisan continuamente. Los comerciantes tendrían dificultades para realizar un seguimiento y cumplir con todos los requisitos de cumplimiento sin el apoyo de los bancos, los PSP y las marcas de tarjetas.

El uso de los servicios de un procesador de pagos ayuda a los comerciantes a reducir su exposición a los requisitos reglamentarios y disminuye los costos generales asociados con el cumplimiento de los pagos.

Nota: Este artículo proporciona una descripción general de alto nivel de las regulaciones de cumplimiento de pagos. No pretende servir como una guía completa para cumplir con las reglamentaciones enumeradas.

PCI Compliance

Las organizaciones que recopilan, manejan o almacenan información del titular de la tarjeta deben seguir la industria de tarjetas de pago. (PCI) estándares de seguridad de datos (DSS).

PCI DSS es un conjunto integral de pautas operativas y técnicas para proteger a los propietarios de tarjetas y a los emisores de tarjetas contra el robo de datos y diferentes tipos de fraude de pago.

Diferentes tipos de datos del titular de la tarjeta.

Las empresas que no cumplan con los 12 requisitos de PCI DSS y no aprueben una evaluación de cumplimiento no pueden procesar transacciones importantes de marca de tarjetas de débito o crédito.

Los comerciantes necesitan elegir un procesador de pagos que cumple con todos los requisitos PCI. Aquellos que tienen una cuenta de procesamiento con un proveedor de servicios de pago (PSP) a menudo no manejan los datos del titular de la tarjeta o de autenticación. El cliente completa el pago en un página de pago alojada ubicado en los servidores de la PSP.

Directiva de servicios de pago (PSD2)

La Directiva de servicios de pago revisada, o PSD2, es un acto legal que regula los pagos electrónicos en el Espacio Económico Europeo (EEE).

Los reguladores de la UE instituyeron PSD2 para:

  • Haz que los pagos electrónicos sean más seguros - Los bancos y otros emisores de tarjetas de pago en el EEE deben utilizar Autenticación de cliente sólida (SCA) para verificar la identidad del cliente antes de aprobar una transacción. Ciertas transacciones como pagos de montos pequeños, transacciones recurrentes y transferencias corporativas están exentas de SCA.
  • Fomentar la innovación en la industria financiera y de pagos - Las instituciones financieras están obligadas a dar a los proveedores externos (TPP) acceso a sus API y compartir los datos financieros de los clientes. Las empresas de tecnología financiera como los proveedores de servicios de iniciación de pagos (PISP) ​​y los proveedores de servicios de información de cuentas (AISP) pueden usar estos datos para desarrollar soluciones automatizadas y brindar servicios financieros innovadores a los clientes.
  • Dar a los clientes más voz sobre cómo se utilizan sus datos - Los clientes tienen derecho a elegir qué TPP tienen acceso a sus datos, en qué medida y cómo se utilizarán esos datos.

PSD2 tiene un efecto de gran alcance en los emisores de tarjetas, clientes y empresas europeas.

Autenticación de cliente sólida (SCA)

La autenticación multifactor es una de las formas más efectivas de contrarrestar el fraude en los pagos y proteger la integridad de los datos del cliente.. Autenticación sólida del cliente también es un requisito esencial de PSD2.

Al realizar un pago, los clientes deben confirmar su identidad proporcionando al menos dos factores de autenticación. En general, cada factor debe obtenerse de una de tres categorías diferentes:

  • Conocimiento - Información conocida sólo por el cliente. Por lo general, se le pide al cliente que ingrese un PIN o una contraseña de un solo uso.
  • Inherencia - Un rasgo físico exclusivo del cliente. Esto incluye soluciones biométricas avanzadas como escaneo de huellas dactilares y retina, reconocimiento de voz, etc.
  • Posesión - Por lo general, este es el elemento que utiliza el cliente para iniciar el pago, como una tarjeta de pago, un dispositivo inteligente, un token USB, etc.

La implementación de SCA mejora la seguridad del sitio web, pero también puede interrumpir el flujo de pago.

La decisión de implementar una solución SCA depende de dónde esté registrada su empresa y si planea vender productos y servicios en el mercado europeo.

Los comerciantes europeos que deseen aceptar pagos con tarjeta de clientes de la UE deben admitir la autenticación multifactor en sus flujos de pago.

Los comerciantes no europeos no están obligados a adoptar SCA, pero se recomienda encarecidamente que lo hagan. El número de países que introducen normas y reglamentos de SCA está aumentando, mientras que cada vez más bancos están comenzando a tomar la iniciativa y utilizan SCA para verificar transacciones de alto riesgo.

3D Secure

El Protocolo seguro 3D no es un requisito previo para aceptar pagos en línea. Sin embargo, es un método SCA rentable y fácil de implementar.

Oferta de PSP establecidos formularios de pago con autenticación 3DS incorporada como parte de su servicio.

Comerciantes que quieren aceptar pagos con tarjeta de crédito de los clientes de la UE pueden implementar 3DS como su solución SCA.

Por lo general, un flujo de pago que incluye la autenticación 3DS solicita a los clientes que ingresen una contraseña de un solo uso (OTP) para confirmar su identidad. Por ejemplo:

  1. Un cliente ingresa sus detalles de pago en el formulario de pago.
  2. Si se requiere autenticación 3DS, aparece una pantalla emergente y le pide al cliente que ingrese una OTP.
  3. La OTP se entrega al número de teléfono conectado con la cuenta bancaria del cliente. La OTP es válida solo por un período limitado y no se puede utilizar para otras transacciones.
  4. Una vez que el cliente ingresa a la OTP, el banco del cliente aprueba o rechaza la transacción según los resultados de la SCA.
  5. La transacción se aprueba solo si la OTP es correcta.

3DS es un método sólido de autenticación de clientes porque los clientes deben ingresar los detalles de su tarjeta (conocimiento) y tener acceso a la tarjeta SIM asociada con su número de teléfono para recibir una OTP (posesión).

KYC y KYB

Conozca a su cliente (KYC) y las normas Know Your Business (KYB) obligan a las instituciones financieras a establecer la identidad de sus clientes.

Los procesos KYB y KYC tienen como objetivo prevenir el lavado de dinero, la evasión de impuestos, el robo de identidad y otros fraudes financieros.

Las organizaciones que brindan servicios de empresa a empresa (B2B) deben realizar la debida diligencia y confirmar la identidad del propietario o representante legal de la empresa antes de aceptar su negocio.

El cumplimiento de KYC es esencial para las instituciones financieras.

Los comerciantes suelen encontrar KYB o KYC al abrir una cuenta bancaria o una cuenta comercial con un proveedor de servicios de pago. Los PSP deben seguir y cumplir con los requisitos de KYB y KYC durante la incorporación y solicitar a los comerciantes que proporcionen documentación válida para probar su identidad.

Las formas aceptables de identificación generalmente incluyen:

  • DNI o pasaporte del empresario o representante legal.
  • Una licencia comercial o artículos de incorporación.
  • Declaraciones de impuestos.
  • Otros documentos que prueben que la empresa está registrada en una agencia gubernamental.

Los comerciantes que venden productos y servicios al público en general, como los comerciantes de comercio electrónico, autentican a los clientes durante el proceso de pago. Los clientes no necesitan pasar por un proceso KYC adicional.

RGPD

El Reglamento General de Protección de Datos (GDPR) es una ley de privacidad y seguridad de datos de la UE. GDPR otorga a los ciudadanos y residentes de la UE amplios derechos de privacidad, introduce reglas estrictas para las organizaciones que recopilan datos personales e impone sanciones por el incumplimiento de esas reglas.

GDPR no se aplica solo a las empresas de la UE. Independientemente de dónde tenga su sede, una empresa que ofrece bienes y servicios a clientes en la UE o recopila y maneja datos que pertenecen a ciudadanos de la UE debe cumplir con los requisitos de GDPR.

Elementos clave del RGPD.

Entre otros requisitos, GDPR obliga a las empresas a indicar de manera clara, concisa y precisa qué datos planean recopilar y cómo se utilizarán esos datos. Los clientes deben comprender a qué están dando su consentimiento antes de aceptar compartir su información personal.  

Los comerciantes deben tener en cuenta que los clientes que sientan que sus datos no se manejan de acuerdo con el RGPD pueden presentar una queja formal ante la Oficina del Comisionado de Información de la UE (ICO).

Note: Obtenga más información sobre el RGPD consultando nuestro artículo RGPD y pagos en línea.

CCPA

La Ley de Privacidad del Consumidor de California (CCPA) es una ley estatal que impone reglas de privacidad y protección de datos para las empresas que recopilan datos de los residentes de California.

La CCPA obliga a las empresas a informar a los clientes sobre qué datos personales se recopilan, cómo se utilizan y en qué medida se compartirán con terceros.

Esta ley solo se aplica a las grandes organizaciones que manejan volúmenes sustanciales de datos de clientes:

  • La organización recopila, vende o compra información personal de más de 50,000 XNUMX clientes.
  • Tiene ingresos brutos anuales de más de 25 millones de dólares.
  • Más de la mitad de los ingresos anuales de la empresa provienen de la venta de datos personales de los clientes.

CCPA les da a los californianos más control sobre su información personal. Por ejemplo, tienen derecho a rechazar la venta de sus datos o solicitar que se eliminen.

Las empresas no pueden discriminar ni penalizar a los clientes por ejercer sus derechos de la CCPA.

nacha

Nacha (Asociación Nacional de Cámaras de Compensación Automatizadas) es una asociación con sede en los EE. UU. que regula las transferencias de cuenta a cuenta iniciadas a través de la red ACH. Procesamiento de pagos ACH se considera un método de pago electrónico excepcionalmente fiable y seguro.

Las empresas y las instituciones gubernamentales utilizan las transferencias ACH para depositar fondos directamente en la cuenta bancaria de una persona. Los clientes pueden optar por pagar los productos y servicios realizando pagos ACH directos únicos o recurrentes a la cuenta bancaria del comerciante.

Visión general de alto nivel del flujo de pagos ACH.

Las Reglas y Lineamientos Operativos de Nacha son rigurosos, extensos y se actualizan continuamente. Las organizaciones que aceptan pagos ACH necesitan proteger la información bancaria del cliente de una manera que cumpla con las leyes de privacidad y protección de datos del cliente de EE. UU.

Abrir una cuenta de procesamiento con un PSP que acepta pagos ACH es la forma más rápida de cumplir con los requisitos de Nacha.

Cuándo elegir una pasarela de pago, busque una solución que tenga múltiples métodos de pago, además de ACH, en el mismo formulario de pago.

Leyes y Reglamentos ALD

Las personas que venden productos ilegales, cometen actos de corrupción, evasión de impuestos y otras actividades delictivas tratan de ocultar el origen de sus ingresos inyectándolos en flujos financieros legales.

Las instituciones financieras deben cumplir con las leyes y reglamentos AML (Anti-Money Laundering) para detectar fondos obtenidos de actividades delictivas y evitar que ingresen al sistema financiero.

Las empresas que manejan transacciones únicas importantes o un gran volumen de pequeños pagos individuales corren un mayor riesgo de ser objetivo de esquemas de lavado de dinero. Las industrias que necesitan realizar verificaciones AML incluyen ventas de bienes raíces, sitios web de juegos/apuestas, casinos, compañías de seguros, proveedores de servicios de pago, etc.

Comerciantes de comercio electrónico que utilizan un procesador de pagos de terceros no están obligados a realizar comprobaciones AML. Esta es responsabilidad de los bancos y procesadores de pagos, que utilizan bases de datos y sistemas internos, nacionales e internacionales para examinar empresas e individuos.

Cumplimiento Fiscal y Normatividad Tributaria

Los gobiernos hacen cumplir los impuestos para financiar el gasto público y proporcionar servicios públicos esenciales. Sin embargo, las políticas fiscales varían según la región, el país o incluso el estado.

Los impuestos al consumo y las ventas son parte de hacer negocios. Los comerciantes necesitan dedicar tiempo y recursos para comprender y cumplir con las regulaciones fiscales en sus mercados objetivo.

Usar los servicios de una PSP, una solución de comercio electrónico de terceros o contabilidad de comercio electrónico La plataforma ayuda a los comerciantes a cumplir con las normas fiscales pertinentes y a presentar la documentación adecuada.

Los proveedores de servicios de pago en los Estados Unidos deben reportar la información de las transacciones al Servicio de Impuestos Internos (IRS). Por ejemplo, archivos CCBill Formulario 1099-K para comerciantes estadounidenses que venden productos y servicios utilizando las soluciones de pago de CCBill.

El formulario se archiva automáticamente para los comerciantes que cumplen con los siguientes criterios:

  • Tienen su sede en los Estados Unidos.
  • El volumen de procesamiento bruto anual supera los $ 20,000.
  • Tienen más de 200 transacciones en un año fiscal determinado.

Muchos países de Europa y Asia utilizan el sistema del Impuesto al Valor Agregado (IVA). El IVA es un impuesto al consumo que grava las transacciones B2C (de empresa a cliente). En última instancia, el impuesto lo paga el cliente final, que normalmente ve el precio final del producto con el IVA ya incluido.

Ejemplo de recibo IVA incluido.

Cada país tiene su tasa de IVA y excepciones específicas a esas tasas. A los comerciantes les puede resultar difícil realizar un seguimiento de las diferentes tarifas en varios países sin utilizar una solución automatizada.

Conclusión

Dirigir un negocio en línea y cumplir con todos los requisitos técnicos y reglamentarios en un entorno global es un desafío inmenso.

Aprender acerca de varias leyes y reglamentos es solo el primer paso. La mayoría de los comerciantes necesitan asistencia para implementar las mejores herramientas de autenticación, políticas de contraseñasy soluciones que protegen contra ciberamenazas.

Abrir una cuenta mercantil con un PSP es una forma rápida y sencilla de cumplir con la mayoría de los requisitos y ahorra tiempo y dinero.

Compartir en Etiqueta LinkedIn
Procesamiento de tarjetas de débito: ¿Cómo funciona?
Vladímir Kaplarevic
25 de mayo de 2023
Declive suave versus Declive fuerte: ¿Cuál es la diferencia?
Anastazija Spasojevic
25 de mayo de 2023
PCI DSS 4.0: cambios y cómo cumplir
Anastazija Spasojevic
25 de mayo de 2023
Acerca del autor.
Vladímir Kaplarevic
Vladimir es un redactor técnico residente en CCBill. Tiene más de 8 años de experiencia en la implementación de comercio electrónico y soluciones de pago en línea con varios proveedores de servicios de TI globales. Su atractivo estilo de escritura proporciona consejos prácticos y tiene como objetivo despertar la curiosidad por las tecnologías innovadoras.
Hable con un especialista en asistencia comercial