La seguridad en ecommerce no es opcional ni un extra: es la base sobre la que se sostiene todo lo demás. Una brecha grave puede generar multas (RGPD), pérdida de confianza, baneo de pasarelas y demandas. Esta es la check list mínima que aplicamos en TryCatch.
PCI DSS 4.0: lo esencial
PCI DSS (Payment Card Industry Data Security Standard) es el estándar que regula la manipulación de datos de tarjetas. Su versión 4.0, vigente y con requisitos plenamente exigibles desde marzo de 2025, aplica a cualquier ecommerce que procese, almacene o transmita datos de tarjetas. Niveles según volumen anual:
| Nivel | Transacciones/año | Auditoría |
|---|---|---|
| 1 | > 6 millones | Auditoría QSA anual |
| 2 | 1-6 millones | SAQ + escaneo ASV trimestral |
| 3 | 20.000 - 1 millón | SAQ + escaneo ASV trimestral |
| 4 | < 20.000 | SAQ + escaneo ASV (recomendado) |
La mayoría de PYMEs caen en niveles 3 o 4. Si usas Stripe, Shopify Payments, Adyen, Redsys o cualquier proveedor PCI compliant, ellos asumen la mayor parte del scope. Tu obligación queda en mantener SAQ A o A-EP.
Higiene básica innegociable
- HTTPS con certificado SSL válido en todo el dominio.
- TLS 1.2 mínimo; TLS 1.3 recomendado.
- Headers de seguridad: HSTS, CSP, X-Frame-Options, X-Content-Type-Options.
- Plataforma y plugins actualizados al último parche estable.
- Backups automáticos diarios off-site, con prueba de restauración trimestral.
- WAF (Web Application Firewall): Cloudflare, Sucuri, AWS WAF.
- 2FA obligatorio para staff y admin.
- Logs de acceso, errores e intentos de login retenidos 90+ días.
Autenticación SCA (PSD2)
En Europa, PSD2 obliga a Strong Customer Authentication (SCA) en pagos online. Implementación a través de 3D Secure 2 (3DS2). Las pasarelas modernas lo gestionan, pero hay que asegurar que está activado y que las tasas de rechazo no se disparan por mala configuración (exenciones, allowlists, etc.).
RGPD: cumplimiento básico
- Banner de cookies con consentimiento granular y Consent Mode v2.
- Política de privacidad legible y actualizada.
- DPA (Data Processing Agreement) con cada procesador (Google, Meta, Klaviyo, etc.).
- Registro de actividades de tratamiento (RAT).
- Procedimiento para derechos ARCO+ (acceso, rectificación, supresión, etc.).
- Si vendes en otros países UE: representante en cada país solo si superas umbrales.
- Notificación de brechas a la AEPD en 72h si afectan a datos personales.
Amenazas más comunes en 2025-2026
- Skimming JavaScript (Magecart-like): scripts maliciosos en checkout.
- Fraude bot: scraping de precios, account takeover, bots de checkout.
- Inyección SQL y XSS en plugins desactualizados.
- Phishing a empleados con acceso admin.
- Ransomware sobre infraestructura self-hosted.
- Abuso de promociones automáticas y descuentos.
Multas reales
Datos públicos de la AEPD para 2024:
- Banner de cookies mal configurado: 1.500-50.000 €.
- Falta de transparencia en política de privacidad: hasta 100.000 €.
- Brecha de datos no notificada: hasta 10 M€ o 2% facturación global (la mayor).
- Tratamiento ilegítimo masivo: hasta 20 M€ o 4% facturación global.
