Empieza ahora  Contacta con ventas 

Pagos

Ingresos

Gestión del dinero

Plataformas y marketplaces

Por etapa
Por caso de uso
Por sector
Documentación
Guías
Recursos
Aprende
Soporte
Empresa
Empieza ahora  Contacta con ventas 

¿Qué es la no retención de datos de tarjetas de crédito? Importancia y medidas en Japón

Payments
Payments

Acepta pagos por Internet y en persona desde cualquier rincón del mundo con una solución de pagos diseñada para todo tipo de negocios, desde startups en crecimiento hasta grandes empresas internacionales.

Más información 
  1. Introducción
  2. ¿Qué es la no retención de datos de tarjetas de crédito?
    1. Condiciones para lograr la no retención
  3. La importancia de no retener datos de tarjetas de crédito
  4. Métodos para admitir la no retención de datos de tarjetas de crédito
    1. Redireccionar pagos
    2. Tipo JavaScript
  5. Puntos clave a la hora de implementar la no retención de datos de tarjetas de crédito
    1. El cumplimiento de la norma PCI DSS es obligatorio cuando no se puede lograr la no retención
    2. Riesgo de transferencia accidental de información de tarjetas
    3. Importancia de las contramedidas contra manipulación o explotación de vulnerabilidades
  6. Medidas de protección contra el fraude con tarjetas de crédito que deben adoptar las empresas de e-commerce
    1. Uso de 3D Secure 2 para mejorar la verificación de identidad
    2. Utilización de servicios de detección de fraude para visualizar los riesgos
  7. Cómo puede ayudarte Stripe Payments
  8. Empieza a usar Stripe 

Cuando las empresas de e-commerce comienzan a aceptar tarjetas de crédito, la gestión segura de la información de las tarjetas de clientes es un problema central. Además de los esfuerzos por ampliar la adopción de los pagos digitales, el gobierno japonés está reforzando la seguridad de los pagos mediante el desarrollo de una serie de directrices para ayudar a los vendedores a aceptar transacciones con tarjeta en un entorno seguro.

En este contexto, cada vez más empresas están adoptando políticas y prácticas para evitar la retención de los datos de las tarjetas, evitando gestionarlos ellas mismas. Este modelo se ha convertido en una de las medidas de seguridad más reconocidas que deben utilizar las tiendas digitales.

Este artículo explica claramente los conceptos fundamentales de no retención de datos de tarjetas de crédito, su importancia y las medidas que deben tomar las empresas de e-commerce para darle soporte.

Esto es lo que encontrarás en este artículo:

  • ¿Qué es la no retención de datos de tarjetas de crédito?
  • La importancia de no retener datos de tarjetas de crédito
  • Métodos para aceptar la no retención de información de tarjetas de crédito
  • Puntos clave a la hora de implementar la no retención de información de tarjetas de crédito
  • Medidas de protección contra el fraude con tarjetas de crédito que deben adoptar las empresas de e-commerce
  • ¿Cómo puede ayudarte Stripe Payments?

¿Qué es la no retención de datos de tarjetas de crédito?

A medida que se extiende el proceso de compra sin efectivo en Japón, también aumentan los riesgos de fraude con tarjetas de crédito y contracargos.

Según una encuesta realizada por la Asociación Japonesa de Crédito al Consumo, las pérdidas por fraude con tarjetas de crédito alcanzaron un máximo histórico de aproximadamente 55.500 millones de yenes en 2024, por lo que las empresas de e-commerce se enfrentan en la actualidad a una presión cada vez mayor para adoptar protecciones aún más complejas año tras año.

El Ministerio de Economía, Comercio e Industria (METI) ha establecido unas Directrices de seguridad para tarjetas de crédito que exigen a los vendedores digitales cumplir una de las siguientes medidas como parte de sus medidas para proteger la información de las tarjetas:

  • Cumplimiento de la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS)
  • Lograr la no retención

El punto fundamental aquí es que el cumplimiento de la norma PCI DSS impone una carga significativa a los sistemas, la estructura organizativa y el personal.

PCI DSS es una norma estricta que comprende 12 especificaciones y cientos de requisitos concretos, como cortafuegos, auditoría de registros, cifrado y control de acceso. Cumplir todos ellos es extremadamente difícil.

Precisamente por eso muchas empresas de e-commerce optan por externalizar el procesamiento de sus tarjetas a agentes de pago que cumplan la normativa PCI DSS, en lugar de intentar cumplir estos requisitos por su cuenta. Así las empresas evitan gestionar información de tarjetas cumpliendo así los estándares de no retención.

Condiciones para lograr la no retención

La no retención de datos de tarjetas de crédito se refiere a que las empresas de e-commerce no almacenan la información de las tarjetas de sus clientes en sus propios servidores o infraestructura. No obstante, el simple hecho de evitar almacenar estos registros en un sitio web no es suficiente para que se considere un modelo de no almacenamiento.

Más específicamente, se requieren las tres condiciones siguientes:

  • No conservar datos de tarjetas
  • No procesar datos de tarjetas
  • No transmitir información de tarjetas a través de tus propios servidores

En términos prácticos, la configuración debe transmitir los datos de la tarjeta introducidos por el usuario directamente a un procesador de pagos que cumpla la norma PCI DSS, garantizando que los datos nunca se transmitan por el servidor del vendedor de e-commerce.

La importancia de no retener datos de tarjetas de crédito

Los pagos digitales se han consolidado en Japón tanto en el comercio minorista como en servicios web, manteniendo un crecimiento constante. En respuesta a esta evolución del ecosistema de procesos de compra, el METI fijó como objetivo alcanzar una tasa de adopción del 40 % para junio de 2025. Sin embargo, en 2024, esta cifra ya escaló hasta el 42,8 % (141 billones de yenes), permitiendo al gobierno superar su meta antes de lo previsto.

En este contexto, los pagos digitales y las transacciones con tarjeta de crédito seguirán expandiéndose. La necesidad de hacer frente a amenazas como las fugas de datos, el fraude y los contracargos crece a medida que aumenta su adopción.

Mientras las tarjetas de crédito sigan siendo fundamentales para los procesos de compra sin efectivo, proteger la información de los clientes se convierte en una preocupación cada vez más importante para los vendedores digitales. Entre estas medidas, la no retención, que es la capacidad de operar sin retener ni manejar los datos de las tarjetas de crédito dentro de tu organización, es un enfoque práctico que permite a las empresas seguir aceptando pagos en línea con confianza.

Métodos para admitir la no retención de datos de tarjetas de crédito

Al implementar la no retención de información de tarjetas de crédito, es fundamental identificar primero correctamente si el flujo de pagos de tu empresa es «de transferencia» o «sin transferencia».

En el modelo de transferencia, los números de tarjetas de crédito se dirigen a través de los servidores o redes de la empresa, lo que crea la posibilidad de exposición de información sensible en registros, copias de seguridad, herramientas de supervisión y sistemas similares. En este caso, la organización asume la posición de almacenar datos de tarjetas y, por tanto, tiene que cumplir la normativa PCI DSS.

Por otro lado, en el modelo sin transferencia, dado que la infraestructura interna de la empresa nunca tiene acceso a la información de la tarjeta, se puede alcanzar el estado de no retención, ya que la empresa de e-commerce no ha manejado ni retenido realmente sus datos. Muchos vendedores digitales eligen este método sin transferencia para reducir la carga que supone el cumplimiento de la norma PCI DSS y, sobre todo, para alcanzar un estado de modelo sin almacenamiento de datos.

Redireccionar pagos

El redireccionamiento de pagos, o pagos con enlace, son un método que dirige a los compradores a una página externa para completar el proceso de compra. Al confiar la pantalla de proceso de compra al procesador de pagos, la empresa de e-commerce no necesita almacenar, procesar ni transmitir la información de la tarjeta.

El pago con enlace (pagos enviados por correo electrónico o redes sociales) representa otro tipo de pago que se basa en este modelo. No obstante, se han denunciado ataques dirigidos al front-end, incluidos aquellos que reescriben la URL de destino. Por tanto, también deben implementarse medidas de seguridad básicas, como defensas contra la manipulación de pantallas.

Tipo JavaScript

En el tipo JavaScript (sistema token), el navegador del comprador convierte los dígitos de la tarjeta en un token, y el vendedor recibe justamente ese token. Los dígitos reales se envían directamente al procesador de pagos, por lo que la empresa de e-commerce nunca maneja la información en sí.

La principal ventaja radica en su facilidad de configuración y en preservar el diseño existente del sitio. Dicho esto, el riesgo de filtraciones persiste porque los archivos JavaScript pueden ser manipulados, lo que hace indispensable una sólida gestión de archivos y contramedidas de vulnerabilidad.

Puntos clave a la hora de implementar la no retención de datos de tarjetas de crédito

Al implementar la no retención de datos de tarjetas, las tiendas digitales pueden procesar pagos sin manejar ellos mismos datos de tarjetas. Aun así, dependiendo de la configuración y las condiciones operativas, es posible que no sea posible llegar a un modelo en el que no se almacenen datos. A continuación, revisemos los puntos clave para una implementación adecuada de la no retención.

El cumplimiento de la norma PCI DSS es obligatorio cuando no se puede lograr la no retención

Muchas empresas asumen erróneamente que deben elegir entre la no retención de información y la certificación PCI DSS. Para mayor claridad, se pueden organizar tal como se describe a continuación:

¿Se conservan los datos de tarjeta?

Requisito de cumplimiento de la normativa PCI DSS

No conservarse

No es obligatorio si no se retiene la información

Debe conservarse

Es obligatorio

En otras palabras, si tu empresa no puede lograr la no retención, debes ser consciente de que asumirás toda la carga de los requisitos de la normativa PCI DSS. Por ejemplo, si el número de una tarjeta se transmite por los servidores o la red de tu empresa una sola vez, se considera que la empresa de e-commerce retiene los datos de la tarjeta. Debe cumplir la normativa PCI DSS, la norma internacional de marcas de tarjetas.

Como se indicó anteriormente, PCI DSS exige el cumplimiento de numerosas normas que abarcan tanto aspectos técnicos como operativos, así como una supervisión continua, lo que supone una carga significativa para las organizaciones. Por este motivo, muchos vendedores digitales están adoptando opciones sin transferencia y avanzando hacia un modelo sin almacenamiento, evitando por completo el manejo interno de datos de tarjetas.

Riesgo de transferencia accidental de información de tarjetas

Cuando se adopta un modelo de no transferencia, los números de tarjeta pueden permanecer en registros, copias de seguridad, entornos de prueba, herramientas de supervisión y sistemas similares, dependiendo de cómo los configuren los equipos. Dichos registros temporales pueden conducir a la determinación de que se transmitieron los datos de la tarjeta, a pesar de que la empresa crea que ha dejado de almacenar esta información.

Dado que las comprobaciones de funcionalidad durante las pruebas y la configuración de depuración a veces pueden transferirse tal cual al entorno de producción activo, es necesario diseñar la infraestructura de manera que la aplicación nunca adquiera datos de tarjetas, desde su desarrollo hasta las operaciones diarias.

Importancia de las contramedidas contra manipulación o explotación de vulnerabilidades

Cuando se emplean sistemas sin transferencia, se han confirmado casos de registros de tarjetas que se obtienen ilícitamente por manipulación del propio sitio de e-commerce. JavaScript malicioso incrustado puede aparecer independientemente de la estructura del sitio y surgir a través de cualquier método, por lo que es necesario actuar con precaución.

Como contramedidas, es importante implementar continuamente protocolos de seguridad fundamentales, incluida la detección de manipulación de archivos, la gestión de vulnerabilidades, la eliminación de permisos innecesarios y las actualizaciones oportunas para CMS y plugins.

Medidas de protección contra el fraude con tarjetas de crédito que deben adoptar las empresas de e-commerce

Implementar un sistema que elimine el procesamiento de datos de tarjetas mediante la no retención no erradica el riesgo de fraude. Los cargos online siguen siendo vulnerables a diversas formas de uso indebido, como el robo de credenciales, accesos de alto riesgo desde el extranjero, ataques de tipo credit master y la suplantación de identidad.

Uso de 3D Secure 2 para mejorar la verificación de identidad

3D Secure 2 se considera una forma eficaz de reforzar la verificación de identidad para pagos en línea. Permite evaluar el riesgo basándose en la información del dispositivo, las señales de comportamiento y los detalles de la transacción, y solo exigirá una autenticación adicional en casos de alto riesgo.

Este enfoque garantiza un equilibrio óptimo que mantiene la fluidez para los usuarios legítimos, mientras mitiga el fraude mediante requisitos de autenticación adicional para actividades sospechosas.

Utilización de servicios de detección de fraude para visualizar los riesgos

Puedes combinar servicios de detección de fraude como Stripe Radar con 3D Secure. Las herramientas de revisión proporcionadas por los procesadores de pagos analizan exhaustivamente factores como direcciones IP, datos del dispositivo, historial de pedidos y comportamiento de compra para asignar una puntuación de riesgo a cada transacción.

Mediante el uso de este tipo de herramientas, puedes identificar automáticamente las siguientes transacciones:

  • Ataques de fuerza bruta tipo «credit master»
  • Acceso de alto riesgo desde direcciones IP en el extranjero o a través de VPN
  • Cambios repentinos en importe, frecuencia o comportamiento
  • Tendencias de fraude por país o región

A medida que aumenta el uso de tarjetas emitidas en el extranjero en el e-commerce transfronterizo, la adopción y el uso de 3D Secure 2 y otros servicios de detección del fraude pueden ayudar a reducir la posibilidad de actividades no autorizadas.

Cómo puede ayudarte Stripe Payments

Stripe Payments proporciona una solución de pagos unificada y global que ayuda a cualquier empresa —desde startups en expansión hasta empresas globales— a aceptar pagos en línea, en persona y en todo el mundo.

Stripe Payments puede ayudarte a:

  • Optimizar la experiencia en el proceso de compra: con Payments, puedes ofrecer una experiencia de compra ágil e intuitiva. Además, ahorrarás miles de horas de trabajo de desarrollo gracias a sus interfaces de pago prediseñadas, que te dan acceso a más de 125 métodos de pago y Link, el monedero digital desarrollado por Stripe.
  • Expandirte a nuevos mercados más rápido: llega a clientes de todo el mundo y simplifica la gestión de los tipos de intercambio gracias a las opciones de pago internacionales, que admiten 195 países y más de 135 divisas.
  • Unificar los pagos en línea y en persona: crea una experiencia de comercio unificado entre tus canales en línea y presenciales para personalizar la relación con tus clientes, fomentar su fidelidad y aumentar tus ingresos.
  • Mejorar el rendimiento de tus pagos: aumenta tu facturación con herramientas de pagos configurables y fáciles de implementar, que incluyen soluciones no-code de protección contra el fraude y funciones avanzadas para mejorar las tasas de autorización.
  • Hacer crecer tu empresa con una plataforma fiable: desarrolla tu negocio sobre una infraestructura que está preparada para crecer contigo. Stripe ha logrado mantener un tiempo de actividad histórico del 99,999 % y garantiza una fiabilidad líder en el sector.

Conoce todos los detalles sobre cómoStripe Payments puede ayudarte a aceptar pagos en línea y en persona o empieza hoy.

El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, la adecuación o la vigencia de la información incluida en el artículo. Busca un abogado o un asesor fiscal profesional y con licencia para ejercer en tu jurisdicción si necesitas asesoramiento para tu situación particular.

Más artículos

  • Se ha producido un error. Vuelve a intentarlo o contacta con soporte.

¿A punto para empezar?

Crea una cuenta y empieza a aceptar pagos: no tendrás que firmar ningún contrato ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros y diseñaremos un paquete personalizado para tu empresa.
Payments

Payments

Acepta pagos por Internet, en persona y desde cualquier rincón del mundo con una solución de pagos diseñada para todo tipo de negocios.

Documentación de Payments

Encuentra una guía para integrar las API de pagos de Stripe.
Proxying: stripe.com/es/resources/more/nonretention-credit-card-information-japan