2016 Libro Blanco Medios Pago para Web PDF

LIBRO
BLANCO
DE INNOVACION
EN MEDIOS DE PAGO
PARA ECOMMERCE
LIBRO BLANCO
DE INNOVACIÓN
EN MEDIOS DE
PAGO PARA
ECOMMERCE
¿Cómo gestiono los pagos

en mi eCommerce? PayPal,
NFC, Bitcoins... ¿Qué son y
para qué sirven?
Sumario
Prólogos 8
MEDIOS DE PAGO TRADICIONALES 13
1
#1. Tipologías: transferencia, contra reembolso, débito, crédito, PayPal 13
#2. Tarjetas, características, comisiones para eCommerce 17
#3. Medios de pago habituales en España 22
#4. Medios de pago internacionales 24
#5. Pasarelas de pago 28
PASARELAS DE PAGO EN ECOMMERCE 33
2
#1. Integración tecnológica de las pasarelas de pago 34
#2. Qué es el «ratio de abandono» y cómo disminuirlo 43
#3. Gestión del riesgo y control del fraude online 46
#4. La seguridad de los datos personales de la Industria de Tarjetas de Pago: PCI DSS 55
SEGURIDAD EN EL PAGO CON TARJETA 59
3 #1. Proceso de pago con tarjeta online y offline

#2. Normativa PCI DSS
#3. Estrategias de cumplimiento
#4. Obligaciones de cumplimiento con la normativa PCI DSS
59
67
77
86
#5. Nuevas tendencias 95
PAYPAL 101
4
#1. PayPal en eCommerce 101
#2. Internacionalización 107
#3. Seguridad y control del fraude 111
#4. Pagos móviles y apps para móvil 114
#5. El reto offline de PayPal 117
MOBILE COMMERCE 121
5
#1. Carrier Billing 122
#2. Pagos con el móvil 127
#3. Pago mediante códigos de barras y QRS 129
#4. Pagos NFC con la SIM como elemento seguro 131
#5. Pagos NFC con Host Card Emulation 136
#6. Apple Pay 140
INNOVACIÓN Y NUEVAS TENDENCIAS EN MEDIOS DE PAGO 145
6
#1. Nuevos actores 145
#2. Pagos en entornos no bancarizados 148
#3. Monedas virtuales: Bitcoin 156
2 Libros Blancos de Observatorio eCommerce

Edición Noviembre 2015
© Del texto Observatorio eCommerce de Foro de Economía Digital

© De esta edición Publixed
Diseño de la portada: Foro de Economía Digital

Ilustraciones Freepik.es
Observatorio eCommerce de Foro de Economía Digital

Calle Príncipe de Vergara 120 Escalera 1 6ºA
28002 Madrid (España)
Tlf: 902 55 60 30
E-mail: contacto@foroeconomiadigital.com
http://observatorioecommerce.com
Publixed
E-mail: contacto@publixed.com
www.publixed.com www.libreriapublixed.com
ISBN: 978-84-942514-9-8 DL: M-21620-2015

Queda prohibida la reproducción total o parcial de la obra sin autorización previa de la
editorial o el autor

Editorial
Director editorial
Foro de Economía Digital

Jorge Ordovás Oromendía
Director de la Cátedra en innovación
en medios de pago online
Con la colaboración de
Ingenico
Oscar Martínez Tomé
Head of Sales Spain & Portugal
Joaquín Diaz de Terán
Sales Manager Spain & Portugal
ING Direct
Ana María Fernández-Polo García
Payments Strategy
David Manuel García Asín
Payments Strategy
Snap
Pablo Nebreda Cespedosa
Director de Marketing
Internet Security Auditors

Daniel Fernández Bleda
Sales Manager / Partner
Guillem Fàbregas Margenats
Consultor Senior Seguridad
PayPal
Raimundo Sala Albert
General Manager
Foro de Economía Digital

Héctor Iglesias

Bienvenidos al cambio
Amuda Goueli,
CEO de Destinia
De pequeño en Nubia (Egipto), no necesitábamos dinero para comprar. Simplemente

intercambiábamos unas cosas por otras. Es posible que mi experiencia vital de la
infancia explique por qué siempre he sentido una curiosidad fascinante por lo que
el dinero significa: por su historia y su evolución, desde el metal al papel, desde los
primeros babilonios hasta las burbujas del siglo XXI. Vivimos una globalización del
poder económico (y del dinero que hay detrás) como nunca antes habíamos visto. Pero
vivimos también una revolución digital que está sacudiendo el statu quo tradicional. Por
eso es para mí un honor prologar este Libro Blanco de innovación en medios de pago
para eCommerce, en el que de una manera muy didáctica y amena se va explicar la
gran transformación que la tecnología ha traído a este mercado.
Destinia nació con Internet, convencidos de que la Red traería una nueva forma de
hacer y entender los negocios. Y así ha sido. Una revolución a la que ni la industria
financiera ha podido escapar: el dinero en metálico se va desvaneciendo y la innovación
llega a golpe de bit. Las monedas virtuales y los nuevos actores en escena como Google
o Apple están forzando una desintermediación inédita del sistema financiero. Si a estas
premisas sumamos nuestro innato espíritu provocativo, se entiende que decidiéramos
sumarnos al bitcoin. Una moneda virtual pensada para el comercio electrónico del siglo
XXI: sin fronteras, segura, sencilla, cómoda y sin comisiones. Es cierto que el bitcoin es
aún un mercado volátil, de nicho, y que despierta muchos interrogantes, pero en parte
lo es porque se le sigue juzgando con la mentalidad y los ojos del presente y no con una
visión de futuro. Y en el futuro los medios de pago serán diferentes. Se llamará bitcoin
o no, pero las monedas virtuales serán claros protagonistas, y nosotros queremos estar
preparados para cuando ese cambio ocurra.

Prólogos
Hace ahora un año fuimos pioneros y abrimos una vía para el uso de una moneda
que es fácil de comprar y vender pero que entonces no era tan sencillo de gastar,
al menos en servicios de ocio y viaje. Y la acogida por la comunidad bitcoin ha
sido espectacular: tenemos clientes de casi 50 nacionalidades diferentes. Cuando
incorporamos la pasarela de pagos estimamos que tardaríamos 15 días en recibir
la primera operación en BTC, pero solo transcurrieron ¡4 horas! Un polaco compró
un paquete de vuelo+hotel por 2.197,3 miliBTC, esto es, 1.280 euros. Bitcoin ha
exigido adaptar nuestros sistemas pero también hemos recibido muchos consejos de
los usuarios para mejorar la experiencia de compra. Hoy, más del 80% de nuestra oferta
de vuelos se puede pagar con este sistema, así como hoteles, billetes de tren… Y
celebramos que la comunidad de comercios que aceptan bitcoin siga creciendo, con
nombres de la talla de Expedia, Microsoft o la propia PayPal.
El salto a bitcoin implica, sobre todo, un cambio de mentalidad. Como empresa estamos
abiertos al cambio aunque a veces lo desconocido genera miedo a la mayoría. El bitcoin
no es la primera moneda virtual ni tampoco será la última, pero ha conseguido poner
de los nervios a los sistemas centrales de países como Estados Unidos, Europa, Rusia
o China. Unos la regulan como propiedad, no como divisa, otros la prohíben.... ¡Tienen
miedo! Es cierto que como toda novedad disruptiva necesita una cierta regulación para
establecer unas garantías que redunden en una mayor confianza para el usuario. Pero
el bitcoin es, o mí me gusta creerlo así, el principio de un cambio en el que ya no hay
marcha atrás.
¡Bienvenidos!

La innovación tecnológica en
medios de pago es estratégica
Roberto Palencia
Director General
Foro de Economía Digital, Business School
Estamos ante uno de los momentos clave dentro de cualquier proceso basado en
negocio digital, la fase en la que todo el trabajo anterior que hemos estado preparando
junto al cliente final tiene que materializarse en una transacción económica que justifique
y sostenga el modelo de negocio que tenemos detrás, por eso es estratégico este
proceso ya que su organización será completamente diferente en función del producto o
servicio que estemos prestando, el país en el que opere el cliente online, las normativas
legales que afectan al pago y, sobre todo, a la capacidad de generación de confianza en
este momento de la compra.
La adaptación a los diferentes soportes, especialmente los denominados Mobile

Payments que suponen el futuro mas cercano, y la consolidación de las monedas virtuales
son dos de los aspectos que más apuesta generan como motores de crecimiento para el
próximo periodo, por eso les prestamos una atención especial.
En este libro analizamos las tendencias y oportunidades que se están planteando

para innovar, crecer y fortalecer el proceso de pago en las transacciones vinculadas
al comercio electrónico, donde hay una decidida apuesta tanto por los operadores
puros del mundo digital —que fueron los primeros en ganar cuota de mercado—, el
sector bancario más tradicional —que ahora definitivamente está apostando por este
mercado—, y los siempre decisivos «emprendedores» que a base de innovación y
capacidad de adaptación son los que siempre ayudan a mejorar nuestras capacidades.
Gracias a todos los profesionales y empresas que colaboran en esta edición del Libro
Blanco y que con sus experiencias cotidianas liderando la evolución de los medios de
pago nos permiten abrir este conocimiento a más comercios y clientes online cada día.

9
1
CAPÍTULO
Libros Blancos de Observatorio eCommerce

MEDIOS DE PAGO
TRADICIONALES
#1. Tipologías: transferencia, contra

reembolso, débito, crédito, PayPal
Dentro de los medios que un comercio online puede utilizar
para cobrar las ventas que realice, es necesario diferenciar
dos tipologías en función del momento en que se efectúe el
pago, que puede ser en el mismo instante de la compra o en
un momento posterior.
En cuanto a los medios en los que el pago se realiza en el

mismo instante de la compra, los más utilizados son las tarje-
tas y las carteras digitales (PayPal, Iupay…). Estos métodos
garantizan la inmediatez del procesamiento del pedido, y los
avances en la red han hecho que actualmente cuenten con
importantes niveles de seguridad para los consumidores.
Los medios de pago en los que el abono se realiza en un

momento posterior basan su popularidad en la confianza que
les genera a los compradores que sus datos viajen fuera de
la red. El cliente confirma su compra en la tienda virtual, pero
realiza el pago después, ya sea por transferencia o contra
reembolso. Sin embargo, su principal desventaja es el retraso
y la complejidad que añaden a los procesos de compra.
Actualmente, la distribución del uso de estos métodos de

pago en Internet es la siguiente:

Transferencia
El comercio proporciona al cliente los datos de una cuenta
bancaria para que realice el pago del pedido, que se gestio-
nará una vez se confirme dicho pago. Es el método menos
utilizado en la actualidad, siendo su principal ventaja el bajo
coste para el comercio, debido a que no requiere desarrollos
técnicos específicos de conexión en la tienda virtual.
Los principales inconvenientes se basan en el retraso del

proceso de compra, ya que hasta que el vendedor no reciba
la transferencia y sea capaz de conciliarla con el comprador,
no se procederá al envío del producto. Este método conlleva
además cierto riesgo de que el comprador no llegue a realizar
el pago, lo cual disminuye la conversión y puede dificultar
otras tareas como la gestión del stock.

Medios de pago tradicionales
Contra reembolso
El comprador realiza el pago en el momento en el que recibe
la mercancía, lo que supone que se perciba como un método
de pago seguro para quienes no confían en las ventas por In-
ternet, ya que pueden comprobar la calidad del pedido antes
de proceder a su abono.
Para el vendedor suele suponer un aumento de costes, sien-

do el principal inconveniente el riesgo de devoluciones o en-
tregas fallidas, puesto que la vuelta de la mercancía conlleva
asumir los gastos del mensajero de manera íntegra.
El comprador normalmente ve incrementado el importe de la

compra, debido a que se repercute la comisión que cobra
la empresa de mensajería. En los últimos años ha perdido
fuerza como método de pago en tiendas virtuales, debido
fundamentalmente al aumento de la confianza en el mercado
online y al retraso que añade al proceso de compra.
Tarjeta de débito/crédito
Se trata del método de pago más utilizado en las ventas on-

line. El instrumento que se utiliza para materializar estos pa-
gos es el TPV (Terminal de Punto de Venta) virtual, la versión
online del clásico datáfono que se encuentra en las tiendas
tradicionales.

El comercio tiene que solicitar el terminal en su entidad
bancaria y, una vez concedido, deberá instalarlo en su página
web.
Después de la instalación, cuando sus clientes realicen las

compras solo tendrán que introducir los datos de sus tarje-
tas para validar el pago. El banco que suministra el terminal
virtual, denominado «banco adquirente», se encargará de
abonar al comercio online las compras realizadas a través de
este método en su correspondiente cuenta bancaria.
El concepto más habitual por el que el comercio tendrá que

pagar al adquirente es la tasa de descuento, una comisión
por transacción cuya media de mercado actual es del 0,67%1,
aunque algunas entidades cobran también por otros concep-
tos, como el alta, el servicio, la instalación y el mantenimiento.
En cuanto a la seguridad, los terminales virtuales de las enti-

dades bancarias cumplen con estándares de seguridad que
garantizan que el comercio no tenga acceso a los datos de
las tarjetas, ya que el pago se realiza en el servidor del banco.
Adicionalmente, las entidades tienden a implantar en las va-

lidaciones de las compras el sistema 3D Secure, que consis-
te en un proceso de validación de la identidad del titular de
la tarjeta mediante la introducción de una clave durante el
proceso de pago, que normalmente llega a nuestro teléfono
móvil a través de un SMS o mensaje push.
1 Inmark Europa (Comportamiento financiero de las empresas entre 1 y 50 millones) – 2014

PayPal
Actualmente se presenta como una alternativa consolidada
en las formas de pago online a nivel internacional. El compra-
dor utiliza la plataforma como una cartera digital, considerán-
dolo un método seguro y sencillo, mientras que el vendedor
percibe como una ventaja la confianza que ha adquirido la
marca.
Utilizar esta plataforma de pago supone para el comercio vir-

tual asumir una comisión variable de entre el 1,9% y el 3,4%
del total de las ventas (en función del volumen), más una ta-
rifa fija de 0,35€ por transacción.
#2. Tarjetas, características,

comisiones para eCommerce
El mundo de los medios de pago está sufriendo cambios a
gran velocidad debido a la entrada de nuevos competidores
en el mercado. En la mayoría de las ocasiones, cada vez que
realizamos un pago, está implícito el uso de una tarjeta finan-
ciera, ya sea porque hemos ido a un cajero a extraer efectivo
o porque hemos pagado con la propia tarjeta.
Actualmente existen cuatro tipos distintos de tarjeta para pa-

gar ya sea en comercios físicos o a través de Internet: tarjeta
de crédito, débito, prepago y virtual.

Vamos a analizar en qué consiste cada una: sus ventajas y
desventajas, la operativa que podemos realizar con ellas, así
como las posibles comisiones que podemos encontrar a la
hora de realizar un pago tanto en un comercio físico como a
través de Internet.
Tarjeta de crédito
A diferencia de una tarjeta de débito, en las que las canti-

dades se cargan en la cuenta bancaria en el momento de
realizar la compra, las tarjetas de crédito ofrecen distintas
posibilidades de pago, siendo la más común la de abono a
fin de mes.
Las ventajas de esta modalidad de pago son las de contar

con una financiación a tipo cero por parte de la entidad emi-
sora de la tarjeta, además de poder ver los movimientos agru-
pados en un solo extracto. Nuestro banco nos otorgará un
límite de crédito para disponer al mes en función de una serie
de criterios del área de riesgos.
Además, este producto permite financiar las compras, en

momentos puntuales, sin necesidad de solicitar un préstamo,
tanto la totalidad del importe del extracto (operativa revol-
ving) como financiar una compra puntual (operativa compra
aplazada). Ambas modalidades llevan asociado el pago de
un tipo de interés para el titular de la tarjeta, que varía según
nuestra entidad bancaria.

Por último, la gran mayoría de tarjetas de crédito tienen un

seguro de accidentes en viajes que nos puede resultar de
gran utilidad ante imprevistos.
En nuestro país, debido a la crisis financiera de los últimos

tiempos, se ha detectado un aumento de la aversión al uso
de las tarjetas de crédito, al igual que una menor concesión
de las mismas por parte de las entidades bancarias. Sin em-
bargo, en el último año se ha experimentando un incremento
en términos absolutos de la emisión de ellas.

Tarjeta de débito
Con la tarjeta de débito, el importe de las adquisiciones que
hagamos se descontará de nuestra cuenta bancaria en el
momento de la compra.
Para muchos consumidores, el control del gasto con este tipo

de tarjeta es mayor que con la de crédito.
Las posibles retiradas de efectivo que tengamos que realizar

en cajeros, llevarán asociado un coste o no, dependiendo de
la red de cajeros y de nuestro banco. Para ello, lo mejor será
consultar el libro de tarifas del mismo.
Tarjeta prepago
Las tarjetas prepago son muy similares a las de débito, con la

única diferencia que hay que cargarlas previamente a su uti-
lización con dinero para disponer de saldo y por consiguiente
realizar compras.
Es una solución que algún banco ya ofrece a sus clientes.
Nos pueden llegar a cobrar comisiones por cada recarga que
hagamos en la misma.

Tarjeta virtual
Las tarjetas virtuales son un medio de pago que todavía no
se ha extendido entre los consumidores. Es muy similar a
las tarjetas prepago, ya que hay que cargarlas para poder
realizar compras, con la única diferencia que la tarjeta no es
física sino virtual, es decir, la numeración de la misma la ten-
dremos en la página web de nuestro banco donde realizamos
la operativa común.
La finalidad de la tarjeta virtual y prepago es aportar un ex-

tra de seguridad al consumidor en el momento de realizar
las compras por Internet, debido a que solo dispondremos
de una cantidad determinada a gastar, según el saldo que
hayamos cargado en ella.
En general las tarjetas mencionadas anteriormente no tienen

comisiones por compras en Internet salvo en aquellas ope-
raciones que tengan asociado un tipo de cambio, es decir,
aquellas en que la moneda sea distinta del euro. No obstan-
te, en determinados comercios online, como aerolíneas, la
compra puede llevar aparejada una comisión por pagar con
tarjeta.

#3. Medios de pago habituales en España
En cuanto a la forma de pagar de los consumidores, la más
usada es la tarjeta de débito o crédito con un 72%, segui-
do de las carteras digitales con un 35% (como por ejemplo
PayPal y la solución de la banca española, Iupay). Además,
hay otras carteras internacionales como MasterPass y V.me.
Un 15% usa las transferencias como forma de pago preferi-

da y un 20% usa otros métodos como, por ejemplo, el pago
contra reembolso.

En el gráfico podemos apreciar cómo ha cambiado la distribu-

ción entre el año 2011 y 2014:
• Las tarjetas siguen siendo el medio de pago más utilizado.

• Se registra un cambio significativo en las carteras digitales,
pasando del 21% en 2011 al 35% en 2014. El uso de las
carteras digitales está cada vez más extendido entre los
consumidores que compran a través de Internet.
• El pago a través de transferencia se mantiene estable a lo
largo de estos últimos 4 años.
• En cuanto a otros medios de pago como el contra
reembolso, ha caído un 20% con respecto a 2011.
Casi 13 millones de españoles

realizaron alguna compra durante
2014 en nuestro país a través de
Internet. En este último año la cifra
ha crecido un 17% comparado con
2013.
El incremento en las compras por

Internet viene derivado de la po-
sibilidad de obtener precios más
competitivos, comodidad por el
envío a domicilio, condiciones fa-
vorables, posibilidad de encontrar
algo que en el comercio físico no
se encuentra, etc.

#4. Medios de pago internacionales
Vamos a ver que, a nivel mundial, el liderazgo en cuanto a

forma de pago es para la tarjeta de crédito. Las principales
marcas de tarjetas financieras a nivel mundial son Master-
Card, Visa, American Express, Diners Club y Discover.
No obstante, dependiendo del país en el que nos encontre-

mos, podremos destacar otros tipos de medios de pago.
El número de jugadores que no son entidades financieras e

irrumpen en el mercado es cada vez mayor: Google, Apple,
Amazon, Facebook o Twitter, entre otros muchos.
El éxito de estos nuevos entrantes se debe principalmente a

dos factores: tienen un gran volumen de capital para invertir
y realizar proyectos de innovación, y conocen perfectamente
a sus usuarios gracias al Big Data.
Además, no nos podemos olvidar de la irrupción de las mo-

nedas virtuales, como la mundialmente conocida Bitcoin, que
explicaremos con más detalle en el último capítulo.
En África las compras por Internet son escasas, dada la

limitación en el acceso a la red y la falta de regulación es-
pecífica de los sistemas de pago por parte de gobiernos y
entidades financieras. A pesar de que la sociedad africana
usa mayoritariamente el dinero en efectivo, es sorprendente

el auge que tiene el uso de los teléfonos móviles como me-

dio para hacer transacciones bancarias y cada vez más para
hacer compras online. En África, solamente un 9,8% de la
población es usuaria de Internet. Compañías africanas como
M-PESA o PesaPal son claros casos de éxito de cómo han
sabido superar esa barrera a la hora de pagar ofreciendo un
servicio a comercios para recibir pagos a través del teléfono
móvil.
América del Norte es el lugar más desarrollado del mun-

do en cuanto a pagos online. Los norteamericanos prefieren
como medio de pago en eCommerce las tarjetas de crédito y
débito seguido de PayPal y Google Checkout. El resto prefie-
re pagar con tarjetas prepago o tarjetas de crédito emitidas
por comercios.
Destacar el uso de las tarjetas de crédito en América del

Sur, seguido de pagos por transferencia. No obstante, los
países donde más auge tienen las compras online son Brasil
y México. El caso de Brasil es el más notable debido al eleva-
do número de habitantes y la alta penetración de Internet. La
pasarela de pago Boleto Bancário, una solución basada en
pagos por transferencia y contra-reembolso, a día de hoy re-
presenta el 30% de todas las transacciones online en el país.
En el caso de México, debido a que la población está me-

nos bancarizada, el medio de pago más usado para compras
online es el pago contra-reembolso seguido de la tarjeta de
crédito.

Europa está a la cabeza junto con América del Norte en
cuanto a compras por Internet. La elevada penetración de
Internet y un marco regulatorio y legal sólido hacen que sea
posible un elevado número de transacciones online. Cabe
destacar el uso mayoritario de las tarjetas de crédito como
medio de pago preferido por los europeos; sin embargo hay
soluciones locales que toman mucha relevancia en deter-
minados países; estamos hablando de las llamadas Credit
Transfers, pagos realizados por transferencia que ordena un
tercero, previa facilitación de las credenciales bancarias por
parte del usuario al proveedor del servicio.
Este es el caso de iDEAL en Holanda. Una pasarela de pago

creada por los bancos holandeses en 2005, y cerrada para
las entidades participantes. La mayoría de holandeses usan
este medio de pago debido a la seguridad y sencillez que
ofrece. El uso de esta solución no solo está disponible en
comercios online sino que poco a poco se va extendiendo a
entornos físicos como por ejemplo medios de transporte.
Otro caso de éxito de pasarelas de pago para Credit Trans-

fer es Trustly y Sofort en Alemania. La idea es muy similar a
iDEAL, ofreciendo seguridad y sencillez a la hora de realizar
el pago ya que solo se necesitan las credenciales de nuestra
entidad financiera para llevar a cabo el pago.
Hay casos como los de Irlanda e Italia donde el pago de las

compras online se reparte entre pagos con tarjeta, pagos
contra-reembolso y transferencia.

Otras naciones, como Eslovaquia y República Checa, desta-

can como países en los que el uso de las tarjetas de crédito
ocupa el último lugar en pagos por Internet. Allí las compras
son principalmente contra-reembolso, seguidas de pago por
transferencia y en último lugar las tarjetas de crédito.
Por último, destacar el Reino Unido, país donde el uso tanto
de la tarjeta de crédito y débito representa el 80% del total de
pagos online, seguido de PayPal y otros métodos.
Asía-Pacífico: El continente oriental ha conseguido pasar

de estar a la cola en comercio electrónico a unirse junto con
América del Norte y Europa a la cabeza del ranking, gracias
al aumento de la penetración de Internet en el continente y al
mayor gasto realizado por sus habitantes.
En concreto, los japoneses, chinos y surcoreanos lideran
dentro de Asia el uso de Internet para hacer compras online.
Alipay, a día de hoy, es la plataforma de pago más utilizada
en el mundo con alrededor de 500 millones de cuentas.
Asimismo, Tenpay, otra pasarela de pago china, junto con
Alipay, se consolidan como referentes a la hora de realizar
pagos por Internet.
En Australia predomina el uso de tarjetas de crédito para ha-
cer pagos por Internet seguido de pasarelas de pago como
PayPal, BPAY o Paymate.
India, un país con un potencial de crecimiento económico muy
alto, se encuentra en fase de crecimiento en compras por In-
ternet. Actualmente está superando barreras tales como el
acceso a la tecnología por parte de sus ciudadanos, falta de
marcos regulatorios y legales y escasez en las soluciones de
pago online. Una de las plataformas más conocidas es PayU.

Como conclusión, a nivel mundial todavía queda camino por
recorrer en los medios de pago para encontrar una solución
universal, segura y fácil de utilizar.
Actualmente estamos viendo que cada país adopta soluciones

distintas según las necesidades de sus habitantes y su acceso
a Internet. No obstante, el éxito de las distintas soluciones ra-
dica en un buen marco regulatorio y en la seguridad que ofrez-
can a la hora de realizar el pago a los usuarios.
#5. Pasarelas de pago
Los comercios que optan por utilizar un TPV virtual como

medio de pago dentro su eCommerce tienen varias opciones
para empezar a operar. Lo más habitual es acudir en primer
lugar a su entidad bancaria. El Banco analizará la solicitud y,
siempre que se cumplan una serie de criterios de riesgo de
crédito y política de fraude, se concederá el terminal.
En los últimos años se puede acudir también a un Proveedor

de Servicios de Pago (PSP), habitualmente empresas tec-
nológicas especializadas en servicios de pago online. Estas
lidian con el proceso de alta de cuenta bancaria y ofrecen
servicios dedicados en todos los aspectos clave del eCom-
merce: herramientas de detección de fraude, soporte de
atención al cliente 24/7, etc.

Tras la concesión, el procedimiento más común entre las en-

tidades suele ser el envío de claves de seguridad e instruc-
ciones para que el comercio realice la instalación en su tienda
virtual.
Para proceder a la integración de la pasarela de pago, el co-

mercio o su departamento informático pueden utilizar la guía
de instalación que le proporcione su entidad o PSP, o incluso
acudir a los servicios técnicos de ayuda y soporte a la insta-
lación que ponen a su disposición. Siguiendo las instruccio-
nes técnicas podrán integrar el TPV virtual de forma rápida y
sencilla.
En el proceso de instalación, la tienda virtual deberá incluir en

su página de pagos un botón de pago con tarjeta y vincularlo
a la pasarela. Como resultado, cuando los clientes seleccio-
nen esta opción para confirmar la compra se establecerá una
conexión con el servidor seguro de la entidad o PSP, y se
mostrará una pantalla para que introduzcan los datos de su
tarjeta.
Una vez el cliente seleccione el pedido y opte por la opción

de pago con tarjeta, el esquema básico que seguirá una ope-
ración segura es el siguiente:
• El comercio conectará con el TPV de la entidad adquirente

indicándole los datos de la operación (nombre del
comercio, importe, fecha, moneda, etc.).
• El titular de la tarjeta (comprador) introduce los datos de su
tarjeta en la pantalla del terminal virtual.

• El TPV establece conexión con la entidad emisora (entidad
financiera que ha emitido la tarjeta del comprador) y solicita
la autorización de la operación.
• El Banco emisor solicita autenticación a su cliente.
El sistema más común de validación de la identidad
consiste en solicitarle la introducción de una clave que
habrá acordado antes con el Banco, o que recibirá en el
momento. Si la entidad no cuenta con procedimientos de
autenticación, este paso no se realizará.
En cuanto a la gestión y consulta de las operaciones, en la

mayoría de los casos el comercio contará con un módulo de
administración en un portal externo donde entre otras accio-
nes podrá consultar el detalle de las ventas realizadas, reali-
zar devoluciones, etc.
Una vez se complete el proceso de integración, el comercio

tendrá la opción de pago con tarjeta disponible en su tienda
virtual. La principal ventaja operativa de este método de pago
es que tanto el vendedor como el comprador confirmarán la
operación online, y el pedido se podrá tramitar de forma in-
mediata.
Posteriormente, el comercio recibirá los importes de las com-

pras en su cuenta bancaria, con una periodicidad que puede
variar en función de la entidad. En concepto de gastos de
servicio, las entidades bancarias cobran una comisión por
operación (denominada tasa de descuento) cuya media de
mercado actual está en torno al 0,67% 2
En el próximo capítulo analizaremos en detalle todos los as-

pectos relacionados con las pasarelas de pago.
2. Inmark Europa (Comportamiento financiero de las empresas entre 1 y 50 millones) - 2014

Expertos en
Normas PCI
PCI Data Security Standard (PCI DSS) es un estándar de

seguridad que define el conjunto de requerimientos para
gestionar la seguridad, definir políticas y procedimientos de
seguridad, arquitectura de red, diseño de software y todo tipo
de medidas de protección que intervienen en el tratamiento,
procesado y almacenamiento de información de datos de
tarjetas de pago.
Internet Security Auditors es líder en consultoría

para la implantación y certificación de PCI DSS y
PCI PA-DSS.
Desde el año 2007 aportamos las mejores ideas y propuestas

en multitud de proyectos desarrollados con éxito en Europa y
América, colaborando activamente con el PCI Security Stand-
ards Council en la mejora de los estándares PCI.
Permítanos ayudarle a garantizar la seguridad de sus

procesos y aplicaciones de pago.
C. Santander, 101. Edificio A. 2º C. Arequipa, 1 Calle 90 # 12-28.

E-08030 Barcelona (Spain) E-28043 Madrid (Spain) Bogotá (Colombia)
Tel.: +34 93 305 13 18 Tel.: +34 91 763 40 47 Tel.: +57 (1) 638 68 88 www.isecauditors.com
28
Fax: +34 93 278 22 48 Fax: +34 91 382 03 96 Fax: +57 (1) 638Libros
68 88 Blancos de Observatorio eCommerce
info@isecauditors.com
29
2
CAPÍTULO

PASARELAS DE PAGO
EN ECOMMERCE
Las pasarelas de pago son un punto estratégico de la expe-

riencia online dentro del eCommerce. Una mala elección o im-
plementación de la pasarela de pago del comercio tendrá un
impacto directo en la tasa de conversión a ventas y en el éxito
del proyecto, ya que garantiza que el cliente pueda pagar de
una forma eficaz. Una vez que nuestro cliente está dispuesto
a comprar, el proceso de pago debe ser lo más rápido, sencillo
y seguro posible.
La pasarela de pago es un servicio por el que un comercio

online puede aceptar pagos digitales, permitiendo finalizar las
transacciones de venta en todas sus variantes. Es el equiva-
lente online al TPV físico (el terminal donde se introducen las
tarjetas en un comercio).
Con la irrupción de los procesadores de servicios de pago, las

pasarelas han ido añadiendo a lo largo del tiempo servicios y
funcionalidades adicionales con las que mejorar la experiencia
de compra online adaptada a cada negocio, habitualmente:
• Varias opciones de integración con plataforma de

eCommerce.
• Páginas de pago adaptadas a dispositivos móviles
(Responsive Web Design) o nativas para estos dispositivos.
• Soporte 24/7.
• Herramientas de prevención del fraude.
• Cumplimiento de los diferentes estándares de seguridad,
como por ejemplo PCI DSS.
• Ventas en canales adicionales como televenta y mail.
eleventa.

• Personalización de pantallas de pago, adaptándose a la
estética del comercio.
• Integración con otros medios de pago alternativos (locales
y globales).
• Sistemas de valor añadido como pagos recurrentes,
diferidos o almacenamiento de tarjetas bancarias para
garantizar la agilidad en compras sucesivas mediante la
funcionalidad «1-click shopping».
• Multidivisa y conversión dinámica de divisa (DCC).
• Fácil integración con soluciones de gestión y contables.
Además, las pasarelas de pago cifran información sensible,

tal como números de tarjetas de crédito, para garantizar que
la información se procesa de forma segura.
#1. Integración tecnológica de

las pasarelas de pago
En la fase inicial de plantificación y toma de requisitos de
cualquier proyecto de eCommerce, la elección de la plata-
forma CMS (Content Management System), es fundamental
para garantizar la viabilidad y éxito del proyecto. Se debe ele-
gir una u otra según variables como: presupuesto, tamaño de
la comunidad de desarrolladores específica (Open Source),
modelo económico de coste fijo o bajo demanda, necesida-
des de escalabilidad (multisite), compatibilidad con tecnolo-
gías previas, nivel de integración con aplicaciones externas o
arquitecturas de información corporativas, o necesidades de

Pasarelas de pago en eCommerce
negocio específicas de las diferentes áreas funcionales de la

empresa (operaciones, marketing, ventas).
Es bastante frecuente que la elección de la pasarela de pago

quede relegada a las fases finales dentro del proceso de im-
plantación de un eCommerce, cuando esta decisión debería
ser una de las primeras a tener en cuenta, ya que de ello
dependerán factores tan críticos para el éxito o fracaso de
nuestro negocio como la mejora de las tasas de conversión,
la prevención del fraude, la seguridad de nuestras transaccio-
nes o la diversidad de los métodos de pago que ponemos al
alcance de nuestros clientes.
Esquema de funcionamiento de una pasarela de pago
Fuente: elaboración equipo Snap

Concepto de integración
Desde el primer momento que elegimos una plataforma CMS

para nuestro eCommerce, bien sea un desarrollo ad-hoc, con
licencia, u Open Source (Magento, OsCommerce, Prestas-
hop, Wordpress, Drupal, etc.) debemos tener en cuenta qué
opciones de integración ofrece para la integración con nues-
tra pasarela de pago. Cabe destacar que sea cual sea la tec-
nología del CMS se podrá integrar con la mayoría de las pa-
sarelas del mercado, pero existen soluciones paquetizadas
o módulos que facilitan este trabajo. Cuanto más conocido y
extendido sea el CMS, más opciones de integración ofrecerá
la comunidad de desarroladores a través de los marketplaces
de cada plataforma.
Para integraciones con necesidades más específicas y avan-

zadas (ERP, CRM) algunas pasarelas ofrecen la posibilidad
de integración directamente con APIs o arquitecturas orienta-
das a servicios (WebServices–XML).
Aspectos a tener en cuenta
La integración entre nuestra plataforma de eCommerce y la

pasarela de pago debe permitir:
• Compatibilidad con múltiples opciones de integración (P

Formulario de pago, InFrame o WebServices XML-API).

• Sencillez de la integración.
• Soporte 24/7 en la fase de integración, puesta en
producción y despliegue. Control de los pagos desde el
Back Office, con el objetivo de tener el control total de las
transacciones pudiendo ejecutar operativas diarias de
devoluciones, cancelaciones, etc. Aceptación de diversos
tipos de transacción. Cada negocio exige diferentes
modelos de ingresos. El pago «diferido», por ejemplo,
bloquea los fondos en la tarjeta del cliente y procesa
el pago más tarde, cuando se ha hecho la entrega del
producto. El pago «pre-autorizado» permite verificar los
datos de la tarjeta en el momento de la compra, pero solo
procesa el pago cuando el importe final se ha comprobado
(muy frecuente si vendemos productos cuyo precio varía
según el peso, o hemos de comprobar los tipos de cambio
con otra moneda).
• Proceso de checkout sin costuras, a través de la
customización de las páginas de pago.
• Selección y gestión permanente de las herramientas de
prevención del fraude desde el módulo de la plataforma de
eCommerce (CVV, 3D Secure, etc.).
• Opciones avanzadas de valor añadido, como el
almacenamiento de tarjetas, la tokenización para la
seguridad y la facilidad de compras sucesivas, etc.
• Selección de medios de pago alternativos, según el
mercado target: el cliente debe poder escoger entre
cualquiera de las tarjetas de crédito o débito más comunes
y otros medios de pago alternativos como monederos
digitales, pago por banca online u otros medios de pago
locales, etc.

Tipos de integración
Existen varias formas de integración con una plataforma de
eCommerce a elegir dependiendo de las características del
negocio: tamaño del comercio, necesidades de integración
con sistemas externos, recursos de desarrollo, tipo de servi-
cio o producto que se comercializa, número de transacciones
esperadas, nivel de seguridad requerido, etc.
Formulario de pago
La integración más simple, recomendada si:
• Quieres separar del proceso de compra el pago online.

• Quieres aceptar pagos de forma rápida y fácilmente.
• No tienes necesidades avanzadas de integración con
sistemas externos.
• Quieres la seguridad que te proporciona la externalización
de los pagos online.
• Quieres reducir al mínimo tus requisitos de cumplimiento
de PCI DSS.
• Estás buscando una pasarela de pago compatible con
numerosos carritos de compra.
• No deseas recoger ni almacenar información confidencial
en tu sitio web.

Ejemplo de integración con Formulario de pago con Snap*

InFrame
Esta alternativa es preferible si:
• Quieres que los clientes no abandonen tu sitio web cuando

realicen una compra, es decir, que no sean redireccionados
a una página externa.
• Deseas una apariencia final igual a las soluciones de
alojamiento propio.
• No deseas gestionar datos de tarjeta en tu web pero sí
recopilar información adicional de clientes.
• Estás buscando una pasarela de pago compatible con
los carritos compra y plataformas de comercio electrónico
más utilizadas.
• Quieres la seguridad que ofrece la externalización de los
pagos online.
• Quieres reducir al mínimo tus requisitos de cumplimiento
de PCI DSS.
Ejemplo de integración inFrame

Web Services XML-API
La alternativa que permite mayor control, a costa de una ma-

yor complejidad de integración. A valorar si:
• Quieres obtener un control completo sobre el proceso de

checkout.
• Quieres gestionar internamente todo el proceso de pago.
• Quieres desarrollar tu propio software de pago (por
ejemplo, para un call center).
• Estás buscando una pasarela de pago que se integre con
las plataformas de comercio electrónico más comunes, o
tu programa de Back Office ya implementado.
• Cuentas con un área de gestión y elaboración de informes
de las transacciones propia.
• Puedes invertir en medidas de seguridad de datos como
certificados, auditorías y análisis de riesgos.
• Deseas mantener un nivel más elevado de cumplimiento
de PCI DSS (lo que suele implicar mayores costes).
Ejemplo de integración por Web Services XML-API con Snap

39
La siguiente tabla resume las principales características
de los distintos tipos de integración:
Opción de ¿Mis páginas de pago se ¿Las páginas de pago ¿Cuáles son mis requisitos
integración alojan en mi PSP? son personalizables? para cumplir con PCI DSS?
Sí Sin auditoría.
Formulario
Esta es la opción de integración No Cuestionario de
de pago
más rápida y sencilla. autoevaluación online.
Sí Sin auditoría.
Control completo sobre el Análisis de riesgos realizado
inFrame Sí Branding y el formato de por la entidad adquirente.
la página, a excepción de
los campos necesarios Análisis de vulnerabilidades
para el pago. mensual o trimestral.
Sí
No
Se trata de un servicio de Debes cumplir con PCI DSS.
services Tu cliente nunca abandona marca blanca, de modo que
XML-API tu sitio web. Es necesario invertir en un
existe un control completo del
certificado digital propio.
Dispones de Back Office propio. aspecto. Tú provees toda la
parte visible por el cliente.

#2. Qué es el «ratio de abandono»

y cómo disminuirlo
Tras todos los esfuerzos encaminados a dirigir tráfico a la
web, destacar aquello que los clientes demandan y ofrecer
el mejor precio por ello, todavía hay un gran porcentaje de
nuestras pequeñas y medianas empresas que ni siquiera sa-
ben dónde ni por qué se abandonan los procesos de compra.
Y es que muchas veces se nos olvida que es muy importan-
te proporcionar una experiencia de usuario satisfactoria, es
decir: que comprar en un website sea fácil, intuitivo, seguro y
que no requiera de muchos pasos.
La elección de una pasarela de pago u otra puede contribuir
a que los ratios de abandono disminuyan, al proporcionar la
experiencia de usuario que los clientes están buscando.
Los ratios de abandono en España

Los principales motivos son los siguientes:
22% carrito de la compra.

15% página de confirmación.
10% página 3D Secure.

Estrategias para disminuir la tasa de abandono
La integración con una buena pasarela de pago permite abor-

dar distintas alternativas para la disminución de la tasa de
abandono, gracias a varios factores:
• Minimizar el número de pasos para el pago: con las

integraciones tipo Inframe los pasos pueden reducirse a
1-2, acelerando el proceso de checkout.
• Branding: una marca genera confianza. La pasarela de
pago debe permitir que esta esté presente en las páginas
de pago, al menos con su logotipo, o a través de la completa
personalización de las mismas con el look & feel del
comercio. El cliente tendrá la sensación de permanecer en
todo momento en el mismo, incrementando su seguridad,
confianza y nivel de conocimiento durante todo el proceso
de pago.
• Mostrar la información al cliente en su propio idioma:
de este modo, se podrá informar a los compradores de
detalles cruciales sobre el pago en su idioma, aumentando
la sensación de seguridad.
• Acelerar el proceso de checkout: es posible almacenar de
manera segura los detalles de las tarjetas de los clientes
a través de un token o alias cifrado. El comercio no
almacena la información de tarjeta, sino el PSP (Proveedor
de Servicios de Pago), pero el sistema permite que los
clientes no tengan que introducir los datos de su tarjeta
cada vez que realizan una compra en la web (lo que se
denomina pago en one-click).

• Elegir un adquirente de confianza, y mostrarlo en las

páginas de pago. Para los pequeños comercios puede
resultar difícil convencer a sus clientes de que los pagos
son seguros. Ser transparente y mostrar qué compañía se
encarga de procesar las transacciones facilitará que estos
perciban que sus pagos se encuentran en buenas manos.
• Ofrecer una gran variedad de medios de pago: cada país
tiene su idiosincrasia y preferencias a la hora de escoger
sus medios de pago online. Puesto que los clientes de un
eCommerce pueden encontrarse en cualquier lugar del
planeta, cuanto mayor sea el abanico de opciones que se
les ofrezca, mejor será su respuesta.
Formas de pago preferidas en España por los internautas que compran online
Fuente: Estudio sobre Comercio Electrónico B2C 2013 (Edición 2014) – ONTSI

#3. Gestión del riesgo y
control del fraude online
Según el último Informe sobre eCommerce de la Comisión
Nacional de los Mercados y la Competencia , en el primer
trimestre de 2014 los ingresos del comercio electrónico en
España alcanzaron los 3 578,7 millones de euros, con un au-
mento interanual del 26,8%. Estos ratios se han mantenido
incluso durante la crisis económica, lo que demuestra la con-
solidación del eCommerce en nuestro país.
Evolución trimestral del volumen de negocio del Comercio Electrónico y variación interanual
Fuente: CNMC - Informe sobre el Comercio Electrónico en España a través de Entidades de Medios de Pago

El fraude online. Datos en España
Desde el punto de vista del usuario, en España durante 2014

continúa la tendencia a la baja, ya que se observa menor pro-
porción de situaciones que pudieran derivar en fraude, como
afirma un 49,6% de los usuarios entrevistados en el Informe
Estudio sobre la Ciberseguridad y Confianza en los hogares
españoles de INTECO , lo que supone un cambio de tenden-
cia con respecto a 2013 (cuando esta proporción alcanzaba
el 52,9%).
Estadísticas sobre intentos de fraude online en España
Fuente: ONTSI-INTECO - Estudio sobre la Ciberseguridad y Confianza en los hogares españoles

Sin embargo, si observamos el fenómeno del fraude desde
el punto de vista del comercio online, obtenemos unos datos
algo más preocupantes, puesto que el 45% de las pequeñas
y medianas empresas reconocen no utilizar herramientas
anti-fraude.
Importe anual de las pérdidas derivadas del fraude online
Fuente:Javelin Strategy & Research

Principales tipos de fraude online
Profundizando en las características del fraude online, pode-

mos destacar las siguientes tipologías:
• Robo de identidad: robo de los datos de la tarjeta, la propia

tarjeta o los datos del usuario en PayPal.
• Ingeniería social: los consumidores reciben
comunicaciones donde se les solicitan los detalles de sus
tarjetas, fingiendo ser su banco, o un comercio.
• Fraude interno: los empleados de un eCommerce utilizan
los datos de sus clientes de un modo fraudulento.
• Fraude de afiliación: construcción de réplicas falsas de un
comercio online, fingiendo todas las transacciones.
• Fraude amistoso: el consumidor declara no haber recibido
los productos y rechaza la transacción, cuando esto no es
cierto.
Visión de las principales herramientas anti-fraude.

Beneficios y limitaciones
Existen distintas alternativas, no excluyentes, que permiten

reducir la probabilidad de generar fraude en eCommerce, y
sus consecuencias.

CVV/CVV2
El sector bancario introdujo las herramientas CVV y CVV2

para contribuir en la lucha contra los crecientes problemas de
autenticación del consumidor durante las transacciones CNP
(Card Not Present), correspondientes a los pagos online, en
los que no hay una verificación de autenticidad de la tarjeta
bancaria.
CVV y CVV2 son los acrónimos de Card Verification Value,

utilizados por Visa y MasterCard. Se trata del código de tres
dígitos que aparece en la parte posterior de la tarjeta del com-
prador, junto a la banda magnética.
En el caso de American Express se denomina CID (Card

Identification Digits), que aparecen normalmente como un
código de 4 dígitos en la parte anterior de la tarjeta.
Estas herramientas son servicios de notificación electrónica

que permiten la verificación tanto en procesos de pago online
como en transacciones a través del teléfono o correo electró-
nico. Tienen por objetivo proporcionar información adicional
en cada transacción, ofreciendo así más seguridad al comer-
cio a la hora de minimizar el riesgo de pagos fraudulentos.
Beneficios:
• Rapidez: la verificación de CVV/CVV2 se ejecuta en

tiempo real, por lo que se reciben los resultados antes de
la autorización de la operación.

• CVV/CVV2 proporciona más información sobre la

transacción, de manera que es posible decidir si se
requiere realizar algún tipo de comprobación anti-fraude
adicional.
• Los fallos en CVV/CVV2 son indicadores tempranos de
que la tarjeta se está utilizando de forma fraudulenta, lo
que evitará otras comprobaciones manuales.
• Respuestas detalladas que limitan los errores: los
resultados se dividen en 3 categorías para reducir el
número de respuestas fallidas originadas por un error del
usuario.
Limitaciones:
• No se pueden utilizar en tarjetas privadas: si el comercio

acepta pagos con tarjetas de empresa puede recibir el
resultado «datos no comprobados», ya que los bancos no
tienen acceso a esta información para este tipo de tarjetas.
3D Secure
3D Secure, denominado Verified by Visa (VbV) o MasterCard

Secure Code (MSC), se trata de una iniciativa contra el frau-
de lanzada por los emisores de tarjetas como el método más
seguro para la autenticación del titular de la tarjeta en tiempo
real antes de una transacción.
3D Secure (3 Domain Secure) hace referencia a las partes

que participan en este proceso:

• El comercio.
• El banco adquirente.
• Visa y MasterCard.
Beneficios:
• Traslado del riesgo de la transacción fraudulenta al emisor:

el riesgo no es imputable al comercio si procesa sus pagos
a través de un proceso 3D Secure. Si la transacción resulta
ser fraudulenta, el comercio estará protegido por el emisor
de la tarjeta contra el repudio de operaciones, ya que será
el propio banco emisor quien asumirá los importes.
• Flexibilidad: es posible definir si se activa o no, a criterio
del comercio, en función de las características de la
transacción (potencial riesgo de fraude), si bien el emisor
puede denegar una transacción que no se gestione
mediante 3D Secure.
• Tarjetas que pertenecen a 3D Secure: VISA, VISA
DELTA, MASTERCARD, MASTERCARD DÉBITO,
INTERNATIONAL MAESTRO, LASER y VISA ELECTRON.
Limitaciones:
• Las devoluciones pueden ocurrir: una transacción validada

por 3D Secure no garantiza que un cliente pueda ejercer
su derecho a anular una venta en los plazos y condiciones
determinados por la ley de comercio.
• No todas las tarjetas participan: no existen iniciativas
similares para American Express, JCB o Diner’s Club.

Consejos adicionales para minimizar el fraude
Debido a las limitaciones que hemos comentado, es reco-

mendable que el comercio no base su política de detección
del fraude únicamente en estas herramientas (CVV/CVV2 y
3D Secure), tratando de implementar en la medida de lo po-
sible comprobaciones adicionales:
• Cotejar el número de teléfono y la dirección de entrega

con la dirección de facturación. Llamar al número indicado
para comprobar que es real, y (para entregas dentro del
territorio nacional) comprobar que el prefijo concuerda.
Incluso verificar si el edificio encaja con las expectativas
revisando la dirección en Google Street View.
• Desconfiar de una transacción de bajo importe seguida de

varias de importes altos. Los delincuentes siempre hacen
una prueba inicial a través de pequeñas compras antes
de abordar el gran asalto. Además, se aprovechan de
las temporadas de gran actividad para esconderse entre
el volumen de datos. Es imprescindible incrementar la
cautela durante esos periodos.
• Tener especial cuidado con los países de «alto riesgo»,

algo que cada vez es más importante dado el gran alcance
de los negocios online en los últimos tiempos.
• Comprobar la concordancia del país de entrega con la

dirección IP del usuario.

• «Velocity Checks». Comprobar aquellas transacciones
que se repiten de forma intermitente o un cierto número de
veces en un lapso de tiempo concreto.
• Comprobar que la dirección de correo electrónico sea

válida (el correo será devuelto si no lo es), y sospechar
de aquellas cuentas de correo gratuitas, temporales o
anónimas.
• Si todas las comprobaciones anteriores son correctas,

pero todavía existen sospechas, considera la opción de un
envío certificado para asegurar que el propio destinatario
firmará su recepción y así evitar reclamaciones en la
entrega.
• Hoy en día existe tecnología que consigue el compromiso

casi perfecto entre riesgo y crecimiento. Se trata de
herramientas basadas en el análisis pre y post transaccional
que son capaces de definir un scoring transaccional en
tiempo real.

#4. La seguridad de los datos

personales de la Industria de
Tarjetas de Pago: PCI DSS
Independientemente de su tamaño, cuando un negocio acep-

ta pagos con tarjeta debe cumplir la normativa PCI DSS (Pay-
ment Card Industry Data Security Standard) como condición
imprescindible para la prestación de sus servicios.
Estos estándares ayudan a las entidades que procesan, al-

macenan y/o transmiten datos de titulares de tarjeta a prote-
ger dicha información, con el fin de prevenir los fraudes que
involucran tarjetas de pago de débito y crédito.
El cumplimiento de PCI DSS permite:
• Mayor seguridad para las compras por Internet, al reducir

las brechas de seguridad online.
• Impedir el robo y el uso no autorizado de tarjetas de crédito
y débito.
• Proteger a los consumidores y a los negocios ante
actividades fraudulentas.
• Garantizar que los comerciantes almacenan, procesan y
transmiten los datos de tarjetas de forma segura.
• Evitar los daños en la reputación y los costes financieros
asociados a un fallo en la seguridad de los datos.

Puesto que la norma PCI DSS afecta a todos los actores par-
tícipes en el proceso de pago procesando, almacenando y/o
transmitiendo datos de tarjeta, la forma más sencilla para re-
ducir el impacto de su cumplimiento para los comercios pasa
por evitar en todo momento el «contacto» con esta informa-
ción. Pero si se quieren ofrecer al cliente opciones avanzadas
de pago (one click, compras recurrentes, etc.) se necesita
almacenar estos datos.
La solución pasa por el uso de tokens, una referencia de los

datos de un comprador (número de tarjeta, dirección de fac-
turación, etc.) asociado a un comercio y almacenado en el
servidor, ofreciendo al comercio flexibilidad para procesar las
transacciones sin comprometerse a la seguridad que implica
el almacenamiento de datos de tarjetas. Únicamente los pro-
veedores de pago que cumplan el nivel 1 de la normativa PCI
DSS pueden almacenar datos de tarjetas.
El uso de tokens es ideal para ofrecer soluciones avanzadas

de pago, delegando en su proveedor (que es quien propor-
ciona estos tokens) el procesamiento y almacenamiento de la
información de tarjeta:
• Agilizar el proceso de compra 1-click en las futuras visitas

de los clientes.
• Facilitar al comprador los pagos recurrentes.
• Realizar ventas 1-touch a través de dispositivos móviles.
• Reducir la tasa de abandono en el proceso de compra.
En el siguiente capítulo profundizaremos en estos aspectos

relacionados directamente con el cumplimiento de la norma-
tiva PCI DSS.

55
3
CAPÍTULO

SEGURIDAD EN EL
PAGO CON TARJETA
Pagar con una tarjeta de plástico hoy en día es algo básico

para cualquier ser humano que no viva alejado de la civiliza-
ción. Nadie podría plantearse no disponer de alternativas al
dinero físico para realizar unos pagos que, además, serían
imposibles en un mundo «virtualizado», donde la necesidad
de tener herramientas adecuadas para realizar compras im-
plica disponer de tarjetas bancarias con uno u otro formato,
físico o virtual.
La cuestión que se presenta es si estos sistemas de pago,

que en los últimos cinco años han sufrido una revolución im-
portante, han ido implementando los requerimientos de segu-
ridad acordes a sus riesgos.
En este capítulo se presentarán las más recientes iniciativas,

técnicas y estándares tanto en el pago con tarjeta como las
medidas de seguridad en él, cuyo fin es reducir el fraude y
proteger al usuario final.
#1. Proceso de pago con

tarjeta online y offline
Las tarjetas bancarias son facilitadas por una entidad finan-

ciera, que a su vez están vinculada a las marcas de tarjetas
de pago (VISA, MasterCard, American Express, etc.), para la
realización de una transacción monetaria.

Gracias a la comodidad, facilidad de uso y seguridad que
proporcionan a las personas, al evitar llevar encima gran-
des cantidades de dinero en efectivo, estas tarjetas se han
convertido en una parte muy común de nuestras vidas y son
ampliamente conocidas y aceptadas tanto por usuarios como
por comercios.
Existen dos métodos fundamentales de pago a través de

tarjetas bancarias: el pago online, vigente cuando existe
conexión directa con los centros autorizadores, y el pago
offline, que se da cuando no existe conexión directa con
dichos centros. En este último caso, los datos de tarjeta son
habitualmente almacenados en el terminal o sistemas de la
entidad, para la realización posterior de la transacción, en el
momento en que sí exista conectividad directa con el centro
autorizador.
Además, existen dos categorías principales de pago para este

tipo de tarjetas: el pago presencial y el pago no presencial,
que son detalladas a continuación.
Pago presencial
Esta categoría incluye los pagos donde la transacción se rea-

liza de manera presencial, a través de una tarjeta de pago en
una compra física, y mediante un Terminal de Punto de Venta
(TPV) o Datáfono.

Seguridad en el pago con tarjeta
En dicho proceso, y en el momento de la realización del pago,

el usuario interactuará con su tarjeta de crédito o débito en
este TPV, de manera que la transacción se realizará a través
de redes que pueden ser o bien cableadas (telefónicas, redes
Ethernet, etc.) o bien inalámbricas (GSM, GPRS, WiFi, etc.).
Para interactuar con el terminal, el usuario dispone de varios

métodos para realizar la transacción. Estos métodos son la
Banda Magnética, el Chip EMV y el Contactless, que vemos
con más detalle seguidamente.
Banda Magnética
La banda magnética de una tarjeta de pago puede contener

hasta tres pistas de grabación. En dichas pistas se almacena
la información asociada a la tarjeta, como puede ser el
Número Personal de la Cuenta o PAN (Personal Account
Number), el Valor de Verificación de la Tarjeta o CVV (Card
Verification Value) o el Valor de Verificación PIN PVV (Pin
Verification Value).
En el momento del pago (o reembolso monetario), el usua-

rio «deslizará» la banda magnética de su tarjeta por el TPV,
de manera que el dispositivo accederá a la información que
contiene. Una vez identificada y validada la tarjeta, se proce-
derá al cobro del importe del pago a la cuenta asociada a la
misma.

EMV
EMV es un estándar de interoperabilidad entre tarjetas con
microprocesador (chip) y dispositivos TPV con soporte para
este tipo de tecnología.
Las transacciones mediante EMV ofrecen una mayor se-

guridad frente el fraude que los pagos mediante la banda
magnética. Esto se debe al uso de algoritmos de cifrado
como DES, Triple DES, RSA y SHA para el cifrado de la
información contenida en el chip.
En el momento del pago, el usuario introducirá su tarjeta

con chip en el lector y este extraerá la información asocia-
da a dicha tarjeta, como el PAN o el PVV. Si es necesa-
rio, el TPV solicitará al usuario que introduzca su PIN en el
terminal, para garantizar su identidad (la necesidad de ello
vendrá determinado por la entidad financiera, aunque para
importes inferiores a 20 € la mayoría no solicitará la intro-
ducción del PIN).
Contactless
Para facilitar el pago en los terminales TPV, hace pocos años
se desarrolló la tecnología Contactless3 , que permite el inter-
cambio de información entre la tarjeta y el TPV sin que exista
contacto físico, solo la proximidad (unos centímetros).
3. Mastercard contactless http://www.mastercard.com/contactless/

La tecnología utilizada para operar de esta manera se

conoce como NFC (Near Field Communication), un sistema
de comunicación inalámbrico de corto alcance que funciona
por proximidad. La ventaja principal consiste en que no es
necesario introducir la tarjeta en un TPV, sino que únicamente
tendremos que acercar la tarjeta al dispositivo y el traspaso
de información se realizará de manera automática.
Así pues, en el momento de la transacción, el usuario

acercará su tarjeta al terminal y este obtendrá la información
necesaria para su identificación y validación. Como en el
caso del EMV, una vez obtenidos los datos necesarios, si es
preciso, el TPV solicitará al usuario su PIN, de manera que se
garantice su identificación antes de proceder a la aceptación
de la transacción.
Pago no presencial
Esta categoría de métodos de pago incluye todas las transac-
ciones donde la tarjeta no se puede validar de manera pre-
sencial (físicamente), como pueden ser las compras o pagos
a través de comercios electrónicos (eCommerce), así como
los canales de venta por teléfono o correo electrónico (MOTO
- Mail Order/Telephone Order).
Dentro de la subcategoría de comercios electrónicos, pode-

mos encontrar tres métodos diferenciados de pago: TPV Vir-
tual, TPV Virtual con autenticación adicional y Pago online a
través de un intermediario.

TPV Virtual
La mayoría de eCommerce disponen de esta modalidad de
pago, mediante la cual un TPV físico es emulado a través de
un programa o recurso de una entidad bancaria.
Para efectuar un pago con este método, la página web o por-

tal de compra realiza una redirección hacia el TPV virtual del
banco, donde el usuario debe introducir los datos asociados
a su tarjeta (PAN, fecha de caducidad y CVV2/CVC2/CID/
CAV2).
Una vez introducidos, a través de TPV se solicita autorización

al emisor de la tarjeta (entidad bancaria relacionada), que es
quien autoriza o deniega la operación. En ocasiones, y como
medida de seguridad adicional, el portal del banco solicitará
al usuario que introduzca algún dato más, como el valor de
una tarjeta de coordenadas propia de ese usuario o el con-
tenido de un mensaje de texto, que el banco enviará en ese
instante al usuario.
TPV Virtual con autorización adicional

Para evitar que el comercio pueda acceder a los datos de
la tarjeta del usuario empleada en la realización del pago,
algunos TPV virtuales utilizan sistemas como 3D Secure, en
el que se requiere de una autenticación adicional en los sis-
temas de la entidad bancaria para disminuir aún más la posi-
bilidad de fraude.

Para la realización de este tipo de pagos, el usuario debe

asociar su tarjeta de pago a una contraseña o clave secreta
a través del portal de su entidad financiera. En el momento
del pago online, se añade un paso más respecto al caso an-
terior, que consiste en una redirección adicional a un portal
propio del banco donde se requiere al usuario que introduzca
dicha clave, además de un documento de identidad adicional,
como puede ser su DNI o Pasaporte.
Una vez hecha la validación de todos estos datos, el pago se

realizará como en el caso de un TPV virtual normal.
Pago online a través de un intermediario
Existen también procedimientos de pago online en los que la

transacción se realiza a través de un intermediario o tercero.
En este tipo de pagos nos podemos encontrar dos métodos
principales, el monedero virtual y la pasarela de pago:
• En el primero de estos métodos, conocido como

monedero virtual, el usuario deberá crear una cuenta
en uno de estos proveedores, asociada a su tarjeta
de pago, y posteriormente, en el momento del
pago, introducir los datos asociados a dicha cuenta.
Con esto, el usuario no necesitará aportar los datos

confidenciales de su tarjeta de pago en la web del
comercio, sino que los datos introducidos serán los

asociados a su cuenta en el intermediario (datos no tan
sensibles), y la entidad tercera será a su vez la encargada
de facilitar a la entidad bancaria la información necesaria
para la realización de la transacción.
• En el segundo método, conocido como pasarela de

pago, será el comercio el que tendrá un contrato con
un intermediario, de manera que la transacción se
realizará a través de dicha pasarela. El intermediario
será el encargado de interactuar con la entidad financiera
asociada al comercio para que la transacción se lleve a
término de manera correcta.
Otra subcategoría dentro de los pagos no presenciales son

las ventas a través de teléfono o correo electrónico (MOTO
- Mail Order/Telephone Order), en las que los datos de tarje-
tas son o bien enviados por su titular a través de un correo
electrónico, o bien facilitados directamente a un operador te-
lefónico.
En ambos casos, la entidad responsable de recibir dichos da-

tos será la encargada de realizar la transacción monetaria,
normalmente a través de un TPV Virtual con conexión con el
centro autorizador.

#2. Normativa PCI DSS

La PCI DSS (Payment Card Industry Data Security Stan-
dard)4 es una normativa de seguridad que se aplica a entor-
nos que procesan, transmiten o almacenan datos de tarjetas
bancarias. Por lo tanto, vemos que dicha normativa es de
total aplicación para plataformas de eCommerce que integren
pagos con tarjetas.
Los diferentes agentes implicados en la normativa se descri-

ben a continuación:
Titular de tarjeta (Cardholder): persona que posee una

tarjeta bancaria de crédito o débito, asociada a una cuenta
bancaria.
Marca de pago: organizaciones responsables de las tarje-

tas de crédito y débito. Las marcas de pago que forman el
PCI SSC5 (responsable de la normativa PCI DSS) son VISA6,
MasterCard7, American Express8, JCB9 y Discover10.
4. Normativa PCI DSS v3.0 https://www.pcisecuritystandards.org/documents/PCI_DSS_v3_

05Nov13_Final_ES-LA.pdf
5. PCI SSC https://www.pcisecuritystandards.org
6. VISA https://www.visaeurope.es
7. Mastercard https://www.mastercard.com
8. American Express https://www.americanexpress.com
9. JCB http://www.jcbeurope.eu/
10. Discover https://www.discover.com/

Emisor: institución financiera que mantiene contratos y
emisiones de tarjetas con sus titulares. Son los responsa-
bles de la administración de las cuentas de los titulares,
así como de aprobar las solicitudes de autorización.
Adquiriente: miembro de una marca de tarjetas de

pago que mantiene relaciones y cuentas para los comer-
cios que aceptan las tarjetas (intermediario entre un co-
mercio y una marca de tarjeta, normalmente una entidad
bancaria).
Comercio: negocio que cumple con los estándares de
calificación de una marca de pago y que se encuentra
aprobado por un adquiriente.
Proveedor de servicio: entidad que presta servicios a

otras entidades afectadas por el estándar PCI DSS. Algu-
nos ejemplos de servicios pueden ser: acceso a Internet,
desarrollo de software a medida, alojamiento de aplica-
ciones web, etc.
Los datos de tarjeta a los que aplica la normativa son

tanto los datos del titular (PAN, nombre del titular, cadu-
cidad y código de servicio), como los datos sensibles de
autenticación (banda magnética, CVV2/CVC2/CAV2/CID
y PIN/PIN block).
Aunque la normativa permite el almacenamiento de algu-

nos de estos datos (siempre que exista justificación de
negocio y se empleen las medidas de seguridad adecua-
das), prohíbe el almacenamiento de otros de estos datos,
como se puede observar en la siguiente tabla.

Almacenamiento de datos de tarjeta
Protección de
Almacenamiento
Tipos de dato Dato datos según
permitido
Req. 3.4
PAN Sí Sí
Datos del titular de la Nombre del titular Sí No
tarjeta Código de Servicio Sí No
Caducidad Sí No
Banda magnética No N/A
Datos sensibles de
CVV2/CVC2/CAV2/CID No N/A
autenticación
PIN/PIN Block No N/A
Cada versión de la normativa PCI DSS dispone de un ciclo

de vida de 3 años, y es monitorizada durante este tiempo
por el PCI Security Standards Council, que es un organismo
formado por las principales marcas de tarjeta (VISA, Master-
Card, American Express, JCB y Discover) y que se encarga
de publicar y mantener los estándares PCI. La versión actual
es la 3.0, vigente desde Octubre/Noviembre de 2013, y de
obligado cumplimiento desde Enero de 2015.
Dicha normativa está conformada por 12 Requerimientos

principales, y estos son agrupados a su vez en 6 Principios,
que aparecen en la tabla a continuación.

Requerimientos PCI DSS (versión 3.0)
Principio Requerimiento
1. Instalar y mantener una configuración de firewall

Desarrolle y mantenga para proteger los datos del titular de la tarjeta.
redes y sistemas seguros 2. No utilizar contraseñas de sistemas y otros
parámetros de seguridad provistos por los proveedores.
3. Proteger los datos del titular de la tarjeta que fueron

Proteger los datos del almacenados.
titular de la tarjeta 4. Cifrar la transmisión de datos del titular en redes
públicas abiertas.
5. Utilizar y actualizar con regularidad los programas o

Mantener un programa software antivirus.
de administración de
vulnerabilidades 6. Desarrollar y mantener sistemas y aplicaciones
seguras.
7. Restringir el acceso a los datos del titular de la tarjeta

según la «necesidad de saber» que tenga la empresa.
Implementar medidas
8. Identificar y autenticar el acceso a los componentes
sólidas de control de
del sistema.
acceso
9. Restringir el acceso físico a los datos del titular de
la tarjeta.
10. Rastrear y supervisar todos los accesos a los

recursos de red y a los datos de los titulares de las
Supervisar y evaluar las tarjetas.
redes con regularidad
11. Probar con regularidad los sistemas y procesos de
seguridad.
Mantener una política de 12. Mantener una política que aborde la seguridad de la
seguridad de información información para todo el personal.

A continuación, procedemos a analizar cada uno de estos 12

requerimientos de seguridad, haciendo énfasis en sus puntos
clave y dando consejos sobre cómo lograr el cumplimiento
de los mismos.
Req 1. Instalar y mantener una configuración de firewall

para proteger los datos del titular de la tarjeta
Este requerimiento se centra en la seguridad perimetral del

entorno de cumplimiento y su objetivo es que se instale y se
mantenga una infraestructura de firewalls o cortafuegos, así
como de otros dispositivos de red, que supongan un primer
nivel de protección frente a amenazas que provengan del en-
torno exterior hacia el entorno PCI DSS.
Req 2. No utilizar contraseñas de sistemas y otros pará-

metros de seguridad provistos por los proveedores
Este requerimiento está enfocado a la debida fortificación de

los parámetros de seguridad de todos los elementos que con-
forman el entorno de cumplimiento PCI DSS, y eso incluye
servidores, elementos de red y otros dispositivos configura-
bles relacionados con el entorno.
Para ello, es necesario que se desarrollen normas de con-

figuración para todos ellos, actualizadas y basadas en las
mejores prácticas de la industria, que den pautas sobre su
correcto abastionamiento.

Req 3. Proteger los datos del titular de la tarjeta que
fueron almacenados
Este requerimiento se enfoca hacia la protección de la in-

formación relativa a tarjetas de pago que sea almacenada
en un entorno PCI DSS, tanto de manera temporal como de
manera permanente.
Para lograrlo, se debe almacenar la menor cantidad de in-

formación de tarjetas de pago necesaria para el curso del
negocio, y el menor tiempo posible. Cuando el PAN sea al-
macenado en el entorno, dicho almacenamiento se debe-
rá realizar bajo métodos que lo hagan ilegible en cualquier
ubicación.
Req 4. Cifrar la transmisión de los datos del titular de la

tarjeta en redes públicas abiertas
Este requerimiento cubre la necesidad de que se cifren to-

das las comunicaciones por redes públicas en las que se
transmitan datos de tarjetas.
En este tipo de canales de transmisión, se deben utilizar

metodologías de cifrado robusto reconocidas por la indus-
tria, como TLS 1.2, IPSEC, SSH v2, VPN, etc. Las redes
inalámbricas, por su parte, deberán implementar también
métodos de cifrado robustos (como WPA2 con 802.11i en el
caso de las redes WiFi).

Req 5. Utilizar y actualizar con regularidad los programas

o software antivirus
Este requerimiento establece las pautas necesarias para que

los diferentes servidores y equipos del entorno de cumpli-
miento cuenten con software antivirus activo y actualizado,
de manera que se encuentren protegidos contra antivirus,
gusanos, troyanos y todo tipo de malware en general.
Para lograr dichos objetivos, se deberá instalar y mantener

operativo software antivirus en todos los sistemas del entorno
de cumplimiento susceptibles de ser afectados por malware.
Req 6. Desarrollar y mantener sistemas y aplicaciones

seguras
Este requerimiento pretende que se establezca una metodo-

logía de desarrollo de software que incorpore la seguridad en
todo el ciclo de vida del desarrollo, así como que el nivel de
parcheado de sistemas sea el adecuado, de manera que las
aplicaciones y sistemas resultantes sean seguros frente a los
ataques más comunes.
Para ello, será necesario definir un correcto ciclo de vida de

desarrollo de software (SDLC-Software Development Life
Cicle), así como seguir guías de desarrollo seguro para los
diferentes lenguajes de programación utilizados, basadas en
las normas o mejores prácticas de la industria.

Req 7. Restringir el acceso a los datos del titular de la tar-
jeta según la «necesidad de saber» que tenga la empresa
Dicho requerimiento se ocupa de que solo el personal auto-

rizado y con necesidad de negocio para ello, pueda acceder
a los datos de tarjetas de pago contenidos en el entorno de
cumplimiento.
Para ello, se deberá limitar el acceso a los datos y componen-

tes de sistema a aquellos individuos que lo necesiten, bajo
justificación y para la operativa de negocio a la que están
asignados.
Req 8. Identificar y autenticar el acceso a los componen-

tes del sistema
Este requerimiento va muy ligado al anterior, y en él se espe-

cifican las medidas de seguridad a seguir para que la iden-
tificación y la autenticación de los usuarios en los accesos a
datos o componentes de sistema del entorno sean las ade-
cuadas.
Además, las cuentas con acceso al entorno deberán dispo-

ner de una política de seguridad adecuada, con bloqueo tras
seis intentos de acceso fallidos, caducidad de 90 días, histó-
rico de cuatro contraseñas, etc. Y las conexiones remotas al
entorno deberán realizarse a través de una autenticación de
doble factor.

Req 9. Restringir el acceso físico a los datos del titu-

lar de la tarjeta
El requerimiento 9 contempla la seguridad física del en-

torno de cumplimiento, incluyendo en su alcance las ins-
talaciones, Centros de Procesado de Datos (CPD) y to-
das las áreas que lo conforman.
Para ello, se deberán implementar controles de acceso

físico, de manera que se limiten los accesos a los impres-
cindibles para la operativa de negocio de la entidad.
Req 10. Rastrear y supervisar todos los accesos a los

recursos de red y a los datos de los titulares de las
tarjetas
Este requerimiento cubre la necesidad de disponer y

mantener registros de auditoría o logs en todas y cada
una de las tecnologías del entorno de cumplimiento, de
manera que se monitoricen todos los accesos y acciones
realizadas tanto a datos de tarjeta como a las configura-
ciones de los sistemas.
Dichas pistas o registros de auditoría deberán registrar

todas las acciones realizadas sobre el entorno de cumpli-
miento PCI DSS.

Req 11. Probar con regularidad los sistemas y procesos
de seguridad
Este requerimiento cubre la necesidad de realizar pruebas de se-

guridad periódicamente en el entorno de cumplimiento, de mane-
ra que se asegure que no existan vulnerabilidades en el mismo.
Para ello, es necesario que se implementen escaneos trimes-
trales de vulnerabilidades, además de escaneos de búsqueda
de puntos de acceso inalámbricos y pruebas de penetración.
También será necesario implementar Sistemas de Detección/
Prevención de Intrusos (IDS/IPS), así como mecanismos de
Monitorización de Integridad de Ficheros (FIM-File Integrity
Monitoring) en el entorno.
Req 12. Mantener una política que aborde la seguridad de

la información para todo el personal
El último requerimiento de la normativa establece la necesi-

dad de que exista y se mantenga una correcta política de se-
guridad en todos los procedimientos y aspectos de seguridad
relativos al entorno de cumplimiento. Para ello, será necesa-
rio que se establezca, se mantenga actualizada y se distribu-
ya al personal implicado una correcta política de seguridad,
que cubra las necesidades, obligaciones y responsabilidades
de todo personal implicado en el entorno.
Además, también se deberá realizar un análisis de riesgos anual,

implantar programas formales de concienciación, implementar
estrictas medidas de control y monitorización de proveedores, y
definir un plan de respuesta a incidentes de seguridad en la entidad.

#3. Estrategias de cumplimiento
Como hemos podido observar, la normativa PCI DSS es muy

extensa, profunda y exigente, y sus doce requerimientos cu-
bren un amplio abanico de controles y procedimientos de se-
guridad, tanto a nivel técnico como a nivel procedimental y
organizativo.
Todo esto comporta que alcanzar la adecuación con el están-

dar implique en muchos casos una elevada inversión, tanto
a nivel económico como temporal, requiriendo un gran nivel
de esfuerzo de todos los actores implicados. Por todo esto,
es importante hacer énfasis en aquellas estrategias que nos
faciliten el cumplimiento del estándar.
Identificación del entorno de cumplimiento
Una de las primeras consideraciones a tener en cuenta an-

tes de abordar la implantación del estándar es realizar una
correcta identificación del entorno de cumplimiento afectado
por la normativa, de manera que se puedan concentrar los
esfuerzos de implantación en los elementos del mismo.
Para ello, es necesario que se identifiquen todos aquellos sis-

temas y tecnologías relacionados con el tratamiento, proce-
sado y almacenamiento de los datos de tarjetas de pago, así
como todos los elementos que pueden alterar la seguridad

del entorno, entre los que destacan los procesos de negocio,
los proveedores externos y el personal con acceso a los da-
tos de tarjeta.
Si dicha identificación no se realiza de manera correcta, se

corre el peligro de tener una falsa sensación de cumplimien-
to, ya que puede darse el caso de que una entidad haya apli-
cado todos los controles de la normativa solo a una parte del
entorno (con el elevado esfuerzo que eso supone), omitiendo
elementos que hacen que no se consiga un debido alinea-
miento con el estándar.
Reducción del entorno de cumplimiento

Una vez se ha identificado de manera clara el entorno de
cumplimiento de una entidad, se deben aplicar procedimien-
tos de reducción del mismo, y es que es importante que el
número de sistemas y procedimientos operativos a los que
aplicar los doce requerimientos de seguridad de la PCI DSS
sean los mínimos posibles, de manera que se reduzca el al-
cance de lo que definimos como entorno de cumplimiento.
La primera consideración a tener en cuenta es que el PAN

no se debe almacenar a no ser que sea imprescindible para
el negocio. Y en el caso de que sea necesario, se deberá
hacerlo en el número mínimo de puntos posible. Con esto,
conseguiremos que los requerimientos de la normativa re-
lacionados con el almacenamiento seguro de los datos se
apliquen al menor número de elementos, de manera que se
nos facilitará en gran medida el cumplimiento del estándar.

Además, se podrán llevar a cabo otras técnicas de reducción

del entorno PCI DSS, entre las que destacan la segmenta-
ción de red, la tokenización, las soluciones P2PE (Point-to-
point encryption) o la externalización a proveedores certifica-
dos PCI DSS, que son detalladas seguidamente.
Segmentación de red
Para lograr la reducción del entorno de cumplimiento,

se puede llevar a cabo el procedimiento conocido como
segmentación de red11.
Una vez identificados todos los elementos que conformarán

el entorno de cumplimiento (ver puntos anteriores), se crea
una especie de «burbuja» PCI a nivel conceptual, que inclu-
ya todos estos elementos identificados. Dicha burbuja es lo
que llamamos entorno de cumplimiento PCI DSS, también
conocido como Entorno de Datos de Tarjeta (CDE-Cardhol-
der Data Environment).
Hay que tener en cuenta, no obstante, que todos aquellos

elementos que interactúen de manera directa con la burbuja
PCI DSS también deberán ser considerados como parte de la
propia burbuja. Un ejemplo de esto pueden ser elementos de
seguridad como consolas de antivirus o herramientas de mo-
nitorización, que, a pesar de no tratar con datos de tarjeta de
manera directa, tienen interacción con elementos del entorno
que sí que los tratan, y por tanto, si se llegaran a comprometer
11. Internet Security Auditors – Usando la segmentación de red para reducir el alcance de PCI DSS

dichos elementos, esto podría conducir a una afectación de
la seguridad del entorno de cumplimiento.
Por tanto, una vez identificados todos los elementos de la burbu-

ja PCI DSS será necesario aislarlos adecuadamente del resto de
elementos de la infraestructura, de manera que no sea necesario
aplicar los requerimientos de la normativa a dichos elementos exte-
riores. Para realizar este aislamiento, debe existir una segmentación
a nivel del firewall perimetral del entorno.
Además, se debe estudiar cada caso por separado, así como ase-
gurar que los elementos exteriores no puedan generar tráfico de
entrada a la burbuja PCI DSS que pueda modificar su nivel de se-
guridad. En el caso de que así fuera, dichos elementos exteriores se
deberían incluir también dentro de la burbuja, y así sucesivamente
con todos aquellos elementos que interactúen con el entorno de
cumplimiento.
Una vez aislados todos los elementos que conforman el entorno de

cumplimiento, será necesario aplicar los doce requerimientos de la
normativa PCI DSS solo en ellos, excluyendo aquellos elementos
exteriores a la burbuja de alcance del estándar. De esta manera, el
alcance de la normativa se verá reducido en gran escala.
Tokenización
Otro procedimiento o técnica que es importante tener en cuenta para

reducir el alcance de la normativa PCI DSS es la tokenización12 , que
consiste en el reemplazo de un dato confidencial por otro que no lo
es, garantizando la misma operatividad sobre el dato en cuestión:

1. Un sistema recibe un dato confidencial, como el PAN de una

tarjeta de pago.
2. El dato confidencial se almacena en una ubicación segura,
bajo métodos de cifrado robustos, que garanticen su protec-
ción y confidencialidad.
3. El sistema asocia dicho dato confidencial cifrado a un valor
token único, que no es más que un dato no confidencial único,
y a través del cual y sin más información es imposible deducir
el valor del dato confidencial asociado al mismo.
4. A partir de este punto, todas las acciones operativas asocia-
das a dicho dato se realizan sobre el token, en vez de sobre
el dato confidencial en cuestión. A no ser, obviamente, que se
necesite el valor del dato original para alguna operación (como
puede ser el cobro de un importe bancario), momento en el
cual se realiza una consulta al dato original.
Visto el funcionamiento de dicha técnica, y teniendo en cuenta

que la PCI DSS solo se aplica sobre sistemas que almacenen,
transmitan o procesen datos de tarjetas de pago, vemos que
esta técnica también nos puede ayudar a reducir en gran me-
dida el alcance del entorno de cumplimiento.
Para entender cómo llevar a cabo dicho procedimiento, lo primero

que hay que tener en cuenta es que un token NO es un dato de
tarjeta, y que, por tanto, si tenemos un sistema o proceso que trata,
procesa o almacena solo dicho token, y se encuentra debidamente
segmentado del resto de sistemas o procesos de la burbuja PCI
DSS, este sistema se podrá omitir del alcance del estándar.
12. PCI DSS Tokenization Guidelines

La idea será entonces emplear dicha técnica para tokenizar los
datos de tarjeta confidenciales (como el PAN), y proceder a reali-
zar el mayor número de acciones operativas de negocio posibles
sobre dicho token, de manera que el dato original no se utilice a
no ser que sea estrictamente necesario. Una vez empleado dicho
procedimiento, se podrán omitir del alcance del estándar todos
aquellos sistemas y operaciones que traten solo con los token.
No obstante, para que dicha técnica sea válida para lograr la re-
ducción del alcance de un entorno de cumplimiento, se deberán
cumplir ciertas premisas, como es el hecho de que el sistema en-
cargado de la tokenización debe estar ubicado en una red interna,
que el valor del token no pueda aportar ninguna información a
un atacante, etc. Dichas premisas, así como el resto de detalles
sobre esta técnica, pueden ser consultadas en el sitio oficial del
PCI SSC.
Hay que tener en cuenta, además, que esta técnica se puede

implementar partiendo de cero en los propios sistemas de una
entidad afectada, o bien implementarse a través de alguna solu-
ción de tokenización externa y comercial, diseñada previamente
para tal efecto.
Point-to-point encryption (P2PE)
Otra técnica para conseguir la reducción del alcance de la nor-

mativa es el uso de una solución de Point-to-point encryption
(P2PE)13, certificada previamente por el PCI SSC.
13 PCI SSC – Point-to-Point Encryption

Dicha técnica se basa en la realización de una transmisión

con cifrado punto a punto de los datos de tarjeta, con el uso
de una solución de cifrado ya certificada previamente, para
conseguir así sacar el canal de transmisión de los datos del
alcance de la normativa PCI DSS.
Para su uso, el primer paso a realizar por un comercio será

contratar alguna solución comercial y certificada por la nor-
mativa PCI P2PE, e implementarla en su propio entorno de
cumplimiento. De esta forma, cuando se desee transmitir
datos de tarjeta, estos serán cifrados previamente con dicha
solución, y, a continuación, serán transmitidos por el canal
habitual.
En el momento en el que los datos lleguen a su destino, vol-

verán a ser descifrados, de manera que sea posible el acceso
a los mismos por parte de su legítimo receptor.
Como la solución P2PE ya ha sido certificada previamente

por parte del PCI SSC (según el estándar PCI P2PE), se ga-
rantiza que cumple con las medidas de seguridad adecua-
das, como puede ser la implementación de algoritmos de
cifrado robustos de los datos, la realización de una correcta
gestión de las claves de cifrado, etc. Y, por lo tanto, todos
los sistemas por los que se transmiten los datos cifrados con
dicha solución quedaran fuera del alcance del entorno de
cumplimiento.
No obstante, para que esta reducción del entorno sea válida,

el comercio deberá tener en cuenta una serie de premisas de

obligado cumplimiento, como puede ser el aislamiento correcto
del entorno P2PE, que el propio comercio no disponga de ac-
ceso a las claves de cifrado/descifrado de los datos, etc. Dichas
premisas, así como el detalle de la normativa PCI P2PE, pue-
den ser consultados en la documentación oficial del PCI SSC.
Externalización a proveedores certificados PCI DSS
La última técnica comentada para lograr la reducción del en-

torno de cumplimiento de la normativa PCI DSS es la exter-
nalización (outsourcing) de parte del entorno a proveedores
certificados PCI DSS.
Esta técnica se basa en utilizar soluciones operativas ofreci-

das por proveedores externos, y ya certificadas previamente
por el estándar PCI DSS, de manera que una entidad se aho-
rre el cumplimiento de la normativa PCI DSS en las partes del
entorno cubiertas por dichas soluciones.
Un ejemplo claro de estas técnicas puede ser el uso del

Cloud computing, que una entidad puede contratar para ex-
ternalizar el almacenamiento de los datos de tarjeta de su
propio entorno de cumplimiento.
Haciendo esto, y si, como hemos indicado, el servicio contrata-

do cumple con la normativa PCI DSS, todos los requerimientos
relativos a la seguridad de los datos almacenados en dicho en-
torno pasarán a ser de aplicación por el proveedor externo y el
alcance de la normativa PCI DSS en el propio comercio se verá
reducido en gran medida.

No obstante, es importante destacar que el cumplimiento de

los requerimientos PCI DSS que afecten a un proveedor ex-
terno serán en última instancia responsabilidad de la entidad
contratante, y no del proveedor.
Por ello, es necesario que la entidad estudie cada caso en

detalle, y que firme los acuerdos y cláusulas adecuadas con
dicho proveedor, de manera que este se comprometa al con-
tinuo cumplimiento de los requerimientos de la normativa.
Además, tal y como se indica en el requerimiento 12 del estándar,

se deberá implementar un programa de monitorización y control
periódico de estos proveedores, de manera que se asegure el con-
tinuo cumplimiento de los requerimientos PCI DSS implicados.
#4. Obligaciones de cumplimiento

con la normativa PCI DSS
Para demostrar el cumplimiento de la normativa, las entida-
des afectadas por su cumplimiento deben realizar una valida-
ción formal de manera anual.
A pesar de que el PCI SSC gestiona el estándar de manera
común para todas las marcas de tarjeta, cada una de ellas
dispone de su propio programa independiente de cumpli-
miento (AIS-Account information Security) para VISA14, SDP
(Site Data Protection) para Mastercard15, etc.
14 VISA Account Information Security (AIS)

15. Mastercard Site Data Protection

Y, por lo tanto, la manera de evidenciar el cumplimiento de
la normativa será diferente para cada una de estas marcas.
Las medidas de validación de cumplimiento varían en función

del nivel con el que está identificado un negocio, que a su vez
depende del número de transacciones con datos de tarjeta
que procese el entorno de cumplimiento durante un periodo
anual.
Podemos observar en la siguiente tabla una relación de los

niveles definidos por VISA Europa para los comercios en su
programa de cumplimiento AIS, así como los requerimientos
de validación necesarios para cada nivel, para poder
demostrar el cumplimiento anual con la normativa (ver tabla
Niveles de comercios y requerimientos por VISA Europa).
Podemos observar también los niveles de comercios y reque-

rimientos de validación de cumplimiento anuales definidos
por Mastercard en su programa de cumplimiento SDP (ver
tabla Niveles de comercios y requerimientos por Mastercard).

84
Niveles de comercios y requerimientos por VISA Europa
Nivel Criterio de Nivel Requerimientos de validación
- Auditoría anual en sitio, realizada por un QSA, demostrable a través de la

Comercios que procesen entrega de un RoC firmado por dicho QSA.
1
más de seis millones de -
Declaración de cumplimiento (AoC).
transacciones anuales de
tarjetas VISA. - Escaneo de vulnerabilidades trimestral externo, realizado por un Approved
Scanning Vendor (ASV).
Comercios que procesen - Cuestionario de auto-evaluación anual (SAQ).

2 entre uno y seis millones de - Declaración de cumplimiento (AoC).
tarjetas VISA. - Escaneo de vulnerabilidades trimestral externo, realizado por un ASV.
Comercios que procesen - Emplear un proveedor de servicios que cumpla con PCI DSS.
3 entre 20 000 y un millón de o
tarjetas VISA. - Cuestionario de auto-evaluación anual (SAQ).
eCommerce que procesen - Emplear un proveedor de servicios que cumpla con PCI DSS.
menos de 20 000
transacciones anuales de o
tarjetas VISA. - Cuestionario de auto-evaluación anual (SAQ).
4
Comercios no electrónicos - Cuestionario de auto-evaluación anual (SAQ).
que procesen más de un - Declaración de cumplimiento (AoC).
millón de transacciones
anuales de tarjetas VISA. - Escaneo de vulnerabilidades trimestral externo, realizado por un ASV.

85
Niveles de comercios y requerimientos por Mastercard
Nivel Criterio de Nivel Requerimientos de validación
- Auditoría anual en sitio, realizada por un QSA, demostrable a través de la

entrega de un RoC firmado por dicho QSA.
Comercios que procesen más de seis
1 millones de transacciones anuales de - Declaración de cumplimiento (AoC).
tarjetas VISA.
- Escaneo de vulnerabilidades trimestral externo, realizado por un Approved
Scanning Vendor (ASV).
- Cuestionario de auto-evaluación anual (SAQ).

Comercios que procesen entre uno y
2 seis millones de transacciones anuales - Declaración de cumplimiento (AoC).
de tarjetas VISA.
- Escaneo de vulnerabilidades trimestral externo, realizado por un ASV.
- Emplear un proveedor de servicios que cumpla con PCI DSS.

Comercios que procesen entre 20 000 y
3 un millón de transacciones anuales de o
tarjetas VISA.
- Emplear un proveedor de servicios que cumpla con PCI DSS.
eCommerce que procesen menos
de 20 000 transacciones anuales de o
tarjetas VISA.
4
Comercios no electrónicos que
procesen más de un millón de - Declaración de cumplimiento (AoC).
transacciones anuales de tarjetas VISA.
- Escaneo de vulnerabilidades trimestral externo, realizado por un ASV.

A continuación, procedemos a describir cada uno de los

documentos requeridos por ambas marcas para poder
demostrar el cumplimiento con la normativa PCI DSS, así
como las acciones anuales necesarias que se deben llevar a
cabo para su obtención:
Reporte de Cumplimiento (RoC - Report on Compliance)
El Informe de Cumplimiento (RoC) es un documento

que debe ser completado de manera anual por todos los
comercios calificados como de nivel 1, y se utiliza para validar
de manera oficial que un entorno concreto cumple con el
estándar PCI DSS. Para la obtención de dicho documento,
es necesario que un Asesor de Seguridad Calificado (QSA
- Qualified Security Assessor) por el PCI SSC realice una
auditoría en sitio del estándar, de manera que dicho asesor
pueda verificar que todos los requerimientos de la normativa
se cumplen en el entorno revisado.
Declaración de Cumplimiento (AoC - Attestation of

Compliance)
La Declaración de Cumplimiento (AoC) es un formulario que

debe ser completado de manera anual por todas las entidades
a las que se aplique la normativa PCI DSS (entidades que
procesen, transmitan o almacenen datos de tarjetas de
pago), para garantizar que el entorno afectado cumple con los
requisitos de seguridad de la misma. A diferencia del RoC, dicho
documento es de alto nivel y no incluye información en detalle
sobre el entorno de cumplimiento revisado. Este documento
deberá ser completado por un QSA o por los propios empleados
de la entidad, según el nivel del comercio tratado.

Cuestionario de auto-evaluación (SAQ - Self-Assessment
Questionnaire)
En comercios de niveles 2, 3 y 4, no será necesaria la realiza-

ción de una auditoría en sitio del entorno de cumplimiento por
parte de un QSA, y por tanto no habrá que completar ningún
RoC. En cambio, sí será imprescindible que se complete un
cuestionario SAQ que acredite la alineación del entorno de
cumplimiento con cada uno de los requerimientos del están-
dar PCI DSS, pero sin entrar tanto en detalle (como en el
caso del RoC). Dicho documento es parecido a un checklist,
donde para cada uno de los requerimientos de la normativa
se indica con un check si el entorno de cumplimiento se en-
cuentra alineado con el mismo.
Existen diferentes tipos de SAQ16, en los que varían los re-

querimientos de la normativa PCI DSS solicitados en función
las características de un entorno de cumplimiento concreto.
El SAQ A es el cuestionario con el número mínimo de requi-
sitos, y dicho número va aumentando hasta llegar al SAQ D,
que supone el cumplimiento de todos los requerimientos del
estándar.
Por lo tanto, y debido a la complejidad de la normativa, es

importante que un comercio ajuste su entorno de cumplimien-
to al mínimo imprescindible, para poder demostrar el cumpli-
miento de la normativa rellenando un SAQ lo más reducido
posible (con el número mínimo de requerimientos).
16. PCI SSC – Self Assessment Questionnaire

En el caso de un eCommerce, el criterio de elegibilidad entre

el SAQ A y el SAQ A-EP es muy sutil, y se puede prestar a
interpretaciones erróneas. Es por ello que VISA publicó una
guía17, en la cual analiza dichos SAQ, las diferentes maneras
de capturar y enviar los datos de tarjetas de pago al centro
autorizador en estos comercios, el riesgo de cada escenario y
la documentación a presentar para demostrar el cumplimien-
to de PCI DSS en cada caso.
Se puede observar una relación entre los tipos de SAQ exis-

tentes en la página siguiente.
17. VISA - Processing eCommerce payments. A guide to security and PCI DSS requirements

89
Tipos de SAQ existentes
SAQ Descripción
A Se aplica a entornos en los que la tarjeta de pago no esté presente de manera «física» (eCommerce, correo
electrónico o teléfono), y si además se tienen completamente externalizadas en proveedores que cumplan con PCI
DSS todas las funciones relativas a los datos de tarjetas de pago. No debe existir almacenamiento, transmisión
y procesamiento electrónico de datos de tarjetas en el entorno de cumplimiento del comercio afectado.
A-EP Se aplica a entornos de eCommerce, los cuales tengan externalizados todos los procesos relativos
a tarjetas de pago a proveedores externos que cumplan con la PCI DSS, y que además no
reciban directamente datos de tarjetas de pago. No debe existir almacenamiento, transmisión y
procesamiento electrónico de datos de tarjetas en el entorno de cumplimiento del comercio.
B Se aplica a entornos que solamente utilicen para tratar los datos de tarjetas una de los dos opciones siguientes:
· Impresoras sin almacenamiento de datos de tarjetas.
· Terminales independientes con discado externo que no estén conectadas

a ningún otro sistema en el entorno, ni a Internet.
Dicho SAQ no se aplica a canales de eCommerce.
B-IP Se aplica a entornos que utilicen únicamente puntos de interacción (POI - point-of-interaction)
aprobados por la normativa PCI PTS, conectados vía IP al procesador de pago.

90
C-VT Se aplica a entornos en los que se ingrese de manera manual una transacción cada vez, empleando un teclado y
un terminal virtual de pago conectado a Internet, y proporcionado por un proveedor externo que cumpla con PCI
DSS. Pueden ser, por ejemplo, comercios que procesen transacciones presenciales, o bien pagos por teléfono
o correo (tarjeta no presente), y que no almacenen datos de tarjetas de pago en ningún sistema informático.
C Se aplica a entornos con aplicaciones de pago conectadas a Internet, sin que exista
almacenamiento de datos de tarjeta en el entorno de cumplimiento de la entidad.
P2PE- Se aplica a entornos en los que se utilicen solamente terminales de punto de venta
HW a nivel de hardware (TPV), que cumplan con la normativa PCI P2PE, sin que exista
almacenamiento de datos de tarjeta en el entorno de cumplimiento de la entidad.
D SAQ D para comercios: se aplica a todos los entornos de comercios no incluidos en el resto de SAQ existentes.
SAQ D para proveedores: se aplica a todos los entornos de proveedores en los

que no sea necesario realizar una auditoría PCI DSS en sitio.

Escaneo de vulnerabilidades trimestral
Para cumplir con el requerimiento 11.2.2 de PCI DSS, es necesario

que una Entidad de Escaneo Aprobada (ASV - Approved Scanning
Vendors), homologada por el PCI SSC, realice un escaneo de vul-
nerabilidades trimestral externo al entorno de cumplimiento.
Una vez obtenidos los documentos necesarios para acreditar

el cumplimiento de un entorno concreto con la normativa PCI
DSS, el siguiente paso es hacer llegar dichos documentos
a los actores implicados. En el caso de los comercios (un
eCommerce, por ejemplo), solo se deben hacer llegar a las
entidades con relación comercial vigente que así lo soliciten
(bancos, etc.), mientras que en el caso de los proveedores de
servicio se deben hacer llegar tanto a las marcas de tarjetas
de pago (VISA y Mastercard) como a las entidades interesa-
das en sus servicios que así lo soliciten.
En este capítulo hemos hablado principalmente de entornos

de eCommerce, pero si se desea profundizar en las particu-
laridades de cumplimiento para entornos de proveedores de
servicio, se pueden encontrar en los sitios web de VISA18,
Mastercard19 y los otros programas de seguridad de cada
marca de pago: American Express20, JCB21 y Discover22.
18. VISA Europe Merchant Agents

19. Mastercard Service Provider Level and Validation Requirements
20. American Express Data Security Operating Policy (DSOP)
21. JCB Data Security Program
22. Discover Information Security Compliance (DISC)

#5. Nuevas tendencias
En los últimos tiempos, han aparecido nuevas tendencias y/o

tecnologías en el mundo del pago a través de tarjetas banca-
rias que tratamos, de manera somera, a continuación.
Transacciones a través de smartphones
Una de las novedades aparecidas en los últimos años en re-

lación al pago con tarjetas es la posibilidad de utilizar smar-
tphones para llevar a cabo dichas transacciones, de manera
que la tarjeta física deje de ser necesaria en los pagos pre-
senciales.
Para ello es necesario el uso de la tecnología NFC (Near

Field Communications), que permite el intercambio inalám-
brico y bidireccional de información entre dos dispositivos,
siempre que estos se coloquen a una distancia reducida en-
tre ellos (unos pocos centímetros).
Con dicha tecnología ha surgido el uso de Carteras Móviles

(Mobile Wallet), aplicaciones instaladas en un smartphone
que gestionan los datos de las tarjetas para la realización
de los pagos, así como la aparición de nuevos actores que
intervienen en el procesamiento de las transacciones y que
se ven por tanto afectados por la normativa PCI DSS.

Mobile Point of Sale (mPOS)
Dentro del mundo de los métodos de pago a través de smar-
tphones se ha introducido recientemente otra novedad, la
aparición de terminales mPOS (Mobile Point of Sale)23.
Dicha solución permite convertir un smartphone o tablet de

un comercio en un TPV, utilizando una aplicación móvil y un
lector de tarjetas externo asociado a la misma (bien un dispo-
sitivo que se conecta al terminal, bien un pinpad independien-
te que también incluye teclado). Este método puede ser muy
útil para pequeños comercios o autónomos, ya que gracias a
él se puede disponer de TPV de manera muy sencilla.
El procedimiento de pago es este caso es muy parecido al

pago presencial a través de TPV físicos, en el que el cliente
introduce, desliza o acerca la tarjeta al lector, de manera que
el TPV (en este caso el smartphone o la tablet) obtiene los
datos necesarios para la realización de la transacción, como
puede ser el PAN. Posteriormente, el TPV solicita al cliente
la introducción de su PIN en el pinpad, en caso de que sea
necesario (obligatorio en cantidades monetarias elevadas).
Si la validación de dicho dato es correcta, el TPV procede a
comunicarse con el centro autorizador para la realización de
la transacción indicada.
Hay que tener en cuenta, no obstante, que la seguridad de

este método puede verse comprometida con más facilidad
23. Mastercard Mobile Point of Sale Best Practices

que al usar un terminal TPV convencional. Esto es debido a

que el dispositivo con el que estamos realizando el pago es
de propósito general, y el número de posibles vulnerabilida-
des en dichos dispositivos es mucho mayor al existente para
terminales TPV corrientes.
Hay que destacar también que, hasta el momento, el PCI

SSC no ha oficializado ninguna normativa de cumplimiento
obligatoria y específica para los métodos24 de pago a través
de dispositivos móviles, y por tanto las entidades asociadas a
dichos métodos siguen estando ligadas al cumplimiento de la
normativa PCI DSS. No obstante, sí ha publicado dos guías
con recomendaciones, tanto para comercios que utilicen di-
chos métodos como para las entidades encargadas del de-
sarrollo de las aplicaciones móviles relacionadas25.
Wearables
Otra innovación en el mundo de los pagos a través de datos
de tarjetas bancarias son los dispositivos wearables («vesti-
bles» o «llevables»). Dichos dispositivos son prendas inteli-
gentes que un usuario puede llevar encima de manera cómo-
da, como puede ser una pulsera26, un reloj27 o un llavero, y
que disponen de un chip o microprocesador incorporado que
proporciona la tecnología NFC.
24. PCI Mobile Payment Acceptance Security Guidelines for Merchants as End-Users
25. PCI Mobile Payment Acceptance Security Guidelines for Developers
26. CaixaBank - pulsera Visa contactless
27. Apple Watch

En este caso, la metodología de pago es casi idéntica a la
vista en los procesos de pago a través de smartphone, y se
basa en almacenar los datos asociados a una tarjeta de pago
en uno de estos dispositivos (en su chip interno), e intercam-
biar los datos de tarjeta con un TPV a través de la proximi-
dad física de este elemento. A partir de ese punto, y tras la
introducción del PIN del titular de la tarjeta en el TPV, este se
comunicará con el centro autorizador para la realización de la
transacción como en el caso anteriormente comentado.
Podemos ver que la seguridad en estos métodos de pago es

superior a las técnicas de pago a través de smartphones, ya
que los wearables son mucho menos susceptibles a virus,
troyanos y todo tipo de malware en general.
Actualmente, se han empezado a implementar estas metodo-

logías y se espera que en los próximos meses su aceptación
cada vez sea mayor por parte de comercios y entidades ban-
carias en general.

97
4
CAPÍTULO

PAYPAL
#1. PayPal en eCommerce

El éxito de PayPal como método de pago preferido por los
usuarios ha impulsado su adopción a su vez por parte de los
comercios como sistema alternativo a las tarjetas. La senci-
llez y seguridad que ofrece al usuario permite al comercio in-
crementar las tasas de conversión en el proceso de checkout
y recuperar ventas que se perdían por el pago con tarjeta.
Desde el punto de vista del consumidor, una vez creada la
cuenta en PayPal, puede elegir cuál será su fuente de fon-
dos: tarjetas de débito o crédito, cuenta bancaria, etc. A la
hora de realizar un pago, el consumidor solo necesita iniciar
sesión en su cuenta PayPal con su correo electrónico y con-
traseña, elegir la fuente de fondo con la que quiere realizar el
pago y confirmar dicho pago.
El comercio puede recibir pagos con PayPal desde el mismo

momento en que se registra (proceso que dura menos de
un minuto), sin necesidad de pasos adicionales ni integracio-
nes, lo que permite aprovechar Internet como canal de venta
incluso sin disponer de una web propia. Es una alternativa
para desarrollar una estrategia de venta reduciendo al máxi-
mo los costes: vendiendo directamente en un marketplace
como eBay o mediante campañas de email, asociado a la
cuenta PayPal.
Los comercios que disponen de un portal de eCommerce pro-

pio disponen también de varias vías para integrar su proceso
de checkout con PayPal (mediante un botón, vía API o utili-
zando etiquetas HTML).

La opción más sencilla de integración pasa por la creación
de botones dentro de la página de configuración de PayPal.
Basta con elegir el tipo de botón e introducir la información
sobre el producto para obtener un código HTML que se inser-
ta en la web en la que se vende el producto.
La página de configuración de PayPal permite crear distintos

tipos de botones:
• «Compra ahora», para artículos individuales.

• «Añadir al carrito», para agrupar varios artículos con el
carro gratuito de PayPal.
• «Suscribirse», para ofrecer pagos recurrentes
automatizados.
• «Donar», para aceptar donativos.
• «Comprar certificado de regalo», para cupones regalo de
productos y servicios.

PayPal
Creación de botón de pago en PayPal

La integración vía API y vía HTML requiere de conocimientos más
técnicos y disponer de una cuenta de desarrollador (es necesa-
ria en caso de querer hacer pruebas usando SandBox, en caso
contrario solo es preciso tener una cuenta Business). Para facilitar
el proceso, PayPal ofrece guías de integración, así como informa-
ción sobre múltiples partners que han desarrollado módulos para
las más importantes plataformas de eCommerce, como Magento,
PrestaShop, WooCommerce, WordPress, Joombla, etc.
Además de las distintas alternativas de integración, existen dife-

rentes opciones de checkout, permitiendo a un comercio adap-
tarse a sus necesidades. Basados en estas tecnologías, PayPal
ofrece un abanico de productos para satisfacer las necesidades
de los comercios, entre los que destacamos:
• PayPal estándar: permite disponer de un botón en la

web, que deriva en una página de PayPal del comercio
en el que se incluyen los datos de la compra, para que el
usuario introduzca sus credenciales y elija el método de
pago que desea utilizar. Finalizado el proceso, se notifica
al comercio la operación para que realice sus procesos de
envío de los bienes o la prestación de los servicios.
• PayPal Express CheckOut Shortcut: PayPal Express
facilita la dirección de envío almacenada en la cuenta
PayPal al comercio para simplificar el proceso de
Checkout, de forma que estos usuarios no necesitan
registrarse. El proceso de compra se realiza con solo tres
clics, mejorando así la conversión (cuantos menos datos
se introduzcan, menor posibilidad de que se abandone el
carrito).

PayPal
Ejemplo de checkout utilizando PayPal estándar

Este producto de PayPal requiere una mayor integración con
los sistemas del comercio, al remitirse la información de en-
trega. El API de este proceso implica una mayor programa-
ción para integrarlo con el CRM.
Ejemplo de checkout utilizando PayPal Express

PayPal
#2. Internacionalización
Para adaptarse a un escenario internacional no basta con

disponer de una página traducida al idioma del país donde
queremos vender, ni tener un contrato con un operador logís-
tico que nos permita realizar envíos internacionales.
Entre otros aspectos, existe un alto componente cultural en

cada país que se traduce en costumbres y conductas de
compra completamente distintas (no compra igual un español
que un alemán o un japonés). Esta adaptación a la idiosin-
crasia de cada mercado debe reflejarse en el escaparate del
comercio electrónico.
En el caso de los métodos de pago ocurre exactamente lo

mismo. Como ya hemos comentado, en España estamos
muy acostumbrados a usar la tarjeta como sistema de pago,
mientras que en otros países prefieren las transferencias
bancarias o las tarjetas prepago.
Hay además barreras legales a tener en cuenta, puesto que

existen productos cuya venta online no está permitida en
determinados países (como bebidas alcohólicas o algunos
bienes digitales) o sobre los que existen legislaciones espe-
cíficas. Un ejemplo representativo es la venta de billetes de
avión: hay países en los que no se pueden aplicar sobrecos-
tes y el precio indicado debe ser el precio final, mientras que
en otros no se pueden repercutir al usuario los costes del
método de pago seleccionado.

Por último hay que tener en cuenta la barrera relativa a los
impuestos a aplicar sobre el valor de los productos, donde
cada país y región (Unión Europea, Estados Unidos, etc.) es-
tablece su propia legislación. Para las ventas online en Esta-
dos Unidos se debe aplicar el impuesto del estado emisor de
la tarjeta (si se realiza una compra el comercio debe aplicar
diferentes impuestos si la tarjeta está emitida por Citibank de
Nueva York o de California, por ejemplo). En la Unión Euro-
pea, desde el 1 de Enero de 2015, se aplica el IVA del país
del comprador, estableciendo unos requisitos para identificar
dicho país. Además en Europa se tiene que reflejar el precio
final en la web, impuestos incluidos.
Por todo ello, la internacionalización de un comercio electró-

nico no es un proceso sencillo. En el caso de las PYMES,
esta dificultad se agudiza ya que, en la mayoría de las oca-
siones, no disponen de los recursos suficientes para poner
en marcha una estrategia de internacionalización que cubra
todos los aspectos señalados.
PayPal está presente en 203 mercados y cuenta con 165

millones de cuentas activas en todo el mundo, permite pagar
en más de 100 monedas diferentes, retirar fondos de sus
cuentas bancarias en 56 divisas y 26 en las que puedes
mantener el saldo. Todo ello le otorga una ventaja competitiva
y le convierte en un proveedor clave para cualquier negocio
que quiera vender a nivel internacional. Según indica PayPal
el comercio global supuso el 25% del volumen total de pagos
en PayPal en 2013.

PayPal
Pese a no ser el método de pago más usado en todos los

países, está muy estandarizado y representa un importante
volumen en cada uno de los mercados en los que está pre-
sente. Al tratarse de una cartera virtual donde los usuarios
dan de alta sus fuentes de fondos, permite que estos puedan
elegir la que más se amolde a sus costumbres, por lo que es
un aliado clave a la hora de plantearse un proceso de interna-
cionalización. Incluso en aquellos países que admiten única-
mente tarjetas locales, PayPal facilita la obtención de ventas.
Para facilitar la internacionalización y el comercio transfron-

terizo en el caso de las PYMES, PayPal lanzó en 2014 Pass-
Port (www.paypal.com/es/passport), la primera plataforma
web dirigida a las pequeñas y medianas empresas que quie-
ran expandir sus ventas globales.
En ella se ofrece el asesoramiento necesario para la expan-

sión internacional de los comercios, se informa sobre las cos-
tumbres de diferentes países y se traslada información de
los días más relevantes para las ventas en otros países (un
ejemplo muy sencillo es el día del padre o de la madre, que
se celebra en diferentes fechas según el país, o campañas
específicas como el día de los solteros en China, la Golden
Week en Japón o la Click Frenzy en Australia). Gracias a esta
información los comercios pueden optimizar sus recursos
para focalizar sus campañas en función de las costumbres o
días especiales de compras de estos países. La plataforma
también ayuda a los comercios a adaptarse a las particulari-
dades de las aduanas e impuestos aplicables.

Por último, pero no menos importante, PayPal opera en 26
monedas diferentes, lo que permite a un comercio trabajar di-
rectamente en la divisa que necesite en función del país, sin
que existan dobles conversiones para el comprador, evitando
posibles variaciones en el precio final. Aunque existen pasa-
relas que ofrecen DCC (Dinamic Currency Conversion) para
adaptar los pagos a la moneda del comprador, no suelen es-
tar accesibles para las pequeñas y medianas empresas.
PayPal PassPort ofrece además una herramienta de envío

gracias a la cual es posible calcular los costes de envío, divi-
sas y tasas. Una importante información para las PYMES con
limitados recursos a nivel administrativo y financiero.

PayPal
#3. Seguridad y control del fraude

Uno de los principales pilares de PayPal es la seguridad. Ac-
tivar una cuenta PayPal requiere diferentes procesos de alta
para el usuario, que vamos a detallar.
En el proceso de la creación de una cuenta PayPal se re-

quiere una identificación del usuario, que conlleva introducir
una dirección de correo electrónico, una contraseña y ciertos
datos personales. Una vez verificado el correo electrónico se
procede al alta de la cuenta.
En el siguiente paso se especifican las distintas fuentes de

fondos (tarjeta o cuenta bancaria), aplicando ya sus distintos
mecanismos de validación:
• A la hora de introducir una tarjeta (débito o crédito) se

realiza un microcargo (1,50 €) para autenticar dicha
tarjeta. El usuario debe acceder a su extracto de tarjeta
para verificar dicho cargo e introducir en nuestra cuenta
PayPal el código que aparece en el concepto del cargo.
De esta manera el sistema se asegura de que la persona
que ha introducido la tarjeta tiene acceso a la información
financiera de la misma, autenticándose la titularidad. Por
supuesto, el microcargo se devuelve automáticamente
una vez introducida esa cantidad. La certificación PCI
DSS de PayPal garantiza además que la información de
las tarjetas de sus usuarios se almacena y gestiona de
forma segura.

• En el proceso de verificación de una cuenta bancaria,
PayPal realiza dos pequeños abonos en la cuenta bancaria
a verificar. El usuario deberá introducir los dos importes
depositados en su cuenta bancaria en la cuenta PayPal
para verificar que el propietario de la cuenta bancaria tiene
acceso a los datos y movimientos de dicha cuenta.
Por último, también se hace una validación mediante teléfono

móvil enviando un SMS con un código. Esto último permite
verificar el teléfono del usuario, por si fuera necesario realizar
alguna comunicación de seguridad.
Este proceso de verificaciones del usuario y sus métodos de

pago son una garantía de seguridad para cualquier comercio
electrónico, ya que las ventas realizadas mediante PayPal
les protegen de compras fraudulentas con tarjetas robadas,
lo que minimiza considerablemente el riesgo de fraude. Ade-
más PayPal cuenta con sistemas adicionales para la preven-
ción del fraude:

PayPal
• Se supervisan todas las transacciones que se realizan las

24 horas del día y los 7 días de la semana, analizando
pautas de comportamiento de usuarios y velocity checks
que permiten detectar, con gran agilidad, una operación
sospechosa.
• Disponen de un equipo antifraude en continua comunicación

con usuarios, comercios y cuerpos de seguridad, para
identificar y denunciar cualquier fraude (por ejemplo,
detectando redes que intentan suplantar identidades o webs
fraudulentas que no envían sus productos), así como los
sistemas antifraudes más avanzados del mercado.
PayPal dispone también de un «Centro de resoluciones» en

el que los usuarios y comercios pueden solicitar que PayPal
investigue una operación en la que el artículo no haya sido re-
cibido, sea distinto de lo descrito o hayan realizado un cargo no
autorizado desde una cuenta PayPal, evitando así más opera-
ciones fraudulentas.
Una vez que un usuario abre una disputa en PayPal, el co-

mercio debe remitir información de la compra (albaranes de
entrega, actividad del usuario dentro del eCommerce, etc.). El
proceso funciona de la siguiente manera:
1. El comprador abre una disputa dentro del «Centro de resolu-

ciones» de su cuenta PayPal.
2. Allí se pueden leer los mensajes de atención al cliente que se
han publicado sobre los retrasos en los envíos u otros proble-
mas. A menudo esto detiene la disputa antes de que empiece.

3. Si el usuario desea iniciar la disputa, describe sus preocu-
paciones en el «Centro de resoluciones».
4. La disputa nueva se comunica por correo electrónico al
vendedor y se muestra de igual manera en el «Centro de re-
soluciones».
5. El comprador y el vendedor se comunican directamente
desde el «Centro de resoluciones» de PayPal. Si el vende-
dor no responde o no llega a un acuerdo con el comprador,
este puede elevar la disputa a reclamación para que PayPal
pueda revisar el caso tanto con el comprador como con el
vendedor, y pueda tomar una decisión. Por ello es importante
que se aporte la mayor documentación posible.
6. Si la disputa no se eleva a reclamación durante los 20 pri-
meros días desde que se abre, se cierra de forma automática.
#4. Pagos móviles y apps para móvil

El comercio electrónico a través de dispositivos móviles se
ha incrementado considerablemente, sobre todo a partir de
2014. Según un estudio de ComScore28 , en Europa hay más
de 104 millones de smartphones, con una tasa de penetra-
ción del 44%. En el caso de España la tasa de penetración es
muy superior a la media, alcanzando el 85%.
28 ComScore study - State of consumer purchasing behaviour on mobiles (m-commerce) in the

five main European markets (France, Germany, Italy, Spain and the United Kingdom)

PayPal
PayPal ha sido pionera en el pago móvil. Desde mediados de

2011, la compañía apostó por la estrategia «mobile first», es
decir, diseñar las aplicaciones pensando en el pago a través del
móvil para, después, llevarlas a la web y que la experiencia de
usuario sea lo más completa y satisfactoria posible. Es decir, no
adaptan los contenidos de la web al móvil, sino del móvil a la web.
En 2014, PayPal procesó 46 000 millones dólares en volumen de

pagos móviles, un 68% más que en el 2013. Muestra de ello es
el incremento registrado en las operaciones realizadas por móvil
en el Black Friday del 2014, un 62%29 respecto al año anterior,
demostrando que los pagos por móvil son decisivos a la hora de
establecer la estrategia de ventas.
Sin embargo, la tasa de conversión a través del móvil es toda-

vía inferior respecto al acceso con otros dispositivos como el PC.
En general, uno de los motivos que justifican esta baja tasa de
conversión de las compras realizadas en dispositivos móviles
está relacionado con los métodos de pago, siendo imprescindi-
ble disponer de soluciones que hagan cómodo poder finalizar la
transacción, ya sea desde apps o a través del navegador web de
nuestro smartphone.
PayPal ha sabido adaptarse a estas circunstancias optimizando

su checkout para dispositivos móviles. Un caso muy representati-
vo es el de Privalia. El outlet de moda online español registra unas
ventas superiores desde dispositivos móviles respecto a la web,
registrando incluso picos de ventas cercanos al 70% del total30.
29 PayPal - Nota de Prensa One Touch

30 eCommerce news – Privalia vende más en dispositivos móviles que en su web

Dichas ventas proceden tanto de la app como de su página
adaptada para móviles. La integración de PayPal en ambos
casos, tanto en la app como su checkout optimizado para nave-
gador web desde móvil, son claros ejemplos de cómo PayPal
está adaptada a la nueva forma de consumir del usuario.
Pero PayPal ha ido más allá para ofrecer soluciones especí-

ficas en entornos móviles. En septiembre de 2013 adquirió
la empresa Braintree, especializada en este segmento. Esta
compañía ofrecía un SDK (tanto para plataformas IOS como
para Android) que facilitaba el proceso de compra desde apli-
caciones, gestionando completamente el procesamiento de
los pagos (asegurando además que los datos relacionados
con tarjetas se gestionaban en todo momento siguiendo la
normativa PCI DSS). Para el usuario el mecanismo resulta
muy intuitivo y sencillo, puesto que no necesita salir nunca de
la propia aplicación.
En 2014, gracias a la compra de Braintree, PayPal lanzó One

Touch, un producto que hace las compras desde aplicacio-
nes mucho más sencillas, con un solo clic. Si el usuario ya
está autenticado mediante la aplicación de PayPal instalada
en su smartphone, solo tiene que elegirla como método de
pago y, automáticamente, se abre su aplicación de PayPal
para confirmar la compra, sin necesidad de tener que utilizar
contraseñas.
Esta opción facilita mucho las compras dentro de aplicacio-

nes, evitando introducir datos bancarios en la aplicación del
comercio para poder realizar una compra.

PayPal
Ejemplo de checkout con One Touch
#5. El reto offline de PayPal

En su enfoque orientado a la innovación, PayPal propone
también soluciones para el mundo offline.
PayPal Here es una de las propuestas destacadas en este

ámbito, permitiendo ofrecer una solución de mPOS (Mobile
Point-of-Sale) para el pago con tarjetas a través del móvil.

En un inicio se articulaba mediante un lector hardware es-
pecífico de forma triangular, conectado a la salida de auri-
culares del Smartphone. A través de una app se solicitaba
la ejecución de la transacción y mediante este dispositivo se
realizaba la lectura de la banda magnética de las tarjetas de
forma segura.
En Europa esta solución ha evolucionado para permitir el

pago con EMV (tarjetas con chip), en cuyo caso el dispositivo
se conecta mediante bluetooth con el Smartphone. El usuario
introduce su tarjeta en dicho dispositivo y teclea su núme-
ro personal para confirmar el pago. Actualmente en Estados
Unidos se está agilizando la migración hacia tarjetas con chip
EMV, por lo que el modelo lanzado para Europa se utilizará
allí también.
Otra iniciativa en el mundo físico viene de la mano del acuer-

do entre PayPal y Samsung para posibilitar el pago con au-
tenticación biométrica, utilizando el lector de huellas dactila-
res del Samsung Galaxy S5. De esta forma, pagando con la
aplicación de PayPal para móvil no se requiere la autenti-
cación mediante usuario y contraseña, basta con deslizar el
dedo sobre el lector.
PayPal ha desarrollado también aplicaciones para dispositi-

vos wearables que permiten disponer de una pulsera para
identificar al usuario en determinadas zonas, y realizar pagos
vinculando previamente la cuenta PayPal al dispositivo.
Así, en julio de 2014 los asistentes al festival de música Low

Festival pudieron pagar sus consumiciones con la pulsera,
y, desde agosto de 2014, los clientes de los establecimien-
tos más emblemáticos que posee Palladium Hotel Group en
Ibiza, pueden adquirir la pulsera Smart VIB (Very Important
Bracelet), vincularla a sus cuentas PayPal y realizar pagos
acercándola a los lectores habilitados. Ha sido la primera in-
cursión de PayPal en un proyecto de tecnología wearable en
el sector turístico.

117
5
CAPÍTULO

MOBILE COMMERCE
Según los datos presentados por Telefónica en su XV Infor-

me de la Sociedad de la Información31, la consolidación del
sector en 2014 y las perspectivas de crecimiento a futuro son
muy positivas:
• La penetración de smartphones en España alcanza ya el
81% de todos los terminales.
• 26,25 millones de españoles acceden regularmente a
Internet (el 78% de ellos todos los días), y 21 millones lo
han hecho desde el móvil.
• El acceso a contenidos de medios digitales desde el móvil
supera por primera vez al PC: 53% frente a 47%.
En este entorno, el desarrollo de una estrategia de Mobile

Commerce (mCommerce) es una de las prioridades para
aprovechar el negocio originado en los dispositivos móviles,
tal y como recoge el estudio realizado por Forrester Consul-
ting junto con PayPal32 en 2013.
Entre las conclusiones obtenidas cabe destacar el notable in-

cremento del mCommerce en España (superior al de países
como Francia u Holanda). El informe prevé que los ingresos
por mCommerce en nuestro país aumenten de 202 millones
de euros a finales de 2012 a 1 500 millones de euros a finales
de 2017. Y sostiene que la creación de un canal de mCom-
merce para un negocio online puede aumentar hasta un 30%
sus ventas, dependiendo del sector de actividad, proviniendo
estas principalmente de nuevos clientes.
31 Fundacion Telefónica: XV Informe de la Sociedad de la Información

32 Estudio de Forrester Consulting para Paypal sobre mCommerce (nota de prensa)

El Estudio sobre Comercio Electrónico B2C realizado por
el Observatorio Nacional de las Telecomunicaciones y de la
Sociedad de la Información (ONTSI)33 destaca también el
mCommerce como una de las nuevas vías de desarrollo del
comercio electrónico. Según este informe, el 25,6% de los
internautas que compran en Internet lo han hecho a través
de smartphones o tablets, y la tendencia se incrementa año
tras año.
Cabe destacar que los principales motivos que frenan las

compras online están relacionados con las formas de pago
(41,5%) y la seguridad en las transacciones (40,4%).
Analizaremos en este capítulo algunas de las nuevas tenden-

cias en medios de pago que pueden permitir el incremento de
las ventas desde dispositivos móviles.
#1. Carrier Billing

Según Garnter, en 2017 se registrarán más de 268 billones
de descargas de apps en smartphones y tablets34, generando
unos ingresos superiores a 77 billones de dólares.
33 ONTSI - Estudio sobre Comercio Electrónico B2C 2013

34 Gartner Says by 2017, Mobile Users Will Provide Personalized Data Streams to More Than
100 Apps and Services Every Day

Mobile commerce
Las apps se están convirtiendo a un ritmo vertiginoso en el

medio más común por el que los usuarios acceden a servicios
y contenidos e interactúan con su entorno, de forma más
natural e intuitiva que con sus ordenadores. Esta revolución
llega incluso a sectores de la población que tradicionalmente
no tenían contacto con las nuevas tecnologías y que ahora se
convierten en potenciales clientes.
Las apps ofrecen por tanto una nueva vía para acceder a los
servicios y productos que ya ofrecemos, y, además, una opor-
tunidad de capturar negocio directo mediante su monetización.
Es muy común el modelo freemium, en el que la aplicación se

descarga de forma gratuita permitiendo un uso limitado y obli-
gando a pagar por funcionalidades avanzadas o contenidos
adicionales (por ejemplo, en los juegos).
En este ámbito de las apps una de las modalidades de pago

más interesantes es el conocido como direct carrier billing, que
permite comprar aplicaciones y contenidos o servicios digitales
contra la factura del móvil o saldo prepago, desde cualquier
dispositivo (smartphone, tablet, PC…).
La facilidad de uso de este medio de pago, que no requiere

facilitar datos en el momento de la compra, permite obtener
unos ratios de conversión significativamente superiores a otras
alternativas como las tarjetas de crédito (donde se requiere
introducir el número de tarjeta, fecha de caducidad, CVV, etc.),
especialmente en entornos in-app, compras «por impulso» y
micropagos.

El funcionamiento (en el caso de Pagos Movistar, por ejem-
plo) es ligeramente distinto, en función de si el pago se realiza
directamente desde el móvil o desde otro tipo de dispositivo:
• Si es desde el móvil, se presenta la información sobre

la compra (comercio e importe), y tras la aceptación se
realizará el cargo sobre la próxima factura (o descontando
el saldo disponible en el caso de clientes prepago).
• Si se está navegando desde otro dispositivo y se quiere

realizar un pago con esta modalidad, se introduce el
número de móvil y el cliente recibe un mensaje con un
PIN, que tendrá que introducir para poder realizar el
pago. Posteriormente, recibirá un mensaje confirmando la
compra.
En muchos operadores es posible también definir suscripcio-

nes, de forma que se pueden establecer pagos recurrentes
(siempre con la activación previa de esta suscripción por
parte del cliente). Cuando se ejecuta un pago recurrente, el
usuario recibirá un SMS con los datos del pago, indicando
que se trata de una suscripción, y los datos requeridos para
descargar el contenido o acceder al servicio adquirido.
En la actualidad Google, Blackberry, Windows Phone o Fi-

refox, entre otros, permiten esta modalidad de pago en las
apps, y en sus marketplaces (algo que también hacen Fa-
cebook, Amazon o Samsung), e incluso Sony lo utiliza en su
Playstation Network, puesto que permite monetizar de forma
rápida y sencilla contenidos digitales.

Mobile commerce
Una de las ventajas adicionales del uso de Carrier Billing es

la universalidad, cualquier terminal es válido para poder rea-
lizar pagos y no es necesario registrar datos adicionales (nú-
mero de tarjeta, por ejemplo), ya que la interacción necesaria
para autorizar el pago se puede realizar mediante SMS.
Este es uno de los aspectos más interesantes para su utili-

zación en países en desarrollo donde no existen medios de
pago «tradicionales», ya que además de permitir la compra
de bienes digitales, es posible utilizar este medio de pago
para la compra de bienes físicos (online o presencialmente),
pagar billetes de transporte, etc.
Teniendo en cuenta el incremento de la penetración del móvil en

países en desarrollo frente al porcentaje de población bancariza-
da, Analysis Mason y World Bank35 identifican claras posibilidades
de crecimiento en varios países de Latinoamérica, Africa y Asia.
35 Analysis Mason - Direct carrier billing has the greatest potential for
success in emerging markets

Análisis de mercados atractivos para el desarrollo de direct carrier billing
Fuente: Analysis Mason y World Bank 2014
El potencial de este medio de pago alternativo está todavía

por explotar, tanto en países desarrollados como en vías de
desarrollo (con distintos enfoques), apoyado por el imparable
crecimiento de los móviles en el mundo (según varias fuen-
tes, en 2015 habrá ya más terminales que personas en nues-
tro planeta).

Mobile commerce
#2. Pagos con el móvil

Los smartphones han sido capaces de adaptar a lo largo de
los últimos años muchas funcionalidades añadidas a su fun-
ción original, haciendo desaparecer agendas, GPS o cáma-
ras (entre otras tecnologías) de nuestra vida cotidiana.
Según un reciente estudio de Google36, los smartphones han

llegado ya a más de la mitad de la población en España, y el
72% de ellos nunca sale de casa sin él. Entre otros aspectos,
han cambiado la forma en que los consumidores abordan las
compras: el 80% buscan los productos en su dispositivo, y el
25% ha comprado a través de su teléfono móvil.
Pero la realidad es que hasta el momento no hemos dejado

de lado nuestra cartera para pagar con el móvil. Seguimos
cargando con múltiples tarjetas bancarias, efectivo, tarjetas
de fidelización, cupones y demás elementos, pese a ser a
todas luces poco práctico continuar haciendo uso de estas
«tecnologías» tanto en comercios como por Internet.
No es por falta de alternativas, que existían incluso en la era

pre-smartphone. Sin ir mas lejos, en 2001 se lanzó en Espa-
ña el primer sistema de pago con el móvil, Mobipay, en el que
participaban todas las Operadoras de la época (Telefónica,
Airtel y Amena) y la mayoría de las Entidades Financieras
(BBVA, Santander, Caixa, Banesto, Bankinter…).
36 Google: Our Mobile World (España).

Mobipay posibilitaba pagar con el móvil en comercios,
transportes (autobuses o taxis), máquinas expendedoras
o por Internet. Y todo ello en tiempo real, de forma segura
y siendo prácticamente universal (puesto que funcionaba
sobre cualquier dispositivo, al estar basado en mensajería
SMS y USSD). Recordemos que en aquella época no
existía Android, ni iOS, ni había redes 4G o 3G (de hecho,
ni siquiera 2G).
El usuario tan solo debía darse de alta (lo que podía

hacerse desde el propio terminal) asociando alguna de sus
tarjetas financieras a su número de móvil y estableciendo
un PIN para validar las transacciones en tiempo real.
Cuando se realizaba una operación, el usuario recibía
una notificación en el móvil que debía autorizar con este
código para realizar el pago.
Sin embargo, pese a la aparente utilidad de dicho servicio,

Mobipay desapareció en 2009 sin llegar a obtener en
ningún momento un volumen de usuarios o comercios
relevante. Y, a pesar de los años transcurridos desde
entonces, el pago con el móvil sigue sin formar parte de
nuestras vidas.
Aunque existen otras alternativas, la mayoría de los

actores del mercado (marcas de tarjetas, entidades
financieras, operadores y fabricantes de terminales,
entre otros) basan su propuesta para popularizar
definitivamente el pago con el móvil en la tecnología
NFC, con distintos enfoques.

Mobile commerce
#3. Pago mediante códigos

de barras y QRS
Estados Unidos es el mercado por excelencia para la innova-
ción tecnológica y no podía ser de otra forma en el caso del
pago con el móvil. Existen muchas alternativas desde hace
años con actores de la talla de Google, los operadores AT&T,
T-Mobile y Verizon (que forman el consorcio Softcard), o re-
cientemente Apple, por mencionar solo algunos.
Sin embargo, el mayor caso de éxito hasta la fecha en el

pago con el móvil en Estados Unidos es Starbucks, donde su
CEO, Howard Schultz, acaba de confirmar37 que 13 millones
de clientes usan activamente su app para pagar, obteniendo
ya el 16% de las ventas desde el móvil, una media de 7 millo-
nes de transacciones a la semana.
Starbucks ha conseguido estos resultados gracias a un exi-

toso programa de fidelización y un sistema de pago sencillo,
que controla de extremo a extremo: los clientes descargan
su aplicación en el móvil para cargar dinero en una tarjeta
de Starbucks y luego presentan un código de barras 2D para
pagar, que se escanea en el TPV en el punto de venta.
A diferencia de otras alternativas, se trata de un sistema pro-

pietario, en el que no se requiere la integración de terceros
(marcas de tarjetas, entidades financieras, operadores, etc.),
37 Starbucks Earnings Report: Q1 2015 Conference Call Transcript

no depende de tecnologías (como NFC) y, sobre todo, no tie-
ne el inconveniente del pago de comisiones por el procesa-
miento de las transacciones.
Este es el motivo por el que en Estados Unidos se creó el

consorcio MCX (Merchant Customer Exchange) en el que
participan algunos de los mayores merchants (7-Eleven, Best
Buy, Target o Walmart, entre otros muchos) y cuyo objetivo es
desarrollar un sistema de pago con el móvil independiente,
denominado CurrentC. La app de CurrentC tiene un enfoque
similar a la de Starbucks: utiliza códigos QR que se escanean
en el punto de venta, y permite utilizar tarjetas privadas, cu-
pones, tarjetas regalo, integrar campañas de fidelización, etc.
En gran medida este método de pago está diseñado para

evitar las comisiones derivadas del uso de tarjetas, ya que
las transacciones generadas con CurrentC se cargan direc-
tamente en la cuenta del usuario, a través del sistema ACH
(Automate Clearing House).
Como contrapartida, los usuarios no tienen la misma cober-

tura en caso de fraude que con el uso de tarjetas. De hecho,
pocos días después del lanzamiento de Apple Pay en sep-
tiembre de 2014 se confirmó que CurrentC había sufrido un
ataque38 el que se obtuvieron datos de los usuarios registra-
dos en el sistema.
38 Business Insider - Wal-Mart’s Answer To Apple Pay Has Already Been Hacked

Mobile commerce
Algunos de los retailers participantes en el consorcio MCX,

por otra parte, han tratado de limitar el impacto derivado del
lanzamiento de Apple Pay de una forma muy simple: des-
habilitando la posibilidad de pagar mediante NFC en los ter-
minales ubicados en sus comercios39, algo que no afecta a
CurrentC.
Y es que la guerra por el pago con el móvil está en el momen-

to más caliente en la actualidad. Según un reciente estudio
de Cap Gemini40, durante 2015 se espera un crecimiento del
60,8%, hasta los 47 billones de transacciones, lo que incre-
menta el esfuerzo de todos los competidores por hacerse con
el mayor volumen de mercado posible.
#4. Pagos NFC con la SIM

como elemento seguro
NFC es un estandar definido por el NFC Forum41, un consor-
cio formado por operadores, marcas de tarjetas, entidades
financieras, proveedores tecnológicos, etc., cuya principal
característica frente a otros mecanismos de comunicación
existentes (RFID, infrarrojos o Bluetooth, entre otros) es la
corta distancia a la que opera.
39 Business Insider - There Are 48 Billion Reasons Why Retailers Are Going To War With Apple
40 Cap Gemini - World Payments Report 2014
41 NFC Forum Specifications

Para que dos elementos que disponen de conectividad NFC
puedan comunicarse se necesita que estén a una distancia
inferior a 10 cm, lo que hace a esta tecnología ideal para
realizar pagos contactless (sin contacto) minimizando el ries-
go de que puedan obtenerse los datos de la transacción por
terceras partes no autorizadas.
En el caso del pago con el móvil con NFC, se requieren varios

elementos para poder hacer uso de dicha tecnología:
• Teléfonos móviles con NFC. La mayoría de los smartphones

de gama media y alta incorporan esta tecnología «de
serie», incluyendo desde finales de 2014 los terminales
de Apple (el último gran fabricante en adoptarla, con su
iPhone 6).
• TPVs contactless. La tecnología NFC está ya ampliamente
extendida en los TPVs españoles (aproximadamente
la mitad ya lo soportan, especialmente en las grandes
ciudades), y a partir del 31 de Diciembre de 2015 todos
los que se implanten (o actualicen) deberán soportar esta
tecnología .
• Aplicaciones denominadas wallets (monederos) que
gestionan el proceso de pago utilizando el terminal móvil.
• Un elemento seguro donde se almacenan los datos de
tarjeta, para minimizar el riesgo de fraude.
Aunque existen distintas alternativas, la solución más

extendida como elemento seguro, dada su penetración,
es la SIM, presente en todos los móviles. Se trata en este
caso de una tarjeta especial, que dispone de un espacio de

Mobile commerce
almacenamiento seguro tanto para los datos de las tarjetas

financieras como para las aplicaciones que acceden a ellos,
y que debe pasar las certificaciones definidas por las marcas
de tarjetas (lo que equipara este sistema al uso de tarjetas
financieras, en cuanto a su seguridad).
Con esta solución, cuando pagamos con el móvil el wallet (la

aplicación instalada en el terminal) se encarga de gestionar
la comunicación con el TPV contactless, delegando en la apli-
cación cargada en la SIM la captura de los datos de tarjeta
(la app no puede nunca acceder a esta información, ni alterar
los datos de la transacción). Se asegura así que únicamente
las aplicaciones certificadas por las marcas de tarjetas, y al-
macenadas de forma segura en la SIM, tienen acceso a esta
información sensible.
En la tarjeta SIM es posible cargar datos de distintas tarjetas

y entidades financieras, un proceso que se realiza en remoto,
según las especificaciones definidas por el estándar Global
Platform.
Las entidades financieras realizan la gestión de esta infor-

mación (alta, baja, bloqueo, modificación, etc.), comunicando
con la SIM mediante unas plataformas denominadas TSM
(Trusted Service Manager) que conectan de forma segura el
entorno bancario con el entorno de los operadores móviles.
El pago con NFC tiene algunas características que lo distin-

guen del pago con una tarjeta tradicional (con banda magné-
tica o chip) en cuanto a su uso:

• Para importes inferiores a 20€ (y siempre que esté
configurada la modalidad de pago rápido en la aplicación)
no es necesario introducir el passcode en el móvil (el
equivalente al PIN de una tarjeta tradicional). Basta con
pasar la tarjeta por el TPV para realizar automáticamente
la compra. En este caso, si se produce algún fraude (por
ejemplo, si alguien roba nuestro teléfono y paga con él) lo
asume la entidad emisora.
• Incluso con el teléfono apagado se pueden realizar pagos,
si está en modo automático y es un pago de bajo importe,
porque con NFC el propio sistema alimenta la SIM para
realizar la operación.
La primera experiencia real de pago móvil con NFC en Eu-

ropa (utilizando la SIM como elemento seguro) se realizó en
Sitges en 2010, de la mano de La Caixa, Telefónica y VISA42.
Más de 1 500 usuarios y 500 comercios participaron en el pi-
loto, que obtuvo una gran acogida, y demostró el interés tanto
de usuarios como de empresas en el uso de esta tecnología
para realizar pagos presenciales:
• El 90% de los clientes pagaron con el móvil (incrementando

un 30% sus transacciones vía electrónica)
• El 80% de los comercios que participaron realizaron
transacciones con este sistema (aumentado un 23% las
compras medias por usuario con su tarjeta.)
42 La Caixa, Telefónica y Visa finalizan con éxito la primera experiencia de pago por móvil en España

Mobile commerce
En Marzo de 2011, Telefónica, Vodafone y Orange firman un

acuerdo para impulsar el pago con el móvil en España me-
diante esta tecnología (basándose en la SIM como elemento
seguro para almacenar la información de las tarjetas), con el
objetivo de lograr la máxima compatibilidad y homogeneidad
tanto en la experiencia de cliente como en la tecnología uti-
lizada, para facilitar la adopción del pago con NFC por parte
de usuarios, empresas y proveedores de tecnología.
Durante los siguientes años se desarrollaron en España múl-

tiples iniciativas de pago con NFC. Una de las más destaca-
das fue desarrollada por Telefónica en su complejo empresa-
rial «Distrito C» desde Marzo de 2011.
Gracias a este proyecto, denominado «Distrito NFC» , miles

de empleados podían (y todavía pueden) pagar en tiendas y
restaurantes mediante su móvil, e incluso utilizarlo para en-
trar en los edificios (autenticándose con el móvil, que almace-
naba en la SIM tanto su tarjeta bancaria como la de emplea-
do, así como la tarjeta privada empleada en el restaurante
Autogrill ubicado en el complejo).
A finales de 2013, La Caixa inició el mayor lanzamiento co-

mercial de Europa del pago con móvil mediante NFC (con
la SIM como elemento seguro), con Telefónica, Vodafone y
Orange .
Mientras esto sucedía en España, en el mercado estadouni-

dense se concentraba la mayor competencia por el desarrollo
de la tecnología, enfrentando a Google (que lanzó Google

Wallet en Septiembre de 2011 ) con el consorcio ISIS (el
cual pasó a denominarse Softcard en 2014), que agrupaba
a los mayores operadores del país para el desarrollo del
pago con el móvil: AT&T, T-Mobile y Verizon.
Durante ese tiempo ambos competidores evolucionaron

sus soluciones, adoptando distintos enfoques para tratar
de conseguir una cuota de mercado relevante, aunque sus
esfuerzos no han conseguido recompensa hasta el mo-
mento.
#5. Pagos NFC con Host Card Emulation
Uno de los argumentos que han sostenido durante este tiem-

po algunos actores del sector para justificar el retraso en la
adopción del pago con el móvil era la complejidad y el coste
del sistema definido, basado en la utilización de un elemento
seguro en el terminal, imprescindible para almacenar las tar-
jetas y acceder a la información que contienen, con el objeto
de evitar fraude.
Esto implicaba la necesidad de establecer integraciones

entre distintos actores (entidades financieras, TSMs, ope-
radores, etc.) y definir procedimientos para asegurar que la
gestión del ciclo de vida de la información de las tarjetas en
este elemento seguro (emisión, bloqueo, baja, entre otras) se
realizaba con todas las garantías de seguridad.

Mobile commerce
En febrero de 2014, VISA43 y Mastercard44 oficializaron una

nueva vía de desarrollo para soluciones de pago con el mó-
vil denominada HCE (Host Card Emulation), cuya principal
característica era prescindir de un elemento seguro en el dis-
positivo, permaneciendo los datos de tarjeta «en la nube».
Esta solución se apoyaba en la reciente versión 4.4 «KitKat»

de Android lanzada por Google a finales de 2013, en la que
se introducía ya el soporte para la tecnología HCE45.
A diferencia del modelo basado en un elemento seguro en el

terminal, con HCE toda la información sensible se almacena
en la nube, requiriendo altos niveles de seguridad (como los
exigidos por la normativa PCI DSS). Por supuesto, la comuni-
cación entre la app en el terminal y la nube debe estar cifrada,
y ambos extremos ser capaces de asegurar su autenticidad,
para evitar riesgo de fraude en el caso de que se intercep-
taran las comunicaciones (ataques man-in-the-middle, etc.).
El terminal dispone únicamente de unos tokens, reemplazan-

do al número de tarjeta real, que se generan específicamente
para ese usuario y dispositivo. Dichos tokens están limitados
a un número de usos, y tienen caducidad temporal, de forma
que en caso de comprometerse la seguridad del smartpho-
ne el fraude que potencialmente pudiera cometerse sea muy
reducido.
43 VISA to enable Secure Cloud Based Mobile Payments

44 MasterCard to Use Host Card Emulation (HCE) for NFC-Based Mobile Payments
45 Host Card Emulation in Android 4.4

Las aplicaciones de pago que utilizan esta tecnología imple-
mentan también medidas de seguridad adicionales, como el
cifrado de la información, la «ofuscación» del código (para
hacer más difícil aplicar técnicas de ingeniería inversa que
permitan conocer cómo funciona), e incluso técnicas de fin-
gerprint para identificar que las transacciones se generan
desde el terminal registrado.
Además, se realiza un análisis de riego en tiempo real (inter-

cambiando información entre la app y la entidad financiera)
para detectar actividades sospechosas, y actuar proactiva-
mente para evitar el uso no autorizado (por ejemplo, blo-
queando la tarjeta).
Una de las desventajas del modelo HCE es la necesidad

de disponer de conexión para realizar los pagos, y gestio-
nar la información que se intercambia con la nube (tokens,
etc.), algo que no era necesario con el modelo basado en
elemento seguro. Esto incrementa también los tiempos en
que tarda una transacción en realizarse, frente a alterna-
tivas que no requieren acceso a Internet para funcionar
(porque los datos de tarjeta están en el elemento seguro
del terminal).
Respecto a la penetración, si bien el volumen de terminales

Android es muy elevado (especialmente en España), a princi-
pios de 2015 algo menos del 40% disponen de la versión 4.4
KitKat, por lo que el 60% de terminales con Android no pue-
den utilizar en la actualidad aplicaciones de pago con tarjeta
basadas en HCE.

Mobile commerce
Distribución de versiones de Android en Enero 2015
Fuente: Google (accesos a Google Play)46
En España varias entidades financieras ofrecen en la actua-

lidad el pago con NFC mediante HCE, algunos ejemplos son
los productos Tarjeta Virtual Móvil de Bankinter47 y BBVA
Wallet48. En ambos casos, los clientes de estas entidades
financieras que tengan un smartphone con la versión 4.4
de Android (o superior) pueden descargar la app y dar de
alta las tarjetas con las que operar con el móvil, pudiendo
utilizar su móvil para pagar en cualquier TPV que soporte la
tecnología NFC.
46 Android version – Google Play accesses

47 Tarjeta virtual móvil de Bankinter
48 BBVA Wallet

#6. Apple Pay
A lo largo de todos estos años se ha echado en falta una
empresa muy importante del sector en la lucha por el pago
con el móvil: Apple. El único que no incorporaba la tecnología
NFC en sus iPhone, ni ofrecía una app de pago (Passbook
permitía almacenar en el móvil tarjetas, cupones, entradas,
etc., pero no pagar con ellas).
Apple ha estado durante años al margen mientras los distin-

tos actores (operadoras, bancos, marcas de tarjeta, Google,
etc.) definían estándares, realizaban pilotos, lanzaban co-
mercialmente productos, e iteraban el proceso una y otra vez
en función de los resultados obtenidos y sus propios intere-
ses, sin llegar a conseguir una penetración relevante.
Y cuando ha considerado que el entorno estaba suficien-

temente maduro, en septiembre de 2014, lanza Apple Pay
para tratar de posicionarse en cabeza con una solución que
aprovecha toda esa experiencia acumulada, con un iPhone
6 que sí tiene NFC (confirmando así esta tecnología como el
estándar de facto), y una aplicación que no realizará pagos
con HCE almacenando las tarjetas en su nube, sino en un
elemento seguro en el terminal.
Sin embargo, pese a disponer de un elemento seguro de par-

tida (en un chip específico, independiente de la SIM), Apple
Pay almacena tokens como en el caso de HCE. Es por tanto
una solución híbrida, que trata de aprovechar las ventajas (y
soslayar los inconvenientes) de sus competidores.

Mobile commerce
El iPhone incorpora también una medida de seguridad adicio-

nal en el proceso: el Touch ID, un lector de huellas dactilares
que permite asegurar la identidad en el momento del pago de
forma sencilla, sin necesidad de utilizar un PIN o passcode,
haciendo muy intuitivo el proceso.
Ninguna de estas tecnologías es nueva en realidad, pero

Apple ha sabido combinarlas para ofrecer una solución dife-
rente, fácil de utilizar. Un ejemplo es la forma en que se re-
gistran nuevas tarjetas: basta con sacar una foto. Apple Pay
captura los datos de la tarjeta y envía una solicitud a la enti-
dad emisora para confirmar el titular, sin necesidad de pasos
adicionales para el usuario. Aunque este mecanismo podría
convertirse en una vía para generar fraude que no existe en
otras alternativas (el difícil compromiso entre usabilidad y se-
guridad).
Otro de los aspectos relevantes de Apple Pay es la posibili-

dad de utilizar este método de pago directamente en las apps
(no únicamente para realizar pagos con un TPV) mediante
unas APIs que permiten integrar esta solución para realizar
cobros, devoluciones o gestionar pagos recurrentes, entre
otras funcionalidades, que así simplifican considerablemen-
te el proceso de pago para el Mobile Commerce (frente a la
alternativa de introducir todos los datos de tarjeta en la app).
Apple cuenta de partida con sus más de 800 millones de

usuarios (con sus respectivas tarjetas ya registradas) y un
ecosistema que controla de extremo a extremo (iPhone +
iOS + Apple Store + iCloud + iTunes +…). Con un público

entregado, verdaderos fans, que llevan mucho tiempo
esperando a que alguien les haga ver cómo han podido vivir
tanto tiempo sin pagar con el móvil. Algo muy difícil de replicar
para sus competidores.
Y esto se nota en los resultados que ha obtenido desde el

lanzamiento: según el CEO de Apple, Tim Cook, durante las
primeras 72 horas se activaron más de un millón de tarjetas
en Apple Pay , superando así en número de usuarios activos
a todos sus rivales (Google, Softcard, etc.).
Y la tendencia continúa: en la presentación de resultados rea-

lizada a finales de enero de 2015 Apple confirmó que 750
bancos han firmado ya para ofrecer el servicio, y en los cuatro
meses posteriores a su lanzamiento Apple Pay ha gestionado
2 de cada 3 pagos con el móvil realizados en Estados Uni-
dos. Bank of America , por ejemplo, ha comunicado que 800
000 usuarios de sus tarjetas están utilizando Apple Pay.
Por el momento Apple Pay solo está disponible en Estados

Unidos. Puesto que la cuota de mercado de Apple en Es-
paña es limitada, y teniendo en cuenta que Apple Pay solo
funciona con el nuevo iPhone 6, el volumen de usuarios que
podrían utilizarlo en nuestro país es reducido.
Además, Apple Pay no dispone de licencia como Entidad de

Pago en Europa, lo que puede suponer una barrera legal
para la prestación del servicio tal y como está definido actual-
mente (puesto que en este sistema la entidad financiera no
valida el PIN, como requiere la ley).
Pero seguro que supondrá un revulsivo para la competencia
en el sector, que nos permita definitivamente poder pagar con
el móvil de forma habitual.

141
6
CAPÍTULO

INNOVACIÓN
Y NUEVAS
TENDENCIAS EN
MEDIOS DE PAGO
#1. Nuevos actores
El XV Informe de la Sociedad de la Información49 presentado
por Telefónica confirma el incremento en el uso de la mensa-
jería móvil (que se consolida como el medio favorito de comu-
nicación), así como el aumento en la utilización de las redes
sociales (67,1% de los usuarios).
Google confirma también en su estudio Our Mobile World50

el incremento en el uso de las redes sociales en España: el
86% de los usuarios de smartphones acceden a las redes
sociales desde el móvil, el 58% todos los días.
Facebook, Twitter o Google son algunas de las empresas que

dominan el mundo de la comunicación y las redes sociales,
y que están experimentando también con servicios relaciona-
dos típicamente con la banca (pagos con el móvil, tarjetas,
financiación, etc.) aprovechando su gran base de usuarios,
especialmente los denominados Millennials (jóvenes entre 20
y 35 años) que reclaman una nueva forma de relacionarse
con el sector financiero.Estas empresas no solo tienen un
gran volumen de usuarios (y pueden utilizar por tanto su Big
Data para conocer cuáles son sus preferencias), disponen
también de una caja considerable que durante el año 2014
les permitió realizar múltiples adquisiciones51 para invertir en
innovación.
49 Fundacion Telefónica - XV Informe de la Sociedad de la Información

50 Google - Our Mobile World (España)
51 Expansión - Facebook, Google, Apple y Amazon baten récord de compras en 2014

Google ha lanzado ya en Europa el sistema de pagos via
Gmail que estaba en funcionamiento en Estados Unidos52,
similar al sistema que utiliza Paypal, y que permite «anexar
dinero» en un correo electrónico, o solicitarlo.
El servicio está ligado a Google Wallet, pudiendo el usuario

realizar compras en Google Play (o en cualquier lugar que
acepte este medio de pago) con el dinero recibido, enviar-
lo mediante correo electrónico a otros usuarios (tengan o no
Gmail), o transferirlo a su cuenta del banco.
Facebook ha solicitado hace meses al regulador en Europa

convertirse en una entidad de e-money53 para lanzar un ser-
vicio de transferencias, y dispone ya de permiso para ciertos
tipos de envío de dinero en Estados Unidos (que permiten
pagos en aplicaciones).
Facebook ha lanzado también un «botón de compra»54 inte-

grado en las páginas de esta red social permitiendo que los
usuarios puedan descubrir productos y comprarlos sin salir
de su entorno.
La misma idea ha tenido Twitter, lanzando su propio botón de

compra que permite recibir anuncios, ofertas y promociones
en la red social e interactuar directamente desde la app para
52 Google - Now available in the UK: Send and request money right from Gmail
53 The Guardian - Facebook prepares to launch e-money transfer service in Europe
54 Facebook - Testing a New Way for People to Discover and Buy Products on Facebook

Innovación y nuevas tendencias en Medios de Pago
realizar el pago. Twitter ha comprado también la compañía

de pagos CardSpring55 para añadir servicios de promociones,
descuentos y compras mediante un simple tuit.
Tanto en el caso de Facebook como Twitter, la empresa de-

trás del botón de compra es Stripe, una de las compañías li-
gadas al sector de los medios de pago que han surgido como
nuevos actores en los últimos tiempos. Stripe está permitien-
do a estas empresas (y a otras como Apple o Alipay) ofrecer
algo nuevo en el sector del eCommerce para poner en valor
su ecosistema.
Stripe posibilita también la integración de un botón de Chec-

kout56 para realizar pagos de forma rápida y sencilla en cual-
quier eCommerce y app, permitiendo llegar a potenciales clien-
tes desde cualquier parte del mundo al ofrecer soporte para
más de 138 monedas57 (incluso están probando con Bitcoin).
Amazon, el gigante de la distribución, entra también a com-

petir en este sector emulando la estrategia de su rival eBay
con Paypal, ofreciendo un nuevo servicio de pago Login and
Pay with Amazon58 que permite a cualquier eCommerce reci-
bir pagos utilizando los datos de tarjetas de crédito almace-
nados en Amazon, e integrarlo con apps para realizar pagos
desde el móvil.
55 Twitter - Welcoming CardSpring to the Twitter team

56 Stripe – Checkout
57 Stripe – supported currencies
58 Amazon – Login and Pay

Incluso Line, la aplicación de mensajería, ha lanzado recien-
temente su servicio Line Pay que permite realizar compras
dentro de la aplicación, y en el futuro también en comercios.
#2. Pagos en entornos no bancarizados
El éxito de M-pesa
Pese a todo lo comentado hasta el momento, en la actualidad

los países que lideran el pago con el móvil por volumen de
usuarios activos y transacciones realizadas no están en Eu-
ropa o Norteamérica, sino en África y Asia: Kenia, Uganda,
Tanzania, Indonesia, Filipinas…
Olvidemos por un momento nuestra realidad, y pongámonos

en el lugar de un habitante de estos países para entender
cuál es nuestro entorno y qué necesidades hay por cubrir.
• Baja renta per cápita, importantes carencias en seguridad,

infraestructuras casi inexistentes, gobiernos inestables, etc.
• Limitada bancarización de la población.

• Alta penetración de la telefonía móvil «tradicional»,
llamadas y SMS (acceso limitado a Internet y 3G).
• Terminales de gama baja (no smartphones), aunque la

tendencia va al alza.

Usuarios registrados y activos en servicios de pago con el móvil, por región (Junio 2013)
Fuente: GSMA – Mobile Money for the Unbanked
En estos países, usar el móvil como medio de pago permite

disponer de un mecanismo rápido y seguro para realizar tran-
sacciones, sin necesidad de llevar dinero en efectivo. Lo más
parecido a tener una cuenta en el banco y utilizar una tarje-
ta, e incluso acceder a servicios financieros básicos (seguro,
crédito, ahorro…).

El ejemplo más claro es M-pesa en Kenia (pesa significa dine-
ro en swahili), que permite realizar pagos entre particulares,
comprar en comercios, retirar efectivo o pagar facturas, entre
otros servicios, mediante «saldo telefónico» que los usuarios
pueden cargar en cualquiera de los agentes existentes.
Tecnológicamente el sistema se basa en el uso de mensaje-

ría SMS y USSD (similares a los SMS, pero se gestionan en
tiempo real y permiten un cierto nivel de interacción a través
de menús). Este tipo de mensajería está disponible en cual-
quier teléfono móvil, lo que posibilita una enorme penetración
en países donde es imposible plantear soluciones basadas
en el uso del smartphone y donde no se dispone de acceso
3G.
Gracias a ello, el 68% de la población de Kenia utiliza habi-

tualmente este sistema . A finales de 2014 M-pesa cuenta
con más de 12,2 millones de usuarios activos y 81 000 agen-
tes . El dinero que se mueve con este medio de pago al mes
asciende a 101,3 billones de Kshs (unos 1,13 billones de dó-
lares), una cifra que supera el 25% del PIB del país.
El éxito de M-pesa en Kenia se ha extendido a otros paí-

ses de su alrededor donde las condiciones son semejantes
(Uganda, Ruanda o Tanzania tienen ya millones de usuarios),
si bien los intentos por expandirse a otros entornos (como
Sudáfrica o Rumanía) no han dado los mismos resultados.

El motivo del éxito en estas regiones se apoya en varios fac-

tores clave:
• Alta penetración del móvil, que contrasta con la baja

«bancarización» de la población.
• Disponibilidad universal, en cualquier terminal.
• Funcionalidad simple, pero que permite cubrir las
necesidades financieras básicas.
• Garantía de seguridad y no repudio de las transacciones,
utilizando el móvil para autenticar al usuario y autorizar las
transacciones (originadas en el comercio, o generadas en
el propio terminal), introduciendo un PIN de forma similar
a una tarjeta.
• Existencia de facilidades regulatorias, que permitan ofrecer
servicios financieros a actores que no son bancos, con
requisitos mucho más limitados que los exigidos para el
procesamiento de transacciones con tarjetas, por ejemplo.
El incremento en el número de usuarios activos de soluciones

de pago con el móvil en los países en vías de desarrollo es un
hecho, y una tendencia que se mantendrá en el futuro.

Usuarios activos de soluciones de pago con el móvil por cada mil habitantes (2013)
Fuente: International Monetary Fund

Sistema de Dinero Electrónico de Ecuador
La situación en algunos países de América Latina es cercana

al enfoque de África y Asia, con una población muy poco ban-
carizada, infraestructuras limitadas, problemas de seguridad,
alta penetración del móvil, etc., por lo que son potenciales
usuarios de este tipo de soluciones.
El caso de Ecuador es especialmente interesante, al tratarse

de la primera experiencia nacional en el uso de dinero elec-
trónico.
El gobierno de este país lanzaba a finales de 2014 la prime-

ra fase de implantación del Sistema de Dinero Electrónico
(SDE) , un esquema de pago con el móvil orientado especial-
mente a facilitar a la población no bancarizada el acceso a
medios de pago alternativos al efectivo.
El Banco Central de Ecuador es el responsable de emitir el

dinero electrónico, estableciendo el tipo de cambio con el dó-
lar (como sucede en muchos países de Latinoamérica, existe
una economía dual, basada en la moneda local y en el dólar
estadounidense).
Los usuarios del SDE pueden utilizar su móvil para realizar

pagos entre particulares, compras presenciales y por Inter-
net, pagar facturas o cobrar nóminas y subsidios, entre otras
operaciones.

Para hacer uso del dinero electrónico únicamente se ne-
cesita disponer de un teléfono móvil básico (la tecnología
utilizada se basa en mensajería SMS/USSD). Una vez re-
gistrado, el usuario puede cambiar dólares por dinero elec-
trónico en los distintos agentes disponibles, utilizándolo
mediante el móvil en comercios, empresas o entidades, y
cambiarlo por dinero físico.
Desde el punto de vista de la seguridad, el sistema esta-

blece un PIN que el usuario debe introducir para utilizar su
dinero electrónico, garantizando así su identidad.
El gobierno fomenta el uso del SDE (Sistema de Dinero

Electrónico) como medio de pago voluntario, facilitando la
incorporación de operadores de telecomunicaciones, enti-
dades financieras, instituciones públicas y empresas pri-
vadas.
El Banco Central de Ecuador establece el cambio apli-

cable, los límites en el uso de dinero electrónico (máximo
10 000 dólares al mes) y las comisiones por cada tipo de
operación:
• la carga/descarga de dinero electrónico, así como

los pagos en comercios, servicios y transportes, son
gratuitos para el usuario (el comercio paga una comisión).
• los pagos P2P, transferencias o uso de cajeros, entre otras

operaciones, tienen una comisión para el usuario (entre 1
y 15 céntimos por operación, según los importes).

Esquema y Entidades del Sistema de Dinero Electrónico de Ecuador
Fuente: Banco Central de Ecuador
En la actualidad el Sistema de Dinero Electrónico se encuen-

tra en una fase piloto en varias ciudades de Ecuador. La se-
gunda etapa se ha iniciado en febrero de 2015, permitien-
do las operaciones más básicas: carga/descarga de dinero
electrónico, retirada de efectivo, pagos P2P y en comercios,
así como transferencias. La tercera fase se prevé implantar
durante el segundo semestre del año.

#3. Monedas virtuales: Bitcoin
Según un estudio de Accenture , en 5 años la forma en que
utilizamos hoy los medios para pagar habitualmente (tarjetas
o efectivo) se verá reducida, incrementándose el uso de las
alternativas existentes actualmente (Paypal, prepago, tarje-
tas regalo) y surgiendo con fuerza nuevas opciones, como
las monedas virtuales.
Uso frecuente de medios de pago hoy vs. 2020
Fuente: Accenture

El interés en las monedas virtuales se constata claramente

por el incremento en el volumen de inversión en startups re-
lacionadas con este tipo de tecnologías, que supera ya la
inversión existente en los inicios de Internet .
En España cabe destacar las inversiones realizadas por Ban-
kinter en la startup española Coinffeine (el primer exchange
descentralizado de Bitcoin) y por BBVA en Coinbase (el ma-
yor procesador de Bitcoin del mundo).
A lo largo de 2014 unos 82.000 comercios dieron el paso

de incorporar las monedas virtuales , especialmente bitcoin,
como alternativa a otros medios de pago en eCommerce.
Esta opción ofrece a los merchant varias ventajas respecto a

los medios de pago tradicionales:
• No tiene coste (frente a las comisiones que pagan

tradicionalmente, y que superan el 2 o 3% en cada
transacción).
• El comercio recibe los pagos en su moneda (euros,
dólares…) y se eliminan completamente la volatilidad,
incertidumbres regulatorias y complejidad de bitcoin.
• La integración es muy simple, equivalente a la que tiene
que realizar con cualquier TPV virtual o con Paypal.
• Permite recibir compras desde cualquier parte del mundo,
sin integraciones adicionales locales o adaptaciones a
distintas monedas.
• No hay fraude, puesto que el usuario que paga con bitcoins
es el único que puede realizar la transacción desde su
wallet. Y por tanto, tampoco chargeback.

Es posible también pagar con bitcoin en comercios físicos,
como los ubicados en la «Calle Bitcoin» madrileña (Se-
rrano). Más de veinte comercios aceptan el pago con esta
moneda virtual: bares y restaurantes (Do Eat, CheckIn, The
Geographic Club…), tiendas (Agatha Ruiz de la Prada, Scot-
ta 1985…), e incluso existen dos cajeros donde comprar bit-
coins en el centro comercial ABC Serrano y el hotel One Shot.
En el terreno legal , países como Estados Unidos, Reino Uni-

do o Australia continúan regulando su uso y desarrollando
aspectos tan concretos como el pago de impuestos.
Incluso en España se ha avanzado mucho en los últimos
tiempos para clarificar el uso de Bitcoin . Un ejemplo es el
caso de la mencionada Coinffeine, que es la primera empre-
sa en el mundo constituida íntegramente con capital social en
esta moneda virtual .
Qué es Bitcoin
Antes de empezar a abordar el uso de las monedas virtuales
en eCommerce, explicaremos brevemente en qué consisten.
Bitcoin surgió en 2008 con la publicación de un documento

en el que se establecían los fundamentos para un sistema
descentralizado de generación e intercambio de monedas
virtuales. Dicho sistema se sustentaba en la criptografía de
clave pública (PKI o Public Key Infrastructure) que usamos
de forma habitual, por ejemplo cuando navegamos a través
de un conexión segura (https).

Todo usuario que quiere utilizar bitcoins tiene asignado un

identificativo (dirección Bitcoin) que lleva asociada una clave
pública (que todo el mundo conocerá) y una clave privada (que
solo conoce el propio usuario). El intercambio de bitcoins (o
fracciones de bitcoin) se realiza directamente entre dos usua-
rios, sin intermediario alguno, gracias a las operaciones crip-
tográficas de firma y hash que se realizan con estas claves.
Pero solo esto no basta para que el sistema sea seguro, falta
un aspecto clave del modelo: garantizar que A posee efectiva-
mente el dinero que pretende transferir a B, en ese momento
del tiempo. Y a diferencia de las monedas que conocemos, no
hay una autoridad que lo haga (entidades financieras, bancos
centrales, etc.), sino que se realiza de forma distribuida.
Las transacciones que se han generado desde el primer bit-

coin son públicas, se registran en lo que podríamos entender
como un gran «libro contable» a disposición de todos los usua-
rios conectados a la red de Bitcoin.
Este libro (que se denomina «cadena de transacciones» o

Blockchain) está compuesto de miles de páginas (bloques) y a
medida que se generan nuevas operaciones estas son valida-
das en tiempo real por el ecosistema, registrándose en nuevas
páginas del libro, garantizando así que no se incluyen transac-
ciones fraudulentas ni se alteran las ya realizadas.
Una vez generada una nueva transacción, se envía a la red

con el objetivo de que se valide. El usuario que recoge esta
transacción para su procesamiento la incorpora en un bloque

de transacciones «en construcción». Este tipo de usua-
rios, que son capaces de escribir en el libro de transac-
ciones, se conocen como «mineros».
Cada bloque está ligado a un bloque anterior y tiene

registrado un Timestamp (sello de tiempo) que permite
identificar en qué momento se ha generado. Por cada
transacción que se añade se genera un hash, un identifi-
cador único para cuyo cálculo se incluyen todas las tran-
sacciones incorporadas al bloque (y que permite verificar
su integridad; cualquier mínimo cambio sobre los datos
originales dará como resultado un hash completamente
distinto).
Este es el mecanismo que permite «ligar» unas transac-

ciones con otras, agrupadas en bloques, como si fueran
los eslabones de una cadena. Sin necesidad de interven-
ción de terceras partes que actúen como «notarios» del
proceso, se incorporan nuevas páginas del libro global de
transacciones garantizando que nadie puede alterar su
contenido una vez escrito en él.
Todo este proceso es muy costoso computacionalmente,

puesto que implica comprobar la criptografía de toda la
cadena para verificar que el Blockchain es correcto en
todo momento. Y a medida que se van generando más y
más transacciones, se hace más complejo.
Entonces, ¿por qué gastan tiempo y esfuerzo los usuarios de

Bitcoin validando las transacciones? ¿Qué ganan con ello?

Como cabe esperar, no es altruista… aquel que en un mo-

mento dado haya conseguido incluir en un bloque una nueva
transacción, obteniendo un hash con un número mínimo de
ceros al principio, consigue «cerrar» dicho bloque y obtiene
a cambio 25 bitcoins en la actualidad. Dicho de otra forma,
añade una nueva página al final del libro de transacciones
que incluye aquellas validadas por él, y se define una nueva
hoja en blanco en la que existe una transacción inicial de 25
bitcoins hacia este minero como recompensa.
Dicha recompensa decrece a la mitad cada cuatro años. En

2016 se reducirá a 12,50 bitcoins, y así sucesivamente has-
ta llegar a 0 cuando se alcance el límite predefinido de 21
millones de monedas generadas (el 99% se habrá generado
ya en torno al año 2040).
Conseguir esto es una verdadera lotería, ya que el resultado

obtenido al aplicar la función de hash es aleatorio. Por tanto,
quien quiera ganar este premio debe procesar un gran nú-
mero de transacciones, hasta que encuentra por puro azar
una que cumple la condición definida. Compitiendo en el
proceso con los demás mineros por conseguir el premio (el
poder de cálculo global de la red de Bitcoin supera el de los
primeros 500 superordenadores del mundo).
Además, cada transacción puede incluir una comisión, que

ganará el minero que consiga incorporarla en un bloque,
para incentivar así el procesamiento. De hecho, esta recom-
pensa será la única que consigan los mineros, una vez se
alcance el número máximo de monedas generadas.

Este proceso se conoce como «minería» de Bitcoin y es la
base que permite al sistema controlarse a sí mismo gracias
al esfuerzo de cada individuo (que obtiene a cambio una re-
compensa), sin necesidad de intermediarios.
Cómo se usan los bitcoins

Nuestra nómina, que cobramos en euros, es en la práctica
«dinero electrónico», apuntes contables que aparecen to-
dos los meses en nuestra cuenta del banco. Llega a nuestra
cuenta corriente, identificada por un código IBAN (una ristra
de 24 letras y números) desde la cuenta de la empresa para
la que trabajamos.
Y en la mayoría de las ocasiones, para hacer uso de este

dinero realizamos transferencias a otras cuentas (para pa-
gar facturas y recibos), o utilizamos nuestras tarjetas, que se
identifican por otra sucesión de 16 dígitos.
En el caso de Bitcoin la filosofía subyacente es básicamente
la misma. Las «monedas virtuales» se encuentran deposita-
das en «cuentas», las direcciones Bitcoin, que están forma-
das por una cadena de 27 a 34 caracteres (comenzando por
1 o por 3) como la siguiente:
1JoobiDXm9oogSrKQ5HrAWw5SLFmtRSizG
Usar bitcoins significa transferir monedas de una dirección a

otra, de forma similar a como haríamos una transferencia de
una cuenta bancaria a otra, pero en un proceso gestionado

sin intermediarios (las entidades financieras) gracias al mo-

delo descentralizado ideado por Satoshi Nakamoto.
Siendo un entorno distribuido y no regulado, ¿quién y cómo

genera y asigna estas direcciones, y dónde se almacenan las
monedas virtuales?
La clave son los wallets, disponibles como app para smar-

tphones y como aplicaciones para PC.
La elección más útil y sencilla para utilizar bitcoins pasa por la

descarga de un wallet para smartphone , existiendo múltiples
alternativas disponibles en Android, iOS, Windows Phone o
Blackberry. Nada más instalar la aplicación, ésta genera au-
tomáticamente una nueva dirección Bitcoin, con lo que pode-
mos empezar a utilizarla sin más para recibir monedas. La
app muestra la dirección en formato alfanumérico, así como
un código QR (que se utiliza para recibir pagos desde otros
wallet).
También presenta el «saldo» en bitcoins que tenemos en

nuestra dirección, y su equivalente en euros en función del
tipo de cambio en tiempo real, así como las transacciones
que se han realizado (tanto de salida como de entrada).
Es posible también optar por alternativas como Blockchain

(con más de 2 750 000 usuarios registrados en la actualidad)
en las que además de disponer de la cartera en el móvil (tan-
to Android como iOS) los datos se almacenan «en la nube»,
pudiendo acceder también a través de un navegador.

Cómo se obtienen bitcoins
El proceso más habitual para obtener monedas virtuales pasa
por comprarlas en «casas de cambio», a un precio determina-
do por la demanda existente en cada momento. Algunas de las
principales casas de cambio por volumen en la actualidad son
Bitstamp (UK), Bitfinex (Hong Kong) o BTCChina (China).
Para ello es necesario realizar un proceso de registro similar al
existente en cualquier banco online, exigiendo para poder ope-
rar una copia del documento de identidad (DNI o pasaporte),
así como un recibo que permita verificar la residencia.
Conseguido pasar el trámite burocrático del alta y validación

de la cuenta, el funcionamiento de todas estas entidades es
similar: en primer lugar, el usuario debe realizar una transfe-
rencia (en moneda de curso legal) a una cuenta específica
identificada por la casa de cambio. Una vez disponibles es-
tos fondos es posible comprar las monedas, y transferirlas
en pocos minutos desde la cuenta del usuario en la casa de
cambio a su wallet, para poder ser utilizadas.
Igualmente, es posible enviar bitcoins a una casa de cambio
para venderlos, y transferir este dinero de vuelta a nuestra
cuenta del banco (mediante transferencia). También se pue-
den obtener bitcoins mediante otros métodos:
• Compraventa entre particulares (a través de mercados

como Localbitcoins ).
• Mediante cajeros automáticos que permiten cambiar en el
momento billetes por monedas virtuales (existen varios en
España , tanto en Madrid como en Barcelona).

Bitcoin en eCommerce
A lo largo de 2014 se han consolidado varios casos de éxito
que demuestran que Bitcoin no es simplemente una estrate-
gia de marketing, sino que permite obtener ingresos reales y
reducir los costes de procesamiento.
Millennius, uno de los mayores retailers de Australia dedica-

do a la electrónica, comenzó a aceptar pagos con Bitcoin en
2013. Los resultados obtenidos han sido sorprendentes:
• Consigue el 5% de sus ventas mediante bitcoins (por

encima de las transferencias bancarias que alcanzan el
3%).
• No ha sufrido fraude con este medio de pago, frente a
tasas del 1,1% con Paypal, y del 2,7% con tarjeta.
• Es el medio que mayor ingresos por venta registra: 831,71
dólares de media, 15% superior a las realizadas con tarjeta
y 60% a las realizadas con Paypal.
• Ha permitido incrementar las ventas en el extranjero.
• En el lado negativo, el abandono de la compra al pagar
con bitcoins es el más elevado (posiblemente provocado
por los curiosos, que luego no finalizan la transacción).
En Estados Unidos varias empresas han superado el millón

de dólares en ventas con Bitcoin:
• Overstock.com, uno de los 25 primeros comercios online

por ingresos, consiguió 130 000 dólares en ventas
mediante esta moneda virtual en el primer día. Según su

CEO, Patrick Byrne, han obtenido 3 millones de dólares
en 2014 .
• Tigerdirect consiguió superar la marca establecida por
Overstock.com al obtener 250 000 dólares antes de las
primeras 24 horas y 500 000 dólares la primera semana.
Tan rentable le ha resultado esta alternativa de pago
que ha establecido descuentos de hasta un 20% para
compras realizadas con Bitcoin .
• CheapAir, que empezó a vender billetes de avión con
bitcoins en Noviembre de 2013, ha superado también el
umbral de 1,5 millones de dólares .
En los últimos meses se han incorporado a este grupo de

empresas varios pesos pesados, que facturan billones de
dólares: Expedia , Dell o Microsoft son algunos de ellos.
Incluso Paypal ha confirmado sus planes de integración

con varios de los procesadores de Bitcoin más importantes
del mundo, con el objetivo de probar la tecnología.
En España el pionero ha sido Destinia, una de las agencias

de viajes online líderes en el mercado español, que per-
mite el pago con bitcoins desde el mes de enero de 2014.
En las primeras horas que Destinia incorporó este medio

de pago se realizaron dos compras. Tal fue la sorpresa que
su fundador, Amuda Goueli, pensó que era una broma de
los informáticos. Pero nada de eso: un cliente polaco había
adquirido un paquete de vuelo más estancia de hotel en

Vietnam, y un cliente austriaco un billete de avión a Lisboa.

Como ha trasladado en sus resultados de 2014 , el cliente
que paga en Destinia con bitcoins gasta un 49% más que
los usuarios que utilizan tarjetas o Paypal. Y la duración de
las estancias son también superiores.
El mayor volumen de este tipo de pagos llega desde Es-

paña, Arabia Saudita (uno de los destinos hacia los está
enfocando su expansión internacional) y Alemania, aunque
se reciben pagos con la moneda virtual desde 25 países.
Estos resultados han permitido a Destinia ofrecer promo-

ciones para la compra con bitcoins , que alcanzaban el
20% de descuento (durante la semana del Black Friday).
Pero dada la volatilidad en la cotización de bitcoin, ¿cómo

puede un comercio plantearse permitir pagos con esta mo-
neda, asumiendo el riesgo de depreciación? ¿Cómo esta-
blecer los precios de sus productos? ¿Cómo adaptar sus
sistemas para aceptar bitcoins?
La respuesta es fácil. Que un comercio permita a sus

usuarios realizar pagos con la moneda virtual no implica
cobrar en esta moneda. Aunque parezca un contrasenti-
do, la explicación es simple: únicamente se requiere inte-
grarse con un procesador de pagos con bitcoin, de forma
similar a como se integra con un TPV virtual para el pago
con tarjetas.
164 Innovación en Medios de Pago para eCommerce 164

Procesadores de Bitcoin
Los procesadores más conocidos, Bitpay y Coinbase , te-
nían registrados a finales de 2014 más de 82 000 comercios
que gracias a sus servicios adquieren la posibilidad de recibir
pagos con bitcoin de forma rápida y sencilla, sin requerir co-
nocimiento alguno de la moneda virtual.
Ofrecen unas comisiones considerablemente más reduci-

das que las existentes para el pago con tarjeta o Paypal (de
hecho, en la actualidad no aplican comisiones por procesa-
miento). Y asumen toda la complejidad derivada del pago con
bitcoins.
La integración en la web del comercio es equivalente a la que

se realiza con un TPV virtual o con Paypal: puede realizarse
mediante un iFrame, o utilizando alguno de los componentes
ya existentes para plataformas como Magento o Prestashop,
entre otras opciones.
En Destinia, por ejemplo, cuando el cliente finaliza su carrito

de la compra tiene disponible el precio en euros, y su equi-
valente en bitcoins, pudiendo realizar el pago con la moneda
virtual (en lugar de tarjeta o Paypal).

Pantalla de compra de un billete de AVE en Destinia, pagando con bitcoins
En el momento en que se realiza la compra con bitcoins se

deriva la sesión en el navegador al procesador, quien esta-
blece el cambio en bitcoins correspondiente al importe en la
moneda local y presenta al usuario la pantalla para la captura
del pago, con los datos de la compra.

Captura del pago con bitcoins en Bitpay (correspondiente al billete de AVE anterior)
Cabe destacar que, debido a la fluctuación en el precio del

bitcoin, el procesador establece un período de tiempo duran-
te el que se puede realizar el pago (típicamente 15 minutos).
Pasado ese tiempo, se recalculará el equivalente en bitcoins
al precio de venta.

El usuario tiene entonces distintas opciones para realizar el

pago con bitcoins:
• Escanear el código QR presentado con su móvil.

• Realizar el pago desde su wallet, copiando la dirección
Bitcoin que se indica.
• En EEUU es posible, además, pagar mediante Coinbase
(de forma similar a como se realiza el pago con Paypal,
introduciendo el usuario y contraseña en este servicio).
Realizado el pago, Destinia recibe la confirmación de la ope-

ración (como sucede en el caso de los pagos con tarjeta)
para que presente la información correspondiente al cliente.
Los merchant pueden elegir recibir los pagos en euros o dólares

(entre otras monedas) en lugar de bitcoins. O definir el porcenta-
je que determinen, con lo que a efectos prácticos los comercios
no tienen por qué sufrir la volatilidad de la moneda virtual.
El comercio recibe diariamente el pago de las transacciones

realizadas en su dirección Bitcoin, o bien el pago en euros,
dólares o la moneda de curso legal definida, mediante trans-
ferencia bancaria (en dos o tres días), sin posibilidad de re-
trotraer la transacción.
El coste de las integraciones con los procesadores puede su-

poner un ahorro considerable frente al equivalente para per-
mitir pagos con tarjeta, según análisis de fuentes tan relevan-
tes como Goldman Sachs . Simplemente porque se reduce el
número de intermediarios.

Configuración de cobros para el merchant (en la imagen, 90% en Euros y 10% en Bitcoins)
Fuente: Bitpay
Además, por definición, los pagos en bitcoins no tienen char-

geback, que es uno de los aspectos más conflictivos para los
comercios que permiten el pago con tarjeta o Paypal. Una
vez realizada una transacción no puede retrotraerse la ope-
ración (porque es imposible eliminar un dato escrito en la ca-
dena de bloques, una vez confirmado por la red).

Comparación del proceso de pago con tarjeta vs. pago con Bitcoin
Fuente: Goldman Sachs
En conclusión, aceptar el pago con bitcoins en un comercio

online permite ofrecer un medio de pago alternativo de forma
rápida, sencilla y reduciendo (o eliminando) los costes frente
a otras opciones de pago. El truco: integrar con un proce-
sador, que es quien asume la complejidad en el uso de la
moneda virtual, así como los riesgos que pudieran derivarse
de la volatilidad bitcoin, o los aspectos legales que se están
desarrollando en la actualidad.

El futuro de las monedas virtuales
En su «Curva del Hype» de Tecnologías Emergentes, Gart-
ner59 pronostica que las criptomonedas (como Bitcoin) se
encuentran adentrándose en el «abismo de la desilusión»,
no habiendo alcanzado las expectativas y debiendo esperar
todavía de 5 a 10 años para confirmar si llegan a triunfar (si
no desaparecen por el camino).
«Curva del Hype» de Tecnologías Emergentes
Fuente: Gartner

Pero detrás de la tecnología que sustenta estas monedas vir-

tuales hay mucho más que su utilidad como medio de pago.
Empresas de la talla de IBM apuestan ya por revolucionar
con ella el «Internet de las cosas»60, e incluso entidades fi-
nancieras como Fidor Bank61 han integrado Ripple (una solu-
ción alternativa a Bitcoin) para transformar la forma en que se
gestionan los flujos de dinero.
La tecnología subyacente a las criptomonedas está aquí para

quedarse, con toda seguridad. En los próximos años compro-
baremos lo que surge de ella.
59 Gartner’s 2014 Hype Cycle for Emerging Technologies

60 IBM – Device democracy, Saving the future of the Internet of Things
61 Fidor Bank AG: The First Bank to Use the Ripple Protocol

REFERENCIAS
* FRS (Comportamiento Financiero de los Microempresarios España) - 2014

* FRS (Comportamiento Financiero de los Microempresarios España) - 2014
* Estudio sobre Comercio Electrónico B2C 2013 (Edición 2014) – ONTSI: http://www.
ontsi.red.es/ontsi/sites/default/files/estudio_sobre_comercio_electronico_b2c_2013_
edicion_2014.pdf
* CNMC - Informe sobre el Comercio Electrónico en España a través de Entidades
de Medios de Pago http://www.cnmc.es/Portals/0/Notas%20de%20prensa/Comercio_
electronico_I_14.pdf
* ONTSI-INTECO - Estudio sobre la Ciberseguridad y Confianza en los hogares es-
pañoles: http://www.ontsi.red.es/ontsi/sites/default/files/estudio_sobre_la_ciberseguri-
dad_y_confianza_en_los_hogares_espanoles_octubre_14.pdf
* Mastercard contactless http://www.mastercard.com/contactless/
* Normativa PCI DSS v3.0 https://www.pcisecuritystandards.org/documents/PCI_
DSS_v3_05Nov13_Final_ES-LA.pdf
* PCI SSC https://www.pcisecuritystandards.org
* VISA https://www.visaeurope.es
* Mastercard https://www.mastercard.com
* American Express https://www.americanexpress.com
* JCB http://www.jcbeurope.eu/
* Discover https://www.discover.com/
* Internet Security Auditors – Usando la segmentación de red para reducir el alcance
de PCI DSS http://www.isecauditors.com/sites/default/files//files/SIC-101_Segmenta-
cion_de_red_para_reducir_alcance_PCI-DSS.pdf
* PCI DSS Tokenization Guidelines https://www.pcisecuritystandards.org/docu-
ments/Tokenization_Guidelines_Info_Supplement.pdf
* PCI SSC – Point-to-Point Encryption https://www.pcisecuritystandards.org/docu-
ments/P2PE_v1-1.pdf
* VISA Account Information Security (AIS) https://www.visaeurope.com/ais
* Mastercard Site Data Protection http://www.mastercard.com/us/company/en/wha-
twedo/site_data_protection.html

* PCI SSC – Self Assessment Questionnaire https://www.pcisecuritystandards.org/
documents/pci_dss_SAQ_Instr_Guide_v2.1.pdf
* VISA - Processing eCommerce payments. A guide to security and PCI DSS re-
quirements http://www.visaeurope.com/media/pdf/processing%20e-commerce%20pay-
ments%20guide.pdf
* VISA Europe Merchant Agents https://www.visamerchantagents.com/
* Mastercard Service Provider Level and Validation Requirements http://www.master-
card.com/us/company/en/whatwedo/service_provider_level.html
* American Express Data Security Operating Policy (DSOP) www.americanexpress.
com/datasecurity
* JCB Data Security Program http://www.jcbeurope.eu/business_partners/security/
jcbprogram.html
* Discover Information Security Compliance (DISC) http://www.discovernetwork.
com/disc
* Mastercard Mobile Point of Sale Best Practices http://www.mastercard.com/us/
company/en/docs/MasterCard_Mobile_Point_Of_Sale_Best_Practices.pdf
* PCI Mobile Payment Acceptance Security Guidelines for Merchants as End-Users
https://www.pcisecuritystandards.org/documents/Mobile%20Payment%20Acceptan-
ce%20Security%20Guidelines%20for%20Merchants%20v1%201%20.pdf
* [1]PCI Mobile Payment Acceptance Security Guidelines for Developers https://
www.pcisecuritystandards.org/documents/Mobile%20Payment%20Acceptance%20Se-
curity%20Guidelines%20for%20Developers%20v1%201%20.pdf
* CaixaBank - pulsera Visa contactless http://prensa.lacaixa.es/caixabank/no-
tas-de-prensa/caixabank-lanza-la-primera-pulsera-visa-contactless-que-permite-ha-
cer-compras-tan-solo-acercando-la-muneca-al-datafono__1775-c-20401__.html
* Apple Watch http://www.apple.com/watch/overview/
* PayPal ayuda a la PYME española en su proceso de internacionalización https://
www.paypal-media.com/es/press-releases/paypal-ayuda-a-la-pyme-espa%C3%B1ola-
en-su-pr
* ComScore study - State of consumer purchasing behaviour on mobiles (m-com-
merce) in the five main European markets (France, Germany, Italy, Spain and the United
Kingdom)
* PayPal - Nota de Prensa One Touch https://www.paypal-media.com/es/press-re-
leases/paypal-acelera-la-adopci%C3%B3n-de-pagos-m%C3%B3vi
* eCommerce news – Privalia vende más en dispositivos móviles que en su web
http://ecommerce-news.es/actualidad/privalia-ya-vende-mas-en-dispositivos-moviles-
que-en-su-web-17298.html

* Fundacion Telefónica: XV Informe de la Sociedad de la Información: http://www.fun-
daciontelefonica.com/arte_cultura/publicaciones-listado/pagina-item-publicaciones/?i-
tempubli=317&_ga=1.206537363.1068542753.1420710157
* Estudio de Forrester Consulting para Paypal sobre mCommerce (nota de prensa)
https://www.paypal-media.com/es/press-releases/ofrecer-paypal-como-medio-de-pago-
en-m-c
* ONTSI - Estudio sobre Comercio Electrónico B2C 2013 http://www.ontsi.red.es/
ontsi/es/estudios-informes/estudio-b2c-2013-edici%C3%B3n-2014
* Gartner Says by 2017, Mobile Users Will Provide Personalized Data Streams
to More Than 100 Apps and Services Every Day http://www.gartner.com/newsroom/
id/2654115
* Pagos Movistar: https://pagos.movistar.es/
* Google Carrier Billing: https://support.google.com/googleplay/
answer/2651410?hl=en&ref_topic=3365267
* Blackberry: http://devblog.blackberry.com/2012/11/app-world-integrated-carrier-bi-
lling/
* Windows Phone: https://msdn.microsoft.com/en-us/library/windows/apps/
jj215902%28v=vs.105%29.aspx
* Firefox: https://hacks.mozilla.org/2013/11/implementing-in-app-payments-in-your-
firefox-os-app/
* Facebook: https://developers.facebook.com/blog/post/2012/02/27/helping-impro-
ve-the-mobile-web/
* Amazon: http://telecoms.com/284252/telefonica-partners-with-amazon-and-ban-
go-for-carrier-billing-in-germany/
* Samsung: http://developer.samsung.com/in-app-purchase
* Sony PSN:: https://support.us.playstation.com/app/answers/detail/a_id/5016/~/mo-
bile-billing-payment-option
* Analysis Mason - Direct carrier billing has the greatest potential for success in
emerging markets http://www.analysysmason.com/About-Us/News/Insight/DCB-emer-
ging-markets-Jun2014/Article/
* Google: Our Mobile World (España). http://services.google.com/fh/files/misc/omp-
2013-es-local.pdf
* Starbucks Earnings Report: Q1 2015 Conference Call Transcript http://www.thes-
treet.com/story/13021085/2/starbucks-sbux-earnings-report-q1-2015-conference-ca-
ll-transcript.html
* Business Insider - Wal-Mart’s Answer To Apple Pay Has Already Been Hacked:
http://www.businessinsider.com/currentc-hacked-2014-10

Referencias
* Business Insider - There Are 48 Billion Reasons Why Retailers Are Going To War
With Apple: http://www.businessinsider.com/why-mcx-is-blocking-apple-pay-2014-10
* Cap Gemini - World Payments Report 2014: https://www.worldpaymentsreport.com/
* NFC Forum Specifications http://members.nfc-forum.org/specs/spec_list/
* Contactless Payments Acceptance Mandate for Visa Europe: http://i.emlfiles8.com/
cmpdoc/4/9/6/9/8/files/263597_visa-europe-vendor-bulletin---contactless-payments-ac-
ceptance-mandate-fo---.pdf
* Global Platform http://www.globalplatform.org/
* La Caixa, Telefónica y Visa finalizan con éxito la primera experiencia de pago por
móvil en España http://saladeprensa.telefonica.com/documentos/nprensa/2010-12-20_
Resultados_finales_Sitges_castok.pdf
* Telefónica - Distrito NFC: http://saladeprensa.telefonica.es/documentos/Anexo_
Partners_DistritoC.pdf
* La Caixa – Lanzamiento comercial del pago con móvil NFC: http://prensa.lacaixa.
es/caixabank/notas-de-prensa/la-caixa-inicia-el-mayor-lanzamiento-comercial-de-eu-
ropa-del-pago-con-movil-nfc-con-el-apoyo-de-telefonica-vodafone-orange-y-visa-euro-
pe__1775-c-19310__.html
* CNET – This Day in Tech: Google Wallet launches http://www.cnet.com/news/this-
day-in-tech-google-wallet-launches/
* VISA to enable Secure Cloud Based Mobile Payments: http://investor.visa.com/
news/news-details/2014/Visa-to-Enable-Secure-Cloud-Based-Mobile-Payments/de-
fault.aspx
* MasterCard to Use Host Card Emulation (HCE) for NFC-Based Mobile Payments
http://newsroom.mastercard.com/press-releases/mastercard-to-use-host-card-emula-
tion-hce-for-nfc-based-mobile-payments/
* Host Card Emulation in Android 4.4: https://developer.android.com/guide/topics/
connectivity/nfc/hce.html
* Android version – Google Play accesses: http://developer.android.com/about/das-
hboards/index.html
* Tarjeta virtual móvil de Bankinter: https://www.bankinter.com/www2/particulares/es/
tarjetas/tarjeta_virtual_movil
* BBVA Wallet https://www.bbva.es/estaticos/micros/wallet/
* Apple Pay http://www.apple.com/apple-pay/
* Getting Started with Apple Pay https://developer.apple.com/apple-pay/Getting-Star-
ted-with-Apple-Pay.pdf
* Apple CEO Tim Cook Happy With New Apple Pay Service http://www.wsj.com/arti-
cles/apple-ceo-tim-cook-happy-with-new-apple-pay-service-1414474181

* The 6 things you need to know about Apple’s best quarter ever http://www.ma-
cworld.com/article/2876245/the-6-things-you-need-to-know-about-apples-best-quarter-
ever.html
* Bank of America Reports Fourth-quarter 2014 http://newsroom.bankofamerica.
com/press-releases/corporate-and-financial-news/bank-america-reports-fourth-quarter-
2014-net-income-31-b
* Fundacion Telefónica - XV Informe de la Sociedad de la Información: http://www.
fundaciontelefonica.com/arte_cultura/publicaciones-listado/pagina-item-publicacio-
nes/?itempubli=317&_ga=1.206537363.1068542753.1420710157
* Google - Our Mobile World (España). http://services.google.com/fh/files/misc/omp-
2013-es-local.pdf
* Expansión - Facebook, Google, Apple y Amazon baten récord de compras en 2014
http://www.expansion.com/2014/09/01/empresas/tecnologia/1409597680.html
* Google - Now available in the UK: Send and request money right from Gmail http://
googlecommerce.blogspot.co.uk/2015/01/now-available-in-uk-send-and-request.html
* The Guardian - Facebook prepares to launch e-money transfer service in Europe
http://www.theguardian.com/technology/2014/apr/14/facebook-e-money-transfer-servi-
ce-europe
* Facebook - Testing a New Way for People to Discover and Buy Products on Face-
book https://www.facebook.com/business/news/Discover-and-Buy-Products-on-Face-
book-Test
* Twitter - Testing a way for you to make purchases on Twitter https://blog.twitter.
com/2014/testing-a-way-for-you-to-make-purchases-on-twitter
* Twitter - Welcoming CardSpring to the Twitter team https://blog.twitter.com/2014/
welcoming-cardspring-to-the-twitter-team
* Stripe – Checkout https://stripe.com/checkout
* Stripe – supported currencies https://support.stripe.com/questions/which-curren-
cies-does-stripe-support
* Amazon – Login and Pay https://payments.amazon.com/home
* Line Pay - http://line.me/es/pay
* GSMA – State of the Industry 2013: Mobile Financial Services for the Unbanked:
http://www.gsma.com/mobilefordevelopment/wp-content/uploads/2014/07/SO-
TIR_2013_Spanish.pdf
* FII Survey of Kenya, conducted September-October 2013: http://finclusion.org/
country-pages/kenya-country-page/
* Safaricom 2014 annual report: http://www.safaricom.co.ke/images/Downloads/Re-
sources_Downloads/annual_report-2014.pdf

Referencias
* International Monetary Fund: http://data.imf.org/?sk=bea-

dea8c-42be-472e-8690-9af03ffc23d1
* Banco Central de Ecuador – Sistema de Dinero Electrónico: http://www.scpm.gob.
ec/wp-content/uploads/2014/01/2.6-Fausto-Valencia-BCE-Sistema-de-dinero-electr%-
C3%B3nico.pdf
* BCE – Regulación del Sistema de Dinero Electrónico http://contenido.bce.fin.ec/
documentos/PublicacionesNotas/Catalogo/Regulaciones/Regulacion17_2011.pdf
* Accenture – 2014 North America Consumer Payments Survey http://www.ac-
centure.com/SiteCollectionDocuments/accenture-2014-north-america-consumer-pay-
ments-survey.pdf
* Coindesk: State of Bitcoin 2015: http://www.coindesk.com/state-bit-
coin-2015-ecosystem-grows-despite-price-decline/
* Bankinter invierte en Coinffeine: http://blog.bankinter.com/blogs/bankinter/archi-
ve/2014/11/17/bankinter-invierte-coinffeine-tecnologia-bitcoin.aspx
* BBVA invierte en Coinbase: http://prensa.bbva.com/actualidad/notas-de-prensa/bb-
va-ventures-invierte-en-coinbase-la-plataforma-lider-de-bitcoin__9882-22-c-110255__.
html
* Coindesk: State of Bitcoin 2015: http://www.coindesk.com/state-bit-
coin-2015-ecosystem-grows-despite-price-decline/
* Calle Bitcoin: http://callebitcoin.es/
* Mapa legal de Bitcoin en el mundo http://bitlegal.io/
* Abanlex – doce cosas que deberías saber antes de usar bitcoins: http://www.aban-
lex.com/2013/11/12-cosas-que-deberias-saber-antes-de-usar-bitcoins/
* Abanlex – constituir una sociedad con bitcoins en su capital social: http://www.
abanlex.com/2014/06/como-constituir-una-sociedad-con-bitcoins-en-su-capital-social/
* “Bitcoin: A Peer-to-Peer Electronic Cash System”: http://bitcoin.org/bitcoin.pdf
* Monederos bitcoin: https://bitcoin.org/es/elige-tu-monedero
* Blockchain: https://blockchain.info/wallet/
* Bitstamp: https://bitstamp.net
* Bitfinex: https://www.bitfinex.com
* BTCChina: https://www.btcchina.com
* Localbitcoins: https://localbitcoins.com/
* Mapa de cajeros Bitcoin: http://www.coindesk.com/bitcoin-atm-map/
* Millenius: https://www.cryptocoinsnews.com/amazing-results-retailer-austra-
lia-started-accepting-bitcoin-6-months-ago/
* Overstock: http://www.coindesk.com/overstocks-2014-bitcoin-sales-miss-projec-
tions-3-million/

* Tigerdirect: http://www.coindesk.com/tigerdirect-offers-discount-bitcoin-shoppers/
* CheapAir: http://blog.coinbase.com/post/92045466607/cheapair-com-tops-1-5-mi-
llion-in-bitcoin-sales
* Expedia: http://blog.coinbase.com/post/88475694452/expedia-com-partners-wi-
th-coinbase-for-hotel
* Dell: http://www.dell.com/learn/us/en/uscorp1/campaigns/bitcoin-marketing
* Microsoft: https://commerce.microsoft.com/PaymentHub/Help/Right?helppagena-
me=CSV_BitcoinHowTo.htm
* Paypal: https://www.paypal-community.com/t5/PayPal-Forward/PayPal-and-Vir-
tual-Currency/ba-p/828230
* Destinia: Dime con qué pagas y te diré cómo viajas http://blog.destinia.com/dime-
con-que-pagas-y-te-dire-como-viajas
* Promoción Destinia para pagos en bitcoins: http://blog.destinia.com/destinia-pro-
mociona-el-bitcoin-y-ofrece-los-vuelos-mas-baratos-del-mercado
* Cotización de bitcoin en tiempo real: https://bitcoinwisdom.com/markets/bitfinex/
btcusd
* Bitpay: https://bitpay.com/
* Coinbase: https://www.coinbase.com/merchants
* Goldman Sachs Global Investment Research: http://www.paymentlawadvisor.com/
files/2014/01/GoldmanSachs-Bit-Coin.pdf
* Gartner’s 2014 Hype Cycle for Emerging Technologies http://www.gartner.com/
newsroom/id/2819918
* IBM – Device democracy, Saving the future of the Internet of Things: http://public.
dhe.ibm.com/common/ssi/ecm/en/gbe03620usen/GBE03620USEN.PDF
* Fidor Bank AG: The First Bank to Use the Ripple Protocol: https://ripple.com/blog/
fidor-bank-ag-the-first-bank-to-use-the-ripple-protocol/

Patrocinado por
Co-patrocinado por
Colaboran
© 2015 Foro de Economía Digital Business School

2016 Libro Blanco Medios Pago para Web PDF

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

2016 Libro Blanco Medios Pago para Web PDF

Diunggah oleh

Hak Cipta:

Format Tersedia

LIBRO

¿Cómo gestiono los pagos

3 #1. Proceso de pago con tarjeta online y offline

2 Libros Blancos de Observatorio eCommerce

© Del texto Observatorio eCommerce de Foro de Economía Digital

Diseño de la portada: Foro de Economía Digital

Observatorio eCommerce de Foro de Economía Digital

ISBN: 978-84-942514-9-8 DL: M-21620-2015

3 Libros Blancos de Observatorio eCommerce

Foro de Economía Digital

Internet Security Auditors

Foro de Economía Digital

4 Libros Blancos de Observatorio eCommerce

De pequeño en Nubia (Egipto), no necesitábamos dinero para comprar. Simplemente

5 Libros Blancos de Observatorio eCommerce

6 Libros Blancos de Observatorio eCommerce

La adaptación a los diferentes soportes, especialmente los denominados Mobile

En este libro analizamos las tendencias y oportunidades que se están planteando

7 Libros Blancos de Observatorio eCommerce

Libros Blancos de Observatorio eCommerce

#1. Tipologías: transferencia, contra

En cuanto a los medios en los que el pago se realiza en el

Los medios de pago en los que el abono se realiza en un

Actualmente, la distribución del uso de estos métodos de

10 Libros Blancos de Observatorio eCommerce

Los principales inconvenientes se basan en el retraso del

11 Libros Blancos de Observatorio eCommerce

Para el vendedor suele suponer un aumento de costes, sien-

El comprador normalmente ve incrementado el importe de la

Se trata del método de pago más utilizado en las ventas on-

12 Libros Blancos de Observatorio eCommerce

Después de la instalación, cuando sus clientes realicen las

El concepto más habitual por el que el comercio tendrá que

En cuanto a la seguridad, los terminales virtuales de las enti-

Adicionalmente, las entidades tienden a implantar en las va-

1 Inmark Europa (Comportamiento financiero de las empresas entre 1 y 50 millones) – 2014

13 Libros Blancos de Observatorio eCommerce

Utilizar esta plataforma de pago supone para el comercio vir-

#2. Tarjetas, características,

Actualmente existen cuatro tipos distintos de tarjeta para pa-

14 Libros Blancos de Observatorio eCommerce

A diferencia de una tarjeta de débito, en las que las canti-

Las ventajas de esta modalidad de pago son las de contar

Además, este producto permite financiar las compras, en

15 Libros Blancos de Observatorio eCommerce

Por último, la gran mayoría de tarjetas de crédito tienen un

En nuestro país, debido a la crisis financiera de los últimos

16 Libros Blancos de Observatorio eCommerce

Para muchos consumidores, el control del gasto con este tipo

Las posibles retiradas de efectivo que tengamos que realizar

Las tarjetas prepago son muy similares a las de débito, con la

17 Libros Blancos de Observatorio eCommerce

La finalidad de la tarjeta virtual y prepago es aportar un ex-

En general las tarjetas mencionadas anteriormente no tienen

18 Libros Blancos de Observatorio eCommerce

Un 15% usa las transferencias como forma de pago preferi-

19 Libros Blancos de Observatorio eCommerce

En el gráfico podemos apreciar cómo ha cambiado la distribu-

• Las tarjetas siguen siendo el medio de pago más utilizado.

Casi 13 millones de españoles

El incremento en las compras por

20 Libros Blancos de Observatorio eCommerce

Vamos a ver que, a nivel mundial, el liderazgo en cuanto a