A partir de octubre de 2022 el logotipo de China UnionPay (UP) estará presente en los reportes de cumplimiento de los estándares del PCI SSC, conjuntamente con los logos de las cinco entidades fundadoras.

China UnionPay (o simplemente «UnionPay» o UP) es una empresa estatal china de servicios financieros con sede en Shanghái (China). Ofrece servicios de tarjetas bancarias de uso doméstico en la República Popular de China (cajeros electrónicos y EFTPOS) y opera bajo la aprobación del Banco Popular de China (PBOC). Fue fundada en marzo de 2022 por los principales bancos chinos para convertirse en su red unificada de tarjetas de pago como remplazo del proyecto interbancario «Tarjeta de Oro», promovido por el entonces presidente de China, Jiang Zemin. Actualmente, las tarjetas UnionPay son aceptadas en 181 países a través de asociaciones con más de 2500 instituciones, convirtiéndose así en la tercera red de pago (en cuanto a transacciones procesadas) solo por detrás de Visa y MasterCard.

Con el fin de proteger los datos de sus tarjetas de pago, UnionPay ingresó como miembro estratégico del PCI Security Standards Council (PCI SSC) en noviembre de 2020, colaborando en el desarrolllo de programas y estándares de seguridad de medios de pago con una posición en el Comité Ejecutivo del Council. No obstante, no fue sino hasta octubre de 2022 que se formalizó la entrada de UnionPay como sexto miembro del PCI SSC – complementando a los cinco miembros fundadores (Visa, American Express, Mastercard, JCB y Discover – con la adición de su logotipo en las plantillas de los reportes de cumplimiento de PCI DSS v3.2.1 y 4.0 (Report on Compliance (ROC), Attestations of Compliance (AOCs) y Self-Assessment Questionnaires (SAQ)), así como documentos adicionales de soporte (PCI DSS v3.2.1 Prioritized Approach), que fueron actualizados para reflejar este cambio. 

Se espera que en el corto plazo UnionPay formalice y publique su programa de cumplimiento normativo. Es importante señalar que el PCI SSC desarrolla los estándares de seguridad de datos de tarjetas de pago, pero es cada marca de forma individual la que establece los criterios de cumplimiento (niveles de proveedores o comercios en función de la cantidad de transacciones anuales procesadas), identifica a las entidades que deben reportar cumplimiento y definen los conceptos administrativos que acompañan al programa, tales como multas por incumplimiento o listados de proveedores.

¿Cómo afecta este cambio a proveedores de servicio o comercios?

Los proveedores de servicio y los comercios que capturen, procesen, almacenen y/o transmitan datos de tarjetas de pago pertenecientes a UnionPay deberán implementar los controles del estándar PCI DSS (v3.2.1 o v4.0) como parte de sus programas de cumplimiento normativo. El reporte de dicho cumplimiento deberá ser enviado a sus entidades adquirientes de forma anual. Para dudas adicionales, se deben usar los siguientes datos de contacto:

Website: http://unionpayintl.com/en/
Email: [email protected]

Igualmente, para soportar este cambio, el PCI SSC publicó la FAQ número 1561 (What impact does the inclusion of UnionPay in PCI DSS documents have on an entity’s PCI DSS assessment?).