En mayo de 2025 el PCI SSC anunció la publicación de un listado de entidades que cumplen con el estándar PCI PIN. Dicho listado – a diferencia de los listados anteriores que eran gestionados por las propias marcas de pago, como era el caso de VISA PIN – será gestionado directamente por el PCI SSC y servirá como referencia para validar si una entidad cumple con el estándar. Aquà te contamos los detalles.
Desde el cierre del programa VISA PIN en octubre de 2023, el estándar PCI PIN habÃa quedado en un estado «huérfano», ya que las entidades afectadas debÃan seguir cumpliendo con los controles del estándar que les aplicaban, pero los reportes finales (RoC/AoC) no eran enviados a las marcas (como suele hacerse con los reportes de estándares que tienen asociado un programa de cumplimiento gestionado por las marcas de pago), lo cual se interpretó en su momento como un anuncio de la obsolescencia de PCI PIN.
Sin embargo, en mayo de 2025 el PCI SSC retomó las riendas de la gestión del cumplimiento de PCI PIN anunciando la creación de un listado de proveedores validados en PCI PIN:
PCI PIN Service Provider List: https://www.pcisecuritystandards.org/assessors_and_solutions/pin-service-providers/
Se trata de un listado voluntario (estar en esa lista no implica una obligación ni afecta el cumplimiento) que requiere del pago de unas tarifas especÃficas.
El valor agregado de este listado es que el PCI SSC revisará y validará el documento Attestation of Compliance (AoC) de la entidad, firmará también el AoC y publicará la entrada de la entidad en el listado de proveedores validados, previo pago de unas tasas ya establecidas:

Tarifas para el listado de PCI PIN del PCI SSC (con corte a mayo 2025)
Proceso para ingresar en el listado de entidades validadas en PCI PIN
Como se indicaba anteriormente, estar en este listado no es obligatorio. Sin embargo, si una entidad quiere aparecer en este listado debe seguir estos pasos:
-  Una vez finalizada la evaluación de cumplimiento de PCI PIN y entregados los reportes relacionados a la entidad por parte del asesor cualificado de PCI PIN (Qualified PIN Assessor – QPA), la entidad puede registrarse en el sitio web del PCI SSC para solicitar su ingreso en la lista o puede solicitarle a su empresa QPA que lo haga a su nombre.
- Una vez registrada, la entidad debe aceptar las cláusulas descritas en el documento Payment Card Industry PIN Service Provider Release Agreement (incluido en el formulario de registro de PCI PIN) y enviar el Attestation of Compliance (AoC) relacionado.
- Cuando el registro esté realizado, es necesario pagar las tarifas establecidas.
- Una vez recibido el pago, el PCI SSC procede con la revisión del AoC y – si todo está bien – firma digitalmente el AoC.
- Hecho esto, el PCI SSC agrega una entrada en la lista de proveedores validados en PCI PIN. La validez de esta entrada será de 24 meses, después de los cuales el proceso deberá reiniciarse desde el punto 3.

Campo de firma del PCI SSC en el nuevo AoC de PCI PIN
Temas adicionales a tener en cuenta
Como parte de este prooceso es importante tener presentes los siguientes temas:
- Durante el proceso de registro, el PCI SSC no revisa el contenido del Report on Compliance (RoC) ni evalúa el trabajo del QPA. De hecho, el RoC no se necesita compartir con el PCI SSC.
- El PCI SSC revisará el Attestation of Compliance (AoC) para confirmar su completitud.
- Las entidades podrán demostrar su cumplimiento por el solo hecho de estar listadas, ya que este proceso implica que el PCI SSC ha revisado previamente su AoC.
- La validez de la entrada en este listado es de 24 meses (dos años). Una vez transcurrido este tiempo, se debe remitir nuevamente el AoC al PCI SSC y pagar las tarifas asociadas.
- Cuando la fecha de expiración de una entidad listada haya pasado, su fecha de expiración aparecerá en color naranja hasta 90 dÃas naturales. Cuando la fecha de expiración haya superado los 90 dÃas naturales, la fecha aparecerá en color rojo para indicar que la entidad no ha sido revalidada antes de su expiración.
- Debido a la inclusión de un nuevo campo para la firma del PCI SSC, el AoC de PCI PIN ha sufrido modificaciones, por lo que es recomendable usar siempre la última versión que se puede descargar en la sección Document Library del sitio web del PCI SSC. Igual sucedió con el documento Qualified PIN Assessor (QPA) Program Guide.
Finalmente, es importante tener presente que el estándar PCI PIN será remplazado en el mediano plazo por el estándar Key Management Operations (KMO) – como se anunció en el evento del PCI SSC en Barcelona en 2024 – por lo que muy probablemente esta lista se complemente con las entidades que cumplan con KMO en un futuro. Os iremos informando.