¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.

Unipag

¿Qué hace Unipag?

Unipag es una pasarela y agregador de pagos ruso que expone un único punto de integración hacia varios métodos regionales de pago. El flujo es del lado del servidor: el comprador es redirigido a una página alojada por Unipag o interactúa con un iframe Unipag, sin que el comerciante reciba datos de tarjeta. Aunque las cookies estrictamente necesarias no requieren consentimiento, la transferencia de metadatos de pago y direcciones IP a Rusia activa las garantías del artículo 46 RGPD.

Qué es Unipag y cómo funciona su flujo de pago

Unipag es una pasarela y un agregador de pagos ruso que ofrece a los comerciantes una sola API y un checkout alojado para aceptar varios métodos de pago regionales de forma simultánea. En lugar de integrar a cada adquirente y a cada wallet por separado, el comerciante se integra con Unipag, que enruta cada transacción al procesador descendente correspondiente. Esta consolidación simplifica la conciliación y reduce el número de fronteras PCI que el comerciante debe mantener.

La integración es del lado del servidor. Al comprador se le redirige desde el checkout del comerciante hacia una página de pago alojada por Unipag, o se le invita a introducir sus datos de tarjeta en un iframe Unipag embebido en la página del comerciante. En ambos casos, los datos de pago sensibles no llegan al servidor del comerciante, lo que lo deja fuera del perímetro PCI DSS más estricto. En el dominio Unipag se colocan cookies para mantener la sesión de pago, proteger frente a CSRF y alimentar los modelos de puntuación de riesgo.

Datos y cookies recogidos en el pago

Durante el paso de pago, Unipag recoge cuando procede los datos del titular, los datos de facturación, la dirección IP, el agente de usuario, las señales de fingerprinting de dispositivo y los rasgos de comportamiento que alimentan los modelos antifraude. El comerciante envía la referencia del pedido, el importe, la divisa y un identificador de cliente. Las cookies del dominio Unipag mantienen la sesión de pago, los tokens anti-CSRF y los identificadores de puntuación de riesgo de corta vida; estas cookies permanecen en el dominio Unipag y no son directamente accesibles desde el sitio del comerciante.

Tras el pago, Unipag devuelve un estado, un identificador de transacción y, en su caso, una referencia tokenizada que permite pagos posteriores sin volver a recoger los datos de tarjeta. Ese token, unido al identificador de cliente, constituye dato personal a efectos del RGPD aunque no sea un PAN. La conservación viene dictada por las normas de prevención del blanqueo, la legislación contable y el contrato de comercio.

Cookies, ePrivacy y base legal

Desde la perspectiva ePrivacy, las cookies de pago del dominio Unipag son estrictamente necesarias para completar la transacción que el usuario ha solicitado expresamente. Encajan en la exención del artículo 5(3) y no requieren consentimiento previo. El comerciante no necesita anteponer una barrera de consentimiento a la redirección, pero la política de cookies sí debe describir estas cookies y su finalidad.

Desde el RGPD, la base legal es la ejecución del contrato para el propio pago (artículo 6(1)(b)), la obligación legal para la conservación por PBC y FT y contabilidad (artículo 6(1)(c)) y el interés legítimo para la prevención del fraude y la gestión de disputas (artículo 6(1)(f)). Unipag actúa como encargado del comerciante en la instrucción de pago y como responsable independiente para las obligaciones de scoring antifraude y PBC/FT que le incumben directamente.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Transferencias transfronterizas a Rusia

El punto estructural de Unipag es que los metadatos de pago, las direcciones IP, las señales de comportamiento y los identificadores de cliente se envían a infraestructura situada en la Federación Rusa. Rusia carece de decisión de adecuación europea, por lo que el comerciante debe implantar garantías válidas del artículo 46, normalmente las cláusulas contractuales tipo de 2021, y realizar un análisis de impacto de transferencia que evalúe el riesgo de acceso por las autoridades rusas y la eficacia de las medidas suplementarias.

Además, la ley federal rusa 152-FZ impone el almacenamiento local de los datos personales de residentes rusos, lo que puede llevar a Unipag a mantener copias en Rusia y complica las solicitudes de supresión. Los comerciantes también deben considerar que el contexto político y de sanciones puede limitar las vías de recurso para los clientes europeos, un elemento que pesa con fuerza en el análisis del riesgo residual.

EIPD y responsabilidades del comerciante

Una EIPD es recomendable para cualquier comerciante europeo que use Unipag. Debe describir el flujo de pago, las categorías de datos, los destinatarios en Rusia, los plazos dictados por contabilidad y PBC, las medidas suplementarias (cifrado, seudonimización, límites contractuales de acceso) y el riesgo residual para las personas interesadas. El comerciante debe también documentar el derecho a la información en la política de privacidad, mencionando explícitamente el país de destino.

Implementación práctica y alternativas

En la práctica: firme el contrato de encargo, archive el análisis de impacto de transferencia, mencione Rusia en la política de privacidad y alinee los plazos de conservación con PSD2 y PBC en vez de almacenarlos indefinidamente. Para bases de clientes únicamente europeas, valore Stripe, Adyen, Mollie, Worldline o un adquirente doméstico: estas alternativas mantienen los datos de tarjeta y los metadatos dentro del EEE y evitan el riesgo de transferencia a Rusia que domina el análisis de Unipag.

GDPR consent category

Marketing

Websites using Unipag must obtain user consent under GDPR regulations.

Legal basisPerformance of the contract (Article 6(1)(b) GDPR) for the payment itself and legitimate interest plus legal obligation (Article 6(1)(c) and (f) GDPR) for fraud prevention and accounting. Strictly necessary cookies on the payment domain are exempt from the ePrivacy opt-in.

Risk levelhigh

Applicable regulationsGDPR, ePrivacy Directive, PSD2, Russian Federal Law 152-FZ on personal data, AML obligations of the merchant

DPIA considerations

Aun cuando las cookies son estrictamente necesarias, una EIPD se justifica porque Unipag trata datos de transacción financiera, direcciones IP, señales de dispositivo e identificadores de cliente y los enruta a infraestructura en la Federación Rusa. La EIPD debe cubrir el riesgo de acceso por las autoridades rusas, la conservación por PBC/FT y PSD2, las medidas suplementarias y la viabilidad de un adquirente europeo.

Sample consent text

Los pagos en este sitio los procesa Unipag, que recibe tus datos de pago, tu dirección IP y los datos del pedido, y los almacena en servidores ubicados en la Federación Rusa. Es estrictamente necesario para ejecutar la transacción que solicitas, por lo que no pedimos consentimiento para las cookies de pago. Consulta la política de privacidad para conocer las garantías aplicadas a esta transferencia internacional.

Technical details

Tracking methodServer-side redirect or iframe payment flow, with strictly necessary session cookies set on the unipag.com checkout domain and anti-fraud signals captured during the payment step.

Server locationRussian Federation

Data transferred outside the EUPayment data, customer identifiers, IP addresses and order metadata are transmitted to Unipag infrastructure located in the Russian Federation. Russia has no EU adequacy decision, so any merchant established in the EEA must put Article 46 transfer safeguards in place and perform a Transfer Impact Assessment, regardless of the operational status of the service.

Third-party domains contacted

unipag.compay.unipag.comapi.unipag.com

Cookies placed

Name	Type	Duration	Purpose
unipag_sid	Strictly necessary	Session	Maintains the payment session between the merchant redirect, the Unipag hosted page and the callback to the merchant.
unipag_csrf	Strictly necessary	Session	Anti-CSRF token protecting the payment form against cross-site request forgery attacks.
unipag_risk	Strictly necessary	30 minutes	Short-lived risk scoring identifier used by the anti-fraud engine during a single payment attempt.
unipag_3ds	Strictly necessary	15 minutes	Carries the state of the 3-D Secure authentication challenge between the issuer ACS and the Unipag flow.

Unipag instala cookies de seguimiento con fines publicitarios — cumple el RGPD con FlowConsent.

Empezar gratis Escanear tu sitio

Preguntas frecuentes

¿Qué cookies coloca Unipag durante el pago?

Unipag coloca cookies estrictamente necesarias en su propio dominio: una cookie de sesión de pago, un token anti-CSRF, un identificador de puntuación de riesgo de corta vida y una cookie de estado para 3-D Secure. Estas cookies permanecen en el dominio de Unipag y no son legibles directamente desde el sitio del comerciante. En el flujo de pago principal no intervienen cookies de marketing ni de analítica.

¿Necesita el comerciante consentimiento para usar Unipag?

No hace falta consentimiento mediante banner para las cookies de pago en sí: son estrictamente necesarias para completar la transacción que el usuario ha iniciado expresamente. El comerciante debe describir igualmente estas cookies en la política de cookies y obtener consentimiento para cualquier otra tecnología de seguimiento (analítica, marketing) que cargue en el resto del sitio.

¿Cuál es la base legal del tratamiento vía Unipag?

Ejecución del contrato (artículo 6(1)(b) RGPD) para la propia instrucción de pago, obligación legal (artículo 6(1)(c)) para la conservación por PBC y contabilidad y interés legítimo (artículo 6(1)(f)) para la prevención del fraude y la gestión de disputas. Cada base debe reflejarse en la política de privacidad con un alcance claro.

¿Cómo se gestionan las transferencias internacionales?

Los metadatos de pago, las direcciones IP y los identificadores de cliente se envían a la infraestructura de Unipag en la Federación Rusa. El comerciante debe firmar las cláusulas contractuales tipo, completar un análisis de impacto de transferencia, documentar las medidas suplementarias y mencionar Rusia como país de destino en la política de privacidad. El riesgo residual suele calificarse de alto.

¿Es necesaria una EIPD para Unipag?

Se recomienda una EIPD. Datos financieros, direcciones IP, señales de comportamiento e identificadores de cliente salen del EEE hacia un país sin adecuación y alimentan un scoring antifraude automatizado. Se cumplen dos criterios del CEPD (datos financieros a gran escala y transferencias con riesgo), lo que justifica un análisis formal de la cadena de transferencia y del riesgo residual.

¿Cómo implementar Unipag de forma conforme?

Firme el contrato de encargo y las CCT, complete el análisis de impacto de transferencia, documente las medidas suplementarias (TLS en tránsito, seudonimización de identificadores de cliente, controles de acceso), alinee la conservación con PSD2 y PBC, mencione Rusia en la política de privacidad y ofrezca a los clientes un punto de contacto claro para sus derechos.

¿Hay alternativas europeas a Unipag?

Sí. Stripe, Adyen, Mollie, Worldline, Nexi y numerosos adquirentes domésticos ofrecen una agregación equivalente de métodos europeos de pago manteniendo los datos en el EEE. Para verticales específicos (suscripciones, marketplaces, BNPL) también existen especialistas regionales con residencia de datos en la UE.

¿Cómo deben reflejar Unipag las políticas de cookies y privacidad?

Añada una fila en la tabla de cookies por cada cookie de Unipag (unipag_sid, unipag_csrf, unipag_risk, unipag_3ds), indicando tipo, duración y finalidad. En el apartado de transferencias internacionales nombre la Federación Rusa, cite las CCT del artículo 46 y haga referencia al análisis de impacto. Liste a Unipag entre los encargados y actualice la política con cada cambio en el flujo de pago.

Cumple la normativa — Prueba FlowConsent gratis

mobileCta.note