PCI-DSS

El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (también conocido como PCI-DSS para abreviar) es un conjunto de normas de seguridad diseñado para asegurar que todas las empresas que aceptan, procesan, almacenan o transmiten información de tarjetas de crédito mantengan un entorno seguro.
Creado por el Payment Card Industry Security Standards Council (PCI SSC), que incluye las principales compañías de tarjetas de pago como Visa, MasterCard, American Express, Discover y JCB, el PCI-DSS tiene como objetivo principal proteger los datos de los titulares de tarjetas y reducir el fraude relacionado con las tarjetas de pago.

Partage

Contexto

El origen del PCI-DSS se remonta a principios de los años 2000, cuando las grandes marcas de tarjetas de pago desarrollaron sus propios programas de seguridad de datos. En 2004, estos programas individuales se unificaron bajo el PCI-DSS, una norma común diseñada para armonizar y simplificar los requisitos de seguridad en la industria.
Por lo tanto, el PCI-DSS no es una norma europea, sino una norma internacional, creada y mantenida por el PCI SSC.
Es obligatorio para cualquier empresa en el mundo que acepte, procese, almacene o transmita información de tarjetas de crédito. Esto incluye a los comerciantes, proveedores de servicios y entidades financieras, sin importar su ubicación geográfica.

Las 12 exigencias de seguridad del PCI-DSS

El PCI-DSS se estructura en seis categorías principales, que incluyen un total de 12 requisitos de seguridad (¡sí, solo eso!).

  • Construir y mantener una red segura
    • Requisito 1: instalar y mantener una configuración de cortafuegos para proteger los datos de los titulares de tarjetas.
    • Requisito 2: no usar las contraseñas predeterminadas proporcionadas por los proveedores para los sistemas y otras configuraciones de seguridad.
  • Proteger los datos de los titulares de tarjetas
    • Requisito 3: proteger los datos almacenados de los titulares de tarjetas.
    • Requisito 4: cifrar la transmisión de datos de titulares de tarjetas a través de redes públicas abiertas.
  • Mantener un programa de gestión de vulnerabilidades
    • Requisito 5: utilizar y actualizar periódicamente software antivirus.
    • Requisito 6: desarrollar y mantener sistemas y aplicaciones seguros.
  • Aplicar medidas estrictas de control de acceso
    • Requisito 7: restringir el acceso a los datos de los titulares de tarjetas según sea necesario.
    • Requisito 8: asignar un identificador único a cada persona con acceso a un ordenador.
    • Requisito 9: restringir el acceso físico a los datos de los titulares de tarjetas.
  • Supervisar y probar periódicamente las redes
    • Requisito 10: rastrear y supervisar todos los accesos a los recursos de la red y a los datos de los titulares de tarjetas.
    • Requisito 11: comprobar periódicamente los sistemas y procesos de seguridad.
  • Mantener una política de seguridad de la información
    • Requisito 12: mantener una política que cubra la seguridad de la información para todo el personal.
Una norma en constante evolución

El PCI-DSS no es un texto fijo. Evoluciona regularmente para adaptarse a las nuevas amenazas y tecnologías (como la nube y la autenticación multifactor). El PCI SSC publica actualizaciones periódicas de la norma, así como directrices adicionales para ayudar a las empresas a cumplir con los requisitos de seguridad.

¿Cómo cumplir con el PCI-DSS?

#1 Determina el nivel de validación aplicable

Las empresas deben primero determinar su nivel de validación PCI-DSS, que depende del volumen de transacciones anuales por tarjeta de pago.
Nivel 1: Más de 6 millones de transacciones al año
Nivel 2: Entre 1 y 6 millones de transacciones al año
Nivel 3: Entre 20,000 y 1 millón de transacciones al año (para transacciones de comercio electrónico)
Nivel 4: Menos de 20,000 transacciones de comercio electrónico al año o hasta 1 millón de transacciones totales al año

#2 Identifica el alcance

Identifica claramente los sistemas, procesos y personal involucrado en el procesamiento de datos de tarjetas de pago. Así podrás determinar los límites del CDE (Cardholder Data Environment), es decir, el entorno donde se almacenan, procesan o transmiten los datos de los titulares de tarjetas.
Esto incluye tanto los servidores, redes, aplicaciones como los equipos de seguridad.

#3 Evalúa los riesgos

Una vez definido el alcance, realiza un análisis de riesgos que incluya:

  • Análisis de amenazas internas y externas
  • Revisión de procesos operacionales
  • Evaluación de medidas de seguridad existentes

Este paso te permitirá identificar las vulnerabilidades potenciales dentro del famoso CDE y, por lo tanto, determinar los puntos débiles que podrían comprometer la seguridad de los datos de pago.

#4 Implementa los controles de seguridad necesarios

Basado en los resultados de tu análisis de riesgos, deberás implementar controles de seguridad específicos para cumplir con los requisitos de la norma PCI-DSS.
Estos controles abordan seis áreas clave:

  1. Construir y mantener una red segura, instalando cortafuegos y usando contraseñas robustas.
  2. Proteger los datos de los titulares de tarjetas, cifrando los datos de las tarjetas de crédito y restringiendo su acceso.
  3. Establecer un programa de gestión de vulnerabilidades, actualizando regularmente el software y usando software antivirus.
  4. Implementar sólidos controles de acceso, limitando el acceso a los datos de los titulares de tarjetas según la necesidad.
  5. Monitorizar el acceso a los recursos de la red y probar regularmente los sistemas de seguridad.
  6. De manera más general, establecer políticas de seguridad aplicables a toda la organización.
#5 Forma y sensibiliza a tu personal

La conformidad con PCI-DSS requiere (y exige) que todo el personal involucrado en el procesamiento de datos de tarjetas bancarias esté bien capacitado y consciente de las buenas prácticas en seguridad de datos.
Implementa formaciones regulares, así como actualizaciones sobre las políticas internas: son esenciales para minimizar los errores humanos, que suelen ser una fuente de fallos de seguridad.

#6 Realiza pruebas y auditorías regulares

Una vez que los controles de seguridad estén en su lugar, deberás realizar pruebas regulares para asegurarte de mantener la conformidad con PCI-DSS. Esto puede incluir escaneos de vulnerabilidades y pruebas de intrusión, con frecuencia anual o trimestral.
Dependiendo del nivel de procesamiento de datos, puede ser necesario un auditor por un Qualified Security Assessor (QSA) para validar esta conformidad.
Si la evaluación no es concluyente, te corresponderá corregir las vulnerabilidades identificadas para alcanzar la conformidad. Esto puede incluir actualizar tu software, configuraciones de red o incluso tus políticas de seguridad.

#7 Documentación y reporte de conformidad

El último paso es documentar todos los procesos, controles y resultados de las pruebas para demostrar tu conformidad con la norma PCI-DSS.
Una vez realizadas las posibles correcciones, deberás presentar un informe de conformidad (ROC, o Report of Compliance) a los organismos reguladores o a los bancos adquirientes, según el nivel de compromiso de tu empresa.
Una documentación adecuada es esencial, no solo para demostrar tu conformidad, sino también para asegurar una vigilancia continua.

¿Es obligatoria la conformidad con PCI-DSS?

Sí, la conformidad con la norma PCI-DSS es obligatoria para todas las empresas que almacenan, procesan o transmiten información de tarjetas de pago. Esta obligación se aplica a todas las entidades, grandes o pequeñas, siempre que acepten o procesen pagos con tarjetas de crédito, débito o prepagadas de las principales marcas de tarjetas (Visa, MasterCard, American Express, Discover, etc.).

¿Por qué es obligatoria?

El PCI-DSS no está ahí para fastidiarte. Su objetivo principal es reducir el fraude, minimizando el riesgo de robo de datos de tarjetas de crédito.
Pero no es solo una carga: al cumplir con la norma, una empresa demuestra su compromiso con la seguridad de los datos, lo que sin duda fortalecerá la confianza de sus clientes y socios comerciales.
Bonus: en caso de una violación de datos, la conformidad con PCI-DSS puede ofrecer a la organización una protección legal específica y reducir multas y sanciones.

¿Y para las empresas que no cumplen con los requisitos de PCI-DSS?
  • Sanciones financieras: Los bancos adquirientes y las compañías de tarjetas de crédito pueden imponer multas a las empresas no conformes. Estas multas pueden alcanzar decenas de miles de dólares al mes, dependiendo de la gravedad y duración del incumplimiento.
  • Aumento de los costos de transacción: Las empresas no conformes pueden enfrentar tarifas de transacción más altas por parte de sus socios bancarios.
  • Pérdida de autorización para procesar pagos: En casos de incumplimiento grave, una empresa puede incluso perder su derecho a procesar pagos con tarjeta, lo que puede afectar significativamente sus operaciones.
  • Responsabilidad en caso de violación de datos: Si ocurre una violación de datos y se determina que una empresa no cumple con PCI-DSS, puede ser responsable de los costos relacionados con el fraude, investigaciones y notificación a las víctimas, además de los daños a su reputación.
¿Existen excepciones a esta exigencia de conformidad?

No hay una verdadera excepción a la norma PCI-DSS para las empresas que procesan pagos con tarjeta, pero algunas soluciones de terceros pueden ayudar a reducir el alcance de la conformidad. Por ejemplo, al usar servicios de procesamiento de pagos que están certificados como PCI-DSS, una empresa puede transferir parte de la responsabilidad de conformidad a ese proveedor. ¡Atención! Esto no elimina la obligación de conformidad para la empresa misma.

Consejos para tu conformidad con PCI-DSS

Desde su introducción, el PCI-DSS ha tenido un impacto muy importante en cómo las empresas gestionan la seguridad de los datos de tarjetas de pago. Ha permitido estandarizar las prácticas de seguridad en la industria y ha contribuido a reducir incidentes y fraudes.
¡Pero los desafíos y costos asociados con esta conformidad no son pequeños! Aquí algunos consejos para ayudarte:

Adopta las buenas prácticas del sector
  • Separa las redes de procesamiento de pagos de otras redes corporativas. Esto limita el alcance de las auditorías y refuerza tu seguridad general.
  • Asegúrate de mantener todos tus sistemas actualizados, utilizando los últimos parches de seguridad disponibles para evitar vulnerabilidades.
  • Forma regularmente a tus empleados en políticas de seguridad y buenas prácticas cibernéticas para garantizar una vigilancia constante.
Utiliza las herramientas de seguridad adecuadas
  • Instala cortafuegos y sistemas de detección de intrusos (IDS/IPS) para proteger las redes internas y controlar los accesos no autorizados.
  • Utiliza tecnologías de encriptación para proteger los datos de las tarjetas de crédito en tránsito y en reposo.
  • Instala programas antivirus y antimalware.
  • Confía en Tenacy, nuestra plataforma especializada en gestión de la ciberseguridad y el cumplimiento normativo, compatible con el marco PCI-DSS.
Más información