¿Qué es el cumplimiento con PCI DSS? | Definición de PCI DSS

Para proteger los datos de los titulares de las tarjetas, las empresas que cumplen con la normativa PCI siguen una serie de normas de seguridad de los datos de las tarjetas de crédito, conocidas como PCI DSS. Explorar por qué el cumplimiento con PCI es importante para todas las organizaciones que gestionan o procesan pagos con tarjeta.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir el estándar de seguridad de datos del sector de tarjetas de pago (PCI DSS)
  • Describir los orígenes y la evolución de PCI DSS
  • Entender la importancia del cumplimiento con PCI DSS

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es el cumplimiento con PCI DSS?

El cumplimiento con el sector de tarjetas de pago (PCI) significa obedecer un conjunto de políticas de seguridad para los datos de los titulares de tarjetas. Todas las organizaciones que procesan transacciones con tarjetas de crédito, débito y/o prepago están sujetas a los requisitos de cumplimiento con PCI.

Los datos de las tarjetas de crédito deben permanecer en secreto para que sean seguros, y al cumplir con la normativa PCI se establece que se puede confiar en que una empresa mantendrá esos datos en secreto. De igual forma que un propietario no prestaría las llaves de su casa a alguien en quien no confiara, las marcas de tarjetas de crédito no confiarán los datos de las tarjetas de pago a un vendedor si este no los mantiene seguros.

Si una empresa almacena, procesa o transmite datos de titulares de tarjetas de crédito, ya sea por Internet, por teléfono, en una aplicación, en papel o en persona, debe seguir una serie de normas para proteger la información sobre esos pagos.

Aunque la ley federal estadounidense no exige la conformidad con PCI, las empresas de tarjetas de crédito pueden imponer tasas por incumplimiento a las empresas que no protejan adecuadamente los datos de los titulares de tarjetas. Y lo que es más importante, no proteger los datos de los titulares de las tarjetas facilita que los delincuentes puedan robar esos datos. Estos robos son un riesgo importante. Según las proyecciones del Nilson Report, se prevé que en los próximos 10 años el sector mundial de las tarjetas de pago perderá un total acumulado de 397.000 millones de dólares en todo el mundo por fraude.

¿Qué es PCI DSS?

PCI DSS son las siglas en inglés de "Estándar de segurida de datos del sector de tarjetas de pago" (PCI DSS). El marco PCI DSS orienta a las empresas con procesos sólidos para proteger los datos de las transacciones de los titulares de tarjetas y la información de autenticación de las mismas. Su objetivo es proteger tanto los datos del titular de la tarjeta como los datos de autenticación con requisitos que ayuden a prevenir, detectar y reaccionar ante incidentes de seguridad.

El cumplimiento con PCI se aplica globalmente a todo vendedor que acepte tarjetas de crédito, débito o prepago. Esto significa que empresas de todos los tamaños, desde una cafetería de barrio hasta una marca multinacional de ropa, están sujetas al cumplimiento con PCI, aunque utilicen a un tercero para procesar las transacciones.

Los datos de las transacciones de los titulares de tarjetas a los que se refiere la PCI DSS incluyen:

  • Número de cuenta principal: el número de cuenta de la tarjeta, que suele constar de 16 dígitos
  • Nombre completo: nombre del titular de la tarjeta
  • Fecha de caducidad: el mes y el año en que caduca la tarjeta.
  • Código de servicio: el valor recuperado automáticamente de la banda magnética o chip de la tarjeta para las transacciones en persona.

Los datos confidenciales de autenticación cubiertos por la PCI DSS incluyen:

  • Datos completos: los datos de la banda magnética de la tarjeta o su equivalente en un chip de tarjeta de crédito
  • Código de verificación de la tarjeta: el código de seguridad de tres o cuatro dígitos de una tarjeta, que casi siempre se solicita para las compras en línea.
  • Fecha de caducidad: el mes y el año en que caduca la tarjeta.
  • Número de identificación personal (PIN): número único (normalmente de cuatro dígitos) que permite retirar dinero en cajeros automáticos y realizar otras transacciones.

El marco PCI DSS

El marco PCI DSS consta de 12 requisitos fundamentales (con más de 300 subrequisitos):

  1. Instala y mantiene controles de seguridad de la red.
  2. No usar contraseñas por defecto suministradas por el proveedor en los dispositivos conectados a la red.
  3. Protege los datos de cuentas almacenadas mediante encriptación u otros métodos de protección de datos.
  4. Encripta de forma segura los datos de los titulares de tarjetas en redes públicas abiertas.
  5. Protege todos los sistemas y redes contra el malware.
  6. Mantiene sistemas y software seguros.
  7. Restringe el acceso a los datos del titular de la tarjeta y del sistema según un principio de "necesidad de saber".
  8. Identifica a los usuarios y autentica el acceso a componentes del sistema.
  9. Controlar y restringir el acceso físico a los datos de los titulares de tarjetas.
  10. Registra y supervisa el acceso a los datos de los titulares de tarjetas.
  11. Prueba los sistemas de seguridad y de red con regularidad.
  12. Mantiene organizada una política de seguridad de la información.
Nota: Estas son solo versiones resumidas de los estándares, y no los estándares en sí. Consulta la página oficial del PCI Security Standards Council para más información.

¿Dónde se originaron los estándares PCI?

El PCI DSS y los estándares de seguridad relacionados los gestiona el PCI Security Standards Council (PCI SSC), una organización del sector fundada por American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa Inc. Entre las organizaciones participantes también hay vendedores, bancos emisores de tarjetas de pago, procesadores, desarrolladores y otros proveedores.

La primera versión, PCI DSS 1.0, se implementó en 2004. En 2006 el PCI SSC publicó la versión 1.1, que pedía a los vendedores que revisaran todas las solicitudes en línea y establecieran firewalls para aumentar la seguridad.

PCI DSS ha seguido evolucionando a lo largo de los años en respuesta a las fugas de datos y las vulnerabilidades que han aparecido en todo el ecosistema de procesamiento de tarjetas. La versión 4.0 actual se convirtió en la única versión activa a 31 de marzo de 2024, día en que se archivó la versión 3.2.1.

Se publicó PCI DSS v4.0 en 2022 para "abordar las amenazas y tecnologías emergentes y permitir métodos innovadores para combatir las nuevas amenazas." Las organizaciones tienen hasta el 31 de marzo de 2025 para cumplir todos los requisitos de PCI DSS v4.0.

Aunque los requisitos básicos de la PCI DSS apenas han cambiado, la nueva v4.0 se centra más en cómo deben implementarse los controles de seguridad. Algunos ejemplos de cambios son:

  • Terminología de firewall actualizada para los controles de seguridad de la red, que permite la compatibilidad con una gama más amplia de tecnologías
  • Ampliación de los requisitos para implementar la autenticación multifactor (AMF) para todos los accesos al entorno de datos del titular de la tarjeta
  • Mayor flexibilidad para que las organizaciones demuestren cómo utilizan distintos métodos para alcanzar los objetivos de seguridad

Aquí hay un resumen de los cambios clave que se han producido de la v.3.2.1 a la v.4.0.

¿Cómo se hace cumplir la normativa PCI?

El cumplimiento con PCI lo imponen las marcas de tarjetas de crédito responsables del procesamiento de los pagos. Cuando un vendedor (por ejemplo, alguien que acepta tarjetas de pago como método de pago de bienes y servicios) realiza un determinado número de transacciones con tarjeta de pago al año, está obligado a rellenar un Informe de cumplimiento con PCI DSS completo. Si no lo hacen, podrían ser multados.

Las sanciones de la PCI DSS se basan en una serie de factores, como la gravedad de la infracción, el tiempo que se tardó en solucionar o remediar el problema, y si se produjo una infracción. Si una empresa sigue sin cumplir la normativa PCI, también existe la posibilidad de que se le impida utilizar tarjetas de crédito para ningún pago dentro de su sistema.

PCI DSS divide a las empresas (o "vendedores", como se llaman en los estándares) en cuatro niveles en función del número de transacciones con tarjeta que procesan durante un periodo de 12 meses.

Los cuatro niveles* son:

  • Nivel 1: más de seis millones de transacciones al año, en todos los canales
  • Nivel 2: entre un millón y seis millones de transacciones al año, en todos los canales
  • Nivel 3: entre 20.000 y un millón de transacciones de comercio electrónico al año
  • Nivel 4: menos de 20.000 transacciones de comercio electrónico al año

La forma en la que un vendedor puede obtener la certificación de cumplimiento con PCI cambia en función de su nivel. En general, cuantas más transacciones gestionen, más rigurosos serán los requisitos de auditoría de cumplimiento.

Por ejemplo, los comerciantes de los niveles 2-4 rellenan y envían un Cuestionario de autoevaluación (SAQ) anual. Hay diferentes tipos de SAQ, según la forma en que el comerciante procese la información de la tarjeta de pago. Las organizaciones deben consultar las instrucciones y directrices del SAQ para ayudar a determinar qué SAQ (si corresponde) se aplica a su organización. Puedes encontrar un resumen de las diferencias en los requisitos del SAQ en la versión 4.0 aquí.

Los vendedores de nivel 1 (como Cloudflare), que gestionan más de seis millones de transacciones al año, reciben auditorías anuales. Los vendedores de Nivel 1 deben recibir un Informe de cumplimiento de un Evaluador de seguridad cualificado (QSA) del PCI SSC, o de un Evaluador de seguridad interna (ISA) del PCI SSC. Este proceso para los vendedores de Nivel 1 tiene lugar una vez al año o una vez cada trimestre, en función de la empresa emisora de la tarjeta. Los vendedores de nivel 1 también pueden someterse a evaluaciones de seguridad de los datos in situ.

Por último, todos los vendedores tienen que rellenar y enviar un formulario de Declaración de cumplimiento (AOC), que es básicamente una declaración a la empresa emisora de la tarjeta de crédito de que el vendedor cumple con la normativa PCI.

*Estas definiciones son correctas en su mayoría, pero cada marca de tarjeta de crédito define y evalúa el cumplimiento de forma ligeramente diferente. Es importante consultar con cada empresa de tarjetas de crédito acerca de los criterios específicos de su programa.

¿Puede Cloudflare ayudar a los clientes a cumplir con los requisitos PCI?

Cloudflare mantiene la norma de seguridad de datos de la industria de pagos con tarjeta (PCI DSS) de nivel 1 y cumple con la normativa PCI desde 2014. Muchos de nuestros clientes también exigen que les enviemos una copia de nuestro AOC, que básicamente indica a la empresa de la tarjeta de crédito que cumplimos con la normativa PCI. Si no tuviéramos esta certificación, no podríamos trabajar con determinados clientes, ni nuestro banco nos permitiría utilizar tarjetas de pago como método de pago de nuestros servicios.

También ayudamos a nuestros clientes a preservar la seguridad con sus propios sitios web y aplicaciones. Estos son algunos ejemplos de cómo Cloudflare puede ayudar a las empresas a cumplir determinados requisitos de PCI DSS:

  • Los clientes que usen el firewall de aplicaciones web de Cloudflare, activen el conjunto de reglas OWASP y ajusten las reglas a su entorno satisfarán la necesidad de proteger las aplicaciones orientadas a la web y cumplirán con el requisito 6.6 de PCI.
  • Cloudflare permite que los vendedores usen las últimas versiones de la encriptación TLS, otra parte importante del cumplimiento con PCI.
  • Muchas organizaciones dependen de las VPN corporativas y otras herramientas de segmentación para reducir el alcance del entorno de datos de sus titulares de tarjetas. Cloudflare Access proporciona otro medio de segmentación utilizando la red global de Cloudflare como servicio VPN para acceder a los recursos internos. Además, estas sesiones se pueden configurar para que se agote el tiempo de espera después de 15 minutos de inactividad para permitir a los clientes cumplir con el requisito 8.2.8.
  • Los nuevos requisitos de seguridad del lado del cliente, 6.4.3 y 11.6.1 en PCI DSS v4.0, especifican la necesidad de conocer y autorizar el JavaScript que se ejecuta en todas las páginas de pago, así como la necesidad de recibir una alerta cuando se cambie cualquiera de estos JavaScript. Cloudflare Page Shield supervisa continuamente sitios web enteros más allá de solamente las páginas de pago, y envía una alerta cuando se cambia cualquier script y si se considera malicioso.

Obtén más información sobre los servicios de seguridad de sitios web y aplicaciones de Cloudflare y sobre las funciones integradas de seguridad, privacidad y cumplimiento de la conectividad cloud.