Para proteger los datos de los titulares de las tarjetas, las empresas que cumplen con la normativa PCI siguen una serie de normas de seguridad de los datos de las tarjetas de crédito, conocidas como PCI DSS. Explorar por qué el cumplimiento con PCI es importante para todas las organizaciones que gestionan o procesan pagos con tarjeta.
Después de leer este artículo podrás:
Contenido relacionado
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
El cumplimiento con el sector de tarjetas de pago (PCI) significa obedecer un conjunto de políticas de seguridad para los datos de los titulares de tarjetas. Todas las organizaciones que procesan transacciones con tarjetas de crédito, débito y/o prepago están sujetas a los requisitos de cumplimiento con PCI.
Los datos de las tarjetas de crédito deben permanecer en secreto para que sean seguros, y al cumplir con la normativa PCI se establece que se puede confiar en que una empresa mantendrá esos datos en secreto. De igual forma que un propietario no prestaría las llaves de su casa a alguien en quien no confiara, las marcas de tarjetas de crédito no confiarán los datos de las tarjetas de pago a un vendedor si este no los mantiene seguros.
Si una empresa almacena, procesa o transmite datos de titulares de tarjetas de crédito, ya sea por Internet, por teléfono, en una aplicación, en papel o en persona, debe seguir una serie de normas para proteger la información sobre esos pagos.
Aunque la ley federal estadounidense no exige la conformidad con PCI, las empresas de tarjetas de crédito pueden imponer tasas por incumplimiento a las empresas que no protejan adecuadamente los datos de los titulares de tarjetas. Y lo que es más importante, no proteger los datos de los titulares de las tarjetas facilita que los delincuentes puedan robar esos datos. Estos robos son un riesgo importante. Según las proyecciones del Nilson Report, se prevé que en los próximos 10 años el sector mundial de las tarjetas de pago perderá un total acumulado de 397.000 millones de dólares en todo el mundo por fraude.
PCI DSS son las siglas en inglés de "Estándar de segurida de datos del sector de tarjetas de pago" (PCI DSS). El marco PCI DSS orienta a las empresas con procesos sólidos para proteger los datos de las transacciones de los titulares de tarjetas y la información de autenticación de las mismas. Su objetivo es proteger tanto los datos del titular de la tarjeta como los datos de autenticación con requisitos que ayuden a prevenir, detectar y reaccionar ante incidentes de seguridad.
El cumplimiento con PCI se aplica globalmente a todo vendedor que acepte tarjetas de crédito, débito o prepago. Esto significa que empresas de todos los tamaños, desde una cafetería de barrio hasta una marca multinacional de ropa, están sujetas al cumplimiento con PCI, aunque utilicen a un tercero para procesar las transacciones.
Los datos de las transacciones de los titulares de tarjetas a los que se refiere la PCI DSS incluyen:
Los datos confidenciales de autenticación cubiertos por la PCI DSS incluyen:
El marco PCI DSS consta de 12 requisitos fundamentales (con más de 300 subrequisitos):
El PCI DSS y los estándares de seguridad relacionados los gestiona el PCI Security Standards Council (PCI SSC), una organización del sector fundada por American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa Inc. Entre las organizaciones participantes también hay vendedores, bancos emisores de tarjetas de pago, procesadores, desarrolladores y otros proveedores.
La primera versión, PCI DSS 1.0, se implementó en 2004. En 2006 el PCI SSC publicó la versión 1.1, que pedía a los vendedores que revisaran todas las solicitudes en línea y establecieran firewalls para aumentar la seguridad.
PCI DSS ha seguido evolucionando a lo largo de los años en respuesta a las fugas de datos y las vulnerabilidades que han aparecido en todo el ecosistema de procesamiento de tarjetas. La versión actual 4.0 se convirtió en la única versión activa a partir del 31 de marzo de 2024, cuando se archivó la versión 3.2.1.
Se publicó PCI DSS v4.0 en 2022 para "abordar las amenazas y tecnologías emergentes y permitir métodos innovadores para combatir las nuevas amenazas." Las organizaciones tienen hasta el 31 de marzo de 2025 para cumplir todos los requisitos de PCI DSS v4.0.
Aunque los requisitos básicos de la PCI DSS apenas han cambiado, la nueva v4.0 se centra más en cómo deben implementarse los controles de seguridad. Algunos ejemplos de cambios son:
Aquí hay un resumen de los cambios clave que se han producido de la v.3.2.1 a la v4.0.
El cumplimiento con PCI lo imponen las marcas de tarjetas de crédito responsables del procesamiento de los pagos. Cuando un vendedor (por ejemplo, alguien que acepta tarjetas de pago como método de pago de bienes y servicios) realiza un determinado número de transacciones con tarjeta de pago al año, está obligado a rellenar un Informe de cumplimiento con PCI DSS completo. Si no lo hacen, podrían ser multados.
Las sanciones de la PCI DSS se basan en una serie de factores, como la gravedad de la infracción, el tiempo que se tardó en solucionar o remediar el problema, y si se produjo una infracción. Si una empresa sigue sin cumplir la normativa PCI, también existe la posibilidad de que se le impida utilizar tarjetas de crédito para ningún pago dentro de su sistema.
PCI DSS divide a las empresas (o "vendedores", como se llaman en los estándares) en cuatro niveles en función del número de transacciones con tarjeta que procesan durante un periodo de 12 meses.
Los cuatro niveles* son:
La forma en la que un vendedor puede obtener la certificación de cumplimiento con PCI cambia en función de su nivel. En general, cuantas más transacciones gestionen, más rigurosos serán los requisitos de auditoría de cumplimiento.
Por ejemplo, los vendedores de nivel 2-4 rellenan y envían un Cuestionario de autoevaluación (SAQ) anual. Hay diferentes tipos de SAQ, según la forma en que el comerciante procese la información de la tarjeta de pago. Las organizaciones deben consultar las instrucciones y directrices de SAQ para ayudar determinar qué SAQ se aplica a su organización (si es que se aplica alguno). Puedes encontrar un resumen de las diferencias en los requisitos del SAQ en la versión 4.0 aquí.
Los vendedores de nivel 1 (como Cloudflare), que gestionan más de seis millones de transacciones al año, reciben auditorías anuales. Los vendedores de Nivel 1 deben recibir un Informe de cumplimiento de un Evaluador de seguridad cualificado (QSA) del PCI SSC, o de un Evaluador de seguridad interna (ISA) del PCI SSC. Este proceso para los vendedores de Nivel 1 tiene lugar una vez al año o una vez cada trimestre, en función de la empresa emisora de la tarjeta. Los vendedores de nivel 1 también pueden someterse a evaluaciones de seguridad de los datos in situ.
Por último, todos los vendedores tienen que rellenar y enviar un formulario de Declaración de cumplimiento (AOC), que es básicamente una declaración a la empresa emisora de la tarjeta de crédito de que el vendedor cumple con la normativa PCI.
*Estas definiciones son correctas en su mayoría, pero cada marca de tarjeta de crédito define y evalúa el cumplimiento de forma ligeramente diferente. Es importante consultar con cada empresa de tarjetas de crédito acerca de los criterios específicos de su programa.
Cloudflare mantiene la norma de seguridad de datos de la industria de pagos con tarjeta (PCI DSS) de nivel 1 y cumple con la normativa PCI desde 2014. Muchos de nuestros clientes también exigen que les enviemos una copia de nuestro AOC, que básicamente indica a la empresa de la tarjeta de crédito que cumplimos con la normativa PCI. Si no tuviéramos esta certificación, no podríamos trabajar con determinados clientes, ni nuestro banco nos permitiría utilizar tarjetas de pago como método de pago de nuestros servicios.
También ayudamos a nuestros clientes a preservar la seguridad con sus propios sitios web y aplicaciones. Estos son algunos ejemplos de cómo Cloudflare puede ayudar a las empresas a cumplir determinados requisitos de PCI DSS:
Obtén más información sobre los servicios de seguridad de sitios web y aplicaciones de Cloudflare y sobre las funciones integradas de seguridad, privacidad y cumplimiento de la conectividad cloud.