Comprar un latte en tu cafetería local con tu tarjeta de crédito toma segundos.

Pero hubo un tiempo en el que los lectores de tarjetas no existían y las empresas tenían que llamar a las compañías de tarjetas de crédito para verificar tu información. Para cuando tu transacción era aprobada, tu café estaba frío y tu paciencia probada.

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es, en parte, una de las razones por el proceso simplificado y más seguro de hoy en día de usar tarjetas para hacer transacciones.

El PCI DSS nació de la necesidad de un estándar uniforme internacional para hacer las transacciones con tarjeta más seguras tanto para la empresa como para el cliente.

A continuación, examinamos la historia del PCI, qué inspiró su creación y el futuro de la conformidad con PCI.

Si bien el PCI DSS es un estándar bien conocido para cualquiera que esté involucrado en transacciones con tarjeta, ha recorrido un largo camino desde que debutó a principios de los años 2000. A continuación, analizamos qué llevó al PCI DSS y cómo ha evolucionado.

¿Qué es PCI DSS?

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) establece directrices de seguridad para empresas que almacenan, procesan y transmiten datos de titulares de tarjetas. El cumplimiento del PCI DSS es obligatorio para cualquier comerciante o proveedor de servicios que maneje transacciones con tarjeta y datos de titulares de tarjetas.

Cumplir con el PCI DSS significa cumplir con 12 requisitos que involucran medidas de seguridad de redes y controles de seguridad internos, como restringir el acceso de usuarios a los datos de los titulares de tarjetas y mantener políticas de seguridad.

¿Quién desarrolló el PCI?

Los miembros fundadores del PCI son American Express, Discover Financial Services, JCB International, Mastercard y Visa. Juntos, estos cinco miembros conforman el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC).

¿Cuándo se introdujo el PCI DSS?

El PCI DSS se introdujo por primera vez en diciembre de 2004. Antes de esto, Visa fue la primera compañía de tarjetas de pago importante en establecer su propio conjunto de estándares de seguridad para empresas que aceptaban pagos en línea en 2001.

Otras empresas de pagos siguieron su ejemplo, pero cada empresa de pagos comenzó a requerir su propio conjunto de estándares de seguridad. Los comerciantes luchaban para cumplir con los requisitos de cumplimiento para aceptar múltiples marcas de tarjetas de pago.

Los miembros fundadores del PCI SSC se unieron para establecer una forma uniforme de regular la seguridad de los pagos entre los comerciantes y los proveedores de servicios. Esto llevó a la primera iteración del PCI DSS, que fue nombrada PCI DSS 1.0.

¿Por qué se desarrolló PCI?

PCI se desarrolló debido a la introducción de las compras en línea y al aumento del fraude con tarjetas de crédito a finales de la década de 1990 y principios de 2000.

A medida que pequeñas empresas y grandes compañías por igual se apresuraban a abrir sitios web de compras en línea, la seguridad de los pagos no era a menudo una prioridad. La falta de medidas de seguridad que hoy son comunes en los sitios de comercio electrónico, como el uso de cortafuegos y el cifrado de datos de titulares de tarjetas, no eran tan conocidas o comprendidas en los primeros años de la década de 2000.

Según CyberSource, solo en el año 2000, los comerciantes en línea de América del Norte perdieron en promedio el 3.6% de sus ventas debido a tarjetas de crédito robadas o fraudulentas.

Con tanto las empresas como las compañías de tarjetas de pago sintiendo el impacto del fraude de tarjetas de crédito en el comercio electrónico, gigantes de la industria como Visa, Mastercard y American Express se unieron para crear un estándar de seguridad global que protegiera los pagos con tarjetas y fomentara prácticas más seguras para los datos de los titulares de tarjetas.

Una cronología de PCI

Desde la primera versión del PCI DSS 1.0 hasta hoy, el estándar internacional ha evolucionado para mantenerse al día con el estado del comercio electrónico y las amenazas cibernéticas más sofisticadas.

A continuación, profundizamos en la cronología del PCI DSS desde su creación y damos un vistazo a lo que está por venir.

• Diciembre 2004: Se presenta el PCI DSS 1.0.
• Septiembre 2006: El PCI DSS v1.1 requiere cortafuegos para aplicaciones orientadas a la web y que el código de las aplicaciones personalizadas sea revisado profesionalmente.
• Octubre 2008: El PCI DSS v1.2 incluye nuevos requisitos de software antivirus y defensa de redes inalámbricas.
• Agosto 2009: El PCI DSS v1.2.1 proporciona claridad y consistencia entre los estándares y la documentación.
• Octubre 2010: El PCI DSS v2.0 introduce pautas de cifrado de datos y restricciones de acceso de usuarios.
• Noviembre 2013: El PCI DSS v3.0 proporciona información sobre tecnologías emergentes basadas en la nube y pautas sobre pruebas de penetración.
• Abril 2015: El PCI DSS v3.1 proporciona una actualización a corto plazo para permitir que los comerciantes y proveedores de servicios realicen actualizaciones de cumplimiento para prepararse para el PCI DSS v3.2.
• Abril 2016: El PCI DSS v3.2 introduce pautas sobre autenticación multifactor (MFA) y escaneos internos y externos.
• Mayo 2018: El PCI DSS v3.2.1 proporciona aclaraciones y revisa algunos de los requisitos estándar en el PCI DSS 1.0 original.
• Marzo 2022: PCI DSS v4.0 incluye requisitos MFA ampliados, roles y responsabilidades claramente definidos para cada requisito, y nuevos requisitos de comercio electrónico y phishing para abordar las amenazas continuas.
• Marzo 2024: PCI DSS v3.2.1 será retirado y reemplazado por la versión 4.0.*
• Marzo 2025: Los requisitos de PCI DSS v4.0 con fecha futura se volverán oficialmente efectivos.*

*Nota: Estas fechas están basadas en proyecciones del PCI SSC y pueden estar sujetas a cambios.

Estándares adicionales del PCI SSC

A lo largo de los años, el PCI SSC ha lanzado estándares adicionales que cubren aspectos de la seguridad de los titulares de tarjetas que no están incluidos en el PCI DSS.

Estándar de Seguridad de Datos de Aplicaciones de Pago (PA-DSS)

PA-DSS fue creado para proporcionar pautas de seguridad que ayuden a empresas como proveedores de software a crear aplicaciones de pago que cumplan con los requisitos para comerciantes y proveedores de servicios.

A diferencia del PCI DSS, que requiere el cumplimiento de todas las empresas que almacenan, procesan y transmiten datos de tarjetahabientes, PA-DSS solo se aplica a las empresas que crean y venden aplicaciones de pago.

PCI SSC ha anunciado que PA-DSS será retirado en octubre de 2022 y será reemplazado por el Marco de Seguridad de Software del PCI (SSF). Este marco pondrá un mayor énfasis en las prácticas de seguridad en torno al software de transacciones con tarjetas.

Seguridad de Transacciones PIN de la Industria de Tarjetas de Pago (PCI PTS)

Los dispositivos de Seguridad de Transacciones PIN (PTS) se utilizan en el punto de interacción (POI) para capturar datos del tarjetahabiente y validar la aprobación para su uso durante la transacción.

PCI PTS describe los requisitos contra los cuales se evalúan los productos de los proveedores para obtener la aprobación del dispositivo POI.

Los estándares PCI PTS se actualizan cada tres años. Durante estos ciclos, los dispositivos PTS se envían a laboratorios de terceros para su evaluación según los requisitos actuales de PCI PTS. Una vez aprobados, se emite una Carta de Aprobación (LOA) para demostrar el cumplimiento con la versión actual de PCI PTS.

Estándar de Cifrado Punto a Punto de la Industria de Tarjetas de Pago (PCI P2PE)

Este estándar define los requisitos sobre cómo las empresas deben cifrar de manera segura los datos del titular de la tarjeta y gestionar los dispositivos de cifrado y descifrado.

Cómo ha evolucionado PCI

Desde su primera introducción en 2004, PCI DSS ha crecido para incluir muchas actualizaciones que se ajustan a los avances tecnológicos y de seguridad como los cortafuegos y el software antivirus.

Las actualizaciones del PCI DSS también han enfatizado la importancia del cumplimiento de PCI, poniendo de relieve las prácticas de seguridad internas y la capacitación en conciencia de seguridad para los empleados.

El PCI SSC está en medio de una nueva actualización de versión —PCI DSS v4.0— que se espera entre en vigor en el primer trimestre de 2024. Sin embargo, algunos de los nuevos requisitos no serán obligatorios hasta el 31 de marzo de 2025.

El nuevo estándar se lanzó oficialmente el 31 de marzo de 2022 y permitirá a los comerciantes y proveedores de servicios tiempo para realizar los ajustes necesarios hasta que la versión actual (PCI DSS v3.2.1) sea retirada el 31 de marzo de 2024.

PCI DSS v4.0 incluye una variedad de cambios que buscan mantenerse al día con las amenazas y tecnologías emergentes. Los cambios más notables incluyen:

• Requisitos de contraseña actualizados
• Requisitos de autenticación multifactor (MFA) ampliados
• Roles y responsabilidades claramente definidos para cada requisito
• Nuevos requisitos para comercio electrónico y phishing para abordar las amenazas continuas

Al igual que muestra la historia de PCI, el futuro del cumplimiento seguirá evolucionando junto con las nuevas tecnologías y opciones de pago.

Empresas como Secureframe pueden ayudar a garantizar que su negocio esté al día con las últimas versiones de PCI DSS.

Con expertos en PCI DSS en el personal, se le notificará sobre cualquier actualización del PCI SSC que pueda afectarlo. La recolección automática de evidencia de Secureframe enviará alertas en tiempo real para cualquier no conformidad, para que pueda mantener el cumplimiento de PCI con menos estrés en su equipo.

Solicite una demostración hoy para ver cómo Secureframe puede ayudarlo a obtener y mantener el cumplimiento de PCI durante años.