Saber si necesita cumplir con PCI DSS es relativamente sencillo. Si usted es un comerciante o proveedor de servicios que gestiona transacciones con tarjetas y datos de tarjetas, lo más probable es que PCI DSS se aplique a usted. Pero saber exactamente qué debe hacer para cumplir no es tan sencillo.
PCI DSS contiene 12 requisitos para el manejo seguro de los datos de las tarjetas, incluida la manutención de una red segura, que se dividen en 6 objetivos. Debe cumplir con todos estos requisitos para lograr la conformidad.
Si está buscando instrucciones para cumplir con PCI DSS, siga leyendo. Este artículo explica los 12 requisitos esenciales de cumplimiento de PCI en una guía rápida y sencilla.
Los 6 principios de cumplimiento de PCI DSS
Estos 12 requisitos de PCI DSS corresponden a seis principios principales de cumplimiento de PCI, que son:
- Establecer y mantener una red y sistemas seguros
- Proteger los datos de las tarjetas
- Mantener un programa de gestión de vulnerabilidades
- Implementar medidas de control de acceso estrictas
- Supervisar y probar redes regularmente
- Mantener una política de seguridad de la información
Cuando se cumplan todas estas condiciones, el entorno de datos del titular de la tarjeta y los servicios incluidos en el alcance se considerarán conformes con PCI.
Los 12 requisitos de PCI DSS
Los requisitos de PCI DSS no solo fortalecen el entorno de datos del titular de la tarjeta (CDE), sino también la postura de seguridad general de una empresa.
Lista de requisitos de PCI:
- Instalar y mantener controles de seguridad de la red
- Aplicar configuraciones seguras para todos los componentes del sistema
- Proteger los datos de cuentas almacenados
- Proteger los datos de las tarjetas durante la transmisión a través de redes públicas abiertas con criptografía fuerte
- Proteger todos los sistemas y redes contra software malicioso
- Desarrollar y mantener sistemas y software seguros
- Restringir el acceso a los componentes del sistema y a los datos de las tarjetas según el principio de necesidad
- Identificar a los usuarios y autenticar el acceso a los componentes del sistema
- Restringir el acceso físico a los datos de las tarjetas
- Registrar y supervisar el acceso a los componentes del sistema y a los datos de las tarjetas
- Probar regularmente la seguridad de los sistemas y redes
- Apoyar la seguridad de la información con políticas y programas organizativos
Es importante tener en cuenta que el estándar PCI DSS ha sido actualizado a medida que la tecnología y las amenazas evolucionan.
En 2022, el consejo de PCI anunció la próxima versión del PCI DSS, v4.0, que entrará en vigor después del 31 de marzo de 2025. PCI DSS v4.0 introduce tanto nuevos requisitos como varios cambios en los actuales. Estos se detallan a continuación.
Lectura recomendada
Requisitos de PCI DSS 4.0: Una visión profunda de los últimos cambios y cómo afectan a su empresa
Read MoreResumen de los Requisitos del PCI
Puede considerar los 12 requisitos del PCI DSS como una especie de hoja de ruta que describe todas las políticas, procedimientos e implementaciones necesarias para lograr el cumplimiento.
A continuación, explicaremos el propósito de cada uno de los 12 requisitos.
Requisito 1: Instalar y mantener controles de seguridad de red
Hoy en día, muchas transacciones se realizan virtualmente a través de Internet y el comercio electrónico. Sin una seguridad adecuada, los usuarios no autorizados pueden acceder a las redes de pago.
El requisito 1 aborda este problema al exigir a las empresas que mantengan una red segura con cortafuegos.
Los cortafuegos controlan el tráfico de entrada y salida en su red y filtran el acceso no autorizado a sus datos, asegurando que los datos del titular de la tarjeta solo se compartan con conexiones de confianza.
Para cumplir con este requisito, las empresas deben instalar y configurar cortafuegos y crear reglas que determinen qué tráfico se permite en la red. El requisito 1 también exige que las empresas revisen las reglas de configuración cada seis meses, incluyendo controles de seguridad de red adicionales.
Requisito 2: Aplicar configuraciones seguras para todos los componentes del sistema
A menudo, los dispositivos y equipos de red vienen con contraseñas y configuraciones predeterminadas.
Las contraseñas y configuraciones predeterminadas de la mayoría de los dispositivos de red son a menudo de conocimiento general, lo que facilita a los hackers el acceso a sus dispositivos. PCI DSS requiere que las empresas no utilicen contraseñas predeterminadas y las cambien antes de que un sistema se instale en su red.
Requisito 3: Proteger los datos de las cuentas almacenadas
Este requisito describe los pasos específicos que las empresas deben tomar para proteger los datos del titular de la tarjeta almacenados, ya sea impresos, almacenados localmente o en una base de datos.
Los datos del titular de la tarjeta pueden referirse a toda la información en una tarjeta de pago, como PINs, datos PAN y datos de autenticación sensibles.
PCI DSS establece qué se puede almacenar y qué no después de la autorización con respecto a los datos del titular de la tarjeta.
Se permite almacenar:
- Números de cuenta personales (PAN)
- Nombres de titulares de tarjetas
- Fechas de vencimiento
No se permite almacenar:
- Datos de la banda magnética
- PINs
- CVV
El requisito también especifica que las empresas solo deben almacenar los datos de la tarjeta que sean necesarios para cumplir con las necesidades comerciales. Todos los datos que almacene deben estar cifrados con procedimientos de cifrado estándar de la industria, como el cifrado AES de 256 bits.
Requisito 4: Proteger los datos del titular de la tarjeta durante la transmisión a través de redes abiertas y públicas con criptografía fuerte
Este requisito tiene como objetivo proteger los datos del titular de la tarjeta cuando se transmiten a través de redes abiertas y públicas, como Internet.
Si los datos del titular de la tarjeta deben intercambiarse a través de redes abiertas y públicas, las empresas deben usar tecnologías de cifrado fuertes para proteger los datos de usuarios no autorizados.
PCI DSS también establece que las empresas nunca deben enviar el PAN sin protección a través de mensajes de usuario final como correos electrónicos, mensajería instantánea, SMS y chat.
Requisito 5: Proteger todos los sistemas y redes contra el software malicioso
El software malicioso o malware puede ingresar a una red a través de correos electrónicos, manipulación social, instalaciones de archivos maliciosos, u otras actividades en línea. Para proteger los datos del titular de la tarjeta contra tales amenazas, se debe instalar y actualizar regularmente el software antivirus.
El requisito 5 describe pasos específicos que las empresas deben tomar para protegerse contra el malware, incluyendo:
- Instalar software antivirus en todos los sistemas que comúnmente son afectados por malware
- Asegurarse de que el software antivirus realice escaneos regulares y cree registros de auditoría
- Asegurarse de que el software antivirus no pueda ser alterado o desactivado por los usuarios
Requisito 6: Desarrollar y mantener sistemas y software seguros
El objetivo del requisito 6 es asegurarse de que se cuente con un proceso para gestionar el software dentro de su CDE. Este requisito incluye todas las aplicaciones en su entorno que están dentro del alcance.
PCI DSS también pide a las empresas que instalen parches de seguridad a tiempo para proteger los datos del titular de la tarjeta. El requisito también incluye controles para las mejores prácticas de desarrollo de software, con el fin de prevenir vulnerabilidades.
Requisito 7: Restringir el acceso a los componentes del sistema y a los datos del titular de la tarjeta a lo necesario para el negocio
Los controles de acceso permiten a una empresa determinar qué usuarios están autorizados para acceder a datos del titular de la tarjeta o a sistemas que pueden impactar estos datos. Como regla general, PCI DSS establece que la autorización debe basarse en la necesidad de saber.
El requisito 7 dice que una empresa debe restringir el acceso a los datos del titular de la tarjeta solo a los empleados que necesiten la información para realizar sus funciones.
Requisito 8: Identificar a los usuarios y autenticar el acceso a los componentes del sistema
PCI DSS también requiere que las empresas asignen una identificación única a cada empleado con acceso a los componentes del sistema. Esto permite a la empresa llevar un historial en caso de una violación de datos sobre quién accedió a varios aspectos de los datos del titular de la tarjeta o de los sistemas relacionados.
El requisito 8 también requiere una autenticación multifactorial y cifrado de contraseñas para proteger aún más las cuentas de usuario.
Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta
El propósito de este requisito es restringir el acceso físico a los datos del titular de la tarjeta o a los sistemas que impactan estos datos solo al personal que necesita acceso a los sistemas para realizar sus tareas. PCI DSS también requiere que las empresas distingan claramente al personal en el sitio de los visitantes, por ejemplo, a través de identificaciones.
El requisito 9 también describe los pasos que las empresas deben tomar para asegurar los medios, es decir, todos los medios en papel y electrónicos que contienen datos de titulares de tarjetas. Esto incluye también asegurar las copias de seguridad de los medios en una ubicación segura externa y destruir los medios cuando ya no se necesiten.
Requisito 10: Registro y monitoreo de todos los accesos a los componentes del sistema y a los datos de los titulares de tarjetas
El requisito 10 se centra en el registro y la trazabilidad de las acciones a una cuenta individual. Esto ayuda a una empresa a identificar rápidamente la fuente de una solicitud maliciosa o un ataque.
Las empresas están obligadas a implementar registros de auditoría automatizados que monitoreen ciertos eventos y envíen notificaciones al personal para su revisión diaria. Las empresas también deben asegurarse de que los registros de auditoría no puedan ser modificados.
Requisito 11: Probar regularmente la seguridad de los sistemas y redes
El propósito del requisito 11 es garantizar la seguridad continua de los sistemas internos y externos mediante pruebas regulares.
Estas pruebas incluyen escaneos trimestrales de vulnerabilidades de red y pruebas de penetración anuales. También se deben emplear técnicas de detección o prevención de intrusiones en la red para detectar o prevenir intrusiones en la red.
Requisito 12: Apoyar la seguridad de la información mediante políticas y programas organizacionales
El último requisito del PCI DSS requiere que las empresas creen y mantengan una política de seguridad de la información que influya en las prácticas de seguridad en toda la empresa.
Este requisito también exige a las empresas:
- Desarrollar un programa de concienciación sobre seguridad
- Realizar verificaciones de antecedentes a empleados potenciales
- Implementar un plan de respuesta a incidentes
- Llevar a cabo un programa anual de evaluación de riesgos
- Crear una política de uso de tecnologías
- Definir las responsabilidades de los empleados en cuanto a seguridad de la información
- Asignar responsabilidades específicas para la protección de los datos de los titulares de tarjetas
Preguntas Frecuentes
¿Cuáles son los 12 requisitos del PCI DSS?
Los 12 requisitos del PCI DSS son:
- Instalar y mantener controles de seguridad de red
- Aplicar configuraciones seguras para todos los componentes del sistema
- Proteger los datos almacenados de cuentas
- Proteger los datos de los titulares de tarjetas con criptografía robusta durante la transmisión a través de redes abiertas y públicas
- Proteger todos los sistemas y redes contra software malicioso
- Desarrollar y mantener sistemas y software seguros
- Restringir el acceso a componentes del sistema y datos de titulares de tarjetas según la necesidad
- Identificar a los usuarios y autenticar el acceso a componentes del sistema
- Restringir el acceso físico a los datos de los titulares de tarjetas
- Registrar y monitorear todos los accesos a componentes del sistema y datos de titulares de tarjetas
- Probar regularmente la seguridad de los sistemas y redes
- Apoyar la seguridad de la información mediante políticas y programas organizacionales
¿Qué significa PCI?
PCI significa Payment Card Industry (Industria de Tarjetas de Pago). Esta industria está compuesta por todas las diferentes organizaciones que son responsables de almacenar, procesar y transmitir datos de titulares de tarjetas, incluyendo datos de tarjetas de crédito y débito.
¿Qué es el cumplimiento PCI y es necesario?
El cumplimiento PCI significa que una organización que está dentro del alcance del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) cumple con los requisitos y mantiene los controles de seguridad aplicables para proteger los datos de los titulares de tarjetas. El cumplimiento PCI es necesario para comerciantes y proveedores de servicios que almacenan, procesan, transmiten o pueden influir en la seguridad de estos datos.