Entender qué requisitos de PCI DSS se aplican a su empresa y qué nivel de cumplimiento necesita es complejo. Esta complejidad hace que sea difícil estimar los costos reales de cumplimiento de PCI sin una conversación directa con un QSA.
Una pequeña empresa con menos de 20 usuarios tendrá costos mucho más bajos que una empresa global con más de 500 usuarios. Una empresa que califica para un SAQ pagará mucho menos que una empresa que necesita una certificación in situ de nivel 1.
A continuación, enumeramos los costos típicos asociados con el cumplimiento de PCI DSS, desde la preparación para su certificación hasta el mantenimiento anual, para ayudarle a determinar un presupuesto realista.
¿Cuánto cuesta cumplir con PCI DSS?
PCI DSS no es un marco unificado. El nivel de cumplimiento que necesita se basa en factores como:
- El tamaño y tipo de su organización
- El número de transacciones que procesa cada año
- Los requisitos de sus clientes y del banco que acepta las transacciones
Por lo tanto, no debería sorprender que los costos de cumplimiento de PCI DSS varíen considerablemente según estos factores. Una empresa global que procesa millones de transacciones con tarjeta de crédito cada año tendrá un esfuerzo de cumplimiento mucho mayor que una pequeña tienda en línea.
Su grado de preparación para PCI DSS es otro gran factor que influye en los costos de PCI. Cuanto más trabajo tenga que hacer para alinear sus políticas, procesos y configuraciones del sistema, más caros serán sus costos de certificación totales.
Con estos factores en mente, echemos un vistazo a una estimación de los costos de cumplimiento de PCI para una gran empresa y una pequeña empresa.
Costos promedio de cumplimiento de PCI
En promedio, una gran empresa que procesa millones de pagos al año puede esperar gastar entre $50-200K para completar un Reporte de Cumplimiento (RoC). Una pequeña empresa que complete un SAQ y una Certificación de Cumplimiento (AoC) probablemente pagará $20K o menos en costos anuales de cumplimiento de PCI.
Costos Típicos de Cumplimiento PCI DSS
Aunque el rango de precios es considerable, es probable que todas las organizaciones que buscan una certificación PCI tengan algunos de los mismos costos. A continuación, enumeramos algunos costos típicos de la preparación para el cumplimiento PCI, su logro y su mantenimiento.
Costes de preparación
Los costos de cumplimiento no solo incluyen su auditoría de certificación. Debe considerar los costos de alinear sus sistemas con los requisitos de PCI DSS, lo cual puede implicar la capacitación del personal, actualizaciones de software y hardware, y el desarrollo de políticas.
Seguridad de la red como Cloudflare ($200 por mes y más) o un IDS/IPS ($500 y más)
PCI DSS requiere que tenga una red segura, que puede incluir cosas como protección de firewall, un sistema de detección o prevención de intrusiones y mitigación de DDoS.
También debe asignar recursos internos para asegurarse de que su red esté continuamente monitoreada y que las alertas de seguridad se rastreen las 24 horas del día.
Cifrado de datos: Costos de productividad
PCI DSS se trata de proteger los datos del titular de la tarjeta. El estándar de cumplimiento requiere que cifre todos los datos de pago almacenados. Debe planificar recursos internos o considerar los costos de utilizar un proveedor de servicios para almacenar datos de pago cifrados.
Software antivirus: 30 USD anuales por dispositivo
El software antivirus está diseñado para detectar y eliminar virus y otro malware en sus laptops y servidores. La mayoría de los programas antivirus comerciales, como Norton o Kaspersky, se facturan como una suscripción anual o mensual y son un costo continuo. También suelen tener un precio por dispositivo, por lo que los costos totales pueden variar significativamente para empresas de diferentes tamaños.
Capacitación de empleados: 20-30 USD por empleado anualmente
Su activo de seguridad más importante no son sus recursos tecnológicos, son sus empleados. Cualquiera que tenga acceso al entorno de datos del titular de la tarjeta o pueda afectar la seguridad de esos datos debe recibir capacitación sobre conciencia de seguridad para comprender su papel y responsabilidades en la protección de esos datos.
Los desarrolladores también deben completar una capacitación en codificación segura anualmente para asegurarse de que son conscientes de las vulnerabilidades de codificación más comunes y crean código de manera segura. Aquellos involucrados en la respuesta a incidentes o que son parte del equipo de respuesta de seguridad también deben estar capacitados en su capacidad para detectar, mitigar y resolver un incidente de seguridad.
Dado que el panorama de amenazas evoluciona constantemente, se requiere una capacitación en seguridad anual para mantener a los empleados actualizados sobre los riesgos más recientes y las mejores prácticas de seguridad.
Desarrollo de políticas de seguridad: 1.000 USD y costos de productividad
PCI requiere que su equipo desarrolle y mantenga una serie de políticas de seguridad. Si decide usar plantillas de políticas en lugar de comenzar desde cero, la compra podría tener costos adicionales. El costo promedio de un paquete de políticas es de 1.000 USD.
Parte del proceso de desarrollo de políticas también implica poner esas políticas en práctica. Esto significa que debe planificar tiempo para que su equipo revise y reconozca formalmente las nuevas políticas o capacite a los empleados en nuevos procesos.
Dependiendo del estado actual de sus políticas de seguridad, la actualización o desarrollo de nuevas políticas puede resultar en una pérdida significativa de productividad para su equipo y requerir experiencia en los requisitos específicos de políticas y procesos de PCI DSS.
Escaneos de vulnerabilidades: 150-200 USD por IP anualmente para escaneo ASV; 3.000-5.000 USD anualmente para escaneos de vulnerabilidades internos
Un proveedor de escaneo aprobado (ASV) debe realizar escaneos trimestrales de sus sistemas externos para verificar cualquier vulnerabilidad de seguridad. Los ASV son proveedores que han sido evaluados y aprobados por el PCI SSC para realizar escaneos. Puede encontrar una lista de proveedores aprobados compilada por el PCI Security Standards Council (PCI SSC) aquí. Los escaneos internos de vulnerabilidades también deben ser realizados trimestralmente por una persona experimentada en análisis de vulnerabilidades.
Para mantener la conformidad, debe realizar escaneos trimestrales de vulnerabilidades con un proveedor de escaneo aprobado (ASV).
Pruebas de penetración: 3.000-30.000 USD, según el tamaño y la complejidad de la empresa.
Al igual que los escaneos de vulnerabilidades, las pruebas de penetración le ayudan a encontrar vulnerabilidades en su entorno de datos del titular de la tarjeta antes de que puedan ser explotadas por un atacante real. Las pruebas de penetración deben realizarse manualmente, y las pruebas de segmentación deben llevarse a cabo cada seis meses para los proveedores de servicios.
Los probadores de penetración (también conocidos como hackers éticos) buscan específicamente problemas de seguridad que los sistemas de escaneo automatizados pueden no identificar y explotarán cualquier vulnerabilidad encontrada para verificar la magnitud de los problemas de seguridad en su entorno.
Para PCI RoC, SAQ D, SAQ C, SAQ C-VT, SAQ B-IP y SAQ A-EP, se requieren pruebas de penetración anualmente.
Costos de la certificación PCI DSS
Una vez que esté completamente preparado para la certificación PCI DSS, estará listo para un Cuestionario de Autoevaluación o un Informe de Conformidad. Dado que la certificación es válida durante un año, debe planificar estos costos de certificación como una inversión recurrente anual.
Cuestionario de Autoevaluación (SAQ): 15.000-50.000 USD
Un Cuestionario de Autoevaluación (SAQ) es un documento que presenta preguntas paso a paso sobre cada requisito de PCI, lo que le permite determinar su nivel de conformidad en función de su implementación y si esta cumple con los requisitos. A menos que sea un comerciante o proveedor de servicios de nivel 1, su organización califica para un SAQ. Recomendamos obtener el soporte de Secureframe o de un evaluador para calificar y completar su SAQ en su nombre, asegurándose de que el SAQ cumpla con todos los requisitos de sus clientes o bancos adquirentes.
Evaluación de conformidad por un evaluador de seguridad calificado (QSA): $30,000 - $200,000
Los comerciantes y proveedores de servicios de nivel 1 deben someterse a una evaluación de conformidad completa. Al final de su evaluación, el QSA emitirá un Informe de Conformidad (RoC) que describe el entorno de datos del titular de la tarjeta, el nivel de seguridad y el estado de conformidad PCI DSS de su organización. Algunos comerciantes y proveedores de servicios de nivel 2 también deben someterse a una evaluación de terceros.
Su RoC o SAQ es válido por un año, por lo que debe completar el proceso anualmente para mantener la certificación. Los costos de la documentación SAQ y/o la evaluación de seguridad deben asumirse cada año.
Ahorre dinero en la conformidad PCI
La automatización del cumplimiento puede reducir significativamente estos costos al proporcionar una biblioteca de plantillas de políticas de seguridad conformes con PCI, capacitación bajo demanda en concienciación sobre la seguridad para los empleados, recopilación de pruebas automatizada y soporte de un experto en PCI DSS. Descubra cómo puede ser rentable el cumplimiento de PCI con una solución integral como Secureframe.