PCI DSS (Payment Card Industry Data Security Standard) es un conjunto de estándares de seguridad diseñados para asegurar que todas las empresas que procesan, almacenan o transmiten información de tarjetas de crédito mantengan un entorno seguro.

¿Qué es PCI DSS?

PCI DSS es un estándar de seguridad de datos desarrollado por las principales marcas de tarjetas de crédito (Visa, MasterCard, American Express, Discover, JCB) para proteger la información de tarjetas de pago contra el fraude y el robo de datos.

Estructura del Estándar

12 Requisitos Principales

1. Instalar y mantener una configuración de firewall

• 1.1: Establecer y mantener políticas y procedimientos de firewall
• 1.2: Construir una configuración de firewall que restrinja el tráfico
• 1.3: Prohibir el acceso directo entre Internet y cualquier componente del sistema
• 1.4: Instalar firewall personal en todos los dispositivos móvil

2. No usar contraseñas por defecto del sistema

• 2.1: Cambiar contraseñas por defecto del sistema
• 2.2: Desarrollar políticas de configuración para sistemas
• 2.3: Encriptar todas las contraseñas no por defecto
• 2.4: Deshabilitar cuentas innecesarias

3. Proteger datos de titulares de tarjetas almacenados

• 3.1: Limitar el almacenamiento de datos de titulares de tarjetas
• 3.2: No almacenar datos de autenticación sensibles
• 3.3: Enmascarar PAN cuando se muestre
• 3.4: Renderizar PAN irrecuperable en cualquier lugar donde se almacene
• 3.5: Documentar y implementar procedimientos para proteger claves
• 3.6: Completamente documentar y implementar todos los aspectos de la gestión de claves

4. Encriptar transmisión de datos de titulares de tarjetas

• 4.1: Usar protocolos seguros para transmitir datos sensibles
• 4.2: No enviar PAN sin cifrar por tecnologías de mensajería
• 4.3: Asegurar que las políticas de seguridad estén documentadas

5. Usar y actualizar regularmente software antivirus

• 5.1: Desplegar software antivirus en todos los sistemas
• 5.2: Asegurar que el software antivirus esté actualizado
• 5.3: Asegurar que el software antivirus esté activo y ejecutándose

6. Desarrollar y mantener sistemas y aplicaciones seguros

• 6.1: Establecer un proceso para identificar vulnerabilidades
• 6.2: Asegurar que todos los sistemas tengan los parches más recientes
• 6.3: Desarrollar aplicaciones seguras siguiendo prácticas seguras
• 6.4: Seguir prácticas seguras de desarrollo
• 6.5: Abordar vulnerabilidades comunes de codificación
• 6.6: Para aplicaciones web públicas, proteger contra vulnerabilidades

7. Restringir el acceso a datos de titulares de tarjetas

• 7.1: Limitar el acceso a datos de titulares de tarjetas
• 7.2: Establecer un sistema de acceso basado en roles
• 7.3: Restringir el acceso físico a datos de titulares de tarjetas

8. Asignar un ID único a cada persona con acceso a computadoras

• 8.1: Asignar un ID único a cada persona con acceso
• 8.2: Verificar la identidad de cada persona con acceso
• 8.3: Controlar la adición, eliminación y modificación de IDs de usuario
• 8.4: Revocar o modificar inmediatamente el acceso de usuarios
• 8.5: No usar IDs de grupo o compartidos
• 8.6: Restringir el acceso físico a datos de titulares de tarjetas

9. Restringir el acceso físico a datos de titulares de tarjetas

• 9.1: Usar controles de acceso físico apropiados
• 9.2: Desarrollar procedimientos para facilitar el acceso físico
• 9.3: Asegurar que todos los medios físicos estén protegidos
• 9.4: Mantener un inventario de todos los medios físicos
• 9.5: Asegurar que los medios físicos estén destruidos cuando sea apropiado

10. Rastrear y monitorear todo el acceso a recursos de red

• 10.1: Implementar procedimientos de auditoría
• 10.2: Automatizar los procesos de auditoría
• 10.3: Proteger los datos de auditoría contra modificaciones
• 10.4: Revisar los logs de auditoría al menos diariamente
• 10.5: Sincronizar todos los relojes del sistema
• 10.6: Implementar procedimientos para responder a fallas de auditoría

11. Probar regularmente sistemas y procesos de seguridad

• 11.1: Probar la presencia de puntos de acceso inalámbricos
• 11.2: Ejecutar escaneos de vulnerabilidades externos e internos
• 11.3: Implementar un programa de gestión de vulnerabilidades
• 11.4: Usar herramientas de detección de intrusiones
• 11.5: Desplegar herramientas de detección de intrusiones
• 11.6: Implementar un programa de gestión de vulnerabilidades

12. Mantener una política que aborde la seguridad de la información

• 12.1: Establecer, publicar, mantener y difundir una política de seguridad
• 12.2: Implementar un programa de concienciación sobre seguridad
• 12.3: Desarrollar políticas de uso aceptable
• 12.4: Asegurar que la política de seguridad esté documentada
• 12.5: Asignar responsabilidades de seguridad de la información
• 12.6: Implementar un programa de concienciación sobre seguridad

Niveles de Cumplimiento

Nivel 1

• Criterio: Más de 6 millones de transacciones Visa/MasterCard por año
• Requisitos: Auditoría anual por QSA (Qualified Security Assessor)
• Reporte: Report on Compliance (ROC)

Nivel 2

• Criterio: 1-6 millones de transacciones Visa/MasterCard por año
• Requisitos: Evaluación anual por QSA o SAQ (Self-Assessment Questionnaire)
• Reporte: ROC o SAQ

Nivel 3

• Criterio: 20,000-1 millón de transacciones Visa/MasterCard por año
• Requisitos: SAQ anual
• Reporte: SAQ

Nivel 4

• Criterio: Menos de 20,000 transacciones Visa/MasterCard por año
• Requisitos: SAQ anual
• Reporte: SAQ

Tipos de SAQ (Self-Assessment Questionnaire)

SAQ A

• Uso: Procesadores de terceros únicamente
• Requisitos: No almacenan, procesan o transmiten datos de tarjetas

SAQ A-EP

• Uso: Comerciantes con sitios web que no recopilan datos de tarjetas
• Requisitos: Sitios web que redirigen a procesadores de terceros

SAQ B

• Uso: Comerciantes con terminales de punto de venta únicamente
• Requisitos: Terminales conectados por línea telefónica o IP

SAQ B-IP

• Uso: Comerciantes con terminales de punto de venta únicamente
• Requisitos: Terminales conectados por IP

SAQ C-VT

• Uso: Comerciantes con terminales virtuales únicamente
• Requisitos: Terminales virtuales basados en web

SAQ C

• Uso: Comerciantes con aplicaciones de pago únicamente
• Requisitos: Aplicaciones de pago conectadas a Internet

SAQ D

• Uso: Todos los demás comerciantes
• Requisitos: Cumplimiento completo de PCI DSS

Datos Protegidos

Datos de Titular de Tarjeta

• PAN: Primary Account Number (Número de cuenta principal)
• Nombre del titular: Nombre del titular de la tarjeta
• Fecha de expiración: Fecha de expiración de la tarjeta
• Código de servicio: Código de servicio de la tarjeta

Datos de Autenticación Sensibles

• CVV/CVC: Card Verification Value/Code
• PIN: Personal Identification Number
• Datos de banda magnética: Datos completos de la banda magnética
• Datos de chip: Datos del chip EMV

Beneficios del Cumplimiento

Seguridad

• Protección de datos: Protección de datos de titulares de tarjetas
• Prevención de fraudes: Reducción del riesgo de fraude
• Gestión de riesgos: Mejor gestión de riesgos de seguridad
• Confianza: Mayor confianza de los clientes

Comerciales

• Acceso a pagos: Mantener capacidad de procesar pagos
• Reducción de multas: Evitar multas por incumplimiento
• Ventaja competitiva: Ventaja competitiva en el mercado
• Reputación: Protección de la reputación de la marca

Operacionales

• Eficiencia: Mejora de procesos de seguridad
• Estándares: Implementación de mejores prácticas
• Auditoría: Procesos de auditoría estructurados
• Mejora continua: Proceso de mejora continua

Implementación del Estándar

Fase 1: Evaluación

• Inventario: Inventario de sistemas y datos
• Evaluación: Evaluación de cumplimiento actual
• Brechas: Identificación de brechas de cumplimiento
• Riesgos: Evaluación de riesgos de seguridad

Fase 2: Planificación

• Roadmap: Plan de implementación
• Recursos: Asignación de recursos
• Cronograma: Cronograma de implementación
• Presupuesto: Planificación presupuestaria

Fase 3: Implementación

• Controles: Implementación de controles de seguridad
• Procesos: Establecimiento de procesos
• Capacitación: Capacitación del personal
• Documentación: Documentación de políticas y procedimientos

Fase 4: Validación

• Auditoría: Auditoría de cumplimiento
• Pruebas: Pruebas de seguridad
• Certificación: Certificación de cumplimiento
• Mantenimiento: Mantenimiento del cumplimiento

Herramientas y Recursos

Herramientas de Evaluación

• PCI DSS Self-Assessment Questionnaire: Cuestionario de autoevaluación
• PCI DSS Prioritized Approach: Enfoque priorizado
• PCI DSS Quick Reference Guide: Guía de referencia rápida
• PCI DSS Implementation Guide: Guía de implementación

Herramientas de Seguridad

• Network Scanners: Escáneres de red
• Vulnerability Scanners: Escáneres de vulnerabilidades
• File Integrity Monitoring: Monitoreo de integridad de archivos
• Log Management: Gestión de logs

Casos de Uso

Comercio Electrónico

• Tiendas online: Sitios web de comercio electrónico
• Marketplaces: Plataformas de mercado
• Subscripciones: Servicios de suscripción
• Donaciones: Plataformas de donaciones

Punto de Venta

• Tiendas físicas: Terminales de punto de venta
• Restaurantes: Sistemas de punto de venta de restaurantes
• Gasolineras: Terminales de gasolineras
• Farmacias: Sistemas de farmacias

Servicios Financieros

• Bancos: Procesamiento de pagos bancarios
• Fintech: Empresas de tecnología financiera
• Procesadores: Procesadores de pagos
• Adquirentes: Adquirentes de pagos

Mejores Prácticas

Implementación

1. Compromiso ejecutivo: Obtener compromiso de la dirección
2. Evaluación completa: Realizar evaluación exhaustiva
3. Planificación detallada: Desarrollar plan detallado
4. Implementación gradual: Implementar gradualmente
5. Monitoreo continuo: Monitorear continuamente

Mantenimiento

1. Auditorías regulares: Realizar auditorías regulares
2. Capacitación continua: Capacitación continua del personal
3. Actualizaciones: Mantener actualizado el cumplimiento
4. Mejora continua: Mejora continua del programa
5. Documentación: Mantener documentación actualizada

Conceptos Relacionados

• Compliance - Cumplimiento normativo
• ISO 27001 - Estándar complementario
• NIST - Framework de ciberseguridad
• SGSI - Sistema de gestión relacionado
• Evaluación de Riesgos - Proceso fundamental
• Auditorías - Verificación de cumplimiento
• CISO - Rol responsable de implementación
• Monitoreo y Revisión - Control continuo

Referencias

• PCI Security Standards Council
• PCI DSS Requirements and Security Assessment Procedures
• PCI DSS Quick Reference Guide
• PCI DSS Self-Assessment Questionnaire
• PCI DSS Implementation Guide

Glosario

• PAN: Primary Account Number
• CVV/CVC: Card Verification Value/Code
• PIN: Personal Identification Number
• QSA: Qualified Security Assessor
• SAQ: Self-Assessment Questionnaire
• ROC: Report on Compliance
• AOC: Attestation of Compliance
• PCI SSC: PCI Security Standards Council