PCI DSS: seguridad y transparencia en tarjetas de pago

¿Tu empresa cumple con el estándar PCI DSS? Si estás dentro del ecosistema de las tarjetas de pago, debes estar atento a esto

El cobro y pago con tarjetas de crédito y débito es cada vez más común. Si bien antes se consideraba una forma cómoda y segura de pagar, hoy en día hacerlo con ellas parece ser la norma. No es de extrañar; los adelantos tecnológicos y el desarrollo de aplicaciones las necesitan. Además, es una forma más segura y eficiente de administrar el dinero. Ante esto, las empresas necesitan ser responsables con los datos y la seguridad de los tarjetahabientes. Ahí es donde entra el estándar PCI DSS.

El Payment Card Industry Data Security Standard, conocido como PCI DSS por sus siglas en inglés, se desarrolló por el PCI SSC (Payment Card Industry Security Standards Council). Este es un comité conformado por las compañías de tarjetas más importantes, tanto de crédito como de débito. Existe para que todas las empresas que manejan información sensible se vean obligados a mantener un ambiente seguro al momento de procesar o transmitir datos de esas tarjetas. De este modo, el PCI SSC se asegura de que los usuarios no tengan que enfrentarse a fraudes, robos de identidad y otros dolores de cabeza por mal uso de información privada.


¿Por qué nace el Payment Card Industry Data Security Standard?

El comité nació como consecuencia de todos los robos y fraudes que empezaron a ocurrir en el 2000 y en adelante. Si no se hacía algo para regular esas inseguridades, el futuro de las tarjetas de crédito y débito iba a estar en riesgo. El cumplimiento de este estándar se aplica no solo para las grandes empresas, sino también para los pequeños negocios que permiten pagos con tarjetas de crédito. Nadie está libre, y es una buena medida para que los usuarios de tarjetas estén protegidos.


¿Cuáles son los datos que protege el PCI DSS?


El estándar se enfoca en la protección de los datos del titular de la tarjeta tanto como de los datos confidenciales de autenticación. Es decir que este estándar protege lo siguiente:

  1. El número primario de cuenta (PAN)
  2. El nombre del titular de la tarjeta
  3. La fecha de expiración de la tarjeta
  4. El código de servicio
  5. Datos completos de la banda magnética o del chip
  6. CAV2/CVC2/CVV2/CID
  7. El número de identificación personal (PIN)


¿Cómo puedo crear una red segura que cumpla con el estándar?


El estándar PCI DSS tiene seis categorías, 12 requisitos, 200 controles y 250 procedimientos que garantizan que los datos en las tarjetas sean confidenciales. Los 12 requisitos son los siguientes:


Construir y mantener una red segura

  1. Instalar y mantener una configuración firewall para proteger los datos.
  2. No usar contraseñas o valores predeterminados suministrados por los proveedores.

Proteger los datos de los titulares de las tarjetas

  1. Proteger siempre la información personal de los propietarios de las tarjetas.
  2. Cifrar la transmisión de datos e información confidencial de los titulares a través de redes públicas abiertas.


Establecer un programa de gestión de vulnerabilidades

  1. Tener un antivirus instalado y regularizado de forma constante.
  2. Desarrollar aplicaciones seguras y mantener sistemas igualmente seguros.


Medidas de control de acceso

  1. Limitar el acceso a la información y darla solo a empresas que la necesiten.
  2. Asignar una identificación única a cada persona con acceso al sistema o dispositivo.
  3. Restringir el acceso físico de los datos a los propietarios de la tarjeta.


Monitorizar y testar regularmente las redes

  1. Rastrear y monitorizar el acceso a los recursos de red y datos del titular.
  2. Realizar pruebas en los sistemas y procesos de seguridad de forma habitual; mantener una política de seguridad de la información actualizada.
  3. Crear una política que contemple y mantenga actualizada los aspectos relacionados con seguridad de la información.

¿Cómo se sabe que una empresa cumple el PCI DSS?


Las empresas tienen que someterse a auditorías periódicas para garantizar que se está cumpliendo con las normas. Existen cuatro niveles de auditoría y estas dependen de la cantidad de transacciones anuales que haga la empresa en cuestión. Si esta hace más de seis millones de transacciones al año, la auditoria de hecho se hace por una empresa avalada por el PCI SSC. Estas empresas suelen ser supermercados, aerolíneas o grandes tiendas de retail u online.


Para otro tipo de empresas, también se puede hacer un cuestionario de autoevaluación. Esto puede aplicar a empresas de nivel 2, 3 y 4, es decir, que no son tan grandes ni tienen tanto número de transacciones anuales como las antes mencionadas. La validez de este reporte es anual, como la auditoría.


La norma también debe aplicarse a proveedores de servicio y entidades financieras. Técnicamente, cualquier compañía que trabaje con tarjetas a cualquier nivel debe pasar por una auditoría. Se puede contactar con auditores acreditados por el PCI SSC, que suelen contar con un certificado (QSA) para hacer las auditorías anuales por nivel y volumen.


Para saber más sobre el estándar PCI DSS, atiende nuestro webinar. Tu empresa necesita estar al tanto de las normas para un funcionamiento óptimo. Haz click aquí para registrarte ¡Te esperamos!