Compliance PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) es un conjunto de requisitos de seguridad mantenido por el PCI Security Standards Council, fundado por Visa, Mastercard, American Express, Discover y JCB. Toda organización que almacena, procesa o transmite datos de titulares de tarjeta debe cumplirlo, independientemente de su tamaño o volumen de transacciones.

El incumplimiento conlleva consecuencias financieras reales. Las marcas de tarjeta pueden imponer multas de $5.000 a $100.000 mensuales a los bancos adquirentes, quienes las trasladan directamente al comercio. Más allá de las multas, una organización no conforme corre el riesgo de perder completamente los privilegios de procesamiento, lo que para la mayoría de los negocios significa la imposibilidad de aceptar tarjetas de crédito.

En caso de un breach de datos, las organizaciones no conformes enfrentan costes de investigación forense, tasas obligatorias de reemisión de tarjetas ($3 a $10 por tarjeta en potencialmente millones de cuentas), sanciones regulatorias y responsabilidad civil. Empresas como Target y Equifax han pagado cientos de millones en costes relacionados con breaches. La inversión en compliance es una fracción de la exposición ante un breach.

Las marcas de tarjeta clasifican a los comercios en cuatro niveles según el volumen anual de transacciones, y cada nivel exige diferentes formas de validación. El Nivel 1 aplica a comercios que procesan más de 6 millones de transacciones al año en todos los canales. Los comercios Nivel 1 deben completar un Report on Compliance (ROC) anual realizado por un Qualified Security Assessor (QSA) y presentar escaneos de red trimestrales por un Approved Scanning Vendor (ASV).

El Nivel 2 cubre comercios que procesan de 1 millón a 6 millones de transacciones anuales. Estos comercios pueden completar un Self-Assessment Questionnaire (SAQ) o someterse a una auditoría QSA, según los requisitos del adquirente. El Nivel 3 aplica a comercios que procesan de 20.000 a 1 millón de transacciones e-commerce al año, validados mediante el SAQ correspondiente.

El Nivel 4 incluye todos los comercios que procesan menos de 20.000 transacciones e-commerce o hasta 1 millón de transacciones no e-commerce al año. A pesar de ser la categoría más pequeña, los comercios Nivel 4 aún deben completar un SAQ y pueden estar obligados a realizar escaneos trimestrales del ASV. Todos los niveles requieren escaneos trimestrales del ASV si el comercio tiene sistemas expuestos a internet.

Importante: cualquier comercio que sufra un breach de datos puede ser elevado al Nivel 1 por las marcas de tarjeta, independientemente del volumen de transacciones. El nivel de compliance es un mínimo, no un máximo.

Los service providers son organizaciones que almacenan, procesan o transmiten datos de titulares de tarjeta en nombre de otras entidades, o que pueden afectar la seguridad de los datos de tarjeta. Esto incluye gateways de pago, proveedores de hosting, servicios gestionados de seguridad, vendors de tokenization y cualquier tercero con acceso a entornos de datos de tarjeta.

Los service providers Nivel 1 procesan o tienen el potencial de impactar más de 300.000 transacciones al año. Deben someterse a una evaluación anual presencial del QSA y producir un Report on Compliance (ROC). Los service providers Nivel 2 gestionan 300.000 o menos transacciones y pueden validar compliance mediante SAQ D para Service Providers.

La distinción entre la clasificación de comercio y la de service provider importa porque algunas organizaciones califican como ambas. Una plataforma SaaS que procesa pagos para sus propios servicios (comercio) y a la vez gestiona pagos en nombre de sus clientes (service provider) debe validar compliance bajo ambas clasificaciones. Clasificar incorrectamente su organización es uno de los errores PCI más comunes y costosos.

El SAQ A es el formulario más sencillo, con aproximadamente 30 requisitos. Aplica a comercios que externalizan completamente todas las funciones de datos de tarjeta a terceros PCI-compliant, sin almacenamiento, procesamiento ni transmisión electrónica en los sistemas del comercio. Si su checkout utiliza una redirección completa a Stripe Checkout, PayPal o una página de pago alojada, el SAQ A es probablemente su camino. Este es el escenario de alcance mínimo.

El SAQ A-EP cubre comercios e-commerce que externalizan parcialmente el procesamiento de pagos pero cuyo sitio web controla cómo se entrega la página de pago (por ejemplo, mediante un iFrame embebido). Incluye aproximadamente 140 requisitos y exige controles más rigurosos porque el servidor web del comercio podría ser comprometido para afectar los datos de pago. El SAQ B aplica a comercios que usan máquinas impresoras o terminales standalone con marcación sin conexión a internet, mientras que el SAQ B-IP cubre terminales conectados por IP.

El SAQ C aplica a comercios con sistemas de aplicación de pago conectados a internet pero sin almacenamiento electrónico de datos de titulares de tarjeta. El SAQ C-VT cubre comercios que introducen manualmente transacciones individuales a través de un terminal virtual en un ordenador aislado. El SAQ P2PE aplica a comercios que usan soluciones validadas de Point-to-Point Encryption (P2PE) listadas en el PCI, con solo unos 33 requisitos, porque el hardware de cifrado elimina casi todo el alcance.

El SAQ D es el más exhaustivo, cubriendo todos los 300+ requisitos del PCI DSS. Aplica a comercios que procesan, almacenan o transmiten directamente datos de titulares de tarjeta y a service providers que no cumplen los criterios del SAQ D para Service Providers. Si sus sistemas tocan números de tarjeta en bruto en cualquier punto, probablemente se encuentra en territorio SAQ D.

Los proveedores de card vault operan en la categoría de mayor alcance. Todo su Cardholder Data Environment (CDE) almacena PANs reales y potencialmente datos de autenticación sensibles. Enfrentan todos los requisitos PCI DSS de service provider Nivel 1, con cientos de controles, pruebas de penetración regulares y auditorías anuales del QSA.

Los gateways de pago y procesadores también entran en alto alcance como service providers Nivel 1. Transmiten y con frecuencia procesan datos de titulares de tarjeta, lo que exige segmentación de red exhaustiva, cifrado y controles de acceso. Los payment facilitators (PayFacs) tienen una responsabilidad singular: deben validar su propia conformidad y asegurar que cada sub-merchant también cumpla los requisitos PCI apropiados a su nivel.

Las empresas que usan Stripe, PayPal, Square o proveedores PCI-compliant similares se benefician de una reducción drástica del alcance. Si su integración usa una redirección completa o campos de pago alojados, su alcance puede ser tan bajo como SAQ A, aproximadamente 30 requisitos. Pasar de una redirección a un iFrame embebido aumenta el alcance a SAQ A-EP. Usar direct post o tokenization client-side donde sus servidores ven datos de tarjeta, aunque sea brevemente, puede llevarle al SAQ D.

Para negocios e-commerce, el alcance aumenta en este orden: redirección completa (menor), iFrame o campos alojados (moderado), tokenization basada en JavaScript (moderado-alto), direct API post (mayor). Elegir la arquitectura de integración correcta antes de construir es mucho más económico que rediseñar después de que un QSA le informe que su alcance es mayor de lo esperado.

La tokenization reemplaza los números reales de tarjeta por tokens no sensibles que no tienen valor explotable si son robados. Implementar tokenization a través de un proveedor PCI-compliant puede reducir sus sistemas en alcance entre un 80% y un 95%. El token es inútil sin acceso al token vault, que permanece dentro del entorno del proveedor, no del suyo.

La segmentación de red aísla el Cardholder Data Environment del resto de su red corporativa. Una segmentación adecuada significa que un breach de su infraestructura de TI general no compromete automáticamente los datos de tarjeta. Sin segmentación, toda su red está en alcance PCI, lo que multiplica tanto el coste de compliance como la complejidad de la auditoría.

Point-to-Point Encryption (P2PE) cifra los datos de titulares de tarjeta en el punto de interacción (el terminal) usando cifrado basado en hardware que impide el descifrado en cualquier lugar del entorno del comercio. Las soluciones P2PE validadas por el PCI reducen el alcance en más del 90% porque el comercio nunca maneja datos de tarjeta legibles. Este es el camino más rápido hacia el alcance mínimo para negocios con presencia física.

Otras estrategias efectivas incluyen minimizar la retención de datos (no almacene lo que no necesita), externalizar funciones de pago a proveedores PCI-compliant y consolidar sistemas de pago para reducir el número de componentes en alcance. Cada sistema que elimine del alcance es un sistema menos que monitorizar, parchear, auditar y defender.

Requisito 1: Instalar y mantener controles de seguridad de red (firewalls, listas de control de acceso y segmentación entre redes de confianza y no confianza). Requisito 2: Aplicar configuraciones seguras a todos los componentes del sistema, eliminando valores por defecto del fabricante y servicios innecesarios. Requisito 3: Proteger los datos de cuenta almacenados mediante cifrado, truncamiento, enmascaramiento y hashing, con gestión rigurosa de claves. Requisito 4: Proteger los datos de titulares de tarjeta con criptografía fuerte durante la transmisión en redes abiertas o públicas, con TLS 1.2 como mínimo.

Requisito 5: Proteger todos los sistemas y redes contra software malicioso usando soluciones anti-malware actualizadas regularmente. Requisito 6: Desarrollar y mantener sistemas y software seguros mediante parcheo, prácticas de codificación segura y gestión de vulnerabilidades. En la v4.0, esto cubre explícitamente software personalizado y a medida con revisiones de código obligatorias o protecciones WAF. Requisito 7: Restringir el acceso a los datos de titulares de tarjeta únicamente al personal con necesidad de negocio documentada.

Requisito 8: Identificar usuarios y autenticar el acceso a los componentes del sistema. PCI DSS v4.0 aumentó la longitud mínima de contraseña a 12 caracteres y amplió los requisitos de multi-factor authentication (MFA) a todo acceso al CDE, no solo al acceso remoto. Requisito 9: Restringir el acceso físico a los datos de titulares de tarjeta y sistemas. Requisito 10: Registrar y monitorizar todo acceso a recursos de red y datos de titulares de tarjeta con logging centralizado y alertas.

Requisito 11: Probar la seguridad de sistemas y redes regularmente mediante escaneos de vulnerabilidad, pruebas de penetración y detección de intrusiones. Requisito 12: Apoyar la seguridad de la información con políticas organizativas, procedimientos y un programa formal de concienciación en seguridad. En la v4.0, los service providers deben realizar una revisión formal del alcance PCI al menos cada seis meses.

PCI DSS v4.0 reemplazó al v3.2.1 y todos los requisitos v4.0 pasaron a ser obligatorios el 31 de marzo de 2025. Las organizaciones que no han hecho la transición se encuentran ahora fuera de cumplimiento. La actualización representa la revisión más significativa del estándar desde su creación, con cambios estructurales en cómo se organizan y validan los requisitos.

Los cambios clave incluyen requisitos ampliados de MFA para todo acceso al CDE (no solo remoto), longitud mínima de contraseña de 12 caracteres (antes eran 8), requisitos de cifrado mejorados y la introducción del Customized Approach como alternativa al Defined Approach. El Customized Approach permite que las organizaciones cumplan la intención de un requisito mediante controles alternativos, validados por el QSA, en lugar de seguir pasos prescriptivos de implementación.

Los service providers enfrentan obligaciones adicionales en la v4.0. Deben reevaluar su alcance PCI al menos cada seis meses (no solo anualmente), implementar controles para detectar y responder a fallos de controles críticos de seguridad de manera oportuna, y mantener un inventario actualizado de todas las claves y certificados de confianza. Estos cambios reflejan la realidad de que los compromisos de service providers tienen efectos en cascada en miles de entornos de comercios.

Para los equipos de tecnología, los cambios v4.0 de mayor impacto incluyen requisitos para escaneo autenticado de vulnerabilidades internas, análisis de riesgo dirigido para definir la frecuencia de ciertos controles periódicos, y requisitos explícitos para la gestión de scripts en páginas de pago con el fin de prevenir ataques de e-commerce skimming. Si su última evaluación fue bajo v3.2.1, un análisis de gap contra v4.0 debería ser su primera prioridad.