PCI DSS
Estándar de seguridad de datos de la industria de tarjetas de pago
Qué hay que saber
El PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago, por sus siglas en inglés) es una conjunto de políticas y procedimientos de seguridad especialmente creados para garantizar que todaslas organizaciones que aceptan, procesan, almacenan o transmiten transacciones con tarjetas de crédito, débito y efectivo implementan y mantienen un entorno seguro. El objetivo es reforzar las seguridad de las transacciones con tarjeta y proteger a los titulares de las tarjetas para evitar que se haga un mal uso de sus datos personales.
El PCI DSS es un estándar global que han desarrollado las empresas de tarjetas de crédito más importantes, entre las que se incluyen Visa, MasterCard, American Express y Discover, y es de obligado cumplimiento para cualquier organización que acepte pagos con tarjetas de crédito.
El PCI DSS no está estructurado en artículos, como suele ser normal en los textos legales, sino que tiene seis aspectos fundamentales, que a su vez se dividen en doce requisitos y cubren aspectos como la seguridad de las redes, el control de los accesos y la protección de los datos.
La nueva versión del PCI DSS (v4.0) ya se ha publicado y entrará en vigor el día 31 de marzo de 2024.
PCI DSS v4.0 exige a las empresas que lleven un inventario de todos los sistemas, aplicaciones y almacenamientos de datos que se utilicen para tratar, transmitir y almacenar los datos de los titulares de las tarjetas.
El cumplimiento del PCI DSS puede ser diferente según el número de transacciones que un vendedor procese cada año. Los vendedores que realicen menos de 20 000 transacciones por año tienen diferentes requisitos de cumplimiento que aquellos que hacen más de 6 millones de transacciones por año.
El incumplimiento del PCI DSS puede suponer la imposición de multas de entre 5000 y 100 000 dólares estadounidensesal mes, dependiendo de la gravedad de la violación.
El PCI DSS exige a los vendedores que formen periódicamente a sus empleados en materia de seguridad para evitar violaciones de datos provocadas por errores humanos. A su vez, se requiere la realización de pruebas de penetración para evaluar la eficacia de los métodos contra los ataques y las amenazas según el PCI DSS v4.0.
Además, los requisitos del PCI DSS v4.0 exigen a las organizaciones que implementen los últimos estándares industriales y las buenas prácticas para el cifrado de datos, incluyendo algoritmos resistentes a la cuántica. Como resultado, los controles de seguridad y tecnologías de protección actuales podrían dar como resultado consecuencias por incumplimiento.
Gracias a los nuevos requisitos establecidos en el PCI DSS v4.0 se ha ampliado el ámbito de aplicación, por lo que las organizaciones esperan que el PCI DSS cubra un mayor número de entornos, tecnologías y canales de pago, los cuales ahora estarán sujetos a estas normas, a pesar de que antes no lo estaban.
Las organizaciones deben implementar planes de respuesta ante incidentes, con estrategias y procedimientos detallados para abordar incidentes de seguridad y violaciones de datos.
Para demostrar que cumplen con el PCI, las organizaciones tendrán que implementar o actualizar las medidas necesarias y trabajar con auditores externos.
Gracias al PCI DSS, se pueden reducir las cuestiones a auditar, puesto que se reducen los riesgos al almacenar menos datos sensibles y se permite iniciar nuevos proyectos sin necesidad de someterlos a más auditorías.
Ventajas clave de los servicios de comforte para el cumplimiento del PCI DSS
La plataforma de seguridad de datos de comforte ofrece funciones de detección, clasificación y protección de datos para ayudarle a:
Preguntas frecuentes sobre el cumplimiento del PCI DSS
¿Qué significa PCI DSS?
PCI DSS, que son las siglas en inglés del Estándar de seguridad de datos para la industria de tarjetas de pago, es un conjunto básico de normas de seguridad que han creado de forma conjunta las empresas de tarjetas de crédito más importantes, entre las que se incluyen Visa, Mastercard, American Express, Discover y JCB. Su objetivo principal es garantizar la protección de los datos de los titulares de las tarjetas y fomentar un procesamiento de pagos seguros con tarjetas dentro del sector.
¿Qué es el PCI DSS v4.0?
El PCI DSS v4.0 es la última versión de este estándar, en la cual se han incluido nuevos requisitos de seguridad actualizados y ampliados para enfrentarse a las nuevas amenazas y los avances tecnológicos que se dan en el sector de las tarjetas de pago. Esta nueva versión apuesta por mejorar las medidas de seguridad y adaptarlas al panorama de la ciberseguridad, siempre en constante evolución, aumentando así la protección de los datos sensibles de los titulares de las tarjetas.
¿A quién se le aplica el PCI DSS?
El PCI DSS se aplica a un amplio espectro de organizaciones que participan en las transacciones con tarjetas de pago, entre las que se incluyen vendedores, instituciones financieras, procesadores de pagos y proveedores de servicios. Cualquier entidad que almacene, procese o transmita datos de titulares de tarjetas está sujeta a los requisitos establecidos en el PCI DSS. Se aplica tanto a los negocios tradicionales como a los vendedores online que realizan transacciones con tarjetas de pago.
¿Por qué se debe cumplir con el PCI DSS?
Cumplir con el PCI DSS es fundamental para las organizaciones, puesto que ayuda a proteger los datos sensibles de los titulares de las tarjetas y ayuda a prevenir el fraude con tarjetas de pago y las violaciones de datos. A través del cumplimiento de este estándar, las empresas pueden crear confianza con los clientes y las redes de tarjetas de pago y también evitan las graves consecuencias económicas y reputacionales que el incumplimiento del mismo puede acarrear.
¿Qué hacer para cumplir con el PCI DSS?
Para conseguir el cumplimiento del PCI DSS, las organizaciones tienen que seguir ciertos requisitos de seguridad y buenas prácticas que se incluyen en el estándar. Entre estos se incluyen el mantenimiento de una red segura con cortafuegos, la implementación de controles de acceso estrictos, la monitorización y comprobación regular de los sistemas de seguridad y la garantía de que los datos de los titulares de las tarjetas se cifran correctamente. Además, las empresas también deben realizar formaciones en materia de seguridad para sus empleados para informarles sobre la importancia de la seguridad de los datos.
¿Cuál es la diferencia entre el cumplimiento del RGPD y del PCI DSS?
La mayor diferencia entre el PCI DSS y el RGPD es su enfoque y su ámbito de aplicación. El PCI DSS ha sido especialmente creado para el sector de las tarjetas de pago y su objetivo es proteger los datos de los titulares de las tarjetas durante las transacciones de pago. Por otro lado, el RGPD es una norma jurídica integral para la protección de datos que cubre todos los tipos de datos personales y se aplica a cualquier organización que trate los datos de residentes en la UE, con independencia del sector en el que actúen. Aunque los dos textos enfatizan en la protección de datos, establecen diferentes requisitos, competencia territorial y sanciones por incumplimiento. Es posible que las organizaciones tengan que cumplir tanto con el PCI DSS como con el RGPD si tratan datos de tarjetas de pago y procesan datos personales de residentes en la UE.
Siguientes pasos
Si quiere saber más sobre nuestros servicios de cumplimiento del PCI DSS, póngase en contacto con nuestros expertos; estarán encantados analizar con usted posibles soluciones.
Hablemos