Safetica > Resources > Normativa PCI DSS: alcance, finalidad y cómo cumplirla

Normativa PCI DSS: alcance, finalidad y cómo cumplirla

ago 2, 2022

El Payment Card Industry Data Security Standard (PCI DSS, o PCI para abreviar) es un conjunto de reglas y procesos diseñados para proteger los datos sensibles de los titulares de tarjetas frente a brechas y fraudes. En esencia, indica a los comercios cómo manejar la información de las tarjetas de crédito de sus clientes de forma segura para que no caiga en malas manos.

El PCI DSS se introdujo por primera vez en EE. UU. en diciembre de 2004. Las 5 grandes compañías de tarjetas de crédito que crearon el estándar formaron a continuación el Payment Card Industry Security Standards Council (PCI SSC) como organismo rector. El PCI SSC supervisa la administración y el desarrollo posterior del PCI DSS.

El estándar sigue evolucionando y actualmente se encuentra en la versión 4.0, publicada en marzo de 2022.

blog-PCI-DSS-credit-card-payment-buy-sell-products-service


¿A quién se aplica el PCI DSS?

El PCI DSS se aplica a escala global a todas las entidades que procesen, transmitan o almacenen datos de titulares de tarjetas, sin importar su tamaño o el número de transacciones.

Dicho de forma sencilla, si tu empresa u organización maneja tarjetas de crédito o débito con los logotipos de al menos una de las 5 compañías miembro, el PCI DSS te aplica. Los bancos adquirentes, los comercios online y offline y los proveedores de servicios deben cumplir con PCI.

No obstante, no es una situación de talla única. Existen 4 niveles de cumplimiento que dependen del número de transacciones procesadas por la empresa.

También se tienen en cuenta otros criterios, como si la empresa ha sufrido una brecha de datos previamente o la forma en que acepta los pagos con tarjeta (solo offline frente a una pasarela de pago online).

Cada compañía emisora de tarjetas tiene su propia tabla con los criterios exactos para cada nivel, pero, en general, queda así:

  • Nivel 1: más de 6 millones de transacciones al año, con independencia del canal de aceptación.
  • Nivel 2: entre 1 y 6 millones de transacciones al año, con independencia del canal de aceptación.
  • Nivel 3: entre 20 000 y 1 millón de transacciones de comercio electrónico al año.
  • Nivel 4: menos de 20 000 transacciones de comercio electrónico al año o hasta 1 millón de transacciones al año, con independencia del canal de aceptación.

Cada nivel tendrá requisitos distintos para la validación e información de PCI: cuanto mayor sea la empresa, más exigentes serán los requisitos.

Lo básico para cumplir con el PCI DSS

El PCI DSS es un conjunto integral de directrices destinadas a proteger los datos de las tarjetas de crédito frente a fugas o robos por parte de un comercio u organización. Hay 12 requisitos generales, que comentaremos a continuación.

Es importante tener claro que mantenerse al día con el PCI DSS es un esfuerzo continuo, no un trámite puntual. Para mantener el cumplimiento, las evaluaciones e informes se presentan anualmente y los análisis de los sistemas se realizan con mayor frecuencia.

Los procedimientos específicos de prueba y validación varían de un nivel a otro.

En general, todas las organizaciones sujetas a las directrices del PCI DSS deben completar una autoevaluación anual. Esta indicará el grado de seguridad de sus prácticas de procesamiento y almacenamiento de tarjetas.

El formulario de evaluación puede tener apenas 9 páginas y resultar relativamente fácil de completar, o convertirse en una tarea de 80 páginas que requiera asistencia de terceros. Los formularios solo contienen preguntas de tipo «sí» o «no», lo que puede parecer sencillo, pero la naturaleza técnica y cada vez más exigente de las preguntas puede generar incertidumbre. Las empresas también están obligadas a resolver cualquier «no» antes de presentar el formulario, lo que añade un nivel adicional de dificultad.

Otros requisitos de validación de PCI pueden incluir aportar la prueba de haber superado un análisis de vulnerabilidades aprobado o completar una declaración de cumplimiento.

¿Cuáles son los 12 requisitos del PCI DSS?

Aunque cumplir con el PCI DSS puede ser una carga importante para una empresa, en esencia se trata de una lista de buenas prácticas (obligatorias) que no resultan descabelladas. Cada uno de los 12 requisitos se desarrolla a su vez en 3 secciones: definición, proceso de prueba y explicación de su finalidad.

Los 12 requisitos de PCI son, en resumen:

  1. Instala y mantén un firewall. Un firewall es un sistema de prevención que impide que el tráfico entrante acceda a los datos privados del sistema informático de la empresa.

  2. Configura las opciones de seguridad y las contraseñas. Cada elemento de hardware, como los routers o los sistemas POS, viene con una contraseña y unos ajustes de fábrica. Cambia siempre estos valores predeterminados.

  3. Protege los datos almacenados de los titulares de tarjetas. Cifra los datos almacenados utilizando algoritmos aceptados por el sector. Analiza periódicamente los sistemas de almacenamiento para detectar datos sin cifrar.

  4. Protege los datos de los titulares de tarjetas transmitidos a través de redes abiertas y públicas. Debe usarse cifrado para proteger los datos que circulan por redes abiertas.

  5. Utiliza y actualiza periódicamente software antivirus. Todos los sistemas que puedan verse afectados por malware deben tener instalado un software antivirus actualizado.

  6. Actualiza y aplica parches de seguridad con regularidad. Mantén el software actualizado e instala los parches en cuanto se publiquen para evitar que un atacante explote una vulnerabilidad recién descubierta.

  7. Restringe el acceso a los datos de los titulares de tarjetas al mínimo imprescindible. Quien dentro de la organización no necesite acceder a los datos de los titulares de tarjetas no debería poder hacerlo. Quienes sí lo necesiten deben estar bien documentados.

  8. Asigna un ID único a cada persona con acceso al sistema a efectos de rendición de cuentas. Cada persona con acceso a sistemas con datos críticos debe contar con su propio ID y contraseña, y todos los accesos deben quedar registrados.

  9. Asegura y restringe el acceso físico a los datos de los titulares de tarjetas. Los datos deben mantenerse en un lugar seguro, sea físico o digital, para evitar accesos no autorizados y la sustracción de datos o de hardware.

  10. Rastrea y monitoriza todos los accesos a los datos de los titulares de tarjetas mediante mecanismos de registro. Mantén y revisa los registros de acceso a los sistemas informáticos y de toda la actividad de los usuarios relacionada con el acceso a los datos. Deben implantarse procesos para responder adecuadamente ante cualquier anomalía.

  11. Pon a prueba periódicamente la seguridad de los sistemas y realiza análisis de vulnerabilidades. Todos los sistemas y procesos deben someterse con regularidad a pruebas de vulnerabilidad y de penetración para detectar posibles problemas de seguridad.

  12. Mantén una política de seguridad de la información. Documenta las políticas, planes y procedimientos de seguridad de la empresa. Mantén la documentación con un inventario del software, el hardware, la información de acceso del personal y los registros.
 

Riesgos de no cumplir con el PCI DSS

Si una empresa está sujeta a PCI pero no cumple o incumple los términos establecidos en su contrato, se enfrentará a consecuencias. Estas pueden ir desde sanciones impuestas por las compañías de tarjetas de crédito hasta consecuencias inherentes al propio incumplimiento.

¿Cuáles son algunos de los riesgos de no cumplir con PCI?

  • Tarifa por incumplimiento de PCI


Una empresa puede recibir una «tarifa por incumplimiento de PCI» de cientos de miles de USD al mes en función de su tamaño. La mires como la mires, esta tarifa es una multa recurrente. Se cobrará cada mes hasta que la empresa cumpla con los estándares PCI.

  • Sufrir una brecha de datos


Lógicamente, si no cumples con los estándares PCI, aumentas el riesgo de que tu empresa sufra una brecha de datos. Aunque los requisitos de PCI no garantizan que los datos de los titulares de tarjetas de una empresa queden a salvo de los ataques, sí reducen significativamente la probabilidad de que una brecha tenga éxito.

  • Auditoría forense


Será necesario realizar una auditoría forense, a expensas de la empresa que se haya visto comprometida, para determinar la causa de la brecha de datos.

  • Costes adicionales tras una brecha


Si los datos de las tarjetas de crédito de los clientes se ven comprometidos, la empresa incurrirá en costes adicionales, como compensar a los clientes, costes por responsabilidad civil o multas por cada dato de titular de tarjeta robado o expuesto, además de las posibles tarifas más elevadas que apliquen los bancos o las compañías de tarjetas tras la brecha.

No es raro que tras una brecha de seguridad llegue una demanda, en cuyo caso los costes pueden multiplicarse rápidamente.

  • Daño a la marca


Cualquier empresa que pierda o ponga en peligro los datos de los titulares de tarjetas se verá perjudicada a ojos de sus clientes. El inevitable daño a la marca puede convertir en una tarea imposible recuperar la confianza de los clientes. Muchas empresas han desaparecido tras sufrir una brecha de datos.


Ejemplos de incumplimientos del PCI DSS

Ignorar los requisitos técnicamente más complicados del PCI DSS es un ejemplo evidente de incumplimiento. Pero existen casos en los que la infracción es totalmente involuntaria. Algunos ejemplos:

  • Almacenar información de tarjetas de crédito en sistemas o endpoints sin cifrar.
  • Permitir que cualquier persona de la organización pueda acceder a los datos de las tarjetas de crédito.
  • Perder la pista de dónde están los datos de las tarjetas de crédito y por dónde se mueven dentro de la organización.
  • Enviar información de los titulares de tarjetas por correo electrónico dentro de la empresa.
  • No exigir a los empleados que inicien sesión en el sistema con un ID y una contraseña únicos.
  • Proteger los datos solo fuera del horario laboral pensando, erróneamente, que es entonces cuando se producen la mayoría de los intentos de hackeo.

En muchas ocasiones, la falta de comprensión o de atención a las directrices PCI basta para no implantar correctamente los procesos o, en algunos casos, para no implantarlos en absoluto.

Asegurarte de que el personal de la empresa esté correctamente formado en PCI DSS también es una parte importante del proceso.

¿El PCI es obligatorio por ley?

No. La entidad rectora y administradora del PCI DSS es el PCI SSC. Los requisitos del PCI DSS se hacen cumplir mediante contratos entre una empresa y su banco y compañía de tarjetas de crédito.

Algunos estados de EE. UU. han incorporado el PCI DSS a su legislación estatal, principalmente en el sentido de que las empresas que cumplen con el PCI DSS quedan protegidas frente a responsabilidades en caso de brecha de datos.

En Europa, el PCI DSS es un estándar ampliamente utilizado y cada vez más promovido en los últimos años. Al igual que en EE. UU., PCI no es obligatorio por ley.

safetica-images-regulatory-compliance

Cómo Safetica te ayuda con el cumplimiento del PCI DSS

  • Sets Company Security Policies

PCI requires you to create and implement well-defined, aligned, and up-to-date information security policies to secure sensitive cardholder data. With Safetica you can monitor user operations across the entire organization, and have an overview of how personal information is processed. Safetica can enforce security policies to make sure that personal information is always protected.

  • Encrypts and protects cardholder information

Business owners who store cardholder information are obligated to protect and encrypt it. Safetica automatically classifies PHI data and enforces related security policies and manages storage encryption across the entire organization.

  • Overview of your sensitive data

It is crucial to know where your sensitive cardholder and other data are stored and how your employees process such data. Safetica provides an overview of the information flows and sensitive data storage.

  • Notifies you in case of data leakage

To minimize the impact of data leakage, you need to be informed immediately. Safetica offers a real-time alert system that makes sure that you can take follow-up actions right away.

Descubre más sobre cómo Safetica te ayuda a cumplir con PCI-DSS

Similar posts