¿Qué son los Estándares de Seguridad de Pagos?

Los estándares de seguridad de pagos son marcos y requisitos formales —entre ellos PCI DSS, PA-DSS y PCI P2PE— que definen cómo deben proteger las organizaciones los datos del titular de la tarjeta a lo largo del ciclo de vida del pago.

¿Qué son los estándares de seguridad de pagos?

Los estándares de seguridad de pagos son las reglas formales y los requisitos técnicos que rigen cómo las organizaciones protegen los datos de los pagos con tarjeta. Definen qué controles de seguridad deben existir, cómo deben configurarse los sistemas y cómo deben demostrar las organizaciones que cumplen estos requisitos. No son sugerencias ni recomendaciones. Son obligatorios para cualquier organización implicada en procesar, almacenar o transmitir datos del titular de la tarjeta.

El estándar de seguridad de pagos más destacado es PCI DSS, el estándar de seguridad de datos del sector de tarjetas de pago. Pero PCI DSS forma parte de un ecosistema más amplio de estándares que, en conjunto, crean un marco de seguridad sólido para el sector global de pagos.

La familia de estándares de seguridad PCI

El Consejo de Estándares de Seguridad PCI (PCI SSC) mantiene varios estándares interconectados:

PCI DSS

El estándar de referencia. PCI DSS se aplica a cualquier entidad que almacene, procese o transmita datos del titular de la tarjeta. Consta de 12 requisitos que cubren seguridad de red, controles de acceso, cifrado, supervisión y políticas de seguridad. La versión actual es PCI DSS v4.0.

PA-DSS / PCI Software Security Framework

Este estándar se aplica a los proveedores de software cuyas aplicaciones de pago se venden a comercios y son usadas por ellos. Garantiza que el propio software se diseñe y construya de forma segura. El antiguo estándar PA-DSS ha sido sustituido por el PCI Software Security Framework, que incluye el Secure Software Standard y el Secure Software Lifecycle Standard.

PCI PTS

El estándar de seguridad de transacciones con PIN cubre los dispositivos físicos usados para capturar PIN y datos de tarjeta, como los terminales de punto de venta y los dispositivos de entrada de PIN. Establece requisitos de resistencia a la manipulación, cifrado de los datos de PIN y gestión de dispositivos.

PCI P2PE

El cifrado de punto a punto es un estándar para cifrar los datos de tarjeta desde el punto de captura (el terminal) hasta el entorno seguro de descifrado. Las soluciones P2PE pueden reducir notablemente el alcance de las evaluaciones de PCI DSS porque los datos cifrados se consideran ilegibles y, por tanto, fuera del alcance.

Más allá de PCI: otros estándares de seguridad de pagos

Los estándares PCI son los más destacados, pero no son los únicos marcos de seguridad relevantes para el procesamiento de pagos:

  • ISO 27001 es el estándar internacional para los sistemas de gestión de la seguridad de la información. Aunque no es específico de pagos, muchas organizaciones de pagos usan ISO 27001 como base de su programa de seguridad más amplio
  • SOC 2 (Control de Organizaciones de Servicios) proporciona un marco para evaluar los controles de seguridad, disponibilidad y confidencialidad de los proveedores de servicios, incluidos los procesadores de pagos
  • Los requisitos de Autenticación Reforzada de Cliente (SCA) bajo PSD2/PSR establecen estándares para autenticar las transacciones de pago en el Reino Unido y la UE
  • Las normativas nacionales como las Payment Services Regulations del Reino Unido y las reglas de la FCA para las entidades de pago añaden requisitos regulatorios por encima de los estándares del sector

Por qué los estándares de seguridad de pagos importan a las empresas

Estos estándares existen porque las amenazas son reales y las consecuencias del fallo son graves. Las brechas de datos en el sector de pagos han expuesto millones de números de tarjeta, han costado miles de millones en pérdidas por fraude y han causado un daño reputacional duradero a las organizaciones implicadas.

Para cada empresa, los estándares de seguridad de pagos ofrecen una hoja de ruta clara para proteger los datos de los clientes. Sin ellos, cada organización tomaría sus propias decisiones sobre qué constituye una seguridad adecuada, y muchas se equivocarían. Los estándares fijan un mínimo que, si se sigue, reduce notablemente el riesgo de una brecha.

Cumplir los estándares de seguridad de pagos es además una obligación contractual. Cuando una empresa firma un contrato de comercio para aceptar pagos con tarjeta, acepta cumplir PCI DSS y otros estándares aplicables. El incumplimiento puede acarrear multas, comisiones de transacción más altas, auditorías obligatorias y la cancelación de la cuenta de comercio.

Estándares de seguridad de pagos y pagos telefónicos

Los entornos de pago telefónico están sujetos a los mismos estándares de seguridad de pagos que cualquier otro canal. PCI DSS se aplica a todo sistema que maneja datos de tarjeta, incluida la infraestructura de telefonía, los puestos de trabajo de los agentes y las plataformas de grabación de llamadas.

El reto de los pagos por teléfono es que los datos de tarjeta fluyen por más sistemas que en una transacción online típica. La red de voz, los auriculares del agente, el sistema de grabación de llamadas y, en su caso, la pantalla del agente entran todos en contacto con los datos de tarjeta. Cada uno de estos sistemas debe cumplir los estándares de seguridad pertinentes.

Por eso sacar los sistemas del alcance se ha convertido en el enfoque preferido para los pagos telefónicos. Usando tecnologías como el enmascaramiento DTMF o los enlaces de pago, las empresas pueden garantizar que los datos de tarjeta nunca entren en el entorno de telefonía. Esto saca el sistema telefónico, la plataforma de grabación y los puestos de trabajo de los agentes del alcance de PCI DSS, lo que simplifica enormemente el cumplimiento.

Aspectos prácticos

  • Empiece por el alcance. Antes de preocuparse por qué controles implantar, identifique exactamente qué sistemas manejan datos de tarjeta. Eso define su alcance de cumplimiento
  • Reduzca el alcance donde pueda. Cada sistema que pueda sacar del manejo de datos de tarjeta es un sistema que no necesita asegurar, supervisar ni auditar
  • Use soluciones validadas. Las soluciones P2PE listadas por PCI, las aplicaciones de pago validadas por PCI y los proveedores de servicios certificados por PCI le dan garantía de que la tecnología cumple los estándares exigidos
  • Manténgase al día con los cambios. Los estándares de seguridad de pagos se actualizan con regularidad. PCI DSS v4.0 introdujo nuevos requisitos importantes, y habrá más actualizaciones
  • El cumplimiento es continuo. Cumplir el estándar una vez no basta. Hay que mantener el cumplimiento de forma continua, con pruebas, supervisión y revisión periódicas
  • Busque ayuda experta si la necesita. Los asesores de seguridad cualificados (QSA) y los investigadores forenses de PCI (PFI) pueden dar orientación especializada para cumplir y mantener el cumplimiento

Los estándares de seguridad de pagos son la base de la confianza en el sistema de pagos con tarjeta. Las empresas que se los toman en serio protegen a sus clientes, su reputación y su capacidad de seguir aceptando pagos con tarjeta. Las que los tratan como una casilla que marcar están apostando algo que no se pueden permitir perder.

Cómo Paytia lo usa

PCI DSS es el estándar que más afecta a los pagos por teléfono, porque el número de tarjeta normalmente fluye por su red de voz, los auriculares de sus agentes, sus grabaciones de llamadas y sus pantallas, todos ellos dentro del alcance. Mantenemos el número fuera de todos ellos con el enmascaramiento DTMF, de modo que esos sistemas salen del alcance de PCI DSS en lugar de tener que cumplir cada uno el estándar. Tenemos la certificación PCI DSS Nivel 1 y, como somos independientes del procesador, la transacción sigue dirigiéndose a su propia pasarela y adquirente.

Pagos TelefónicosEnmascaramiento DTMF

Preguntas frecuentes

¿Cuál es el principal estándar de seguridad de pagos para los datos de tarjeta?+

PCI DSS, el estándar de seguridad de datos del sector de tarjetas de pago. Establece 12 requisitos que cubren seguridad de red, control de acceso, cifrado y supervisión, y se aplica a cualquier organización que almacene, procese o transmita datos del titular de la tarjeta. La versión actual es la v4.0.1.

¿Cómo se aplican estos estándares a los pagos telefónicos?+

Igual que a cualquier otro canal. Todo sistema que maneja datos de tarjeta entra en el alcance: la red de voz, los auriculares del agente, la plataforma de grabación de llamadas, la pantalla del agente. Como los pagos por teléfono tocan más sistemas que una transacción online típica, sacar el canal del alcance suele ser la respuesta más práctica.

¿Usar un proveedor certificado me hace cumplidor automáticamente?+

Por sí solo, no. Un proveedor con certificación PCI DSS Nivel 1 reduce su alcance al manejar los datos de tarjeta de forma segura, pero usted sigue teniendo obligaciones respecto a los sistemas y procesos que siguen siendo suyos. La ventaja es que hay muchos menos una vez que los datos de tarjeta salen de su entorno.

Términos relacionados

PCI DSSPasarela de PagoCifradoPCI DSS v4.0Servicio de control de acceso (ACS / ACS de 3DS)

Read this definition in English

Ready to take secure payments?

Book a demo with our team. We'll show you DTMF masking live, talk through PCI DSS scope reduction, and put together pricing based on your call volume.

PCI DSS Level 1
Cyber Essentials Plus
Book a demoContact us

Trusted by law firms, insurers, healthcare providers and regulated businesses worldwide. Learn more about Paytia