¿Qué es PCI DSS?

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de 12 requisitos de seguridad que toda organización que maneje datos de tarjetas de pago tiene que cumplir. Las cinco grandes marcas de tarjetas lo redactaron en 2004 para evitar que les robaran los datos de tarjeta a quienes las aceptan; el PCI Security Standards Council lo gestiona desde 2006. La versión actual, v4.0.1, pasó a ser obligatoria en marzo de 2025. Se aplica a comercios, proveedores de servicios y a cualquiera cuyos sistemas puedan afectar a la seguridad de los datos del titular de la tarjeta, y se hace cumplir a través de tu banco adquirente, que puede multarte o retirarte la capacidad de aceptar tarjetas si no cumples.

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago —normalmente abreviado como PCI DSS, y a veces llamado el estándar de seguridad de datos de tarjeta— se articula en torno a 12 requisitos agrupados en 6 objetivos: construir una red segura, proteger los datos de cuenta, gestionar las vulnerabilidades, controlar los accesos, supervisar y probar, y mantener una política de seguridad escrita. La versión del SAQ (Cuestionario de Autoevaluación) que rellenas depende de cómo fluyen los datos de tarjeta por tu negocio; la frecuencia de las auditorías depende de tu volumen de transacciones. Los centros de contacto cargan con el alcance más pesado de cualquier tipo de comercio, porque el auricular del agente, su pantalla y la grabación de la llamada están todos en la ruta del audio, y por eso existe el enmascaramiento DTMF, como forma de sacar los teléfonos por completo del alcance.

PCI DSS es el estándar de seguridad que le dice a cualquier negocio que maneje pagos con tarjeta qué tiene que hacer para mantener seguros los datos del titular. Da igual si eres una tienda que acepta algún pedido telefónico ocasional o un banco con un centro de contacto de 2.000 puestos: si los datos de tarjeta pasan por tus sistemas, PCI DSS te aplica. Esta guía explica qué significa en la práctica, cuáles son los errores principales y cómo hacer que cumplir sea menos doloroso de lo que probablemente parezca ahora mismo.

Qué significa PCI DSS y por qué existe

PCI DSS son las siglas de Payment Card Industry Data Security Standard (Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago). Lo crearon en 2004 las cinco grandes marcas de tarjetas —Visa, Mastercard, American Express, Discover y JCB— al darse cuenta de que todas necesitaban lo mismo pero habían estado redactando reglas separadas. Crearon el PCI Security Standards Council en 2006 para que se hiciera cargo del estándar, y el Consejo lo sigue gestionando hoy. La versión actual es la 4.0.1, que pasó a ser obligatoria en marzo de 2025.

La razón por la que existe es simple. Cuando los delincuentes roban datos de tarjeta, alguien tiene que pagar las pérdidas: la marca de tarjetas, el banco, el comercio o el cliente. Las marcas decidieron que la mejor forma de reducir esas pérdidas era adelantarse: hacer responsables del cuidado de los datos a quienes los manejan. PCI DSS es la forma en que deletrean qué significa «seguro».

A quién aplica

A cualquiera que almacene, procese o transmita datos del titular de la tarjeta. Esto incluye comercios (tú), proveedores de servicios (Paytia, tu pasarela de pagos, tu empresa de hosting si los datos de tarjeta pasan por su infraestructura) y, a veces, empresas que podrían afectar a la seguridad de esos datos aunque no los toquen directamente. Las marcas de tarjetas no te persiguen ellas mismas: tu banco adquirente (el que te dio tu cuenta de comercio) es el responsable de asegurarse de que cumples, y te multará o te retirará la capacidad de aceptar tarjetas si no lo haces.

La mayoría de los negocios nunca tienen contacto directo con el PCI Council. Te enteras a través de tu adquirente, normalmente por un cuestionario o auditoría anual según tu tamaño.

Los 12 requisitos, en lenguaje claro

PCI DSS se articula en torno a 12 requisitos agrupados en seis encabezados. La redacción oficial es escueta y legalista. Esto es lo que significa cada uno en la práctica.

Construye y mantén una red segura

1. Ten un firewall que funcione. Bloquea el tráfico que no necesites. Revisa las reglas con regularidad. Si tienes datos de tarjeta en una red interna, asegúrate de que está segmentada del resto de tu IT.
2. Cambia las contraseñas por defecto. Todos los dispositivos vienen de fábrica con una contraseña de administrador por defecto. Los atacantes se saben todas. Cámbialas.

Protege los datos de cuenta

3. No guardes datos de tarjeta que no necesites. Y los que sí guardes, cífralos. El CVV no puedes almacenarlo tras la autorización en absoluto: eso no es negociable.
4. Cifra los datos en tránsito. Cualquier número de tarjeta que viaje por una red (el audio del auricular del agente, una llamada a la API de la pasarela, un enlace wifi) tiene que ir cifrado de extremo a extremo.

Mantén un programa de gestión de vulnerabilidades

5. Ejecuta antimalware allí donde sea relevante. Mantenlo actualizado.
6. Parchea tu software. Las vulnerabilidades conocidas son el origen de la mayoría de las brechas. La 4.0.1 endureció los plazos de parcheo: las correcciones críticas en menos de un mes, las demás según un calendario definido.

Implementa un control de acceso estricto

7. Acceso solo si lo necesita. Si alguien no necesita ver datos de tarjeta para hacer su trabajo, no debería verlos.
8. Un usuario único por persona. Nada de cuentas compartidas. Toda acción tiene que poder rastrearse. La autenticación multifactor es obligatoria para cualquier acceso remoto y cualquier acceso administrativo a los entornos de datos del titular.
9. El acceso físico también cuenta. Cierra la sala de servidores, registra las visitas, destruye los discos duros antiguos.

Supervisa y prueba las redes con regularidad

10. Registra todo lo relevante y conserva los logs al menos un año. Accesos a datos de tarjeta, acciones administrativas, intentos de login fallidos, errores del sistema. Si hay una brecha, los logs son la forma de averiguar qué falló.
11. Prueba tu seguridad. Análisis externos de vulnerabilidades trimestrales por un Approved Scanning Vendor (ASV), tests de penetración anuales y pruebas después de cualquier cambio significativo.

Mantén una política de seguridad de la información

12. Ponlo por escrito, forma a tu gente, revísalo. Tener controles técnicos no basta. Necesitas una política que diga cuáles son las reglas, y pruebas de que tu personal las conoce.

SAQ: los cuestionarios con los que vas a lidiar de verdad

La mayoría de los comercios nunca hace una auditoría PCI completa. En su lugar, rellenas un Cuestionario de Autoevaluación anual —un SAQ— que confirma que estás siguiendo las partes de PCI DSS relevantes para cómo aceptas pagos. Qué SAQ rellenas depende enteramente de cómo fluyen los datos de tarjeta por tu negocio. Los códigos de letras no son obvios, así que aquí está la traducción práctica.

• SAQ A (22 controles). El fácil. Estás totalmente externalizado: los datos de tarjeta nunca tocan tus sistemas. Usas una página de pago alojada, una redirección a una pasarela, o un servicio como Paytia que intercepta los datos antes de que te lleguen. La mayor parte de PCI DSS sencillamente no te aplica.
• SAQ A-EP (~190 controles). Sitios de e-commerce que alojan su propio checkout pero delegan la captura de la tarjeta a un iframe o JavaScript de un tercero. Más carga que el SAQ A, pero menos que el SAQ D.
• SAQ B (~40 controles). Terminales de tarjeta autónomos: la clásica máquina PDQ con conexión por línea telefónica y sin conexión a nada más. Muy raro en 2026.
• SAQ B-IP (~80 controles). Terminales de tarjeta conectados por IP. La versión moderna del viejo SAQ B.
• SAQ C (~160 controles). Un comercio con presencia de tarjeta que tiene una aplicación de pago en su red.
• SAQ C-VT (~80 controles). Terminal virtual: el personal teclea los datos de tarjeta en un formulario web facilitado por el procesador. No hay almacenamiento de tarjeta por tu parte, pero los puestos de trabajo del personal están dentro del alcance.
• SAQ D (329 controles). El completo. Tienes datos de tarjeta viviendo en tu red o en tus sistemas. Es donde aterrizan la mayoría de los negocios si no han diseñado activamente el problema para evitarlo.

El premio gordo es el SAQ A. Pasar del SAQ D al SAQ A no es hacer menos papeleo: es no estar dentro del alcance de la mayor parte de PCI DSS para empezar. Eso es lo que importa.

Niveles de comercio

Encima de la pregunta del SAQ, Visa y Mastercard te clasifican en uno de cuatro niveles de comercio según cuántas transacciones con tarjeta procesas al año:

• Nivel 1 Más de 6 millones de transacciones al año, o cualquier comercio que haya sufrido una brecha. Requiere una auditoría in situ anual por parte de un Qualified Security Assessor (QSA). Este es el nivel en el que opera Paytia como proveedor de servicios.
• Nivel 2 De 1 a 6 millones. SAQ o auditoría QSA, según la marca de tarjeta.
• Nivel 3 De 20.000 a 1 millón de transacciones de e-commerce. SAQ.
• Nivel 4 Menos de 20.000 de e-commerce o menos de 1 millón en total. SAQ.

La mayoría de las pymes del Reino Unido están en el Nivel 4. No pasa nada: los controles son los mismos, simplemente te autocertificas en lugar de traer a un QSA.

Reducir el alcance (donde están los ahorros reales)

El coste del cumplimiento de PCI viene marcado por el alcance. El alcance es el conjunto de sistemas y personas que tocan los datos del titular. Cuanto mayor sea tu alcance, más sistemas tienes que asegurar, supervisar, parchear y auditar. Así que lo más útil que puedes hacer por PCI es reducir tu alcance.

Tres métodos hacen la mayor parte del trabajo pesado:

Enmascaramiento DTMF (para pagos telefónicos). Cuando un cliente teclea su tarjeta en el teclado del teléfono, los tonos se interceptan antes de llegar a tu agente, a tu grabación de llamada o a tus sistemas. La tarjeta va directa a la pasarela. Tu centro de contacto —teléfonos, agentes, grabaciones, red— sale del alcance. Esto es lo que hace Paytia, y es cómo la mayoría de nuestros clientes pasan del SAQ D al SAQ A. Lo cubrimos en detalle en la guía de enmascaramiento DTMF.

Tokenización. Si necesitas guardar datos de tarjeta para pagos recurrentes, no lo hagas. Guarda un token en su lugar: un número de referencia sin sentido para nadie fuera del servicio de tokenización. Cuando quieras cobrar a esa tarjeta de nuevo, envías el token al proveedor de pagos, que internamente lo cambia por los datos reales. Tu base de datos tiene tokens; los datos reales viven en otro lado.

Cifrado punto a punto (P2PE). Para transacciones con presencia de tarjeta, una solución certificada P2PE cifra los datos de la tarjeta dentro del propio terminal, antes de que nada salga del hardware a prueba de manipulación. Tu línea de cajas, tu red, tu back office: ninguno de ellos ve nunca el número de tarjeta en claro.

Entre las tres, estas técnicas son cómo los negocios bajan de un SAQ D completo de 329 controles a un SAQ A de 22. No es un atajo dudoso: es el resultado que las marcas de tarjetas intentan fomentar.

Qué cambió en PCI DSS 4.0.1

La versión 4.0 se publicó en 2022 con un periodo largo de transición; la 4.0.1 (publicada en junio de 2024) se convirtió en la base obligatoria en marzo de 2025. Si todavía no te han auditado contra la 4.0.1, lo harán en tu próxima evaluación.

Los cambios destacados:

• Análisis de riesgo dirigido. Ahora se espera que documentes por qué haces las cosas como las haces —frecuencia de revisiones, periodos de retención, intervalos de pruebas— en función de tu propio perfil de riesgo. Decir «porque lo dice el estándar» ya no es suficiente.
• Enfoque personalizado. Para organizaciones avanzadas, la 4.0 te permite cumplir la intención de un requisito con controles alternativos en lugar de los prescritos. Más flexible, pero la carga de documentación es mayor.
• Autenticación multifactor en todas partes. El MFA era obligatorio para el acceso remoto bajo la 3.2.1; la 4.0 lo extiende a todo acceso al entorno de datos del titular, incluido el acceso administrativo en las propias instalaciones.
• Controles más estrictos contra phishing y malware. Las amenazas por correo y por navegador tienen ahora controles explícitos propios. La formación antiphishing es ahora obligatoria.
• Supresión DTMF mencionada explícitamente. Si tu sistema de telefonía captura tonos DTMF que contienen datos de tarjeta (en grabaciones, logs o donde sea), esos tonos tienen que suprimirse o los logs tienen que tratarse como datos de tarjeta. Esto cierra una brecha que pillaba en falta a muchos centros de contacto.
• Inventario de scripts. Para el e-commerce, ahora tienes que inventariar y supervisar cada JavaScript de terceros que se ejecuta en tus páginas de pago. Los ataques tipo Magecart impulsaron este cambio.

Cuánto cuesta de verdad

La respuesta honesta es: depende de tu alcance. Un comercio en SAQ A puede terminar su attestation anual en una tarde. Un proveedor de servicios de Nivel 1 con una auditoría QSA completa puede gastar seis cifras en evaluación, tiempo de personal y remediación. La mayoría de los negocios están en algún punto intermedio.

El patrón que vemos en nuestra base de clientes:

• Centro de contacto en SAQ D (antes de Paytia) entre £15.000 y £50.000 al año entre evaluación QSA, escaneo de vulnerabilidades, tiempo de personal, limpieza de grabaciones, segmentación de red y herramientas de cumplimiento dedicadas.
• Centro de contacto en SAQ A (con Paytia o equivalente) entre £3.000 y £8.000 al año, sobre todo para los escaneos, una hora o dos del tiempo de alguien rellenando el propio SAQ y la suscripción al servicio que te ha quitado el alcance de encima.

El ahorro no es la tarifa que pagas a Paytia. El ahorro es que dejas de pagar por un alcance que ya no tienes.

Qué pasa si no cumples

Las marcas de tarjetas normalmente no multan directamente a los comercios individuales. Lo hace tu adquirente, que responde a la presión de las marcas. Los escenarios que se suelen dar:

• Recargos trimestrales por incumplimiento £50-£100 al mes añadidos a tu factura de adquirencia si te saltas el plazo del SAQ. Pequeño pero acumulativo.
• Multas tras una brecha Mucho mayores. Las marcas de tarjetas pueden imponer multas de £50.000-£500.000 por incidente contra tu adquirente, que te las pasa íntegras. Si la brecha afecta a más de 10.000 registros de tarjeta, entras en cifras de seis o siete dígitos.
• Investigación forense Si se sospecha de una brecha, se te exige financiar a un PCI Forensic Investigator (PFI) para hacer una auditoría completa. Coste habitual: £30.000-£100.000, y te facturarán independientemente de que terminen señalando que la brecha es culpa tuya o no.
• Pérdida de la capacidad de aceptar tarjetas El peor caso. Si tu adquirente te corta, estás fuera de las marcas de tarjetas por completo y encontrar una cuenta de comercio sustituta es difícil y caro.

Más allá del golpe financiero está el reputacional. La ICO tiene que ser notificada de cualquier brecha que afecte a datos personales del Reino Unido en un plazo de 72 horas. Eso se hace público. Los clientes se enteran.

Mitos comunes

«Somos demasiado pequeños para que PCI nos importe». No. El comercio más pequeño en SAQ A y el mayor proveedor de servicios de Nivel 1 están ambos sujetos al estándar. El tamaño cambia cómo demuestras el cumplimiento, no si tienes que cumplir.

«Nuestra pasarela de pagos cumple PCI, así que nosotros también». En parte. Que tu pasarela cumpla te permite usarla sin heredar su carga PCI, pero no elimina tus obligaciones. Sigues teniendo una cuenta de comercio, sigues teniendo personal que puede tocar datos de tarjeta, y sigues teniendo que rellenar un SAQ.

«Solo tomamos los datos de tarjeta una vez por teléfono y no los guardamos». Da igual. Si un agente oye un número de tarjeta, tu centro de contacto está dentro del alcance. PCI no distingue entre «lo guardamos» y «lo oímos y se nos olvidó»: si los datos de tarjeta pasaron por ahí, eres responsable de los sistemas por los que pasaron.

«Podemos pausar y reanudar la grabación y estaremos bien». No, en realidad no. Pausar y reanudar elimina los datos de tarjeta solo de la grabación. El agente los sigue oyendo, la estación de trabajo los sigue mostrando, el sistema telefónico los sigue transportando. El alcance se queda.

FAQs

¿Es PCI DSS una obligación legal en el Reino Unido? Es una obligación contractual, no estatutaria. Aceptas cumplirlo cuando contratas una cuenta de comercio. Dicho eso, el RGPD cubre los datos personales, incluida la información de tarjeta, así que una brecha puede seguir acarreando multas de la ICO de forma independiente.

¿Cuánto se tarda en un SAQ? Un SAQ A, alrededor de una hora. Un SAQ A-EP, medio día. Un SAQ D, varios días o semanas, dependiendo de lo completa que esté tu documentación existente.

¿Necesito un QSA? Solo si eres Nivel 1, o si tu adquirente lo exige específicamente. La mayoría de los comercios de Nivel 2-4 se autoevalúan.

¿Con qué frecuencia se evalúa PCI DSS? Anualmente. Más escaneos ASV trimestrales para cualquier comercio con un entorno de datos de tarjeta expuesto a internet.

¿Cuál es la diferencia entre PCI DSS y cumplimiento PCI? Ninguna. La gente los usa indistintamente. El estándar es PCI DSS; cumplir con él es el cumplimiento PCI.

¿Aplica PCI DSS a los pagos telefónicos? Sí. Los pagos telefónicos son transacciones sin presencia de tarjeta y caen enteramente bajo PCI DSS. El ecosistema del centro de contacto —teléfonos, grabaciones, estaciones de trabajo de los agentes, CRM— es donde la mayoría de los negocios cargan con la mayor parte del peso PCI a menos que lo hayan diseñado activamente para evitarlo.

¿Puedo perder mi certificación PCI? Sí. Si fallas una evaluación, sufres una brecha o te saltas plazos, tu adquirente puede marcarte como no conforme. Los efectos prácticos van desde multas hasta la pérdida de aceptación de tarjetas.

Dónde encaja esto en la plataforma Paytia

Paytia es Proveedor de Servicios PCI DSS Nivel 1, auditado de forma independiente cada año contra el estándar completo. Usar Paytia para cualquiera de tus puntos de contacto con datos de tarjeta significa que el trabajo de ser auditado a Nivel 1 ya está hecho por ti; nos usas como componente externalizado y tu propio SAQ se encoge en consecuencia. Nuestros productos de Supresión DTMF y Separación de Canales son las dos técnicas específicas que ofrecemos para pagos telefónicos. Para una visión más amplia de la plataforma, mira la visión general de la plataforma, o lee la guía de enmascaramiento DTMF para entender el mecanismo técnico.