¿Qué es el PCI SSC?

¿Qué es el PCI SSC?

El PCI Security Standards Council (PCI SSC) es el organismo global responsable de desarrollar, gestionar y promover el Payment Card Industry Data Security Standard (PCI DSS) y los estándares de seguridad relacionados. Fue fundado en 2006 por las cinco principales redes de tarjetas —Visa, Mastercard, American Express, Discover y JCB— para crear un enfoque unificado de la seguridad de las tarjetas de pago.

Antes de que existiera el PCI SSC, cada red de tarjetas mantenía su propio programa de seguridad por separado. Los comercios tenían que cumplir varios conjuntos de requisitos solapados y, a veces, contradictorios. El consejo se creó para resolver este problema estableciendo un único estándar coherente aplicable a todas las marcas de tarjetas.

Qué hace el PCI SSC

Las responsabilidades del consejo van mucho más allá de simplemente publicar un documento. Supervisa todo un ecosistema de estándares de seguridad, programas de formación y organizaciones cualificadas de evaluadores.

Actividades principales

• Desarrollar PCI DSS: el estándar estrella que rige cómo las organizaciones protegen los datos del titular de la tarjeta. El consejo publica versiones principales (como PCI DSS v4.0) y gestiona los plazos de transición
• Gestionar los programas de evaluadores: el PCI SSC cualifica y supervisa a los Qualified Security Assessors (QSAs), Approved Scanning Vendors (ASVs) e Internal Security Assessors (ISAs)
• Publicar estándares de apoyo: más allá de PCI DSS, el consejo mantiene estándares para aplicaciones de pago (PA-DSS, ahora sustituido por el Software Security Framework), cifrado punto a punto (P2PE) y producción de tarjetas
• Formación y certificación: el consejo gestiona programas de formación para profesionales de la seguridad y mantiene un registro de individuos y organizaciones certificados
• Compromiso con la comunidad: el PCI SSC recoge feedback de las organizaciones participantes, los grupos de interés especial y la industria de pagos en general para informar las actualizaciones del estándar

Cómo se desarrollan las versiones de PCI DSS

El PCI SSC sigue un proceso estructurado para desarrollar y actualizar los estándares. Normalmente implica:

• Recoger feedback de la comunidad global de organizaciones participantes
• Revisar las amenazas emergentes, las nuevas tecnologías y las tendencias del sector
• Redactar los cambios propuestos y ponerlos en circulación para recibir comentarios
• Publicar los estándares finales con plazos de transición definidos

Por ejemplo, PCI DSS v4.0 se publicó en marzo de 2022, con un período de transición que permitía a las organizaciones pasar de v3.2.1. El consejo fijó el 31 de marzo de 2024 como fecha para retirar v3.2.1, con requisitos adicionales con fecha futura que entrarían en vigor el 31 de marzo de 2025. Este enfoque por fases da a los negocios tiempo para adaptarse sin dejar huecos de seguridad.

Organizaciones participantes

Cualquier organización implicada en el ecosistema de pagos puede convertirse en Participating Organisation (PO) del PCI SSC. Esto incluye a comercios, bancos, procesadores de pago, proveedores tecnológicos y empresas de seguridad. Las POs pueden:

• Enviar feedback sobre los estándares en borrador antes de su finalización
• Proponer representantes al Board of Advisors del consejo
• Asistir a las PCI Community Meetings anuales
• Acceder a borradores tempranos de próximos estándares y documentos de orientación

El estado de Participating Organisation no exime al negocio del cumplimiento: simplemente le da voz sobre cómo evolucionan los estándares.

El PCI SSC y los pagos telefónicos

El PCI SSC ha publicado orientación específica sobre cómo asegurar los entornos de pago telefónico. Los centros de contacto representan un reto particular porque los datos sensibles de la tarjeta pueden quedar expuestos a través de los canales de voz, las grabaciones de llamadas y los escritorios de los agentes.

La orientación del consejo sobre cómo proteger los datos de tarjetas de pago en entornos telefónicos cubre temas como:

• Tecnologías de enmascaramiento y supresión de DTMF
• Enfoques de pausa y reanudación para la grabación de llamadas
• Reducción del alcance de PCI DSS en los entornos de centro de contacto
• Sistemas seguros de pago por IVR

Esta orientación ha sido clave para ayudar al sector a desarrollar y adoptar tecnologías que mantienen los datos de la tarjeta totalmente fuera de la ruta de voz.

PCI SSC frente a las redes de tarjetas

Una fuente habitual de confusión es la relación entre el PCI SSC y las redes de tarjetas individuales. El PCI SSC desarrolla y mantiene los estándares, pero no los aplica. La aplicación corre a cargo de cada red de tarjetas por separado: Visa, Mastercard, American Express, Discover y JCB tienen cada una sus propios programas de cumplimiento, sanciones y requisitos de reporting.

Esto significa que, aunque los requisitos técnicos vienen de un solo sitio (el PCI SSC), las consecuencias del incumplimiento dependen de qué marcas de tarjeta acepta y de los acuerdos que tiene con su banco adquirente.