Módulo 2: Los 12 requisitos de PCI DSS

Para ver la definición formal consulta Cumplimiento PCI DSS. Este módulo es la versión práctica.

Cualquiera que maneje pagos con tarjeta termina topándose con las mismas doce reglas — la columna vertebral de PCI DSS. Cubren desde cortafuegos hasta capacitación del personal, y aplican tanto si procesas diez transacciones al año como diez millones. Esta guía recorre cada requisito en lenguaje claro, con las preguntas prácticas que todo negocio debe responder.

Los 12 requisitos de PCI DSS son los controles de seguridad que todo negocio que maneja pagos con tarjeta debe seguir bajo el Payment Card Industry Data Security Standard. Se agrupan en seis objetivos: construir y mantener una red segura, proteger los datos de cuenta, mantener un programa de gestión de vulnerabilidades, implementar control de acceso fuerte, monitorear y probar redes con regularidad y mantener una política de seguridad de la información. La estructura se ha mantenido constante desde la primera publicación del estándar en 2004, y la versión actual, v4.0.1, afina cómo se aplica cada control.

Los 12 requisitos de PCI DSS no son una lista que marcas una vez al año — describen un conjunto continuo de prácticas de seguridad que tiene que sostenerse todos los días. Cada requisito de PCI DSS cae bajo uno de los seis objetivos, y juntos forman lo que los auditores llaman el entorno de datos del titular de tarjeta: las personas, procesos y sistemas que tocan los números de tarjeta. Los controles de PCI DSS van desde lo técnico (cortafuegos, cifrado, registros) hasta lo operativo (políticas escritas, capacitación, gestión de proveedores). Cuáles aplican a tu negocio depende de cómo aceptas pagos, quién maneja los datos y dónde terminan.

La estructura detrás del estándar

PCI DSS parte de un principio directo: si tu negocio maneja datos de pago con tarjeta, tienes que protegerlos como es debido. Para hacerlo manejable, el PCI Security Standards Council organizó el estándar en seis objetivos y doce requisitos. Cada requisito atiende un área específica de la seguridad, y juntos forman un marco claro para resguardar los datos del titular de tarjeta.

La versión actual, PCI DSS v4.0.1, refina estos requisitos con énfasis en seguridad continua en vez de cumplimiento puntual. Pero la estructura central — seis objetivos, doce requisitos — se ha mantenido desde la primera publicación del estándar en 2004. Entender estos requisitos es esencial para cualquier negocio que deba cumplir, y ese es todo negocio que maneja datos de tarjeta.

Vamos a recorrer cada uno en lenguaje claro.

Objetivo 1: Construir y mantener una red y sistemas seguros

Requisito 1: Instalar y mantener controles de seguridad de red

Este requisito trata de controlar el tráfico que entra y sale de tu red. Históricamente, eso significaba instalar cortafuegos — y los cortafuegos siguen siendo importantes — pero PCI DSS v4.0.1 amplió el lenguaje a "controles de seguridad de red" para incluir enfoques modernos como los grupos de seguridad nativos en la nube, las arquitecturas de confianza cero y las redes definidas por software.

En la práctica, esto significa definir qué tráfico de red se permite y cuál no, documentar tus reglas y revisarlas con regularidad. Si tu entorno de datos del titular de tarjeta (los sistemas que almacenan, procesan o transmiten datos de tarjeta) está conectado a otras redes — incluida internet — necesitas controles en cada frontera. Piénsalo como construir muros alrededor de las partes sensibles de tu red, con puertas controladas con cuidado.

Requisito 2: Aplicar configuraciones seguras a todos los componentes del sistema

Cuando compras un router, servidor o software nuevo, viene con ajustes predeterminados — incluidas contraseñas por defecto como "admin" o "password123". Los atacantes conocen esos valores por defecto y los explotan todo el tiempo. El Requisito 2 dice: cámbialos.

Pero va más allá de las contraseñas. Tienes que quitar servicios innecesarios, deshabilitar protocolos inseguros y configurar los sistemas según estándares de endurecimiento reconocidos por la industria (como los benchmarks de CIS o las guías del NIST). Cada componente del sistema en tu entorno de datos del titular de tarjeta debe configurarse deliberadamente para la seguridad, no quedarse con lo que vino de fábrica.

Objetivo 2: Proteger los datos de cuenta

Requisito 3: Proteger los datos de cuenta almacenados

La mejor forma de proteger los datos de tarjeta almacenados es no almacenarlos. El Requisito 3 parte de esa premisa: solo guarda datos del titular de tarjeta si hay una justificación real de negocio, mantenlos el menor tiempo posible y bórralos cuando ya no se necesiten.

Cuando sí almacenas datos de tarjeta, tienen que quedar ilegibles — normalmente mediante cifrado, truncamiento, enmascaramiento o hashing. El número de cuenta principal completo (PAN) nunca debe almacenarse en texto plano. Y los datos de autenticación sensibles — el código CVV/CVC, los datos del PIN y la banda magnética completa — nunca deben almacenarse después de la autorización, bajo ningún concepto. Este es uno de los fallos de cumplimiento más comunes, sobre todo con grabaciones de llamadas que capturan los datos de tarjeta dictados.

Requisito 4: Proteger los datos del titular de tarjeta con criptografía fuerte durante la transmisión por redes públicas abiertas

Siempre que los datos de tarjeta viajen por una red que podría interceptarse — lo cual incluye internet, redes inalámbricas y redes móviles — deben cifrarse con criptografía fuerte. En la práctica, esto suele significar usar TLS 1.2 o superior para transmisiones web y asegurarte de que otros canales (como correo o mensajería) nunca lleven datos de tarjeta sin cifrar.

Este requisito también aplica a redes internas si son accesibles para partes no confiables. El principio es simple: si alguien podría llegar a interceptar los datos en tránsito, hay que cifrarlos.

Objetivo 3: Mantener un programa de gestión de vulnerabilidades

Requisito 5: Proteger todos los sistemas y redes contra software malicioso

El malware es uno de los vectores de ataque más comunes para robar datos de tarjeta. El Requisito 5 obliga a contar con soluciones antimalware en todos los sistemas habitualmente afectados por software malicioso. Esto incluye servidores, estaciones de trabajo y laptops del entorno de datos del titular de tarjeta.

Bajo PCI DSS v4.0.1, el requisito se actualizó para responder a amenazas que evolucionan. Las soluciones antimalware deben usar mecanismos activos y actualizados — y necesitas evaluaciones periódicas para determinar si sistemas que tradicionalmente no se consideran en riesgo (como ciertos servidores Linux) también requieren protección. Tampoco puedes permitir que los usuarios deshabiliten el antimalware salvo por una razón documentada, con tiempo limitado y aprobada por la dirección.

Requisito 6: Desarrollar y mantener sistemas y software seguros

Este requisito cubre dos áreas: mantener tus sistemas parcheados y asegurar que cualquier software a medida que desarrolles se construya de forma segura.

Para el parcheo, necesitas un proceso que identifique y atienda las vulnerabilidades de seguridad rápido. Los parches críticos deben instalarse dentro de un plazo definido (PCI DSS v4.0.1 dice dentro del mes posterior a su publicación para vulnerabilidades críticas). Para software a medida — sea una tienda en línea, una aplicación interna o una API — hay que seguir prácticas de codificación segura, hacer revisiones de código y atender vulnerabilidades comunes como las del OWASP Top 10.

Objetivo 4: Implementar medidas de control de acceso fuertes

Requisito 7: Restringir el acceso a componentes del sistema y datos del titular de tarjeta según necesidad de conocer del negocio

No todos en tu organización necesitan acceso a los datos de tarjeta. El Requisito 7 hace cumplir el principio de menor privilegio: las personas solo deben tener acceso a los sistemas y datos que necesitan para su trabajo. Un gerente de marketing no necesita acceso a la base de datos de pagos. Un agente de atención al cliente no necesita permisos de administrador sobre la pasarela de pagos.

Esto implica definir roles, asignar permisos en función de esos roles y revisar con regularidad quién tiene acceso a qué. Cuando alguien cambia de rol o deja la organización, su acceso debe actualizarse de inmediato.

Requisito 8: Identificar a los usuarios y autenticar el acceso a los componentes del sistema

Toda persona que accede a sistemas del entorno de datos del titular de tarjeta necesita un ID de usuario único. Nada de cuentas compartidas ni inicios de sesión genéricos. Esto asegura que cada acción pueda rastrearse hasta una persona específica — clave tanto para monitoreo de seguridad como para investigación de incidentes.

PCI DSS v4.0.1 fortaleció bastante los requisitos de autenticación. La autenticación multifactor (MFA) ahora es obligatoria para todo acceso al entorno de datos del titular de tarjeta, no solo para acceso remoto. Las contraseñas deben tener al menos 12 caracteres (antes eran 7) e incorporar requisitos de complejidad. Las cuentas de servicio y las contraseñas de aplicación tienen también su propio conjunto de controles.

Requisito 9: Restringir el acceso físico a los datos del titular de tarjeta

La seguridad digital es solo la mitad del cuadro. El Requisito 9 trata la seguridad física — asegurar que servidores, registros en papel, estaciones de trabajo y equipo de red que manejan datos de tarjeta estén en lugares seguros con controles de acceso adecuados.

Esto incluye gestión de visitantes (registrar quién entra a zonas seguras), proteger los medios que contienen datos de tarjeta (como cintas de respaldo o formularios en papel) y destruir los datos correctamente cuando ya no se necesitan. Para muchos negocios — sobre todo aquellos con centros de contacto — esto implica pensar quién puede ver físicamente las pantallas de los agentes durante llamadas de pago.

Objetivo 5: Monitorear y probar las redes con regularidad

Requisito 10: Registrar y monitorear todo acceso a los componentes del sistema y datos del titular de tarjeta

Cuando ocurre una brecha, los registros son la forma de saber qué pasó, cuándo y cómo. El Requisito 10 obliga a llevar registros detallados de todo acceso a recursos de red y datos del titular de tarjeta. Tienes que anotar quién accedió a qué, cuándo y desde dónde — y revisar esos registros con regularidad para detectar anomalías.

PCI DSS v4.0.1 agregó requisitos para mecanismos automatizados de revisión de registros. Dado el volumen de logs que generan los sistemas actuales, la revisión manual por sí sola no alcanza. Necesitas herramientas que detecten y avisen sobre patrones sospechosos, intentos fallidos de acceso y otros indicadores de posible compromiso.

Requisito 11: Probar la seguridad de sistemas y redes con regularidad

Los controles de seguridad no son "instalar y olvidar". El Requisito 11 exige pruebas periódicas para asegurar que tus defensas realmente funcionan. Esto incluye escaneos trimestrales de vulnerabilidades hechos por un proveedor de escaneo aprobado (ASV), pruebas de penetración anuales y detección de puntos de acceso inalámbricos.

Piénsalo como un chequeo de salud para tu seguridad. No darías por sentado que tus cerraduras funcionan sin probarlas, y lo mismo aplica a cortafuegos, cifrado y controles de acceso. PCI DSS v4.0.1 también introdujo requisitos de escaneo de vulnerabilidades autenticado interno, dándote una vista más completa de tu postura de seguridad.

Objetivo 6: Mantener una política de seguridad de la información

Requisito 12: Respaldar la seguridad de la información con políticas y programas organizacionales

El último requisito amarra todo con gobernanza. Necesitas una política formal de seguridad de la información que se revise cada año, que entienda todo el personal y que cuente con el compromiso de la dirección. Esta política debe cubrir todos los aspectos de PCI DSS y definir responsabilidades con claridad.

El Requisito 12 también cubre la capacitación en concientización en seguridad (todo el personal debe formarse al menos una vez al año), planificación de respuesta a incidentes (necesitas un plan documentado para responder a brechas de seguridad) y evaluación de riesgos (debes evaluar formalmente los riesgos a los datos del titular de tarjeta al menos una vez al año y tras cambios importantes).

Para los negocios que usan proveedores de servicios terceros — procesadores de pagos, proveedores de hosting, soluciones de pago telefónico — el Requisito 12 también te obliga a mantener un programa para monitorear el cumplimiento de PCI DSS de esos proveedores.

Cómo abordar los requisitos

Doce requisitos pueden sentirse abrumadores, pero hay un enfoque práctico que hace el cumplimiento mucho más manejable: reduce tu alcance primero. Cuantos menos sistemas y procesos toquen datos de tarjeta, menos requisitos aplican con todo su peso.

Por ejemplo, si usas una página de pago alojada para transacciones en línea y una solución de enmascaramiento DTMF como Paytia para pagos telefónicos, los datos de tarjeta nunca entran a tus sistemas. Eso puede reducir tu validación de cumplimiento de las 326 preguntas del SAQ D a solo 22 preguntas del SAQ A. Explicamos esta estrategia con detalle en el Módulo 5: Reducción del alcance de tu entorno PCI.

También vas a notar que muchos de estos requisitos coinciden con buenas prácticas generales de seguridad. Si ya tienes una seguridad informática decente — parcheo, control de acceso, registros, capacitación de empleados — puede que estés más cerca del cumplimiento de lo que crees.

Puntos clave

• PCI DSS tiene 12 requisitos organizados bajo 6 objetivos de seguridad, que cubren desde la seguridad de red hasta la política organizacional
• Los 12 requisitos aplican a todo negocio que maneja datos de tarjeta, aunque los controles específicos dependen de tu tipo de SAQ y nivel de cumplimiento
• PCI DSS v4.0.1 trajo actualizaciones importantes incluyendo autenticación más fuerte (contraseñas de 12 caracteres, MFA ampliada), monitoreo automatizado de registros y foco en el cumplimiento continuo
• La estrategia más efectiva es reducir tu alcance para que apliquen menos requisitos en toda su complejidad — lo cubrimos en el Módulo 5
• Muchos requisitos coinciden con buenas prácticas de seguridad que quizá ya sigues — el cumplimiento no se trata de reinventar la rueda
• Nunca almacenes datos de autenticación sensibles (CVV, PIN, datos completos de banda) tras la autorización — esta es una de las violaciones más comunes y graves