Módulo 10: Tu hoja de ruta de cumplimiento PCI

Para ver la definición formal consulta Cumplimiento PCI DSS. Este módulo es la versión práctica.

Lograr el cumplimiento de PCI DSS no es una sola tarea — es una secuencia de decisiones que tienen que pasar en el orden correcto. Si te saltas el trabajo de alcance, vas a dimensionar tus controles contra los sistemas equivocados; si te saltas la documentación, vas a reprobar la evaluación incluso con los controles correctos en pie. Una hoja de ruta mantiene el orden honesto.

Una hoja de ruta de cumplimiento PCI es la secuencia ordenada de pasos que sigue un negocio para cumplir con el Payment Card Industry Data Security Standard. Las diez etapas van desde mapear cómo se mueven los datos de tarjeta por el negocio, determinar el alcance y elegir el Cuestionario de Autoevaluación correcto, hasta reducir el alcance, implementar controles, documentar políticas, capacitar al personal, completar el cuestionario, firmar la Attestation of Compliance y, después, mantener el programa cada año. Una hoja de ruta de primera vez normalmente toma de tres a seis meses.

Una hoja de ruta de cumplimiento PCI convierte los 12 requisitos del estándar en un plan de proyecto con un punto de partida definido y una meta definida. La primera mitad de la hoja de ruta PCI DSS es diagnóstica — encontrar los datos de tarjeta, dibujar la frontera a su alrededor y elegir el cuestionario correcto — mientras que la segunda mitad es ejecución: sacar los datos de tarjeta donde se pueda, poner controles alrededor de lo que quede, escribir las políticas, capacitar a las personas y firmar los papeles. Tras el primer año, la hoja de ruta de cumplimiento pasa a una cadencia anual: re-alcance, re-prueba, re-atestación.

Del entendimiento a la acción

Llegaste a la última guía de nuestra serie Cumplimiento 101. En las nueve guías anteriores cubrimos qué es PCI DSS, qué significan sus requisitos, cómo funcionan los niveles de cumplimiento y los tipos de SAQ, cómo reducir el alcance de tu entorno, los retos específicos de los pagos telefónicos, cómo funciona el enmascaramiento DTMF, qué cambió en la v4.0.1 y los errores que debes evitar. Esa es una base sólida de conocimiento.

Ahora toca convertir ese conocimiento en acción. Esta guía te da una hoja de ruta práctica, paso a paso, para lograr y mantener el cumplimiento PCI DSS. Sea que estés empezando de cero o ajustando un programa existente, estos diez pasos te van a guiar por el proceso en el orden correcto.

Paso 1: Mapea por dónde fluyen los datos de tarjeta

Todo empieza con entender dónde existen los datos del titular de tarjeta en tu negocio. No puedes proteger lo que no puedes encontrar, y no puedes definir tu alcance sin saber por dónde fluyen los datos.

Rastrea el recorrido completo de los datos de tarjeta por tu organización. Considera cada canal de pago: en línea, presencial, telefónico, por correo postal y por cobros recurrentes. Para cada canal, documenta dónde entran los datos de tarjeta a tu entorno, por qué sistemas pasan, dónde podrían almacenarse (aunque sea de forma temporal) y por dónde salen a un procesador de pagos o adquirente.

No olvides los lugares no obvios: grabaciones de llamada que capturan números de tarjeta dictados, sistemas CRM donde los agentes anotan datos, hilos de correo, formularios en papel, sistemas de respaldo y hojas de cálculo de reconciliación. Los datos de tarjeta tienden a expandirse más de lo que cualquiera espera. Documenta todo lo que encuentres — vas a necesitar este mapa para cada paso siguiente.

Paso 2: Determina tu nivel de cumplimiento

Tu nivel de cumplimiento determina cómo validas tu cumplimiento PCI. Como explicamos en el Módulo 3, hay cuatro niveles basados principalmente en tu volumen anual de transacciones:

• Nivel 1: Más de 6 millones de transacciones al año — exige una auditoría completa por un Qualified Security Assessor (QSA)
• Nivel 2: De 1 a 6 millones de transacciones — normalmente SAQ con posible evaluación en sitio
• Nivel 3: De 20.000 a 1 millón de transacciones de comercio electrónico — validación por SAQ
• Nivel 4: Menos de 20.000 de comercio electrónico o hasta 1 millón de transacciones totales — validación por SAQ

Revisa con tu banco adquirente (el banco que te provee tu cuenta de comercio) para confirmar tu nivel. Pueden tener requisitos específicos más allá de los umbrales generales. Considera que los umbrales pueden variar levemente entre marcas de tarjetas, y la interpretación de tu adquirente es la que importa en la práctica.

Paso 3: Identifica tu tipo de SAQ

El Cuestionario de Autoevaluación que necesitas depende de cómo aceptas pagos. Como detallamos en el Módulo 4, los tipos de SAQ van desde el SAQ A (22 preguntas, para negocios que tercerizan por completo el procesamiento de tarjeta) hasta el SAQ D (326 preguntas, para negocios que almacenan, procesan o transmiten datos de tarjeta por su cuenta).

Tu tipo de SAQ se determina por el mapa de flujo de datos que creaste en el Paso 1. Si los datos de tarjeta nunca entran a tus sistemas — porque usas páginas de pago alojadas y enmascaramiento DTMF — probablemente vas a calificar para SAQ A. Si procesas datos de tarjeta en tus propios servidores, vas a necesitar SAQ D.

Acertar con el tipo de SAQ es crítico. Completar el equivocado significa que tu validación es inválida. Si no estás seguro, tu QSA o banco adquirente puede ayudarte a determinar el tipo correcto.

Paso 4: Reduce tu alcance

Antes de empezar a implementar controles, reduce tu alcance. Este es el paso más impactante que puedes dar para simplificar y acelerar tu recorrido de cumplimiento. Cubrimos las estrategias de reducción de alcance a detalle en el Módulo 5, pero aquí va el resumen:

Para pagos en línea: Usa una página de pago alojada o iframe alojado para que los datos de tarjeta vayan directamente del navegador del cliente al procesador de pagos, sin tocar tus servidores.

Para pagos telefónicos: Implementa enmascaramiento DTMF para que los clientes ingresen los datos de tarjeta en el teclado del teléfono. Los tonos se enmascaran, el agente nunca oye ni ve los datos, y la infraestructura de tu centro de contacto se queda fuera de alcance PCI. Esta es la tecnología central de Paytia, y es la forma más efectiva de reducir el alcance del canal telefónico — como explicamos en el Módulo 7.

Para pagos presenciales: Usa terminales P2PE (cifrado punto a punto) validadas que cifren los datos de tarjeta en el punto de entrada, evitando que tus sistemas locales accedan a ellos en texto claro.

Para datos almacenados: Elimina el almacenamiento innecesario. Si no necesitas almacenar datos de tarjeta, no lo hagas. Usa tokens (referencias que mapean a datos de tarjeta resguardados con seguridad por tu procesador de pagos) en vez de números de tarjeta reales para cobros recurrentes y reembolsos.

Cada sistema que sacas de alcance es un sistema que no tienes que asegurar, monitorear, parchar, auditar y documentar a estándares PCI. La reducción de alcance no se trata solo de facilitar el cumplimiento — se trata de bajar realmente tu riesgo.

Paso 5: Implementa los controles requeridos

Con tu alcance minimizado, implementa los controles de PCI DSS requeridos para tu entorno. Los controles específicos dependen de tu tipo de SAQ. Si redujiste el alcance bien y calificas para SAQ A, los controles son relativamente directos — principalmente alrededor de gestión de proveedores, controles de acceso y políticas de seguridad.

Si tu SAQ exige controles más amplios, recorre los requisitos de forma sistemática. Cubrimos los 12 en el Módulo 2. Prioriza las áreas con tus mayores brechas. Las áreas que suelen requerir atención incluyen:

• Seguridad de red — cortafuegos, segmentación y configuraciones seguras
• Control de acceso — IDs únicos, contraseñas fuertes (mínimo 12 caracteres bajo v4), MFA para acceso al CDE
• Cifrado — datos en tránsito (TLS 1.2+) y datos en reposo (cifrado a nivel de campo)
• Registro y monitoreo — pistas de auditoría completas con revisión automatizada
• Gestión de vulnerabilidades — parcheo, antimalware y prácticas de desarrollo seguro

No intentes hacer todo a la vez. Crea un plan de implementación priorizado por riesgo, empezando por los controles que atienden tus exposiciones más significativas.

Paso 6: Capacita a tu personal

El Requisito 12.6 de PCI DSS exige capacitación en concientización en seguridad para todo el personal. Pero una capacitación efectiva va más allá del cumplimiento — se trata de construir una cultura consciente de seguridad donde las personas entienden por qué importan estos controles y qué rol juegan.

La capacitación debe cubrir: qué es PCI DSS y por qué importa, las políticas de seguridad de tu organización, cómo manejar correctamente los datos del titular de tarjeta, qué hacer si sospechan de un incidente y las consecuencias del incumplimiento. Para el personal que maneja pagos directamente, la capacitación debe ser más detallada y específica al rol.

Bajo PCI DSS v4.0.1, la capacitación debe darse al menos una vez al año y al momento de la contratación. Documenta toda la capacitación — quién asistió, cuándo, qué se cubrió — porque tu evaluador va a pedir esos registros.

Paso 7: Completa tu SAQ o pasa por tu auditoría

Con los controles en pie y el personal capacitado, estás listo para validar formalmente tu cumplimiento. Para la mayoría de negocios (Niveles 2-4), esto significa completar tu SAQ y entregarlo junto con una Attestation of Compliance (AoC) a tu banco adquirente.

Aborda el SAQ con honestidad. Cada pregunta debe responderse con "Sí" (el control está plenamente en pie), "Sí con CCW" (aplica una hoja de control compensatorio), "No" (el control no está en pie — vas a necesitar un plan de remediación) o "N/A" (no aplicable a tu entorno, con justificación).

Si eres Nivel 1 o por alguna otra razón requieres una auditoría QSA, programa la evaluación con tiempo y prepárate reuniendo evidencia: políticas, capturas de configuración, listas de control de acceso, registros de capacitación e informes de escaneo. Para los escaneos externos trimestrales de vulnerabilidades contrata un Approved Scanning Vendor (ASV) — esos escaneos deben pasar y los resultados deben estar vigentes al momento de tu evaluación.

Paso 8: Configura el monitoreo continuo

Pasar tu SAQ o auditoría no es la meta — es el punto de partida del cumplimiento continuo. Como vimos en el Módulo 9, uno de los errores más comunes es dejar caer las cosas después de la evaluación.

Establece una rutina que incluya: monitoreo continuo de registros con alertas automatizadas, escaneos trimestrales ASV, evaluaciones internas regulares de vulnerabilidades, gestión continua de parches, revisiones periódicas de accesos y chequeos regulares de que los controles de seguridad funcionan como se espera.

Asigna responsabilidad clara para cada actividad. El cumplimiento PCI no es solo responsabilidad del área de TI — requiere coordinación entre TI, operaciones, RR. HH. y dirección.

Paso 9: Planea la revalidación anual

El cumplimiento PCI no es un logro de una sola vez. Debes revalidar cada año completando un nuevo SAQ (o pasando por una nueva auditoría) y entregando una Attestation of Compliance fresca. Construye la revalidación dentro de tu calendario de negocio — empieza la preparación al menos tres meses antes de tu aniversario de cumplimiento.

La v4.0.1 espera que muestres que los controles estuvieron en pie durante todo el año, no solo al momento de la evaluación. Si vienes siguiendo el Paso 8 — monitoreo continuo — vas a tener la evidencia que necesitas.

Paso 10: Documenta todo

La documentación es la columna vertebral del cumplimiento PCI. Si no está documentado, no ocurrió — al menos para tu evaluador. Los documentos clave incluyen: diagramas de flujo de datos y de red, políticas de seguridad que cubran cada requisito PCI, procedimientos operativos para parcheo y revisiones de acceso, registros de capacitación, evidencia de controles (capturas de configuración, informes de escaneo), evaluaciones de riesgo, registros de gestión de proveedores y tu plan de respuesta a incidentes.

Mantén la documentación al día. La documentación desactualizada da una imagen falsa de tu postura de seguridad y puede llevar a hallazgos de cumplimiento. Revísala y actualízala tras cada cambio importante y al menos una vez al año.

Tus próximos pasos

Desglosado en estos diez pasos, el cumplimiento PCI se vuelve un proyecto estructurado y manejable. La idea clave de toda esta serie es que la reducción de alcance es lo más efectivo que puedes hacer. Para los pagos telefónicos — que, como vimos en el Módulo 6, crean el alcance PCI más amplio de cualquier canal de pago — el enmascaramiento DTMF es la herramienta de reducción de alcance más efectiva que hay. Para los pagos en línea, las páginas de pago alojadas logran el mismo resultado.

Donde sea que estés en tu recorrido de cumplimiento, empieza por el Paso 1. Mapea tus flujos de datos de tarjeta — vas a tener la base que necesitas para tomar decisiones informadas y actuar con efectividad.

Puntos clave

• Empieza mapeando los flujos de datos de tarjeta — no puedes proteger lo que no encuentras, y este mapa guía cada decisión siguiente
• Determina tu nivel de cumplimiento y tipo de SAQ pronto, así sabes exactamente qué se le exige a tu negocio
• Reduce tu alcance antes de implementar controles — reducir el alcance con páginas de pago alojadas y enmascaramiento DTMF es el paso más impactante
• Implementa controles de forma sistemática, priorizando primero las mayores brechas y los riesgos más altos
• Capacita a todo el personal al menos una vez al año, con capacitación específica al rol para quienes manejan pagos
• Completa tu SAQ con honestidad y entrégalo con tu Attestation of Compliance a tu banco adquirente
• Configura el monitoreo continuo — el cumplimiento continuo es un requisito bajo la v4, no un "bueno tenerlo"
• Planea la revalidación anual empezando al menos tres meses antes de tu aniversario de cumplimiento
• Documenta todo — políticas, procedimientos, capacitación, evidencia y evaluaciones de riesgo — porque si no está documentado, no ocurrió
• La reducción de alcance es la estrategia más efectiva para que el cumplimiento PCI sea más rápido, más simple y más económico