Módulo 1: Introducción rápida a PCI DSS

Para ver la definición formal consulta PCI DSS. Este módulo es la versión práctica.

Esta página es una introducción rápida para quienes empiezan. Para la definición canónica consulta nuestra entrada del glosario sobre PCI DSS. Para la guía a fondo consulta ¿Qué es PCI DSS? Guía completa de cumplimiento en el Reino Unido.

Si tu negocio acepta pagos con tarjeta — en línea, en persona o por teléfono — hay un estándar de seguridad que no puedes ignorar. Se llama PCI DSS, y define cómo toda organización que maneje datos de tarjetas debe protegerlos. El estándar lo mantiene el PCI Security Standards Council, el organismo que las principales marcas de tarjetas crearon para mantener reglas uniformes en todo el mundo.

PCI DSS, siglas en inglés de Payment Card Industry Data Security Standard, es el reglamento global para proteger los datos de pago con tarjeta. Lo crearon en 2004 las cinco marcas principales — Visa, Mastercard, American Express, Discover y JCB — y hoy lo mantiene el PCI Security Standards Council. La versión actual es PCI DSS v4.0.1, publicada en 2024. Aplica a toda organización que almacene, procese o transmita datos de titulares de tarjeta, desde grandes minoristas hasta pequeñas organizaciones benéficas que aceptan donaciones por teléfono.

PCI DSS — también escrito como Payment Card Industry Data Security Standard — se estructura en 12 requisitos básicos que cubren seguridad de red, cifrado, control de acceso, monitoreo y políticas. Las reglas aplican desde el momento en que los datos de tarjeta tocan un negocio: cuando se guardan en una base de datos, los procesa un sistema de pagos o viajan por una red o línea telefónica. El cumplimiento de PCI no es opcional ni depende del tamaño; es una obligación contractual que baja desde las marcas de tarjetas hacia los bancos adquirentes y, de ahí, a cada comercio. Quedar fuera de cumplimiento puede traducirse en multas, mayores comisiones por transacción y, en casos graves, perder el derecho a aceptar tarjetas.

Entendiendo PCI DSS

Si tu negocio acepta pagos con tarjeta — ya sea en línea, en persona o por teléfono — hay un estándar de seguridad que debes conocer. Se llama PCI DSS, siglas en inglés de Payment Card Industry Data Security Standard. En palabras simples, es un conjunto de reglas que busca que toda organización que maneje datos de pago con tarjeta los proteja bien.

PCI DSS no es nuevo. Existe desde 2004, cuando las cinco marcas principales — Visa, Mastercard, American Express, Discover y JCB — se unieron para crear un único estándar de seguridad. Antes de eso, cada marca tenía sus propias reglas, y el cumplimiento era una pesadilla para los negocios. El PCI Security Standards Council (PCI SSC) se formó para mantener y actualizar el estándar, y la versión actual es PCI DSS v4.0.1, publicada en 2024.

Pero hay algo que muchos dueños de negocio no notan: PCI DSS aplica sin importar tu tamaño. Da igual si eres un minorista multinacional que procesa millones de transacciones o una pequeña organización benéfica que recibe donaciones por teléfono: si los datos de tarjeta tocan tu negocio, estás dentro del alcance.

¿A quién aplica PCI DSS?

La respuesta corta: a toda organización que almacene, procese o transmita datos de titulares de tarjeta. Ese grupo es más amplio de lo que la mayoría piensa.

Incluye los casos obvios, como tiendas en línea y minoristas físicos. Pero también cubre:

• Centros de contacto que toman pagos por teléfono
• Organizaciones benéficas y sin fines de lucro que aceptan donaciones con tarjeta
• Negocios por suscripción que guardan datos de tarjeta para cobros recurrentes
• Hoteles, recintos y servicios de reservas que toman pagos por adelantado
• Despachos profesionales — abogados, contadores, consultores — que facturan con tarjeta
• Organismos públicos y ayuntamientos que cobran a la ciudadanía

Si el número de tarjeta de un cliente pasa por tus sistemas en algún punto — aunque sea brevemente — PCI DSS aplica. Al estándar no le importa si almacenas los datos o solo los reenvías. El simple hecho de manejarlos, aunque sea por un instante, te mete en el alcance.

Vale la pena anotar que PCI DSS también aplica a tus proveedores. Si usas un procesador de pagos externo, una página de pago alojada o una solución de pago telefónico como Paytia, esos proveedores también deben cumplir PCI DSS. Aun así, usar un proveedor cumplidor no elimina tus propias obligaciones — sigues teniendo que demostrar que tu parte del proceso cumple el estándar.

Por qué importa PCI DSS

Quizá te preguntes: si PCI DSS no es una ley, ¿por qué debería importarme? La respuesta se reduce a tres cosas: riesgo financiero, riesgo para el negocio y confianza.

El riesgo financiero es la preocupación más inmediata. Si tu negocio sufre una brecha de datos y resulta que no cumples, las marcas de tarjetas pueden imponerte multas a través de tu banco adquirente. Esas multas pueden llegar a £100.000 al mes. A eso súmale los costos del incidente: investigaciones forenses, notificaciones a clientes, servicios de monitoreo de crédito y las transacciones fraudulentas derivadas del robo de datos. Para un negocio pequeño o mediano, una sola brecha puede ser devastadora.

El riesgo para el negocio va más allá de las multas. Los negocios que no cumplen pueden enfrentar comisiones de procesamiento más altas, requisitos de monitoreo más estrictos o, en el peor de los casos, el cierre de su cuenta de comercio. Perder la capacidad de aceptar pagos con tarjeta dejaría inoperante a la mayoría de los negocios actuales.

La confianza es quizá lo más valioso en juego. Los clientes esperan que sus datos de tarjeta se manejen con seguridad. Una brecha erosiona esa confianza de formas difíciles de medir pero muy reales. En un mundo donde las brechas de datos aparecen seguido en titulares, demostrar cumplimiento de PCI es una ventaja competitiva real.

Los seis objetivos y doce requisitos

PCI DSS se organiza en seis objetivos amplios, cada uno respaldado por requisitos específicos. Hay 12 requisitos en total, y cubrimos cada uno en detalle en Módulo 2: Los 12 requisitos de PCI DSS. Aquí va una visión general:

• Objetivo 1: Construir y mantener una red segura — Instalar cortafuegos y no usar contraseñas predeterminadas del fabricante
• Objetivo 2: Proteger los datos del titular de tarjeta — Cifrar los datos almacenados y protegerlos durante la transmisión
• Objetivo 3: Mantener un programa de gestión de vulnerabilidades — Usar antivirus y desarrollar sistemas seguros
• Objetivo 4: Implementar control de acceso fuerte — Restringir el acceso por necesidad de conocer, asignar IDs únicos y controlar el acceso físico
• Objetivo 5: Monitorear y probar las redes con regularidad — Registrar el acceso a los datos y probar los sistemas de seguridad de forma periódica
• Objetivo 6: Mantener una política de seguridad de la información — Tener una política formal que cubra la seguridad para todo el personal

Estos objetivos son prácticos y lógicos. Representan buenas prácticas de seguridad que cualquier negocio debería seguir, haya o no exigencia regulatoria. Los 12 requisitos solo aportan los controles concretos para lograr cada objetivo.

Cómo se valida el cumplimiento

La forma de demostrar cumplimiento depende de dos factores: cuántas transacciones con tarjeta procesas (tu nivel de cumplimiento) y cómo aceptas pagos (lo cual define el tipo de Cuestionario de Autoevaluación que te toca).

La mayoría de negocios pequeños y medianos caen en Nivel 3 o Nivel 4, lo cual significa que validan el cumplimiento completando un Cuestionario de Autoevaluación (SAQ) en lugar de pasar por una auditoría formal. Explicamos los cuatro niveles de cumplimiento en el Módulo 3 y los distintos tipos de SAQ en el Módulo 4.

La clave es que la forma de aceptar pagos afecta directamente cuánto trabajo implica el cumplimiento. Un negocio que terceriza por completo su procesamiento de tarjetas — usando páginas de pago alojadas para transacciones en línea y una solución de enmascaramiento DTMF como Paytia para pagos telefónicos — puede calificar para SAQ A, que tiene solo 22 preguntas. Un negocio que almacena o procesa datos de tarjeta en sus propios sistemas puede necesitar SAQ D, con 326 preguntas que cubren al detalle los 12 requisitos.

Por eso la reducción de alcance — la práctica de sacar los datos de tarjeta de tus sistemas siempre que sea posible — es una estrategia tan poderosa. La tratamos a fondo en el Módulo 5: Reducción del alcance de tu entorno PCI.

Mitos frecuentes

Hay varios mitos sobre PCI DSS que siguen vigentes y pueden meter a un negocio en problemas:

"Somos muy pequeños para preocuparnos por PCI DSS." El tamaño no importa. El estándar aplica a todo negocio que maneje datos de tarjeta, desde autónomos hasta multinacionales. Los negocios más pequeños son, de hecho, blancos frecuentes de atacantes porque suelen tener seguridad más débil.

"Nuestro procesador de pagos se encarga del cumplimiento por nosotros." Usar un procesador de pagos cumplidor con PCI ayuda muchísimo — puede reducir tu alcance de forma significativa — pero no elimina tus obligaciones. Sigues necesitando completar el SAQ correspondiente y mantener tus propios controles de seguridad.

"No almacenamos datos de tarjeta, así que no estamos en alcance." PCI DSS cubre almacenamiento, procesamiento y transmisión de datos de tarjeta. Si un cliente le dicta su número de tarjeta a tu agente por teléfono, eso es transmisión. Si el número aparece en tu pantalla, aunque sea un instante, eso es procesamiento. Estás en alcance.

"PCI DSS es solo una casilla anual que se marca." El cumplimiento debe ser un estado continuo, no un trámite anual. PCI DSS v4.0.1 acentúa esto todavía más, exigiendo a las organizaciones demostrar que sus controles de seguridad operan de forma efectiva durante todo el año.

Puntos clave

• PCI DSS es el estándar global de seguridad para organizaciones que manejan datos de pago con tarjeta, administrado por el PCI Security Standards Council
• Aplica a todo negocio que almacene, procese o transmita datos de titulares de tarjeta — sin importar tamaño ni sector
• El incumplimiento trae consecuencias serias incluyendo multas de hasta £100.000 al mes, responsabilidad por costos de brecha y posible pérdida de tu cuenta de comercio
• El estándar tiene 6 objetivos y 12 requisitos que cubren desde la seguridad de red hasta las políticas de seguridad de la información
• Cómo validas el cumplimiento depende de tu volumen de transacciones (nivel de cumplimiento) y de cómo aceptas pagos (tipo de SAQ)
• Reducir el alcance de tu entorno — sacar los datos de tarjeta de tus sistemas — es la forma más efectiva de simplificar el cumplimiento
• La versión actual es PCI DSS v4.0.1, que pone el acento en la seguridad continua sobre el cumplimiento puntual