Si alguna vez ha tenido que ingresar los datos de su tarjeta de crédito en un sitio web, ha interactuado con el PCI DSS. El Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago creó este conjunto de estándares de seguridad para proteger los datos de las tarjetas de crédito.
El cumplimiento de PCI es indispensable para cualquier negocio que procese, almacene o transmita información de tarjetas de crédito.
En este artículo, encontrará una descripción general del PCI DSS y aprenderá qué deben hacer las empresas para cumplir con este estándar. También hablará de los efectos del incumplimiento en clientes y comerciantes.
El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS, Payment Card Industry Data Security Standard) es un conjunto de requisitos que garantizan que las empresas que procesen, almacenen o transmitan información de tarjetas de crédito mantengan un entorno seguro. Esto incluye tener un firewall, contraseñas seguras y otras medidas de seguridad.
El PCI DSS se creó en respuesta al creciente número de fugas de datos que involucran el robo y uso indebido de información de tarjetas de crédito. Al establecer este estándar, el Consejo de estándares de seguridad de la industria de tarjetas de pago (PCI SSC) espera reducir la cantidad de robos de información de tarjetas de crédito.
Para administrar y gestionar el PCI DSS, MasterCard, Visa, JCB, Discover y American Express crearon el Consejo de estándares de seguridad de PCI (PCI SSC, PCI Security Standards Council). Es un organismo independiente que brinda orientación y apoyo a las organizaciones sobre cómo cumplir con los requisitos del estándar.
Si bien el Instituto de tarjetas de pago se estableció en 2004, las raíces de los estándares de seguridad de pagos actuales se remontan incluso más atrás.
A medida que el internet se hizo más prominente a fines de la década de 1990, las compras en línea también se popularizaron. Este nuevo desarrollo trajo optimismo tanto a comerciantes minoristas como a consumidores. No obstante, los estafadores no tardarían en llegar.
Pronto quedó claro que las protecciones de seguridad existentes no eran suficientes para proteger los datos de los clientes a una escala tan grande. Para abordar la situación, Visa estableció el Programa de seguridad informática de titulares de tarjetas (CISP, Cardholder Information Security Program). El objetivo era brindar a los comercios de venta al público requisitos de seguridad para procesar transacciones con tarjetas de crédito.
Esto fue seguido por el programa de Protección de datos del sitio (SDP, Site Data Protection) de MasterCard y la Política de operación de seguridad de datos (DSOP, Data Security Operating Policy) de American Express. Estas iniciativas ayudaron a allanar el camino para un único estándar de seguridad unificado en todas las compañías de tarjetas de pago.
Si bien Discover y American Express siguieron el mismo camino, la falta de estándares de seguridad unificados para todas las compañías de tarjetas dificultó garantizar un nivel de protección consistente. Para abordar esto, en 2006 se formó el Consejo de estándares de seguridad de la industria de tarjetas de pago, y se creó el PCI DSS.
El PCI DSS ha estado en constante evolución desde su creación en 2004. A medida que avanza la tecnología, también lo hace la necesidad de contar con mejores medidas de seguridad para proteger los datos de los clientes.
Es por ello que el estándar se actualiza periódicamente para garantizar que siga siendo relevante y efectivo frente a las amenazas modernas. A lo largo de los años, se han implementado varios cambios en el estándar, incluido un enfoque en los controles de cifrado y autenticación.
La versión 1.2 del protocolo de seguridad se estableció en octubre de 2008 para delinear las prácticas recomendadas para proteger redes inalámbricas y usar software antivirus. Le siguió la versión 2.0 en octubre de 2010, que introdujo el concepto de las pruebas de penetración y fortaleció los procesos de cifrado.
Después de eso llegaron las versiones 3.2 y 3.2.1, lanzadas en 2018. El PCI DSS 3.2.1 incluyó requisitos adicionales para que los proveedores de servicios protejan los datos de titulares de tarjetas cuando estos se transfieren a través de internet o se almacenan en dispositivos móviles. También requiere que las organizaciones mantengan un entorno seguro al probar regularmente sus sistemas de seguridad.
Actualmente, la última versión es el PCI DSS 4.0, lanzada por el PCI SSC el 31 de marzo de 2022. Esta versión incluye nuevos requisitos para el desarrollo seguro de software y un enfoque en la protección de los datos de titulares de tarjetas dentro y fuera de la organización. También proporciona más claridad sobre el cifrado y los controles de acceso.
En un intento por proteger los datos en la industria de tarjetas de pago, el Consejo de estándares de seguridad de la industria de tarjetas de pago mantiene estándares altos para los comerciantes. Estos proporcionan especificaciones sobre herramientas, marcos, medidas y recursos de soporte para ayudar a las empresas a mantener segura la información de los titulares de tarjetas en todo momento.
Estos estándares abordan la prevención, detección y respuesta frente a amenazas de seguridad. Para ayudar con esto, el PCI SSC ofrece las siguientes herramientas:
El PCI SSC tiene seis metas con 12 requisitos que las empresas deben observar para lograr y mantener el cumplimiento. Debe completar las siguientes tareas descritas en la lista de verificación para lograrlo.
El primer objetivo de la lista de verificación de cumplimiento del PCI es construir y mantener una red segura. Después de todo, esta es la base de la seguridad de las tarjetas de pago de su organización. Los dos requisitos que se incluyen dentro de este objetivo son:
Cuando se trata de ciberseguridad, los firewalls son un elemento integral. Los firewalls proporcionan la primera línea de defensa contra el tráfico no deseado, lo que ayuda a evitar que los piratas informáticos maliciosos accedan a las redes de su empresa.
Gracias a su eficacia en la prevención del tráfico no deseado, usar y mantener un firewall es un requisito clave para cumplir con el PCI DSS.
Desafortunadamente, muchas empresas no aseguran sus routers, módems, sistemas de punto de venta (POS, Point of Sale) y demás productos de otros fabricantes. Estos dispositivos suelen incluir contraseñas genéricas a las que cualquiera puede acceder fácilmente.
Luego de configurar el firewall, es importante cambiar las contraseñas predeterminadas y la configuración de seguridad. Esto ayuda a protegerse de cualquier persona que pueda conocer o adivinar las credenciales o configuraciones predeterminadas.
Además de cambiar las contraseñas, es importante actualizarlas regularmente y garantizar que solo los usuarios autorizados tengan acceso a ellas. Debe implementar sistemas de autenticación sólidos como la autenticación de dos factores o la autenticación multifactor para lograrlo.
Para mantener el cumplimiento, cree una lista de todos los dispositivos y software que necesitan algún tipo de contraseña o medida de seguridad para acceder. Este inventario de dispositivos/contraseñas debe actualizarse regularmente, y se deben tomar otras precauciones básicas (por ejemplo, cambiar las contraseñas a menudo).
El segundo objetivo es la protección de los datos de titulares de tarjetas, también llamado la protección de datos y cifrado. Cuando se trata de proteger la información de los titulares de tarjetas, debe cumplir con dos requisitos:
Cuando las empresas procesan, almacenan o transmiten datos de titulares de tarjetas, deben tomar precauciones adicionales para protegerlos. Hacerlo implica almacenar datos de forma segura y usar el cifrado siempre que sea posible.
El PCI SSC recomienda un sistema doble de protección de la información de los titulares de tarjetas. Implica cifrar los datos con algoritmos. Además, las claves de cifrado utilizadas para implementar el cifrado también deben estar cifradas.
Por ejemplo, coloque todos los datos almacenados sobre titulares de tarjetas en un servidor seguro separado accesible solo para quienes lo necesiten. Además, cifre todas las transmisiones de datos de titulares de tarjetas a través de redes públicas.
Para mantener sus datos seguros, debe escanear y mantener con frecuencia sus números de cuenta principal (PAN, Primary Account Numbers).
Para proteger los datos de titulares de tarjetas cuando se transmiten públicamente (por ejemplo, cuando un cliente realiza un pedido en línea), las empresas deben usar protocolos seguros, tales como los especificados por el PCI DSS.
Por ejemplo, los sitios web deben contar con un certificado de capa de conexión segura (SSL, Secure Socket Layer) o un certificado de seguridad de capa de transporte (TLS, Transport Layer Security) que esté actualizado y validado. Esto ayudará a proteger los datos confidenciales de los clientes cuando realicen compras.
Además, debe restringir el acceso a los datos de titulares de tarjetas solo para quienes los necesiten. Esto significa crear un sistema seguro de cuentas de usuario que se supervisen y actualicen con frecuencia.
Estas medidas ayudarán a proteger los datos confidenciales de los clientes de cualquier persona que pueda intentar interceptarlos o robarlos mientras están en tránsito.
El tercer objetivo es mantener un programa de gestión de vulnerabilidades. Esto implica supervisar y probar las redes para detectar vulnerabilidades en la seguridad y abordarlas lo más rápido posible. Hay dos requisitos que debe cumplir según el tercer objetivo. Estos son:
Es importante instalar y mantener el software antivirus en todas las computadoras y aplicaciones que procesen, almacenen o transmitan datos de titulares de tarjetas. Esto ayudará a detectar y eliminar software malicioso de sus sistemas.
Además, para cualquier dispositivo que almacene o interactúe con los PAN, es un requisito contar con un antivirus. También debe actualizar el software antivirus regularmente para asegurarse de que cuenta con la versión más reciente.
Además, las empresas deben escanear regularmente sus redes y aplicaciones en busca de vulnerabilidades de seguridad. Esto significa usar un proveedor de escaneo aprobado (ASV) para realizar escaneos trimestrales de sus redes externas.
El software y los sistemas deben actualizarse periódicamente con los últimos parches de seguridad. Esto asegura que cualquier vulnerabilidad en la seguridad se resuelva rápidamente antes de que sea quebrantada.
También debe probar cualquier aplicación nueva antes de su lanzamiento para asegurarse de que no tenga huecos o puntos débiles que puedan ser vulnerados.
Luego de poner en marcha su programa de gestión de vulnerabilidades, es hora de pasar al cuarto objetivo: implementar fuertes medidas de control de acceso. Esto significa limitar el acceso a los datos de titulares de tarjetas en función del rol de cada usuario. Dentro de este objetivo, existen tres requisitos:
Asegúrese de que solo se concede acceso a los datos de titulares de tarjetas a quienes lo necesitan. Esto significa implementar medidas estrictas de control de acceso y garantizar que las cuentas de los usuarios sean supervisadas y actualizadas con frecuencia.
Una forma de lograrlo es garantizar que los datos estén estrictamente disponibles en función de lo necesario. Independientemente del puesto, el personal solo debe acceder a los datos si necesitan tenerlos. Además, según el PCI DSS, se debe documentar y actualizar periódicamente los roles que necesitan acceder a datos confidenciales.
Una parte esencial de la seguridad de los datos es saber quién accede a los datos y cuándo. Por lo tanto, si los empleados con acceso a datos confidenciales usan credenciales compartidas para iniciar sesión, será un desafío determinar quién accedió a los datos.
En lugar de esto, otorgue ID únicas a cada usuario para ayudar a garantizar que solo el personal autorizado pueda acceder a los datos. Esto también ayuda a evitar cualquier acceso no autorizado o manipulación de los datos de titulares de tarjetas.
El acceso físico a los datos de titulares de tarjetas también debe ser restringido y supervisado. Esto significa establecer medidas de seguridad física como puertas cerradas, gabinetes seguros y áreas de acceso restringido.
También debe incluir medidas para supervisar y registrar los intentos de acceso físico y revocar cuentas de usuario cuando los empleados dejan la organización.
No es suficiente contar con una infraestructura y sistemas excelentes. Es imprescindible supervisar y probar las redes con regularidad. Y esto es lo que implica el objetivo 5. Los dos requisitos dentro de este objetivo incluyen:
Se necesita un registro de entrada para todas las actividades que involucran números de cuenta primaria (PAN) y datos de titulares de tarjetas. Sin embargo, el problema de seguridad más frecuente es cuando las personas no tienen la documentación adecuada o no mantienen registros adecuados del acceso a información confidencial.
Para cumplir, debe realizar un seguimiento de cómo los datos ingresan a su empresa y la frecuencia con la que las personas necesitan acceder a ellos. También necesitará un software que registre toda la actividad para mayor precisión.
Para cumplir con este objetivo, debe usar una herramienta de escaneo de vulnerabilidades proporcionada por un proveedor de escaneo aprobado (ASV). El ASV escaneará sus redes y aplicaciones para identificar problemas de seguridad o vulnerabilidades.
Al ejecutar escaneos regularmente, puede estar seguro de que sus sistemas están actualizados y que su programa de gestión de vulnerabilidades cumple con PCI DSS.
Por último, el objetivo 6 consiste en mantener una política que aborde la seguridad informática. Incluye un requisito:
Crear y mantener una política de seguridad informática es el último requisito de PCI DSS. Esta política debe definir reglas, procedimientos y roles relacionados con la seguridad de los datos. También debe abordar la forma en que la información confidencial se almacena, transmite y utiliza.
Esta política debe estar actualizada y debe ser aprobada por la junta directiva. También se debe revisar periódicamente para asegurarse de que cumple con la normativa vigente y las prácticas recomendadas de la industria.
El Estándar de seguridad de datos de la industria de tarjetas de pago afecta a cualquier empresa que recopile, almacene o transmita datos de tarjetas de crédito de sus clientes. Esto incluye comerciantes, procesadores de pagos, bancos y proveedores de servicios.
Las organizaciones deben demostrar su cumplimiento a cualquiera de las cinco compañías de tarjetas de pago para procesar los pagos de los clientes. De no hacerlo, la organización podría estar sujeta a multas, litigios u otras sanciones.
Los requisitos de PCI DSS se extienden a la infraestructura física y digital de una organización. Todo el personal involucrado en el manejo de pagos también debe cumplir con el estándar.
Los clientes juegan un papel importante en el éxito del cumplimiento de PCI. Como organización, debe asegurarse de que los clientes conozcan los riesgos asociados con los pagos con tarjeta y los pasos que usted toma para mantenerlos seguros.
Al cumplir con el estándar, las organizaciones pueden garantizar que los datos de los clientes están protegidos y que sus pagos con tarjeta son seguros. Esto puede aumentar la confianza de los clientes y ayudar a establecer una relación positiva entre ellos y la empresa.
El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) orienta a empresas de todos los tamaños sobre cómo manejar la información de tarjetas de crédito de forma segura. A pesar de parecer difícil, el cumplimiento es esencial y puede ser más fácil de lograr de lo que parece inicialmente, en especial si cuenta con las herramientas adecuadas.
Una vez que logre el cumplimiento, disfrutará de beneficios como:
En resumen, cumplir con el PCI DSS le permitirá proteger los datos de los clientes y demostrar que su organización se toma en serio la seguridad informática. Esto puede tener un impacto positivo en la retención y adquisición de clientes, lo que aumentaría las ventas y ganancias.
El incumplimiento del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS, Payment Card Industry Data Security Standard) afecta tanto a los clientes como a los empresarios.
Para los clientes, el incumplimiento significa que sus datos están en riesgo, y eso podría resultar en un robo de identidad o pérdidas financieras. En el caso de los empresarios, el incumplimiento puede causar multas por parte de las empresas de tarjetas de pago, acciones legales y daños a la reputación.
Es importante señalar que el incumplimiento afecta a todas las partes involucradas, no solo a las empresas. Para proteger a los clientes y a su negocio, es crucial cumplir con los requisitos del PCI DSS.
Las organizaciones pueden reunir los requisitos de cumplimiento siguiendo un conjunto de prácticas recomendadas por el Consejo del estándar de seguridad de datos de la industria de tarjetas de pago (PCI SSC, Payment Card Industry Security Standards Council). Estas prácticas recomendadas incluyen lo siguiente:
Al seguir las prácticas recomendadas por el PCI SSC, puede estar seguro de que su empresa está cumpliendo con los estándares de seguridad más actuales y protegiendo los datos de sus clientes.
El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS, por sus siglas en inglés) es un complejo conjunto de controles de seguridad diseñado para proteger los datos de las tarjetas de los clientes. Intentar cumplir con los estándares puede ser abrumador, pero no tiene por qué ser así.
Con las herramientas y procesos adecuados, puede garantizar el cumplimiento rápida y fácilmente. Y lo más importante: necesitará el partner adecuado. Aquí es donde entra Veritas. Tenemos años de experiencia apoyando a las organizaciones a cumplir con los estándares de la PCI y podemos ayudarle a hacer lo mismo.
Ofrecemos paquetes de productos diseñados para simplificar el cumplimiento y servicios personalizados adaptados a sus necesidades. Comuníquese con nosotros hoy mismo y permítanos mostrarle cómo cumplir con los requisitos de la PCI sin esfuerzo.
Los clientes de Veritas incluyen el 95 % de la lista Fortune 100, y NetBackup™ es la opción número uno para las empresas que buscan proteger grandes cantidades de datos.
Descubra cómo Veritas mantiene sus datos completamente protegidos a través de cargas de trabajo virtuales, físicas, en la nube y heredadas con los servicios de protección de datos para grandes empresas.