Cumplimiento de PCI DSS: Qué es PCI DSS, requisitos y mejores prácticas
La economía digital actual registra decenas de millones de transacciones en línea con tarjeta de crédito y débito al día. Sólo Visa procesa 29 millones de transacciones en línea al día, y empresas como Mastercard y American Express registran cifras similares. Aparte de los sitios web de comercio electrónico y otras empresas en línea, el ecosistema de procesamiento de tarjetas también incluye cientos de millones de transacciones en sistemas de punto de venta en locales físicos.
Tanto si los datos de las tarjetas de pago se almacenan en dispositivos de puntos de venta como en dispositivos móviles, ordenadores personales, servidores o aplicaciones web, corren el riesgo de ser robados tanto en los sistemas de almacenamiento como cuando se transmiten a los proveedores de servicios. En respuesta a la necesidad de proteger los datos de los titulares de tarjetas frente a robos o pérdidas, la Norma de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS) establece los requisitos técnicos y operativos básicos esenciales para lograr una protección de datos adecuada. A continuación, encontrará una guía completa sobre la norma PCI DSS que le ayudará a cumplirla.
¿Qué es PCI DSS y por qué es importante para la seguridad de la información?
- PCI DSS es una norma mundial de seguridad de la información que se aplica a cualquier organización que acepte, transmita o almacene datos de titulares de tarjetas. La norma contiene 12 requisitos clave de seguridad que deben cumplirse.
- La versión más reciente de la norma es la v4.0, que se publicó el 31 de marzo de 2022. Sin embargo, existe un periodo de transición de dos años que dura hasta el 31 de marzo de 2024, en el que sigue activa la versión v3.2.1.
- El Payment Card Industry Security Standards Council (Consejo de Normas de Seguridad del Sector de Tarjetas de Pago, PCI SSC) publicó la primera versión de la norma en 2004, unificando los enfoques y recomendaciones de los programas de seguridad de cinco grandes marcas de tarjetas. Los cinco miembros del PCI SSC son American Express, Discover, JCB, MasterCard y Visa.
- Los requisitos de PCI DSS se aplican tanto a los comerciantes como a los proveedores de servicios. Un comerciante, según la definición del PCI Security Standards Council, es cualquier entidad que acepte pagos con tarjeta por bienes o servicios, en los que la tarjeta de crédito o débito lleve el logotipo de cualquiera de los cinco miembros del Consejo. Un proveedor de servicios es cualquier entidad (distinta de las cinco marcas de pago miembros del PCI SSC) que participe directamente en el procesamiento, almacenamiento o transmisión de datos de titulares de tarjetas.
- El cumplimiento del PCI DSS es obligatorio cuando los comerciantes y los proveedores de servicios firman un contrato con una de las cinco marcas de tarjetas. En otras palabras, en cuanto empiece a aceptar pagos a través de cualquiera de estas cinco marcas de pago, estará contractualmente obligado a cumplir los requisitos de la PCI DSS.
- El incumplimiento de las normas que PCI DSS pretende mantener puede acarrear importantes sanciones. Estas sanciones por incumplimiento suelen figurar en el contrato que se firma con un procesador de pagos cuando se aceptan pagos con tarjeta.
Entender por qué PCI DSS es tan importante se reduce a la sensibilidad de la información de las tarjetas de crédito y débito. El número de cuenta principal (el número largo grabado en el anverso de las tarjetas de pago), la fecha de caducidad, el nombre del titular de la tarjeta y el código de seguridad requieren protección contra el acceso no autorizado.
Los ciberdelincuentes valoran estos datos del titular de la tarjeta y buscan sin descanso explotar las vulnerabilidades de las defensas informáticas de las empresas para acceder a ellos y filtrarlos. Una próspera economía clandestina de la ciberdelincuencia pone a la venta millones de datos de tarjetas de crédito robados en la internet oscura. A menudo, los datos de tarjetas de crédito robados que se ponen a la venta proceden de filtraciones de datos anteriores que se aprovecharon de controles de seguridad poco estrictos.
Cuando una persona no autorizada accede a los datos de la tarjeta de alguien, puede realizar compras fraudulentas o incluso vaciar la cuenta bancaria de la víctima. Los requisitos de la norma PCI DSS establecen defensas y procesos mínimos de ciberseguridad para reducir la probabilidad de que se produzcan fallos de seguridad que acaben con el robo de los datos de las tarjetas.
Aunque el cumplimiento de la norma PCI DSS no garantiza que no se produzcan ataques de piratas informáticos, al menos se alcanzan unos niveles básicos de seguridad.
4 niveles de conformidad con la norma PCI
Las vías para validar el cumplimiento de las normas PCI dependen principalmente del volumen de transacciones con tarjeta que un comerciante gestiona cada año. Hay cuatro niveles para comerciantes en total (y hay dos niveles separados con requisitos distintos para los proveedores de servicios).
El otro factor que determina el nivel de cumplimiento es si la empresa se ha visto afectada anteriormente por una violación de datos u otro ciberataque que haya puesto en peligro los datos de los titulares de tarjetas; si este factor no está en juego, el nivel se reduce al volumen de transacciones.
Las marcas de tarjetas de pago miembros del PCI SSC utilizan el volumen de transacciones como indicador de riesgo. En otras palabras, cuantas más transacciones procese un comerciante, mayores serán los riesgos percibidos y más estricta será la ruta para validar el cumplimiento.
Cabe señalar que todas las empresas de tarjetas tienen sus propios programas de cumplimiento y sus correspondientes niveles comerciales. Esta distinción puede causar confusión. Sin embargo, para simplificar las cosas, Visa, MasterCard y Discover utilizan los mismos criterios para todos los niveles de cumplimiento. Además, aunque American Express tiene criterios diferentes y JCB sólo tiene 3 niveles, es una regla general que si usted se encuentra en un determinado nivel de comerciante para una marca de tarjeta, el mismo nivel de cumplimiento se aplica en todos los casos para las cinco marcas.
Empezando por el nivel más bajo establecido por las empresas de tarjetas y siguiendo hacia arriba, estos son los cuatro niveles de cumplimiento de la normativa PCI:
Nivel 4
Este es su nivel de cumplimiento si su empresa procesa menos de 20.000 transacciones de comercio electrónico con Visa o Mastercard al año o un total de hasta 1 millón de transacciones anuales con tarjeta de crédito Visa o Mastercard a través de todos los canales. Deberá:
- Completar un cuestionario de autoevaluación (SAQ) cada año
- Obtener un escaneado trimestral de la red por parte de un proveedor de escaneado autorizado (ASV).
- Cumplimentar un formulario de declaración de conformidad.
Nivel 3
El Nivel 3 se aplica si su empresa procesa entre 20.000 y un millón de transacciones anuales de comercio electrónico con Visa, Mastercard o Maestro. Para validar el cumplimiento, se aplican los mismos procedimientos que en el nivel 4.
Nivel 2
El nivel 2 se aplica a las empresas que procesan entre uno y seis millones de transacciones con Visa, MasterCard o Discover, entre 50.000 y dos millones y medio con American Express, o menos de un millón con JCB. Los procedimientos de validación son
- Completar un SAQ anual
- Realizar un escaneado trimestral de la red utilizando un ASV
- Rellenar un formulario AOC
Nivel 1
El Nivel 1 se aplica si procesa más de 6 millones de transacciones de tarjetas Visa, Mastercard y Discover al año, 2,5 millones de transacciones de American Express o 1 millón de transacciones de JCB. También debe alcanzar el Nivel 1 si anteriormente ha sufrido una brecha en la que los datos de los titulares de tarjetas se vieron comprometidos. Validar el cumplimiento del Nivel 1 implica:
- Presentación de un Informe Anual de Cumplimiento (ROC) por parte de un Evaluador de Seguridad Cualificado (QSA) o un Evaluador de Seguridad Interno
- Escaneos trimestrales de la red ASV
¿Cómo protege PCI DSS los datos de los titulares de tarjetas?
PCI DSS protege los datos de los titulares de tarjetas mediante:
- La prohibición del almacenamiento de datos sensibles de autenticación (DAS) después de la autorización, incluidos los datos de la banda magnética de la tarjeta, los códigos de validación de la tarjeta (CAV2/CVC2/CVV2/CID) y los códigos PIN.
- La exigencia de que todos los DAS almacenados electrónicamente (antes de la autorización) estén protegidos con cifrado basado en criptografía robusta.
- La obligación de que el identificador único (PAN) de cualquier tarjeta sea ilegible en cualquier lugar donde se almacene (por ejemplo, dispositivos de copia de seguridad, soportes extraíbles, servidores). Del mismo modo, otros datos de la cuenta, como el nombre del titular de la tarjeta, las fechas de caducidad y los códigos de servicio, también deben ser ilegibles si se almacenan junto a la PAN.
- Sólo se permite el almacenamiento de datos de titulares de tarjetas cuando existe una necesidad empresarial legítima.
12 requisitos de conformidad con PCI DSS
A continuación se ofrece un resumen de los 12 requisitos de la norma PCI DSS, actualizado para incluir los cambios de la versión 4.0. Estos 12 requisitos de cumplimiento se dividen en seis categorías diferentes.
Construir y mantener una red y unos sistemas seguros
Requisito 1: Instale y mantenga controles de seguridad de la red: esto podría incluir cortafuegos, controles de acceso a la nube, herramientas de redes definidas por software y cualquier otro sistema que examine el tráfico de la red.
Requisito 2: Aplique configuraciones seguras a todos los componentes del sistema: evite utilizar contraseñas predeterminadas suministradas por el proveedor, elimine las cuentas innecesarias y desactive los servicios innecesarios.
Proteger los datos de la cuenta
Requisito 3: Proteja los datos almacenados de las cuentas: establezca salvaguardias para proteger tanto los datos de los titulares de las tarjetas como los datos confidenciales de autenticación mientras están almacenados.
Requisito 4: Salvaguarde los datos del titular de la tarjeta con una criptografía potente durante la transmisión a través de redes públicas abiertas: cuando los datos de PAN se transmitan a través de una red pública como Internet o tecnologías inalámbricas (Wi-Fi), cífrelos antes de la transmisión, cifre la sesión o, para una protección máxima, haga ambas cosas.
Mantener un programa de gestión de vulnerabilidades
Requisito 5: Proteja todos los sistemas y redes del software malicioso: para ello es necesario implantar una serie de controles que protejan contra todo tipo de malware. Por tanto, si su antivirus no protege frente a otras formas de malware, como troyanos, rootkits y ransomware, busque herramientas antimalware que ofrezcan una cobertura completa.
Requisito 6: Desarrolle y mantenga sistemas y software seguros: herramientas y aplicaciones que se utilizan en su ecosistema informático, ejecute análisis de vulnerabilidades, realice revisiones de código, aplique parches de seguridad y siga las mejores prácticas en el desarrollo de software seguro.
Implementar fuertes medidas de control de acceso
Requisito 7: Restrinja el acceso a los componentes del sistema y a los datos del titular de la tarjeta por necesidad de conocimiento empresarial: para las cuentas interactivas asociadas a un usuario concreto y a las que acceden los empleados, las aplicaciones y las cuentas del sistema, asegúrese de asignar el acceso con menos privilegios y revise periódicamente las cuentas para detectar accesos innecesarios.
Requisito 8: Identifique a los usuarios y autentique el acceso a los componentes del sistema: ponga en marcha procesos y sistemas que le permitan identificar a los usuarios y lo que hacen. Una autenticación eficaz garantiza que puedas verificar que los usuarios son quienes dicen ser.
Requisito 9: Restrinja el acceso físico a los datos de los titulares de tarjetas: establezca barreras físicas y controles, como cerraduras e insignias de seguridad, que restrinjan el acceso no autorizado a los sistemas del entorno de datos de los titulares de tarjetas.
Supervisar y probar regularmente las redes
Requisito 10: Registre y supervise todos los accesos a los componentes del sistema y a los datos de los titulares de tarjetas: la capacidad de registrar y realizar un seguimiento de la actividad ayuda a identificar de forma proactiva patrones sospechosos, al tiempo que facilita las investigaciones posteriores a los incidentes.
Requisito 11: Pruebe la seguridad de los sistemas y redes con regularidad: esto significa realizar análisis periódicos de la red inalámbrica, análisis de vulnerabilidades en las aplicaciones de pago y otras aplicaciones, pruebas de penetración, etc., para reforzar la seguridad.
Mantener una política de seguridad de la información
Requisito 12: Apoye la seguridad de la información con políticas y programas organizativos: apoye la protección de los datos con políticas y programas, incluidos planes de respuesta a incidentes, estableciendo una función designada que asuma responsabilidades de seguridad de la información, ejecutando programas de concienciación sobre seguridad y realizando análisis de riesgos específicos.
Plan de respuesta a incidentes PCI DSS
Cada uno de los 12 requisitos de la PCI DSS lleva asociados varios requisitos secundarios. Para el requisito número 12, un elemento crítico de una política de seguridad de la información es implantar un plan de respuesta a incidentes. En otras palabras, la política no se limita a prevenir las brechas de seguridad, sino que también requiere poner en marcha procesos para limitar los daños de las intrusiones.
Algunas indicaciones para el plan son:
- Establezca un equipo de respuesta a incidentes con funciones y responsabilidades designadas.
- Asegúrese de que todas las partes implicadas en la respuesta a incidentes conocen el plan y comprenden sus responsabilidades.
- Adquiera herramientas y establezca procesos para limitar la exposición de los datos y minimizar su pérdida, preservando al mismo tiempo las pruebas para posteriores investigaciones forenses.
- Ponga a prueba el plan con frecuencia (lo ideal sería al menos una vez al año) para asegurarse de que funciona sin problemas.
Multas y sanciones
Dado que la PCI DSS se aplica mediante contratos, lo mismo ocurre con las sanciones por incumplimiento. Los contratos suelen celebrarse entre los comerciantes, las empresas que procesan las transacciones con tarjetas de pago, y las marcas de pago. En caso de incumplimiento, la marca de la tarjeta impone una multa al procesador de pagos, que en última instancia repercute en el comerciante.
Las multas oscilan entre 5.000 y 100.000 dólares por mes de incumplimiento.
Existen otras posibles sanciones por tener que volver a emitir tarjetas de pago o por cada cliente afectado por un incumplimiento.
Los incumplimientos reiterados pueden hacer que su empresa deje de poder aceptar pagos con tarjeta de una o de las cinco marcas de tarjetas de pago.
Cómo Endpoint Protector le ayuda a cumplir con PCI DSS
Endpoint Protector es una solución de prevención de pérdida de datos (DLP) que proporciona soporte multi-OS a través de sistemas macOS, Windows y Linux. Endpoint Protector le ayuda a cumplir con PCI DSS mediante:
- El descubrimiento, supervisión y control del movimiento de los datos de los titulares de tarjetas en su entorno.
- Supervisión del uso de los datos por los distintos usuarios para ayudar a cumplir los requisitos de supervisión y registro de PCI DSS.
- Bloqueo de transferencias no autorizadas para impedir el robo o la pérdida de datos de titulares de tarjetas.
- Cifrado automático de los datos transferidos a medios extraíbles, como dispositivos de almacenamiento USB.