FAQ PCI

Respuestas a Preguntas frecuentes

¿Cuál es el Estándar de Seguridad de la Industria de las Tarjetas de Crédito?

¿Qué es el PCI Security Standards Council?

El Consorcio de las Normas de Seguridad de la Industria de las Tarjetas de Crédito, en inglés el Payment Card Industry Security Standards Council (PCI SSC) es una institución fundada en 2006 por las cinco mayores marcas de tarjetas de crédito: American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa Inc. Su misión es mejorar la seguridad en los pagos con tarjeta mediante la educación y la sensibilización de la importancia de los Estándares de Seguridad PCI con el fin de evitar el fraude en el uso de las tarjetas de crédito.

Dicho Consorcio publicó tres normas muy importantes:

  • La Norma de Seguridad de Datos, en inglés Data Security Standard (DSS), que se aplica a todos los comerciantes y proveedores de servicios.
  • La Norma de Seguridad de Datos para las Aplicaciones de Pago, en inglés Payment Application Data Security Standard (PA DSS), que se aplica a los desarrolladores de aplicaciones de pagos con tarjeta.
  • Los requisitos de Seguridad del Dispositivo de Introducción de Código PIN, en inglés PIN Entry Device Security Requirements (PED) que se aplica a los fabricantes de puntos de venta (POS).
¿Qué es el Estándar de Seguridad PCI?

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es la norma fundamental del Consorcio PCI, por lo que refiere a menudo como sinónimo de la PCI. En ella se detallan los doce requisitos de seguridad estructurados en seis objetivos que ayudan a proteger la red y la aplicación que maneja información sensible de tarjetas de crédito. A pesar de que las cinco principales marcas de tarjetas están de acuerdo en los requisitos técnicos, el proceso de verificación del cumplimiento de la norma varía de una marca a otra. Para más información sobre el proceso de cumplimiento se puede encontrar en la siguiente sección.

¿A quién se aplica el DSS?

El DSS se aplica a todos los miembros, comerciantes y proveedores de servicios que almacenan, procesan y transmiten datos de tarjetas de crédito, sin tener en cuenta el tipo y el tamaño de la empresa. El objetivo es proteger la tarjeta de crédito y los datos personales de los titulares de tarjetas. Por lo tanto, todas las empresas que se ocupan de la información de las tarjetas de crédito deben garantizar la confidencialidad de estos datos.

¿Qué es un comerciante y un proveedor de servicios?

Un comerciante en el contexto de PCI es toda empresa que ofrece productos o servicios a los clientes y acepta el pago con tarjeta de crédito. Esto se aplica tanto a un supermercado o un restaurante, como a cualquier tienda en línea. Si su negocio acepta el pago con tarjeta de crédito, usted es un comerciante.

Un proveedor de servicios, es una empresa que procesa y transmite las transacciones a la marca de las tarjetas de crédito correspondiente. Los proveedores de servicios normalmente tienen que registrarse con las marcas de las tarjetas de crédito que están trabajando.

¿Por qué yo?

Si su empresa tiene alguna relación con la información de tarjetas de crédito, usted debe cumplir con la Normativa de Seguridad de Datos. Los requisitos técnicos se resumen en asegurarse de que su sistema es seguro y los clientes, entonces, podrán confiarle su información sensible de tarjetas de crédito. Por lo tanto, ¡el cumplimiento del DSS es de su propio interés!

¿Qué información hay en una tarjeta de crédito?

El DSS define como datos de cuenta los datos de los Titulares y los datos confidenciales de la autentificación.

En los datos de los titulares se incluye:

  • Número de Cuenta Primario (PAN)
  • Nombre del titular
  • Fecha de Expiración
  • Código del Servicio

La información sensible de autentificación incluye:

  • Toda la información de la banda magnética o el equivalente en el chip
  • El Código de Seguridad de la Tarjeta (Visa: CVV2 / MasterCard: CVC2 / JCB: CAV2 / American Express: CID)
  • El número PIN

Los requisitos de PCI DSS son aplicables si un número de cuenta primario (PAN) es almacenado, procesado o transmitido. Si no está involucrado el PAN, entonces el PCI no se aplica.

¿Cuáles son los requisitos técnicos?

PCI DSS define 12 requisitos técnicos a fin de proteger la infraestructura y la aplicación:

Construir y mantener una red segura

  1. Instalar y mantener una correcta configuración del Firewall
  2. No utilizar los valores predeterminados para las contraseñas del sistema y otros parámetros de seguridad

Proteger los datos de la tarjeta

  1. Proteger los datos almacenados
  2. Cifrado de datos durante la transmisión a través de las redes públicas

Mantener un programa de gestión de vulnerabilidades

  1. Usar software antivirus y actualizarlo periódicamente
  2. Desarrollar y mantener programas y sistemas seguros

Implementar fuertes medidas de control de acceso

  1. Restringir el acceso a las partes clave del negocio
  2. Asignar identificadores únicos para cada persona que tenga acceso a los datos de titulares de tarjetas
  3. Restringir el acceso físico a los datos de los titulares de tarjetas

Monitorear regularmente y hacer puebas en la red

  1. Rastrear y monitorear todo el acceso a los recursos de red y datos de titulares de tarjetas
  2. Probar regularmente los sistemas y los procesos de seguridad

Mantener una Política de Seguridad de la Información

  1. Mantener una política que aborde la seguridad de la información para todo el personal
¿Qué sucede si no cumplo?

PCI SSC no impone ninguna consecuencia para el incumplimiento de la norma. Sin embargo, cada marca de la tarjeta de crédito tiene sus propios programas de cumplimiento y su banco puede imponerle una multa por violaciones en el cumplimiento de PCI. Para obtener más información, póngase en contacto con su banco adquirente.

En cualquier caso, usted es responsable de todos los datos que son almacenados, procesados y transmitidos por su compañía. Por lo tanto, hay que garantizar la protección de estos datos. Cualquier incidencia relacionada con datos de la tarjeta de crédito puede conducir a una pérdida catastrófica de la reputación, las ventas, y sus clientes, comerciantes e instituciones financieras son directamente afectados. Es por eso que las aplicación de las mejores prácticas de seguridad son de su propio interés.

¿Cómo cumplir con el Estándar?

¿Cómo cumplir con DSS?

Las cinco marcas principales de tarjetas de crédito se han puesto de acuerdo sobre los requisitos técnicos del Estándar de Seguridad de Datos PCI. Sin embargo, el proceso de verificación del cumplimiento varía de una marca a otra. Cada marca presentó diferentes límites de cumplimiento que los comerciantes y proveedores de servicios deben cumplir. Su límite depende de si es comerciante o proveedor de servicios, también de las marcas de tarjetas de crédito admitidas, del número de transacciones con tarjetas de crédito por año que realiza y si usted recientemente sufrió un incidente de seguridad. Para determinar su nivel de comerciante o proveedor de servicio, puede utilizar nuestra aplicación web: www.minivelPCI.es.

¿Qué nivel soy?

Usted puede determinar su nivel de comerciante o proveedor de servicios utilizando nuestra aplicación web: www.minivelPCI.es. Por favor, compruebe el resultado con su banco adquirente.

Para obtener más información sobre la definición del nivel de las diferentes marcas de tarjetas de crédito, consulte

¿Cuál es mi nivel si acepto múltiples marcas y tienen diferente número de transacciones?

Las cinco mayores compañías de tarjetas de crédito han trabajado muy bien juntos en el desarrollo del estándar de seguridad de datos que contiene los requisitos técnicos para asegurar la protección de los datos de las tarjeta de crédito. Desafortunadamente, la definición de los niveles y los requisitos del cumplimiento asociados todavía tienen grandes diferencias de marca a marca. Si usted acepta tarjetas de crédito de varias marcas (por ejemplo, American Express y VISA), puede tener diferentes niveles de PCI para cada marca. En la práctica diaria, esto significa que usted debe preparar el informe sobre en base al nivel más alto y usar estos documentos para todas las demás marcas.La decisión final sobre su nivel PCI es realizada por el banco adquiriente. Por lo tanto, asegúrese de ponerse en contacto con su banco antes de empezar el proceso.

¿Qué tengo que hacer para verificar el cumplimiento?

Los requisitos para la verificación del cumplimiento de los DSS dependen de su nivel de comerciante o proveedor de servicios. Puede encontrar más información sobre los requisitos específicos en minivelPCI.es para determinar su nivel de comerciante o proveedor de servicios.

Los siguientes requisitos se aplican a la mayoría de los comerciantes:

  • Cuestionario Anual de Autoevaluación (SAQ)
  • Escaneo trimestral de la infraestructura por un Proveedorde Escaneos Aprobado (ASV)
  • Pruebas de penetración anual

Para aquellos que necesitan completar un análisis trimestral de vulnerabilidades, esta es una herramienta esencial utilizada en conjunto con un programa de gestión de vulnerabilidades. Ayuda a identificar las vulnerabilidades y errores de configuración de los sitios web y la infraestructura IT. Los resultados del análisis proporcionan información valiosa que apoyan la gestión eficaz de los parches y otros mecanismos de seguridad para mejorar la protección contra las amenazas de Internet, piratería y otras.

¿Cuál es la razón de mi estado de PCI?

Las diferentes vulnerabilidades tienen efectos distintos sobre el estado de PCI. Por ejemplo,el cumplimiento de PCIfallará automáticamente cuando la aplicación web sea vulnerable a un ataque de inyección SQL. Por otro lado puede haber vulnerabilidades de menor prioridad que no comprometen inmediatamente el cumplimiento, por ejemplo algunas vulnerabilidades de denegación de servicio. Sin embargo, es importante para hacer frente a todas las situaciones detectadas, asegurarse un alto nivel de seguridad.

Para más información acerca de las vulnerabilidades y sus efectos en el cumplimiento de PCI se puede encontrar en la web de Qualys.

¿Qué es un SAQ (Cuestionario de Auto-Evaluación)

Un cuestionario de auto-evaluación es un requisito para el cumplimiento de PCI DSS en la mayoría de los comerciantes y proveedores de servicios. Se puede realizar en casa sin la necesidad de contactar con las tres partes. Hay cinco versiones diferentes que abordan diferentes modelos de negocio.

Para obtener más información acerca de la Autoevaluación y la versión adecuada para su negocio consulte la web de PCI.

¿Qué es un ISA (Asesor Interno de Seguridad)

Un asesor interno de seguridad es un empleado de una empresa que es educado y aprobado por el PCI SSC para poder llevar a cabo auditorías de seguridad interna. Con el fin de convertirse en un ISA, la participación en un programa de cualificación paso a paso es necesario. Para más información, consulte la web de PCI.

¿Qué es un QSA (Asesor Cualificado de Seguridad)

Los Asesores Cualificados de Seguridad (QSA) son empresas que están certificadas por el Consorcio PCI para validar el cumplimiento de los requisitos de la Norma de Seguridad de Datos. Las evaluaciones anuales tienen que ser realizadas por un QSA, así como el Informe de cumplimiento (ROC).

¿Qué es un ASV (Proveedor Aprobado para el Escaneo)?

Los proveedores aprobados para el escaneo son las empresas, las cuales han sido aprobadas para realizar análisis de vulnerabilidad de redes externas. Todas las exploraciones tienen que ser realizadas de acuerdo con un conjunto definido de procedimientos. Estos procedimientos dictan que el funcionamiento normal del entorno del cliente no se vea afectado y que el proveedor no debe modificar o entrar en el entorno del cliente.

¿Cuál es la diferencia entre un QSA (Asesor Cualificado de Seguridad) y un ASV (Proveedor Aprobado para el Escaneo)?

Los asesores cualificados de seguridad (QSA) están autorizados para llevar a cabo auditorías anuales para los comerciantes y proveedores de servicios para reportar el cumplimiento de la PCI. Los proveedores aprobados para el escaneo (ASV) están autorizados a realizar análisis trimestrales para demostrar el cumplimiento con la Norma de Seguridad de Datos.

Malentendidos comunes

¡Soy una pequeña empresa que sólo se ocupa de pocas tarjetas, así que no es necesario cumplir con PCI DSS!

No. Si se acepta el pago con tarjeta de crédito, mediante cualquier mecanismo, es necesario cumplir con los requisitos, para así cumplir con la norma.

PCI DSS sólo se aplica a las empresas de comercio electrónico.

No, el Estándar de Seguridad Informática se aplica a todas las empresas en que los titulares de tarjetas almacenan, procesan o transmiten datos. Esto también incluye dispositivos de punto de venta (POS), que a menudo incluyen huellas de datos almacenados (prohibido por PCI DSS).

Sólo es necesario para satisfacer la mayor parte de los requisitos

Ya sea que usted cumpla con el estándar de seguridad de datos o no, si viola uno de los criterios esto implicará la falta de cumplimiento.

Cumplir con la norma no es demasiado esfuerzo, se trata esencialmente de un colchón de seguridad. La norma representa las mejores prácticas de seguridad, por lo que todas las empresas que habitualmente manejan datos de tarjetas de crédito deben tratar de superarla.

Sólo tengo que proteger los datos de las tarjetas de crédito, no hay datos relacionados con las tarjetas de débito ATM.

Incorrecto, es necesario en ambos casos. Muchas tarjetas de débito son de “débito con firma” o función dual, es decir que pueden ser usadas cómo tarjetas de débito o de crédito. Estas tarjetas también están cubiertas por la PCI DSS y deben ser protegidas de la misma manera que las tarjetas de crédito.

¿Puedo esperar hasta que mi negocio crezca?

No. El PCI DSS se aplica a todas las empresas, ya sean pequeñas o grandes. Los Incidentes de Seguridad pueden arruinar su negocio antes de que empieze a crecer.

Los requisitos para verificar el cumplimiento se han simplificado para los pequeños negociose.

¿Puedo contestar «Sí» a todos los criterios del cuestionario de autoevaluación?

El Cuestionario de Autoevaluación es un mecanismo para obtener información acerca de su nivel PCI para su banco adquirente o marca de la tarjeta de crédito. Si responde “sí” a las preguntas del Cuestionario de Autoevaluación pondrá en riesgo su negocio. Si usted sufre un incidente de seguridad y resulta que usted no cumplió con los requisitos de la PCI, su negocio correría un riesgo muy elevado.

¿Puedo esperar hasta que mi banco me pida qué debo cumplir?

Usted es el único responsable de garantizar el cumplimiento. Si usted espera hasta que el banco le pida que cumpla con los DSS es posible que su negociose ponga en riesgo.

¿Cómo comerciante, yo no firmé ningún compromiso, ¿para qué lo necesito?

Los estándares PCI son parte de las reglas operativas bajo las que los comerciantes están autorizados a llevar sus cuentas comerciales. El PCI también se aplica si se almacena, procesa o transmite información de tarjetas de crédito.

Como comerciante, ¿tengo el derecho de almacenar todos los datos?

No. Muchos comerciantes creen que son dueños de los datos de sus clientes y se les permite guardar con el fin de simplificar los procesos de negocio. Esto no sólo es incorrecto con respecto a PCI, sino que también puede ser una violación de las leyes estatales y federales relacionadas con la confidencialidad de los clientes. El almacenamiento de los datos de las cuentas sensibles está prohibido por la Norma de Seguridad de Datos.

Pasos siguientes

Para más información

Si desea leer más sobre la Industria de Tarjetas de Pago y las Normas de Seguridad de Datos, por favor consulte la página web:

Averigüe con su vendedor o proveedor de servicios los requisitos de verificación del cumplimiento:

Contáctenos

¿Tiene alguna otra pregunta? ¿Está usted interesado en nuestros servicios y le gustaría hablar con un profesional de la seguridad?

No dude en ponerse en contacto con nosotros – estaremos encantados de hablar con usted

Consulta a un experto

Si quiere contratar alguno de nuestros servicios o hablar con un experto que le aconseje sobre nuestras soluciones, aquí encontrará nuestros datos para contactar con nosotros.