El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS v4.0.1) es un conjunto de requisitos de seguridad para proteger los datos de los titulares de tarjetas, números de cuenta principales (PAN), nombres, fechas de caducidad, códigos de servicio, y otra información sensible de los titulares a lo largo de su ciclo de vida.
El PCI v4.0.1 DSS se aplica a cualquier comerciante, proveedor de servicios u otra organización que almacene, procese o transmita datos del titular de la tarjeta, y a cualquier organización conectada a sistemas que almacenen, procesen o transmitan datos del titular de la tarjeta. (Estos sistemas se denominan entorno de datos del titular de la tarjeta, o CDE). El PCI DSS describe los controles de seguridad, los procesos y las pruebas detallados que las organizaciones deben implementar para proteger los datos de los titulares de tarjetas. Estas medidas de seguridad abarcan una amplia gama de áreas funcionales en todo el entorno de datos de los titulares de tarjetas, incluidas las transacciones de comercio electrónico, los sistemas de puntos de venta, los puntos de acceso inalámbricos, los dispositivos móviles, el cloud computing y los sistemas de almacenamiento en papel.
El cumplimiento del PCI DSS exige informes anuales por parte de los comerciantes y proveedores de servicios, y informes adicionales tras los cambios importantes en el CDE. La validación del cumplimiento también implica una evaluación continua de la posición de seguridad de una organización y una corrección continua para abordar cualquier brecha en la política, la tecnología o los procedimientos de seguridad.
Las organizaciones y los proveedores de servicios pueden ser evaluados por un asesor de seguridad calificado (QSA) que emite una Declaración de cumplimiento (AOC) al completar una evaluación exitosa.
La primera versión del PCI DSS fue publicada en 2004 por las marcas de tarjetas de pago American Express, Discover, JCB International, MasterCard y Visa, que formaron colectivamente el Consejo de Normas de Seguridad del Sector de Tarjetas de Pago (PCI SSC) para gestionar los requisitos técnicos de la norma. En 2020, el PCI SSC añadió la asociación de tarjetas bancarias UnionPay. El PCI DSS se actualiza periódicamente para hacer frente a las últimas amenazas de ciberseguridad para los datos de las tarjetas de pago, como el robo de identidad, el fraude y las violaciones de datos.
IBM es un proveedor de servicios de nivel 1 para PCI DSS, y los clientes pueden crear entornos y aplicaciones compatibles con PCI-DSS con IBM Cloud.
Muchos servicios de la plataforma IBM Cloud tienen una certificación de cumplimiento PCI DSS (AOC) emitida por un asesor de seguridad cualificado (QSA).
Acelere su cumplimiento utilizando los servicios de IBM Cloud
La versión más reciente del PCI DSS (v4.0.1) se publicó en junio de 2024. Las organizaciones deben implementar estos 12 requisitos antes del 31 de marzo de 2025 para lograr el cumplimiento.
IBM Cloud ofrece el siguiente conjunto de servicios que le ayudarán a cumplir los requisitos específicos de PCI DSS y a acelerar su proceso de conformidad.
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services aporta seguridad y rendimiento líderes en el mercado a su contenido web externo y aplicaciones de internet antes de que lleguen a la nube.
IBM Cloud Direct Link
La velocidad y fiabilidad de IBM Cloud Direct Link le permite ampliar la red del centro de datos de su organización sin tocar la Internet pública.
Dispositivos de puerta de enlace de IBM Cloud
Los dispositivos de puerta de enlace son aparatos que le ofrecen un mayor control sobre el tráfico de red, le permiten acelerar el rendimiento de su red y aumentan su seguridad.
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway le ayuda a conectar y gestionar sus redes IBM Cloud Virtual Private Cloud (VPC).
Dispositivo de seguridad FortiGate
Implemente un par de dispositivos virtuales FortiGate en su entorno, lo que puede ayudarle a reducir el riesgo mediante la implementación de controles de seguridad cruciales en su infraestructura virtual.
Firewall de hardware
Una capa esencial de seguridad que se aprovisiona bajo demanda sin interrupciones del servicio.
Dispositivo de seguridad FortiGate
Implemente un par de dispositivos virtuales FortiGate en su entorno, lo que puede ayudarle a reducir el riesgo mediante la implementación de controles de seguridad cruciales en su infraestructura virtual.
Firewall de hardware
Una capa esencial de seguridad que se aprovisiona bajo demanda sin interrupciones del servicio.
IBM Security and Compliance Center - Protección de carga de trabajo
Encuentre y priorice las vulnerabilidades de software, detecte y responda a las amenazas, y administre las configuraciones, los permisos y el cumplimiento desde el origen hasta la ejecución.
IBM QRadar Suite
IBM Security QRadar Suite es una solución modernizada de detección y respuesta a amenazas diseñada para unificar la experiencia del analista de seguridad y acelerar su velocidad a lo largo de todo el ciclo de vida de la incidencia.
IBM Key Protect for IBM Cloud
El servicio IBM Key Protect for IBM Cloud le ayuda a aprovisionar y almacenar claves cifradas para aplicaciones en los servicios IBM Cloud, para que pueda ver y gestionar el cifrado de datos y todo el ciclo de vida de la clave desde una ubicación central.
IBM Security and Compliance Center - Agente de seguridad de datos - Gestor
Una solución de seguridad en el paquete Security and Compliance Center que ofrece políticas de cifrado centralizadas y auditoría de datos en diferentes fuentes de datos.
IBM Cloud Hyper Protect Virtual Servers
Un tiempo de ejecución de contenedores informáticos confidenciales totalmente gestionado que permite la implementación de cargas de trabajo sensibles en contenedores en un entorno altamente aislado con garantía técnica.
IBM Cloud Hardware Security Module
Protege la infraestructura criptográfica al administrar, procesar y almacenar de forma más segura las claves criptográficas dentro de un dispositivo de hardware resistente a la manipulación.
IBM Security Guardium
Software de seguridad de datos en el portafolio de IBM Security que descubre vulnerabilidades y protege datos confidenciales en las instalaciones y en la nube.
Servicios de almacenamiento de IBM Cloud
Hogar escalable, rico en seguridad y rentable para sus datos, compatible con cargas de trabajo tradicionales y nativas de la nube. Ofrezca e implemente servicios como objetos de acceso, bloques y almacenamiento de archivos.
Servicios de base de datos de IBM Cloud
Libere a los desarrolladores y al departamento de TI de tareas complejas y laboriosas, como la implementación y actualización del software de infraestructura y bases de datos, las operaciones de infraestructura y las copias de seguridad.
IBM Cloud Direct Link
La velocidad y fiabilidad de IBM Cloud Direct Link le permite ampliar la red del centro de datos de su organización sin tocar la Internet pública.
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway le ayuda a conectar y gestionar sus redes IBM Cloud Virtual Private Cloud (VPC).
IBM Key Protect for IBM Cloud
El servicio IBM Key Protect for IBM Cloud le ayuda a aprovisionar y almacenar claves cifradas para aplicaciones en los servicios IBM Cloud, para que pueda ver y gestionar el cifrado de datos y todo el ciclo de vida de la clave desde una ubicación central.
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services aporta seguridad y rendimiento líderes en el mercado a su contenido web externo y aplicaciones de internet antes de que lleguen a la nube.
IBM Cloud Direct Link
La velocidad y fiabilidad de IBM Cloud Direct Link le permite ampliar la red del centro de datos de su organización sin tocar la Internet pública.
Dispositivo de seguridad FortiGate
Implemente un par de dispositivos virtuales FortiGate en su entorno, lo que puede ayudarle a reducir el riesgo mediante la implementación de controles de seguridad cruciales en su infraestructura virtual.
IBM QRadar Suite
IBM Security QRadar Suite es una solución modernizada de detección y respuesta a amenazas diseñada para unificar la experiencia del analista de seguridad y acelerar su velocidad a lo largo de todo el ciclo de vida de la incidencia.
IBM Security Guardium
Software de seguridad de datos en el portafolio de IBM Security que descubre vulnerabilidades y protege datos confidenciales en las instalaciones y en la nube.
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services aporta seguridad y rendimiento líderes en el mercado a su contenido web externo y aplicaciones de internet antes de que lleguen a la nube.
IBM Security and Compliance Center - Protección de carga de trabajo
Encuentre y priorice las vulnerabilidades de software, detecte y responda a las amenazas, y administre las configuraciones, los permisos y el cumplimiento desde el origen hasta la ejecución.
IBM Security Guardium
Software de seguridad de datos en el portafolio de IBM Security que descubre vulnerabilidades y protege datos confidenciales en las instalaciones y en la nube.
IBM Cloud Container Registry
Almacene y distribuya imágenes de contenedores en un registro privado totalmente gestionado. Inserte imágenes privadas para ejecutarlas cómodamente en IBM Cloud Kubernetes Service y otros entornos de tiempo de ejecución.
IBM Cloud Continuous Delivery
Adopte DevOps preparado para la empresa. Cree cadenas de herramientas seguras compatibles con las tareas de entrega de aplicaciones. Automatice compilaciones, pruebas, implementaciones y mucho más.
IBM Cloud Kubernetes Service
Implemente clústeres seguros y de alta disponibilidad en una experiencia nativa de Kubernetes.
IBM Cloud App ID
Agregue fácilmente autenticación a aplicaciones web y móviles. Mejore sus aplicaciones con capacidades de seguridad avanzadas, como la autenticación multifactor y el inicio de sesión único.
IBM Cloud Identity and Access Management (IAM)
El servicio IBM Cloud Identity and Access Management autentica de forma segura a los usuarios y controla el acceso a todos los recursos de forma coherente en IBM Cloud Platform.
IBM Cloud App ID
Agregue fácilmente autenticación a aplicaciones web y móviles. Mejore sus aplicaciones con capacidades de seguridad avanzadas, como la autenticación multifactor y el inicio de sesión único.
IBM Cloud Secrets Manager
Cree secretos de forma dinámica y consíguelos a las aplicaciones mientras controla el acceso desde una única ubicación. Basado en HashiCorp Vault de código abierto.
IBM Cloud Identity and Access Management (IAM)
El servicio IBM Cloud Identity and Access Management autentica de forma segura a los usuarios y controla el acceso a todos los recursos de forma coherente en IBM Cloud Platform.
IBM Cloud adopta varias medidas para aumentar la seguridad física:
- Seguridad física del perímetro del centro de datos
- Controles de acceso y registro de entrada y salida
- Oficinas, salas e instalaciones seguras
- Protección contra amenazas externas y medioambientales
- Redundancia de equipos de energía y de red
- Eliminación segura de equipos durante el desaprovisionamiento
- Política empresarial de RR. HH. y seguridad para la incorporación, la formación y la salida de la empresa
IBM Cloud Flow Logs for VPC
Permite recopilar, almacenar y presentar información sobre el tráfico del protocolo de internet (IP) que va hacia y desde las interfaces de red dentro de su nube virtual privada (VPC).
IBM QRadar Suite
IBM Security QRadar Suite es una solución modernizada de detección y respuesta a amenazas diseñada para unificar la experiencia del analista de seguridad y acelerar su velocidad a lo largo de todo el ciclo de vida de la incidencia.
IBM Cloud Identity and Access Management (IAM)
El servicio IBM Cloud Identity and Access Management autentica de forma segura a los usuarios y controla el acceso a todos los recursos de forma coherente en IBM Cloud Platform.
IBM Security Guardium
Software de seguridad de datos en el portafolio de IBM Security que descubre vulnerabilidades y protege datos confidenciales en las instalaciones y en la nube.
IBM Cloud Logs
Obtenga observabilidad de registros con IBM Cloud Logs para ayudar a mejorar la infraestructura y el rendimiento de las aplicaciones.
IBM Cloud Monitoring
Monitorización y solución de problemas en la nube para infraestructura, servicios en la nube y aplicaciones.
IBM Security and Compliance Center - Protección de carga de trabajo
Encuentre y priorice las vulnerabilidades de software, detecte y responda a las amenazas, y administre las configuraciones, los permisos y el cumplimiento desde el origen hasta la ejecución.
IBM QRadar Suite
IBM Security QRadar Suite es una solución modernizada de detección y respuesta a amenazas diseñada para unificar la experiencia del analista de seguridad y acelerar su velocidad a lo largo de todo el ciclo de vida de la incidencia.
IBM Security Guardium
Software de seguridad de datos en el portafolio de IBM Security que descubre vulnerabilidades y protege datos confidenciales en las instalaciones y en la nube.
IBM Security and Compliance Center - Protección de carga de trabajo
Encuentre y priorice las vulnerabilidades de software, detecte y responda a las amenazas, y administre las configuraciones, los permisos y el cumplimiento desde el origen hasta la ejecución.
IBM Cloud Logs
Obtenga observabilidad de registros con IBM Cloud Logs para ayudar a mejorar la infraestructura y el rendimiento de las aplicaciones.
IBM Cloud Monitoring
Monitorización y solución de problemas en la nube para infraestructura, servicios en la nube y aplicaciones.
Preguntas más frecuentes
La versión más reciente de la norma PCI DSS 4.0.1 se publicó en marzo de 2022. Enumera estos 12 requisitos para proteger los datos del titular de la tarjeta. Las organizaciones deben implementar estos requisitos antes del 31 de marzo de 2025 para lograr el cumplimiento.
Instalar y mantener controles de seguridad de red
Los controles de seguridad de red (NSC) pueden incluir firewalls, dispositivos virtuales, sistemas de contenedores, sistemas de seguridad en la nube y otras tecnologías que controlan el acceso a sistemas y datos.
Aplicar configuraciones seguras a todos los componentes del sistema
Las contraseñas predeterminadas y otras configuraciones predeterminadas del sistema suministradas por los proveedores no deben utilizarse, ya que son vulnerables a los ciberataques.
Proteger los datos almacenados de los titulares de tarjetas
A menos que sea necesario para necesidades comerciales, las organizaciones no deben almacenar datos de titulares de tarjetas. Si se almacena, debe hacerse ilegible mediante cifrado, enmascaramiento u otros medios.
Proteger los datos de los titulares de tarjetas con una criptografía sólida durante la transmisión a través de redes abiertas y públicas
Para evitar que los hackers accedan a información confidencial, como números de tarjeta e información de identificación personal (PII), los datos deben cifrarse antes y/o durante las transmisiones de redes públicas.
Proteger todos los sistemas y redes de software malicioso
Mantenga el software antivirus y otras defensas contra malware, como spyware, registradores de claves, ransomware, scripts y otros virus.
Desarrollar y mantener sistemas y software seguros
Al aplicar los parches de seguridad más recientes y seguir prácticas seguras al desarrollar aplicaciones, las organizaciones pueden ayudar a minimizar el riesgo de vulneraciones de datos.
Restringir el acceso a los componentes del sistema y a los datos de los titulares de tarjetas según lo que la empresa necesite saber
Medidas estrictas de control de acceso deberían garantizar que los usuarios autorizados vean sólo la información del titular de la tarjeta necesaria para realizar su trabajo.
Identificar usuarios y autenticar el acceso a los componentes del sistema
Se debe asignar una identificación única con datos de autenticación rastreables a cada persona con acceso informático a sistemas y datos confidenciales.
Restringir el acceso físico a los datos del titular de la tarjeta
Para evitar que personas no autorizadas extraigan hardware o copias impresas que contengan datos del titular de la tarjeta, se debe restringir el acceso físico a los sistemas.
Registrar y monitorizar todos los accesos a los componentes del sistema y a los datos del titular de la tarjeta
La capacidad de automatizar el registro y la monitorización de sistemas y datos confidenciales puede ayudar a detectar actividades sospechosas y respaldar el análisis forense después de una infracción.
Probar la seguridad de los sistemas y redes con regularidad
Dado que los ciberdelincuentes buscan continuamente nuevas vulnerabilidades en entornos de TI cambiantes, se deben realizar regularmente pruebas de penetración y análisis de vulnerabilidades.
Apoyar la seguridad de la información con políticas y programas de la organización
Las organizaciones deben crear una política integral de seguridad de la información que describa los procedimientos para identificar y gestionar los riesgos, la educación continua sobre la concienciación sobre la seguridad y el cumplimiento del PCI DSS 4.0.1.
Las organizaciones que se rigen por la norma PCI DSS deben documentar el cumplimiento cada año. Las organizaciones de mayor tamaño deben enviar un informe de cumplimiento (ROC) y una declaración de cumplimiento (AOC) detallados. Tanto los documentos de la República de China como los de la AOC deben estar cumplimentados y firmados por un evaluador de seguridad cualificado (QSA) certificado por el Consejo de Seguridad Estándar de la PCI. Las organizaciones pequeñas y medianas pueden completar un cuestionario de autoevaluación (SAQ) para validar el cumplimiento.
Si una organización realiza la transmisión de datos de titulares de tarjetas a través de Internet, es posible que también deba implementar una gestión de vulnerabilidades para mantener una red segura. Para lograr la conformidad, un proveedor de escaneado autorizado (ASV) que haya sido certificado por el PCI SSC debe realizar un escaneado trimestral de vulnerabilidades para comprobar la seguridad de la red.
Los requisitos de información del PCI DSS difieren en función del número de transacciones procesadas anualmente por una organización. Existen cuatro niveles de cumplimiento.
Nivel 1
Más de 6 millones de transacciones con tarjetas de pago al año. Debe presentar un Informe de Cumplimiento completado por un Tasador de Seguridad Calificado. Debe hacer que un proveedor de escaneo aprobado realice un escaneo de vulnerabilidad de red trimestral.
Nivel 2
De un millón a seis millones de transacciones con tarjeta de pago al año. Debe completar un cuestionario de autoevaluación y es posible que deba realizar escaneos trimestrales de vulnerabilidades de la red.
Nivel 3
De 20 000 a un millón de transacciones con tarjeta de pago al año. Debe completar un cuestionario de autoevaluación y es posible que deba realizar escaneos trimestrales de vulnerabilidades de la red.
Nivel 4
Menos de 20 000 transacciones anuales con tarjeta. Debe completar un cuestionario de autoevaluación y es posible que deba realizar escaneos trimestrales de vulnerabilidades de la red.
Aunque los comerciantes y los proveedores de servicios de pago están obligados a cumplir con la norma PCI DSS 4.0.1, su cumplimiento no está exigido por la ley, los gobiernos ni siquiera por el Consejo de Normas de Seguridad PCI. En cambio, el cumplimiento lo gestionan las compañías de tarjetas de crédito, como Visa o MasterCard, y los adquirentes, que son bancos o instituciones financieras que procesan pagos con tarjeta.
Una vez al año, las organizaciones que procesan o almacenan datos de titulares de tarjetas deben validar su cumplimiento con la norma PCI DSS 4.0.1. Si una organización externaliza el procesamiento de pagos, debe garantizar que las transacciones con tarjeta de crédito están protegidas conforme a los requisitos de dicha norma.
Las marcas de tarjetas de pago fijan las multas por incumplimiento de la norma PCI DSS 4.0.1, que se negocian entre las marcas, el comerciante o proveedor de servicios y los bancos u otras instituciones financieras afectadas. Las marcas de tarjetas de pago no publican listas de multas o comisiones y, por lo general, no ponen a disposición del público la información relativa a las sanciones.
Como regla general, las multas por incumplimiento pueden oscilar entre 5000 y 10 000 USD durante los tres primeros meses de incumplimiento y entre 50 000 y 100 000 USD al mes después de seis meses de incumplimiento. En caso de vulneración de datos, los comerciantes o proveedores de servicios que no cumplan con las normas podrían recibir una multa de 50 a 90 USD adicionales por cliente, hasta un máximo de 500 000 USD.
Las marcas de tarjetas de pago pueden imponer multas mucho más elevadas a su discreción, y la sanción final negociada por el incumplimiento de la norma PCI DSS 4.0.1 por parte de una organización, en particular el incumplimiento que da lugar a una vulneración de datos, puede ascender a millones o cientos de millones de dólares para cubrir el coste de las investigaciones, las reclamaciones gubernamentales, las demandas colectivas y mucho más.
Además de incurrir en multas, las organizaciones que no cumplan con las normas pueden tener prohibido procesar transacciones con tarjetas de pago.
Protección de los datos confidenciales
Las consecuencias de una vulneración de datos que involucre datos de titulares de tarjetas son graves. Además de multas, sanciones legales y daños a la reputación, las organizaciones pueden sufrir la pérdida de clientes actuales y potenciales. Los requisitos de PCI DSS 4.0.1 ayudan a defenderse contra el robo de datos confidenciales.
Aumentar la confianza de los clientes
Dado que el fraude y la usurpación de identidad aparecen con frecuencia en los titulares, los consumidores pueden mostrarse reacios a facilitar a los comercios información confidencial sobre sus tarjetas de crédito. El cumplimiento del PCI DSS 4.0.1 ayuda a los clientes a confiar en que sus datos están protegidos, lo que les permite tener más confianza al realizar compras.
Respaldar un cumplimiento normativo más amplio
Aunque el PCI DSS 4.0.1 no es un mandato legal, los controles de seguridad que establece pueden ayudar a las organizaciones a lograr el cumplimiento de las normativas gubernamentales. Algunas partes del PCI DSS 4.0.1 son complementarias a leyes de protección de datos como la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA), la Ley Sarbanes Oxley (SOX) y el Reglamento General de Protección de Datos (RGPD).
Aborde la visibilidad unificada de la seguridad, el cumplimiento y los riesgos en entornos híbridos multinube.
Cree una infraestructura escalable a menor coste, implemente nuevas aplicaciones al instante y amplíe las cargas de trabajo sensibles y de misión crítica en función de la demanda, todo ello dentro de una plataforma rica en seguridad.
Prepárese mejor para las vulneraciones comprendiendo sus causas y los factores que aumentan o reducen los costes. Conozca las experiencias de más de 550 organizaciones afectadas por una vulneración de datos.
La información de identificación personal (PII) es cualquier información que se pueda utilizar para descubrir la identidad de una persona, como su número de seguro social, nombre completo o dirección de correo electrónico.
La seguridad de las redes es el área de la ciberseguridad que se centra en la protección de las redes informáticas frente a las ciberamenazas.