Guía sobre el cumplimiento de la normativa PCI

Las Normas de Seguridad de Datos del Sector de las Tarjetas de Pago (DSS del PCI) establecen el estándar mínimo de seguridad de los datos. A continuación, proporcionamos una guía paso a paso para mantener el cumplimiento de la normativa, así como también una explicación sobre la manera en que Stripe puede ayudarte a hacerlo.

Foto del avatar de Mike Dahn
Mike Dahn

En Stripe, Mike Dahn está a cargo de las relaciones en política de seguridad. Es instructor, auditor e instrumentador de la normativa PCI con fines de rectificación.

  1. Introducción
  2. Resumen de las Normas de Seguridad de Datos del Sector de las Tarjetas de Pago (DSS del PCI)
    1. Manejo de los datos de tarjeta
    2. Almacenamiento seguro de los datos
    3. Validación anual
  3. Guía paso a paso para el cumplimiento de la versión 3.2.1 de las DSS del PCI
    1. 1. Conoce tus requisitos
    2. 2. Traza el diagrama de los flujos de datos
    3. 3. Verificación de los controles y protocolos de seguridad
    4. 4. Vigilar y mantener
  4. Cómo ayuda Stripe a que las organizaciones cumplan y mantengan el cumplimiento de la normativa PCI
  5. Conclusión
    1. El cumplimiento de la normativa PCI ayuda, pero no es suficiente.

Desde 2005, más de 11,000 millones de registros de consumidores se vieron comprometidos por más de 8500 filtraciones de datos. Estas son las cifras más recientes de The Privacy Rights Clearinghouse, una organización que informa sobre las filtraciones de datos y las vulneraciones de seguridad que afectan a los consumidores desde 2005.

Para mejorar la seguridad de los datos del consumidor y la confianza en el ecosistema de pagos, se creó una norma básica para la seguridad de los datos. En 2006, Visa, Mastercard, American Express, Discover y JCB formaron el Consejo de Normas de Seguridad del Sector de las Tarjetas de Pago (SSC del PCI) destinado a administrar y gestionar las normas de seguridad de las empresas que manejan los datos de tarjetas de crédito. Antes de la creación del consejo, estas cinco empresas de tarjetas de crédito tenían programas de normas de seguridad propios, cada una con requisitos y objetivos bastante similares. Se unieron mediante el SSC del PCI para adoptar una sola política estándar, las Normas de Seguridad de Datos del PCI (conocidas como DSS del PCI), a fin de garantizar un nivel básico de protección a los consumidores y a los bancos en la era de Internet.

Comprender las DSS del PCI es una tarea compleja y desafiante

Si tu modelo de negocio exige que manejes datos de tarjetas, es posible que debas cumplir con cada uno de los más de 300 controles de seguridad estipulados en las DSS del PCI. Hay más de 1800 páginas de documentación oficial sobre las DSS del PCI publicadas por el consejo de dicho sector, y más de 300 páginas solo para entender qué formularios deben utilizarse al validar el cumplimiento de la normativa. Esto implicaría más de 72 horas solo de lectura.

Con el fin de aliviar esta carga, proporcionamos la siguiente guía paso a paso para validar y mantener el cumplimiento de la normativa PCI.

Resumen de las Normas de Seguridad de Datos del Sector de las Tarjetas de Pago (DSS del PCI)

Las DSS del PCI consisten en la normativa internacional de seguridad para todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas o datos confidenciales de autenticación. Las DSS del PCI establecen un nivel básico de protección para los consumidores y ayudan a reducir el fraude y las filtraciones de datos dentro de todo el ecosistema de pagos. Se aplica a toda organización que acepte o procese tarjetas de pago.

El cumplimiento de las DSS del PCI consta de tres componentes principales:

  1. Gestionar la recepción de los datos de las tarjetas de crédito de los clientes. Es decir, recopilar y transmitir los datos confidenciales de las tarjetas de forma segura.
  2. Guardar los datos de manera segura, según se describe en los 12 dominios de seguridad de la normativa PCI, por ejemplo, mediante cifrado, vigilancia continua y verificación de la seguridad del acceso a los datos de tarjeta.
  3. Validar anualmente la implementación adecuada de los controles de seguridad necesarios, que pueden incluir formularios, cuestionarios, servicios externos de análisis de vulnerabilidades y auditorías de terceros (busca en la guía paso a paso que se encuentra a continuación una tabla con los cuatro niveles de requisitos)

Manejo de los datos de tarjeta

Algunos modelos comerciales exigen el manejo directo de los datos confidenciales de tarjetas de crédito al aceptar los pagos, mientras que otros no. Es posible que a las empresas que sí necesitan manejar los datos (p. ej., porque aceptan números de cuentas primarias sin un token en una página de pago) se les solicite que cumplan cada uno de los más de 300 controles de seguridad estipulados en las DSS del PCI. Aun cuando los datos de las tarjetas pasen por su servidor brevemente, la empresa deberá comprar, instalar y mantener software y hardware de seguridad.

Si una empresa no necesita manejar los datos confidenciales de tarjetas de crédito, no debe hacerlo. Las soluciones de terceros (p. ej., Stripe Elements) aceptan y almacenan los datos de forma segura, lo que evita complicaciones, costos y riesgos considerables. Debido a que los datos de las tarjetas nunca entran en contacto con sus servidores, estas empresas solo necesitan confirmar 22 controles de seguridad, la mayoría de los cuales son muy simples, como el uso de una contraseña segura.

Almacenamiento seguro de los datos

Si una organización maneja o almacena datos de tarjetas de crédito, debe definir el alcance del entorno de datos del titular de la tarjeta (CDE). Las DSS del PCI definen el CDE como las personas, los procesos y las tecnologías que almacenan, procesan o transmiten datos de tarjetas de crédito, o bien cualquier sistema relacionado. Debido a que al CDE se le aplican todos los requisitos de seguridad de las DSS del PCI, que son más de 300, es importante segmentar bien el entorno de pago del resto de la empresa para limitar el alcance de la validación del PCI. Si una organización no puede contener el alcance del CDE con una segmentación pormenorizada, los controles de seguridad conforme a la normativa PCI deben aplicarse a todo sistema, ordenador portátil y dispositivo que esté en su red corporativa. Impresionante.

Validación anual

Independientemente de cómo se acepten los datos de tarjeta, las organizaciones deben completar un formulario de validación conforme a la normativa PCI todos los años. La forma como se valide el cumplimiento de la normativa PCI depende de varios factores, que se describen abajo. A continuación, se presentan tres escenarios en los que se podría solicitar a una organización que demuestre que cumple con la normativa PCI:

  • Los procesadores de pagos pueden solicitarlo como parte de su proceso obligatorio de notificación a las marcas de tarjetas de pago.
  • Los socios de empresas pueden solicitarlo como un requisito previo a la firma de acuerdos de negocios.
  • En el caso de las empresas que usan una plataforma (cuya tecnología facilita las transacciones en línea entre varios conjuntos distintos de usuarios), los clientes pueden solicitarlo para demostrarles a sus clientes que manejan los datos de forma segura.

El conjunto de normas de seguridad más reciente, versión 3.2.1 de las DSS del PCI, incluye 12 requisitos principales con más de 300 subrequisitos que reflejan las mejores prácticas de seguridad.

CREAR Y MANTENER UNA RED Y SISTEMAS SEGUROS

  • 1. Instalar un cortafuegos y mantenerlo configurado para proteger los datos de los titulares de tarjetas.
  • 2. No usar las contraseñas del sistema y otros parámetros de seguridad predeterminados proporcionados por el proveedor.

PROTEGER LOS DATOS DE LOS TITULARES DE TARJETAS

  • 3. Proteger los datos almacenados de los titulares de tarjetas.
  • 4. Cifrar la transmisión de los datos de los titulares de tarjetas a través de redes abiertas o públicas.

MANTENER UN PROGRAMA DE GESTIÓN DE VULNERABILIDADES

  • 5. Proteger todos los sistemas contra programas maliciosos y actualizar el software antivirus de manera regular.
  • 6. Desarrollar y mantener aplicaciones y sistemas seguros.

APLICAR MEDIDAS DE CONTROL DE ACCESO SÓLIDAS

  • 7. Permitir el acceso a los datos de los titulares de tarjetas solo en los casos en que sea necesario para la empresa.
  • 8. Identificar y autenticar el acceso a los componentes del sistema.
  • 9. Restringir el acceso físico a los datos de los titulares de tarjetas.

CONTROLAR Y VERIFICAR LAS REDES DE MANERA REGULAR

  • 10. Realizar un seguimiento y control de todos los accesos a los recursos de la red y a los datos de los titulares de tarjetas.
  • 11. Verificar los sistemas y procesos de seguridad de manera regular.

DISPONER DE UNA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

  • 12. Tener una política que aborde la seguridad de la información para todo el personal.

Para «facilitarles» a las empresas nuevas el proceso de validación del cumplimiento de la normativa PCI, el SSC del PCI creó nueve formularios diferentes o cuestionarios de autoevaluación (SAQ), un subconjunto de todos los requisitos de las DSS del PCI. La clave es determinar cuál se aplica o si es necesario contratar a un auditor aprobado por el SSC del PCI para que verifique el cumplimiento de cada requisito de seguridad conforme a las DSS del PCI. Además, el consejo revisa las normas cada tres años y publica actualizaciones progresivas durante todo el año, lo que hace que su complejidad sea aún más dinámica.

Guía paso a paso para el cumplimiento de la versión 3.2.1 de las DSS del PCI

1. Conoce tus requisitos

El primer paso para cumplir con la normativa PCI implica conocer los requisitos que se aplican a tu organización. Hay cuatro niveles diferentes de cumplimiento de la normativa PCI que, por lo general, se basan en el volumen de transacciones con tarjeta de crédito que procese tu empresa en un lapso de 12 meses.

Nivel de cumplimiento de la normativa
Se aplica a
Requisitos
Nivel 1
  1. Organizaciones que procesan anualmente más de 6 millones de transacciones de Visa o Mastercard, o más de 2.5 millones para American Express
  2. Organizaciones que experimentaron una filtración de datos
  3. Organizaciones que se consideran de «Nivel 1» por parte de cualquier asociación de tarjetas (Visa, Mastercard, etc.)
  1. Informe anual sobre el cumplimiento de la normativa (ROC) realizado por un asesor de seguridad certificado (QSA), también conocido como «Evaluación de Nivel 1 en las instalaciones», o por un auditor interno si está firmado por un director de la empresa
  2. Escaneo trimestral de la red por parte de un proveedor de escaneo aprobado (ASV)
  3. Certificación de cumplimiento de la normativa (AOC) para las evaluaciones en las instalaciones: existen formularios específicos para comerciantes y proveedores de servicios
Nivel 2
Organizaciones que procesan entre 1 y 6 millones de transacciones por año
  1. Cuestionario de autoevaluación anual de las DSS del PCI (SAQ): 9 tipos de SAQ que se resumen en la siguiente tabla
  2. Escaneo trimestral de la red por parte de un proveedor de escaneo aprobado (ASV) Certificación de cumplimiento de la normativa
  3. Certificación de cumplimiento de la normativa (AOC): cada uno de los 9 SAQ tiene un formulario de AOC correspondiente
Nivel 3
  1. Organizaciones que procesan entre 20,000 y 1 millón de transacciones en línea por año
  2. Organizaciones que procesan menos de 1 millón de transacciones totales por año
Igual que el anterior
Nivel 4
  1. Organizaciones que procesan menos de 20,000 transacciones en línea por año
  2. Organizaciones que procesan hasta 1 millón de transacciones totales por año
Igual que el anterior

Para los niveles 2 a 4, hay diferentes tipos de SAQ según el método de integración de pagos que utilices. A continuación, una tabla resumida:

SAQ
Descripción
A
Comerciantes que operan sin tarjeta (comercio electrónico o pedidos por teléfono/correo) y que subcontratan a proveedores de servicios externos validados conforme a las DSS del PCI para que manejen todas las funciones relacionadas con los datos de titulares de tarjetas. En los sistemas o establecimientos del comerciante, no se almacenan, procesan ni transmiten de manera electrónica los datos de los titulares de tarjetas.

No se aplica a los canales presenciales.
A-EP
Comerciantes que se dedican al comercio electrónico y que subcontratan a terceros validados conforme a las DSS del PCI para que procesen todos los pagos, y que tienen sitios web donde no se reciben los datos de los titulares de tarjetas directamente, pero donde la seguridad de la transacción de pago puede verse afectada. No se almacenan, procesan ni transmiten por vía electrónica datos de los titulares de tarjetas a través de los sistemas o establecimientos del comerciante.

Se aplica solo a los canales de comercio electrónico.
B
Comerciantes que usan solo:
  • Aparatos de impresión sin almacenamiento electrónico de datos de titulares de tarjeta
  • Terminales autónomas de llamadas externas sin almacenamiento electrónico de datos de titulares de tarjeta
No se aplica a los canales de comercio electrónico.
B-IP
Comerciantes que usan solo terminales de pago autónomas aprobadas conforme a la norma de seguridad de transacciones con PIN (PTS) con una conexión IP al procesador de pagos sin almacenar de manera electrónica los datos de titulares de tarjetas.

No se aplica a los canales de comercio electrónico.
C-VT
Comerciantes que ingresan manualmente una transacción a la vez mediante el uso de un teclado conectado a una terminal de pago virtual basada en Internet, provista y alojada por un proveedor de servicios externo validado conforme a las DSS del PCI. No se almacenan de manera electrónica los datos de titulares de tarjetas.

No se aplica a los canales de comercio electrónico.
C
Comerciantes con sistemas de aplicaciones de pago conectados a Internet sin almacenamiento electrónico de los datos de titulares de tarjetas.

No se aplica a los canales de comercio electrónico.
P2PE
Comerciantes que solo usan terminales de pago físicas incorporadas a una solución de cifrado de punto a punto (P2PE) incluida en la lista del SSC del PCI y administradas mediante dicha solución sin almacenamiento electrónico de los datos de titulares de tarjetas.

No se aplica a los canales de comercio electrónico.
D
SAQ D PARA COMERCIANTES: Todos los comerciantes no incluidos en las descripciones de los tipos de SAQ mencionados arriba.

SAQ D PARA PROVEEDORES DE SERVICIOS: Todos los proveedores de servicios definidos por una marca de pago como aptos para completar un SAQ.

2. Traza el diagrama de los flujos de datos

Para poder proteger los datos confidenciales de tarjetas de crédito, debes saber dónde residen y cómo llegan hasta allí. Tendrás que trazar un diagrama integral de los sistemas, las conexiones de red y las aplicaciones que interactúen con datos de tarjetas de crédito en tu organización. Según cuál sea tu función, es probable que tengas que trabajar con los equipos de TI y seguridad para hacerlo.

  • En primer lugar, identifica las áreas de la empresa orientadas al consumidor que impliquen transacciones de pago. Por ejemplo, puedes aceptar pagos a través de un carrito de compras virtual, las terminales de pago de una tienda o pedidos telefónicos.
  • En segundo lugar, identifica las diferentes formas en que se manejan los datos de los titulares de tarjetas en toda la empresa. Es importante saber exactamente dónde se almacena la información y quién tiene acceso a ella.
  • Por último, identifica los sistemas internos o las tecnologías subyacentes que se utilizan para procesar las transacciones de pago. Esto incluye los sistemas de red, los centros de datos y los entornos en la nube.

3. Verificación de los controles y protocolos de seguridad

Una vez que identifiques todos los posibles puntos de contacto de los datos de las tarjetas de crédito en tu organización, trabaja con los equipos de TI y de seguridad para asegurarte de que se establezcan las configuraciones y los protocolos de seguridad adecuados (consulta la lista de 12 requisitos de seguridad para las DSS del PCI que se encuentra más arriba). Estos protocolos se diseñaron para proteger la transmisión de datos, como Transport Layer Security (TLS).

Los 12 requisitos de seguridad de la versión 3.2.1 de las DSS del PCI se basan en las mejores prácticas para proteger los datos confidenciales de cualquier empresa. Varios se superponen con los requisitos exigidos conforme al RGPD, la HIPAA y otros mandatos de privacidad, por lo que es posible que tu organización ya esté cumpliendo con algunos de ellos.

4. Vigilar y mantener

Cabe destacar que el cumplimiento de la normativa PCI no es un acontecimiento aislado, sino un proceso continuo que permita asegurar que tu empresa sigue cumpliendo con la normativa a medida que el flujo de datos y los puntos de contacto con los clientes aumentan. Algunas marcas de tarjetas de crédito pueden solicitar que envíes informes trimestrales o anuales, o que realices una evaluación anual en las instalaciones para validar el cumplimiento continuo de la normativa, en especial si se procesan más de 6 millones de transacciones al año.

La gestión del cumplimiento de la normativa PCI durante el año (y a través de los años) suele requerir apoyo y colaboración interdepartamental. Si no existe, vale la pena crear un equipo interno dedicado a ello para asegurar debidamente el cumplimiento. Si bien cada empresa es única, para crear un buen «equipo PCI» se puede empezar por incluir un representante de cada uno de los siguientes sectores:

  • Seguridad: el director general de Seguridad (CSO), el director general de Seguridad Informática (CISO) y sus equipos garantizan que la organización invierta siempre de forma adecuada en las políticas y los recursos de seguridad y privacidad de datos necesarios.
  • Tecnología/pagos: el director general de Tecnología (CTO), el vicepresidente de Pagos y sus equipos garantizan que las principales herramientas, integraciones e infraestructuras se mantengan dentro de la norma a medida que los sistemas de la organización se desarrollan.
  • Finanzas: el director general de Finanzas (CFO) y su equipo garantizan la consideración de todos los flujos de datos de pago cuando se trata de sistemas de pago y socios.
  • Legal: este equipo puede ayudar a manejar la gran cantidad de matices legales que implica el cumplimiento de las DSS del PCI.

Para obtener más información sobre el complejo mundo del cumplimiento de la normativa PCI, visita el sitio web del SSC del PCI. Si solo lees esta guía y otros documentos acerca de la normativa PCI, te recomendamos empezar por estos: enfoque prioritario de las DSS del PCI, instrucciones y pautas sobre los SAQ, preguntas frecuentes sobre el uso de los criterios de admisibilidad de los SAQ a fin de determinar los requisitos de evaluación en las instalaciones y preguntas frecuentes sobre las obligaciones de los comerciantes que desarrollan aplicaciones para los dispositivos de consumo que aceptan datos de tarjetas de pago de los clientes.

Cómo ayuda Stripe a que las organizaciones cumplan y mantengan el cumplimiento de la normativa PCI

Stripe simplifica de manera significativa la carga del cumplimiento de la normativa PCI para las empresas que adoptan Checkout, Elements, SDK para dispositivos móviles y SDK para Terminal. Stripe Checkout y Stripe Elements utilizan un campo de pago alojado para gestionar todos los datos de las tarjetas de pago, de modo que el titular de la tarjeta ingresa toda la información de pago confidencial en un campo de pago que se origina directamente en nuestros servidores validados por las DSS del PCI. Los SKD para dispositivos móviles y para Terminal de Stripe también permiten al titular de la tarjeta enviar la información confidencial de pago directamente a nuestros servidores validados por las DSS del PCI.

Con este tipo de métodos de aceptación de tarjetas más seguros, completamos el cuestionario de autoevaluación (SAQ) de la normativa PCI en el Dashboard de Stripe, por lo que la validación de la normativa es tan simple como hacer clic en un botón. Así, las organizaciones más pequeñas pueden ahorrar cientos de horas de trabajo y las más grandes, miles.

Stripe actúa como defensor de la normativa PCI y puede ayudar de diferentes maneras a todos los usuarios, independientemente del tipo de integración con el que cuenten.

  • Analizaremos tu método de integración, y te aconsejaremos sobre el formulario de PCI que debes utilizar y cómo reducir la carga del proceso de cumplimiento de la normativa.
  • Te notificaremos con anticipación si es necesario un cambio en la forma de validar el cumplimiento de la normativa debido a un volumen creciente de transacciones.
  • Para los grandes comerciantes (Nivel 1), ofrecemos un paquete sobre la normativa PCI que puede reducir el tiempo de validación de meses a días. Si debes trabajar con un asesor de seguridad certificado (QSA) para PCI (porque almacenas datos de tarjetas de crédito o tienes un flujo de pago más complejo), existen más de 350 empresas asesoras en el mundo. Además, podemos ponerte en contacto con varios auditores que comprenden a fondo los diferentes métodos de integración de Stripe.

Conclusión

Por lo general, la evaluación y la validación del cumplimiento de la normativa PCI se realizan una vez al año. Sin embargo, no se trata de un acontecimiento aislado, sino de un gran esfuerzo continuo de evaluación y rectificación. A medida que una empresa crece, se amplían los principales procesos y lógicas comerciales, lo que implica que aumentan también los requisitos de cumplimiento. Una empresa online, por ejemplo, puede decidir abrir tiendas físicas, entrar en nuevos mercados o lanzar un centro de soporte para el cliente. Si algo de lo nuevo implica datos de tarjetas de pago, es aconsejable que verifiques de forma proactiva si repercute en tu método de validación conforme a la normativa PCI y revalida el cumplimiento de esa normativa según sea necesario.

El cumplimiento de la normativa PCI ayuda, pero no es suficiente.

El cumplimiento de las pautas de las DSS del PCI es una capa de protección necesaria para tu empresa, pero no es suficiente. Las DSS del PCI establecen normas importantes para el manejo y el almacenamiento de los datos de titulares de tarjetas, pero por sí solas, no ofrecen suficiente protección para todos los entornos de pago. En cambio, cambiar a un método de aceptación de tarjetas más seguro (como Stripe Checkout, Elements y SDK para dispositivos móviles) es una forma mucho más eficaz de proteger a tu organización. El beneficio que esto proporciona a largo plazo consiste en no depender de las normas básicas del sector ni preocuparte por el posible fallo de los controles de seguridad. Este enfoque proporciona a las empresas ágiles una forma de mitigar posibles filtraciones de datos y evitar el enfoque histórico emocional, lento y costoso de validación de la normativa PCI. Además, un método de integración más seguro resulta confiable todos los días del año.

Nivel de comerciante de Visa
Tiempo promedio de auditoría

(estimaciones anuales)

Tiempo promedio de auditoría con Stripe Elements, Checkout o SDK para dispositivos móviles

(estimaciones anuales)

Nivel 1
De 3 a 5 meses De 2 a 5 días
Nivel 2
De 1 a 3 meses 0 días
Nivel 3
De 1 a 3 meses 0 días
Nivel 4
De 1 a 3 meses 0 días

¿Todo listo para empezar? Ponte en contacto con nosotros o crea una cuenta.

Crea una cuenta y empieza a aceptar pagos, sin necesidad de contratos ni datos bancarios. También puedes contactarnos para diseñar un paquete personalizado para tu empresa.