Empieza ahora  Contacta con ventas 
Empieza ahora  Contacta con ventas 

Lista de verificación de PCI DSS para empresas: cómo satisfacer las normas de cumplimiento

Payments
Payments

Acepta pagos por Internet y en persona desde cualquier rincón del mundo con una solución de pagos diseñada para todo tipo de negocios, desde startups en crecimiento hasta grandes empresas internacionales.

Más información 
  1. Introducción
  2. ¿Qué es el cumplimiento de la normativa PCI DSS?
  3. ¿Qué incluye la lista de verificación de cumplimiento de la normativa PCI DSS?
    1. 1. Instalar y mantener cortafuegos
    2. 2. Evitar contraseñas y configuraciones predeterminadas
    3. 3. Proteger los datos que se almacenan sobre el titular de la tarjeta
    4. 4. Cifrar los datos en tránsito
    5. 5. Defenderse contra el malware
    6. 6. Aplicar parches a sistemas y aplicaciones
    7. 7. Limitar el acceso a los datos por función
    8. 8. Autenticar usuarios de forma única
    9. 9. Controlar el acceso físico
    10. 10. Realizar el seguimiento y la supervisión del acceso
    11. 11. Probar regularmente la seguridad
    12. 12. Mantener políticas de seguridad y capacitar al personal
  4. ¿Cómo supervisar y probar las redes para verificar el cumplimiento de la normativa PCI?
    1. Registro y supervisión
    2. Escanear de vulnerabilidades
    3. Probar la penetración
    4. Realizar una validación continua
  5. ¿Cómo pueden las empresas mantener un entorno seguro para los datos de los titulares de tarjetas?
    1. Definir y minimizar el alcance
    2. No almacenar lo que no se necesita
    3. Tokenizar y cifrar
    4. Segmentar la red
    5. Restringir y supervisar el acceso
  6. ¿Qué pasos debes seguir para prepararte para el cumplimiento de la normativa PCI DSS?
    1. Ámbito de aplicación
    2. Inventario de activos
    3. Análisis de brechas
    4. Ruta de validación
    5. Cronología y funciones
  7. ¿Cómo mantener el cumplimiento de la normativa PCI DSS a lo largo del tiempo?
    1. Programar comprobaciones recurrentes
    2. Organizar capacitaciones repetidas
    3. Vigilar a los proveedores
    4. Prepararse para responder
  8. Cómo puede ayudarte Stripe Payments
  9. Empieza a usar Stripe 

Proteger los datos de pago de los clientes consiste en generar confianza y mantener el buen funcionamiento de tu negocio. El coste medio global de las infracciones de seguridad alcanzó los 4,88 millones de dólares en 2024, por lo que es importante mantener unos estándares elevados.

La lista de verificación de la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) convierte una norma intimidante en pasos claros que cualquier empresa puede seguir para proteger la información de los titulares de tarjetas. A continuación, explicaremos qué exige la lista de verificación y cómo mantener el cumplimiento a lo largo del tiempo.

¿De qué trata este artículo?

  • ¿Qué es el cumplimiento de la normativa PCI DSS?
  • ¿Qué incluye la lista de verificación de cumplimiento de la normativa PCI DSS?
  • ¿Cómo supervisar y probar las redes para verificar el cumplimiento de la normativa PCI?
  • ¿Cómo pueden las empresas mantener un entorno seguro para los datos de los titulares de tarjetas?
  • ¿Qué pasos debes seguir para prepararte para el cumplimiento de la normativa PCI DSS?
  • ¿Cómo mantener el cumplimiento de la normativa PCI DSS a lo largo del tiempo?
  • ¿Cómo puede ayudarte Stripe Payments?

¿Qué es el cumplimiento de la normativa PCI DSS?

La normativa PCI DSS es el reglamento para proteger la información de las tarjetas de crédito y débito. Fue creadaen 2004 por American Express, Discover, JCB, Mastercard y Visa para minimizar el fraude y las infracciones. Hoy en día, es la norma de seguridad básica para cualquier empresa que almacene, procese o transmita datos de tarjetas.

El cumplimiento de la normativa PCI DSS es obligatorio. Si tu empresa acepta tarjetas de crédito o débito, está sujeta a la normativa PCI DSS, ya sea una tienda con una única ubicación, una empresa de software como servicio (SaaS) en rápido crecimiento o una empresa global. Los proveedores de servicios que transfieren o almacenan datos de tarjetas en nombre de terceros también deben cumplirla. Los pasos exactos para la presentación de informes varían en función del volumen de transacciones, pero los requisitos de seguridad se aplican de forma generalizada.

La PCI DSS no es una ley, pero se aplica a través de tus contratos con bancos y procesadores de pagos. Si no la cumples, podrías enfrentarte a multas, costosas auditorías o demandas, o incluso perder la capacidad de procesar pagos con tarjeta.

¿Qué incluye la lista de verificación de cumplimiento de la normativa PCI DSS?

La normativa PCI DSS se basa en 12 requisitos.

1. Instalar y mantener cortafuegos

Tu primera línea de defensa es un cortafuegos bien configurado que bloquee el tráfico no deseado. Revisa las reglas con regularidad y elimina todo lo que sea innecesario. Las reglas personalizadas son importantes.

2. Evitar contraseñas y configuraciones predeterminadas

Los dispositivos y el software suelen venir con configuraciones predeterminadas muy conocidas. Cámbialas inmediatamente, desactiva las cuentas que no utilices y cierra los servicios que no necesites.

3. Proteger los datos que se almacenan sobre el titular de la tarjeta

Si no necesitas almacenar datos de tarjetas, no lo hagas. Si debes hacerlo, cífralos con algoritmos robustos, enmascáralos o trúncalos cuando sea posible, y gestiona de forma segura las claves de cifrado. Elimina los datos cuando ya no sean necesarios.

4. Cifrar los datos en tránsito

Siempre que los datos de las tarjetas se transfieran a través de redes abiertas, deben estar cifrados. Utiliza protocolos modernos, como Transport Layer Security (TLS) 1.2 o superior. Los protocolos más antiguos, como Secure Sockets Layer (SSL), son menos eficaces. Nunca envíes números de tarjetas por correo electrónico o canales sin cifrar.

5. Defenderse contra el malware

Todos los sistemas que puedan verse afectados por software malicioso necesitan una protección antimalware actualizada y configurada para ejecución automática. La normativa PCI DSS v4.0 va más allá y recomienda el uso de herramientas de detección avanzadas, además de la protección antivirus tradicional.

6. Aplicar parches a sistemas y aplicaciones

Las vulnerabilidades son el punto de entrada de los hackers. Mantén un inventario actualizado de los activos, suscríbete a boletines de seguridad y aplica los parches rápidamente. Sigue prácticas de codificación seguras si creas tus propias aplicaciones.

7. Limitar el acceso a los datos por función

Aplica el principio del mínimo privilegio. Solo los empleados que realmente necesiten acceder a los datos de las tarjetas deben tenerlo. Utiliza controles basados en funciones, revoca el acceso rápidamente cuando cambien las funciones y considera el acceso solo cuando sea necesario para tareas confidenciales.

8. Autenticar usuarios de forma única

Cada persona recibe un ID único. No permitas inicios de sesión compartidos. Exige contraseñas seguras y autenticación multifactorial para todos los accesos a los sistemas del entorno de datos del titular de la tarjeta (CDE). Este es un requisito estricto de la normativa PCI DSS v4.0.

9. Controlar el acceso físico

Protege los lugares donde se guardan físicamente los datos de las tarjetas: salas de servidores, terminales de pago, registros en papel y copias de seguridad. Usa tarjetas de identificación, cerraduras y cámaras de vigilancia. Destruye los registros que ya no necesites.

10. Realizar el seguimiento y la supervisión del acceso

Activa el registro detallado para los sistemas que manejan datos de titulares de tarjetas. Registra quién hizo qué y cuándo. Guarda los registros de al menos un año (los últimos tres meses deben ser fácilmente accesibles) y revísalos regularmente para detectar cualquier anomalía.

11. Probar regularmente la seguridad

Realiza análisis de vulnerabilidad de forma trimestral. Si tienes un negocio en línea, elige un proveedor de análisis aprobado certificado por el PCI Security Standards Council. Realiza pruebas de penetración al menos una vez al año. Realiza análisis internos después de cualquier cambio importante. Las pruebas te permiten detectar problemas antes de que los atacantes puedan aprovecharlos para obtener acceso.

12. Mantener políticas de seguridad y capacitar al personal

El cumplimiento de la normativa depende tanto de las personas como de los sistemas. Establece una política de seguridad formal, actualízala anualmente y forma al personal con regularidad para que todos sepan cómo proteger los datos de pago.

Piensa en tu lista de verificación del cumplimiento de PCI DSS como un manual de estrategias. Configura, cifra, limita, supervisa, prueba y forma, y luego repite a medida que tu negocio crezca.

¿Cómo supervisar y probar las redes para verificar el cumplimiento de la normativa PCI?

La PCI DSS también exige que se demuestre que los controles funcionan a diario. Esto implica supervisar y realizar pruebas.

Registro y supervisión

Los sistemas que manejan datos de titulares de tarjetas deben generar registros detallados: quién accedió a qué, cuándo y qué acciones se llevaron a cabo. Debes almacenar al menos un año de registros, con los últimos tres meses disponibles de forma inmediata. También debes revisar los registros. Muchas empresas utilizan alertas automáticas para señalar actividades sospechosas, como una cuenta de administrador que inicia sesión a horas intempestivas.

Escanear de vulnerabilidades

La normativa PCI DSS exige que un proveedor de análisis autorizado realice análisis trimestrales de vulnerabilidad de sus sistemas conectados a Internet. También deben programarse análisis internos, especialmente después de cambios importantes en el sistema. Estos análisis buscan debilidades conocidas, como software y cortafuegos mal configurados que podrían aprovechar los atacantes.

Probar la penetración

Realiza pruebas de penetración al menos una vez al año. Se trata de ataques simulados llevados a cabo por profesionales que piensan como hackers. A diferencia de los análisis automatizados, las pruebas de penetración exploran cómo las diferentes vulnerabilidades pueden crear riesgos reales. Te ayudan a ver tu entorno tal y como lo vería un atacante.

Realizar una validación continua

El cumplimiento de la normativa PCI implica seguir un ciclo continuo: configurar los sistemas, analizarlos, solucionar los problemas y volver a realizar pruebas. El objetivo es detectar los problemas antes de que se conviertan en infracciones de seguridad y demostrar que sus controles resisten el escrutinio.

¿Cómo pueden las empresas mantener un entorno seguro para los datos de los titulares de tarjetas?

Proteger los datos de los titulares de tarjetas consiste en crear un entorno en el que se reduzcan los riesgos en todos los niveles. La normativa PCI DSS lo denomina CDE, y mantenerlo seguro significa prestar atención al alcance, el almacenamiento, el acceso y la arquitectura.

A continuación, te indicamos cómo proteger tu CDE.

Definir y minimizar el alcance

En primer lugar, debes determinar exactamente por dónde fluyen los datos de las tarjetas en tus sistemas. Identifica las aplicaciones, bases de datos, terminales y redes que entran en contacto con ellos o los transmiten. A continuación, reduce esa huella: si un sistema no necesita gestionar datos de tarjetas, elimínalo del ámbito de aplicación.

No almacenar lo que no se necesita

Cada dato almacenado de una tarjeta es una responsabilidad. Conserva solo lo que necesites y establece procesos automatizados para eliminar los datos antiguos. Utiliza el enmascaramiento y el truncamiento siempre que sea posible, de modo que, aunque los datos salgan a la luz, carezcan de utilidad para los atacantes.

Tokenizar y cifrar

Cuando tengas que manejar números de tarjetas, sustitúyelos por tókenes que no tengan ningún valor explotable fuera de tus sistemas. Cifra los datos de los titulares de tarjetas tanto en reposo como en tránsito, y gestiona las claves de cifrado con el mismo rigor que aplicarías a la protección de datos: limita el acceso, rota las claves con regularidad y registra su uso.

Segmentar la red

Mantén el CDE aislado del resto de tus sistemas. La segmentación de la red garantiza que, si una zona se ve comprometida, los atacantes no tendrán acceso directo a los datos de pago.

Restringir y supervisar el acceso

Aplica controles de acceso estrictos: permisos basados en funciones, autenticación multifactorial y un registro de cada intento de acceso. Revisa los privilegios con frecuencia y elimina el acceso rápidamente cuando ya no sea necesario.

Un CDE protegido requiere revisiones, actualizaciones y pruebas periódicas. Al reducir el alcance, cifrar de forma eficaz y limitar la exposición, se puede crear un entorno resistente a los errores y los ataques.

¿Qué pasos debes seguir para prepararte para el cumplimiento de la normativa PCI DSS?

Antes de rellenar un cuestionario o programar una auditoría, es necesario tener una idea clara de cómo gestiona tu empresa los datos de las tarjetas y dónde residen los riesgos. De este modo, el cumplimiento de la normativa PCI DSS pasa de ser un estándar abstracto a convertirse en un plan de proyecto concreto con un alcance, unas pruebas y una responsabilidad definidos desde el principio.

A continuación, te indicamos cómo prepararte.

Ámbito de aplicación

Identifica todos los sistemas, aplicaciones y redes que entran en contacto con los datos de los titulares de tarjetas. Crea un diagrama de flujo de datos que muestre exactamente cómo se mueve la información de las tarjetas por tu entorno, desde el punto de entrada (por ejemplo, sitio web, terminal, aplicación) hasta el lugar donde se procesa o almacena. Todo lo que interactúa con los datos de las tarjetas entra dentro del ámbito de aplicación.

Inventario de activos

Enumera todo el hardware, software y proveedores de servicios que participan en los pagos. Esto te ayudará a comprender qué es lo que hay que proteger y dónde entran en juego las responsabilidades de terceros.

Análisis de brechas

Compara tus controles actuales con los 12 requisitos de PCI DSS. Un análisis de deficiencias revela políticas que faltan, configuraciones obsoletas o sistemas sin parches y te proporciona una hoja de ruta priorizada para su corrección.

Ruta de validación

Las empresas suelen realizar la validación mediante un cuestionario de autoevaluación. Sin embargo, las grandes empresas suelen necesitar un informe formal de cumplimiento elaborado por un Evaluador de seguridad cualificado. La vía que se elijas dependerá del volumen de transacciones y de la forma de procesar los pagos.

Cronología y funciones

Reserva tiempo suficiente para la corrección, la documentación, las pruebas y la formación. Asigna responsabilidades claras para que no se pase por alto ninguna tarea.

¿Cómo mantener el cumplimiento de la normativa PCI DSS a lo largo del tiempo?

El cumplimiento de la normativa es un ciclo recurrente. El cumplimiento de PCI a largo plazo implica integrar la seguridad en tus operaciones diarias.

Esto es lo que eso implica.

Programar comprobaciones recurrentes

Programa análisis trimestrales de vulnerabilidad, pruebas de penetración anuales, revisiones de políticas y evaluaciones de riesgo periódicas . Documenta cada actividad para disponer de un registro escrito para los auditores y para tu propia responsabilidad.

Organizar capacitaciones repetidas

Las personas forman parte del sistema. Organiza sesiones periódicas de concienciación sobre seguridad para que los empleados sepan cómo detectar los dispositivos de clonación de tarjetas, los intentos de phishing y los indicios de manipulación. Actualiza la formación cuando cambien las normas o tus propios procesos.

Vigilar a los proveedores

Los proveedores externos suelen formar parte de tu flujo de pagos. Revisa periódicamente su estatus de cumplimiento y asegúrate de que los contratos reflejen las obligaciones de seguridad.

Prepararse para responder

Mantén un plan de respuesta ante incidentes: infórmate de a quién llamar, cómo aislar los sistemas y cómo avisar a las partes interesadas. Tienes que poder actuar rápido si algo sale mal.

Cómo puede ayudarte Stripe Payments

Stripe Payments proporciona una solución de pagos unificada y global que ayuda a cualquier empresa —desde startups en expansión hasta empresas globales— a aceptar pagos en línea, en persona y en todo el mundo.

Stripe Payments puede ayudarte a:

  • Optimizar tu experiencia de proceso de compra: con Payments, puedes ofrecer una experiencia de compra ágil e intuitiva. Además, ahorrarás miles de horas de trabajo de desarrollo gracias a sus interfaces de pago prediseñadas, que te dan acceso a más de 125 métodos de pago y a Link, el monedero digital desarrollado por Stripe.

  • Expandirte a nuevos mercados más rápido: puedes llegar a clientes de todo el mundo y simplificar la gestión y el coste de la gestión multidivisa gracias a las opciones de pago internacionales, que admiten 195 países y más de 135 divisas.

  • Unificar los pagos en línea y en persona: crea una experiencia de comercio unificado entre tus canales online y presenciales para personalizar la relación con tus clientes, fomentar su fidelidad y aumentar tus ingresos.

  • Mejorar el rendimiento de tus pagos: aumenta tu facturación con herramientas de pagos configurables y fáciles de implementar, que incluyen soluciones sin programación de protección contra el fraude y funciones avanzadas para mejorar las tasas de autorización.

  • Crecer más rápido con una plataforma flexible y fiable: desarrolla tu empresa sobre una infraestructura que está preparada para crecer contigo, con un tiempo de actividad del 99,999 % y que garantiza una fiabilidad líder en el sector.

Obtén más información sobre cómo Stripe Payments puede ayudarte a aceptar pagos por Internet y en persona o crea una cuenta hoy mismo.

El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, la adecuación o la vigencia de la información incluida en el artículo. Busca un abogado o un asesor fiscal profesional y con licencia para ejercer en tu jurisdicción si necesitas asesoramiento para tu situación particular.

Más artículos

  • Something went wrong. Please try again or contact support.

¿A punto para empezar?

Crea una cuenta y empieza a aceptar pagos: no tendrás que firmar ningún contrato ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros y diseñaremos un paquete personalizado para tu empresa.
Payments

Payments

Acepta pagos por Internet, en persona y desde cualquier rincón del mundo con una solución de pagos diseñada para todo tipo de negocios.

Documentación de Payments

Encuentra una guía para integrar las API de pagos de Stripe.