Guía para el cumplimiento de la normativa PCI

Las Normas de Seguridad de los Datos del Sector de Tarjetas de Pago (PCI DSS, por sus siglas en inglés) fijan un estándar mínimo para la seguridad de los datos. En esta guía, te contamos, paso a paso, cómo cumplir con esta normativa y cómo Stripe puede ayudarte.

Foto del avatar de Mike Dahn
Mike Dahn

Mike Dahn está a cargo de las relaciones en política de seguridad de Stripe, aunque antes de unirse a nuestro equipo trabajó como instructor, auditor e implementador de la normativa PCI.

  1. Introducción
  2. Resumen sobre la normativa de seguridad de los datos PCI (PCI DSS)
    1. Gestión de los datos de tarjeta
    2. Almacenamiento seguro de los datos
    3. Validación anual
  3. Guía paso a paso para el cumplimiento de la normativa PCI DSS
    1. 1. Conoce tus requisitos
    2. 2. Mapea tus flujos de datos
    3. 3. Verificación de los controles y protocolos de seguridad
    4. 4. Vigilar y mantener
  4. Cómo te ayuda Stripe a cumplir la normativa PCI
  5. Conclusión
    1. Cumplir la normativa PCI es solo el primer paso

La versión 4.0 de la normativa PCI DSS entra en vigor el 31 de marzo de 2024

Desde 2005, más de 11.000 millones de registros de clientes han quedado expuestos por culpa de más de 8.500 filtraciones de datos. Estas son las últimas cifras de The Privacy Rights Clearinghouse, que informa sobre las filtraciones de datos y brechas de seguridad que afectan a los consumidores desde 2005.

Para mejorar la seguridad de los datos de los consumidores y la confianza en el ecosistema de pagos, se creó una normativa básica para la seguridad de los datos. En 2006, Visa, Mastercard, American Express, Discover y JCB formaron el Consejo de Normas de Seguridad para la Industria de las Tarjetas de Pago (PCI SSC, por sus siglas en inglés) destinado a administrar y gestionar los estándares de seguridad de las empresas que manejan datos de tarjetas de crédito. Antes de la creación del consejo, estas cinco empresas de tarjetas de crédito tenían sus propios programas con estándares de seguridad, aunque todas compartían unos requisitos y objetivos bastante similares. Con el fin de adoptar unos estándares unificados, se unieron en el PCI SSC y establecieron las Normas de Seguridad de los Datos de PCI (conocidas como la «normativa PCI») para garantizar unos mínimos de protección para los consumidores y los bancos en la era de Internet.

Entender la normativa PCI no es tarea fácil

Si tu modelo de negocio te obliga a recibir los datos de las tarjetas de tus clientes, es posible que tengas que pasar todos y cada uno de los más de 300 controles de seguridad que estipula esta normativa. La documentación oficial consta de más de 1800 páginas (más de 300 solo para entender qué formularios hay que utilizar para garantizar el cumplimento): necesitarías 72 horas solo para leer la normativa al completo.

Para evitarte las decenas de horas que te tomaría leer (y entender cómo aplicar en cada caso) la normativa PCI, te hemos preparado esta guía paso a paso sobre cómo validar y asegurar su cumplimiento.

Resumen sobre la normativa de seguridad de los datos PCI (PCI DSS)

PCI DSS es la normativa internacional de seguridad para todas las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas o datos privados de autenticación. La normativa PCI DSS establece un estándar básico de protección para los consumidores y ayuda a reducir el fraude y las filtraciones de datos dentro de todo el ecosistema de pagos. Se aplica a toda empresa u organización que acepte o procese datos de tarjetas de pago.

El cumplimiento de la normativa PCI DSS gira en torno a tres componentes principales:

  1. Gestionar la recepción de los datos de tarjetas de crédito de los consumidores, es decir, reunir y transmitir los datos privados de las tarjetas de manera segura
  2. Guardar los datos de manera segura, según se describe en los 12 dominios de seguridad de la normativa PCI (por ejemplo, mediante cifrado, con una monitorización continua de los datos y verificando la seguridad del acceso a los datos de tarjeta)
  3. Validar anualmente el funcionamiento de los controles de seguridad necesarios, lo que puede implicar formularios, cuestionarios, servicios externos de escaneo de vulnerabilidades y auditorías de terceros (lo hemos detallado en el cuadro con los cuatro niveles de requisitos que encontrarás más adelante en la guía paso a paso)

Gestión de los datos de tarjeta

Si bien existen algunas excepciones, muchos modelos de negocio necesitan gestionar directamente los datos privados de tarjetas de crédito al aceptar los pagos. Las empresas que sí necesitan gestionar esos datos (p. ej., si piden los números de la tarjeta en una página de pago, en lugar de usar un token) podrían tener que cumplir los más de 300 controles de seguridad estipulados en la normativa PCI. Aunque los datos de las tarjetas solo pasen durante unos instantes por su servidor, la empresa deberá comprar, instalar y mantener software y hardware de seguridad.

Si una empresa no necesita manejar esos datos privados, no tendrá la obligación de hacerlo. Existen soluciones de terceros (como Stripe Elements) que aceptan y almacenan los datos de manera segura, y ayudan a que las empresas consigan evitar todas esas complicaciones, costes y riesgos. Al usar uno de estos servicios de terceros, los datos de las tarjetas nunca entran en contacto con los servidores de la empresa, que solo necesita confirmar algunos controles de seguridad, en su mayoría muy simples (por ejemplo, garantizar que se está usando una contraseña segura).

Almacenamiento seguro de los datos

Si una empresa maneja o almacena datos de tarjetas de crédito, debe definir el alcance del «entorno de datos del titular de la tarjeta» (CDE, por sus siglas en inglés). La normativa PCI DSS define el CDE como las personas, los procesos y las tecnologías que sirven para almacenar, procesar o transmitir datos de tarjetas de crédito, o cualquier sistema relacionado con esto. Debido a que al CDE se le aplican todos los requisitos de seguridad de la normativa PCI, que son más de 300, es importante segmentar bien el entorno de pago del resto de la empresa para limitar el alcance de esa validación. Si una empresa es incapaz de limitar el alcance del CDE con una segmentación bien detallada, los controles de seguridad de la normativa PCI se aplicarían a todo su sistema, incluyendo cualquier ordenador, portátil o dispositivo que se haya conectado a su red.

Validación anual

Independientemente de cómo se acepten los datos de tarjeta, toda empresa debe completar anualmente un formulario de validación conforme a la normativa PCI. Ese proceso de validación del cumplimiento de la normativa PCI depende de varios factores (te los hemos descrito más abajo). A continuación, te presentamos tres casos por los que se le podría pedir a una empresa que demuestre que cumple con la normativa PCI:

  • Los procesadores de pagos pueden solicitarlo como parte de sus procesos de notificación a las marcas de tarjetas (es una obligación para los procesadores de pagos).
  • Los socios comerciales pueden solicitarlo como requisito previo a la firma de un acuerdo comercial.
  • Si el negocio puede considerarse una plataforma (es decir, si su tecnología facilita las transacciones entre usuarios), sus usuarios pueden solicitarlo para demostrarles a sus clientes que gestionan los datos de manera segura.

La normativa de seguridad PCI DSS incluye 12 requisitos principales con más de 300 subrequisitos que reflejan las mejores prácticas de seguridad.

CREAR Y MANTENER UNA RED Y UNOS SISTEMAS SEGUROS

  • 1. Instala y mantén controles de seguridad de la red.
  • 2. Establece configuraciones seguras en todos los componentes del sistema.

PROTEGER LOS DATOS DE LA CUENTA

  • 3. Protege los datos que se almacenan sobre el titular.
  • 4. Protege los datos del titular de la tarjeta con una criptografía robusta durante la transmisión por redes abiertas y públicas.

MANTENER UN PROGRAMA DE GESTIÓN DE VULNERABILIDADES

  • 5. Protege todos los sistemas y redes contra software malicioso.
  • 6. Desarrolla sistemas y software seguros, y realiza un mantenimiento periódico.

APLICAR MEDIDAS SÓLIDAS DE CONTROL DE ACCESO

  • 7. Restringe el acceso a los componentes del sistema y los datos del titular de la tarjeta en función de las necesidades de tu empresa.
  • 8. Identifica a los usuarios y autentica el acceso a los componentes del sistema.
  • 9. Restringe el acceso físico a los datos del titular de la tarjeta.

VIGILAR Y VERIFICAR PERIÓDICAMENTE LAS REDES

  • 10. Registra y monitoriza todo el acceso a los componentes del sistema y los datos del titular de la tarjeta.
  • 11. Verifica periódicamente la seguridad de los sistemas y las redes.

TENER UNA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

  • 12. Garantiza la seguridad de la información con políticas y procedimientos organizativos.

Esperamos que todo esto te haya resultado manejable, porque todavía hay más: el Consejo PCI creó nueve formularios —también conocidos como cuestionarios de autoevaluación (SAQ, por sus siglas en inglés)— distintos que subdividen los requisitos de la normativa PCI para que las empresas puedan validar el cumplimiento de la normativa PCI. El primer paso es determinar cuál se aplica en su caso, aunque a veces es necesario contratar a un auditor aprobado por el consejo para que verifique si se ha cumplido cada requisito. Por si fuera poco, este consejo modifica las reglas cada tres años y publica actualizaciones durante todo el año. No solo es todo muy complejo, es que esa complejidad puede cambiar de un día para el otro.

Guía paso a paso para el cumplimiento de la normativa PCI DSS

1. Conoce tus requisitos

El primer paso para cumplir con la normativa PCI pasa por determinar qué requisitos se aplican a tu empresa. Hay cuatro niveles diferentes de cumplimiento que, por lo general, se basan en el volumen de transacciones con tarjeta de crédito que procese tu empresa en un período de 12 meses.

Nivel de cumplimiento
Aplicación
Requisitos
Nivel 1
  1. Empresas que al año procesan más de 6 millones de transacciones de Visa o Mastercard, o más de 2,5 millones de American Express; o
  2. Casos de filtración de datos; o
  3. Que se consideran de «Nivel 1» por parte de cualquier asociación de tarjetas (Visa, Mastercard, etc.)
  1. Informe anual sobre cumplimiento (ROC) a cargo de un evaluador de seguridad cualificado (QSA), conocido comúnmente como «evaluación in situ de Nivel 1», o un auditor interno si está firmado por un director de la empresa
  2. Análisis trimestral de la red a cargo de un proveedor de análisis acreditado (ASV)
  3. Certificación de cumplimiento (AOC) para evaluaciones in situ (existen formularios específicos para comerciantes y proveedores de servicios)
Nivel 2
Organizaciones que procesan entre 1 y 6 millones de transacciones al año
  1. Cuestionario de autoevaluación (SAQ) anual sobre los estándares de seguridad de datos de la normativa PCI (9 tipos de SAQ que se resumen en la tabla a continuación)
  2. Análisis trimestral de la red a cargo de un proveedor de análisis acreditado (ASV)
  3. Certificación de cumplimiento (AOC) (cada uno de los 9 SAQ tiene un formulario de AOC correspondiente)
Nivel 3
  1. Empresas que procesan entre 20.000 y 1 millón de transacciones en línea al año
  2. Empresas que procesan al año menos de 1 millón de transacciones en total
Los mismos requisitos que en el nivel anterior
Nivel 4
  1. Empresas que procesan menos de 20.000 transacciones en línea al año, u
  2. Empresas que procesan al año hasta 1 millón de transacciones en total
Los mismos requisitos que en el nivel anterior

Para los niveles 2 a 4, hay diferentes tipos de SAQ según qué método de integración uses para los pagos. Aquí tienes una tabla que los resume:

SAQ
Descripción
A
Comerciantes que operan sin que la tarjeta esté presente en la transacción (*e-commerce* o pedidos telefónicos/por correo) y que subcontratan a terceros validados y acreditados conforme a la normativa PCI DSS para que se ocupen de todas las funciones relacionadas con los datos de las cuentas. No se almacenan, procesan ni transmiten por vía electrónica tales datos en sus sistemas o establecimientos.

No aplicable a canales presenciales. No aplicable a proveedores de servicios.
A-EP
Comerciantes de *e-commerce* que subcontratan a terceros validados y acreditados conforme a la normativa PCI DSS para que se ocupen de una parte de las funciones relacionadas con el procesamiento de pagos. Estos comerciantes tienen sitios web en los que no reciben datos de cuentas, pero que repercuten en la seguridad de la transacción de pago o en la integridad de la página que acepta los datos de las cuentas de los clientes. No se almacenan, procesan ni transmiten por vía electrónica tales datos en los sistemas o establecimientos del comerciante.

Aplicable solo a canales de e-commerce. No aplicable a proveedores de servicios.
B
Comerciantes que usan solo:
  • Aparatos de impresión que no almacenan electrónicamente los datos de las cuentas.
  • Terminales para llamadas externas que operan de forma autónoma y no almacenan electrónicamente los datos de las cuentas.
No aplicable a canales de e-commerce. No aplicable a proveedores de servicios.
B-IP
Comerciantes que usan solo terminales de pago autónomos y conformes con la normativa de seguridad de transacciones con PIN (PTS), que disponen de una conexión IP al procesador de pagos pero no almacenan electrónicamente los datos de titulares de tarjetas.

No aplicable a canales de e-commerce.
C-VT
Comerciantes que escriben manualmente los datos de las cuentas de pago de cada una de las transacciones mediante un teclado conectado a un terminal de pago virtual de un tercero validado y acreditado conforme a la normativa PCI DSS, y que tienen un dispositivo informático aislado y un navegador web con una conexión segura. No se almacenan los datos de las cuentas por vía electrónica.

No aplicable a canales de e-commerce. No aplicable a proveedores de servicios.
C
Comerciantes con sistemas de aplicaciones de pagos conectados a Internet que no almacenan electrónicamente los datos de las cuentas. No aplicable a canales de *e-commerce*.

No aplicable a proveedores de servicios.
P2PE
Comerciantes que solo usan una solución de cifrado de punto a punto (P2PE) incluida en la lista de la normativa PCI y validada. No se accede a datos de las cuentas como texto sin cifrar ni se almacenan tales datos por vía electrónica.

No aplicable a canales de e-commerce. No aplicable a proveedores de servicios.
SPoC*
Comerciantes que usan un dispositivo móvil comercial (por ejemplo, un teléfono o una tableta) con un lector de tarjetas seguro que forma parte de una solución SPoC incluida en la lista de soluciones validadas del PCI SSC. No se accede a datos de las cuentas como texto sin cifrar ni se almacenan tales datos por vía electrónica.

No aplicable a transacciones sin supervisión en las que la tarjeta está presente, pedidos telefónicos/por correo (MOTO) ni canales de *e-commerce*. No aplicable a proveedores de servicios.
D
SAQ D PARA COMERCIANTES: todos los comerciantes no incluidos en las descripciones de los tipos de SAQ que figuran arriba.

SAQ D PARA PROVEEDORES DE SERVICIOS: todos los proveedores de servicios definidos por una marca de pago como admisibles para completar un SAQ.
* Nuevo SAQ para la versión 4.0 de la normativa PCI DSS

2. Mapea tus flujos de datos

Para poder proteger los datos privados de tarjetas de crédito, debes saber dónde residen y cómo llegan hasta allí. Tendrás que mapear (es decir, trazar un diagrama detallado) los sistemas, las conexiones de red y las aplicaciones que interactúen con datos de tarjetas de crédito en tu empresa. Es probable que los equipos de TI y seguridad tengan que ayudarte en este paso.

  • En primer lugar, identifica las áreas de la empresa con las que interactúa tu consumidor que impliquen transacciones con tarjeta. Por ejemplo, puedes aceptar pagos a través de un carrito de compra virtual, los terminales de pago de una tienda o un pedido telefónico.
  • En segundo lugar, identifica cómo se manejan los datos de los titulares de tarjeta en toda la empresa. Es importante saber exactamente dónde se guarda la información y quién tiene acceso a ella.
  • Por último, identifica los sistemas internos y externos (por ejemplo, software de terceros) que están en contacto con las transacciones. Asegúrate de incluir tanto tus sistemas de red como los centros de datos y entornos en la nube.

3. Verificación de los controles y protocolos de seguridad

Una vez que hayas identificado todos los puntos que podrían entrar en contacto con los datos de las tarjetas, trabaja con tus equipos de TI y seguridad para garantizar que se apliquen las configuraciones y protocolos de seguridad correctos (consulta la lista de 12 requisitos de seguridad de la normativa PCI que compartimos en la sección anterior). Estos protocolos han sido concebidos para proteger la transmisión de datos, como Transport Layer Security (TLS).

Los 12 requisitos de seguridad de la normativa PCI DSS son fruto de las buenas prácticas de protección de datos privados para cualquier empresa. De hecho, varios de esos requisitos son idénticos a los que exigen el RGPD, la HIPAA y otras normativas de privacidad: es posible que ya cumplas con muchos de ellos.

4. Vigilar y mantener

Recuerda que el cumplimiento de la normativa PCI no es un acontecimiento aislado, sino un proceso continuo: hay que garantizar que tu empresa siga cumpliendo con la normativa a medida que el flujo de datos y los puntos de contacto con los clientes aumentan. Algunas marcas de tarjetas de crédito pueden solicitar informes trimestrales o anuales o llevar a cabo una evaluación anual en el establecimiento para validar ese cumplimiento de forma constante, sobre todo si procesas más de 6 millones de transacciones al año.

La gestión del cumplimiento de la normativa PCI durante el año (y a través de los años) suele requerir la colaboración de distintos departamentos de la empresa. Si todavía no tienes un proceso interdepartamental en marcha, puede ser buena idea crear un equipo interno dedicado a ello para garantizar el cumplimiento de la normativa. Aunque cada caso es único, un equipo de PCI debería incluir un representante de cada uno de los siguientes sectores:

  • Seguridad: el director general de Seguridad (CSO), el director general de Seguridad Informática (CISO) y sus equipos garantizan que la empresa siempre invierta correctamente en los recursos y políticas de privacidad y seguridad de los datos necesarios.
  • Tecnología y pagos: el director general de Tecnología (CTO), el vicepresidente de pagos y sus equipos garantizan que las principales herramientas, integraciones e infraestructuras se mantengan dentro de la normativa a medida que crecen los sistemas de la organización.
  • Finanzas: el director general de Finanzas (CFO) y su equipo garantizan que se tengan en cuenta todos los flujos de datos de pagos en relación con los socios y sistemas de pago.
  • Asuntos jurídicos: este equipo ayuda a manejar la gran cantidad de matices legales que hay que tener en cuenta a la hora de cumplir la normativa PCI.

Para obtener más información sobre el complejo mundo del cumplimiento de la normativa PCI, visita el sitio web de PCI Security Standards Council. Si, en lugar de leer la normativa completa, prefieres leer esta guía y otros documentos sobre la normativa, te recomendamos empezar por estos: enfoque prioritario de la normativa PCI, instrucciones y guía sobre los SAQ, las preguntas más frecuentes sobre el uso de los criterios de admisibilidad de los SAQ a fin de determinar los requisitos presenciales de evaluación y las preguntas más frecuentes sobre las obligaciones de los comerciantes que desarrollan aplicaciones para dispositivos que aceptan datos de tarjetas de pago de los consumidores.

Cómo te ayuda Stripe a cumplir la normativa PCI

Stripe simplifica considerablemente la carga operativa que conlleva el cumplimiento de esta normativa para las empresas que deciden integrar Checkout, Elements, los SDK para móviles y los SDK para Terminal. Stripe Checkout y Stripe Elements usan un formulario de pagos alojado para gestionar todos los datos de las tarjetas, de modo que el titular de la tarjeta introduce todos sus datos privados en campos que se originan directamente en nuestros servidores, que están validados para la normativa PCI. Los SDK de Stripe para móviles y para Terminal también le permiten al titular de la tarjeta enviar su información directamente a nuestros servidores.

Todos nuestros usuarios —sea cual sea el tipo de integración que hayan elegido— se benefician de que Stripe actúe como colaborador en materia de la normativa PCI. Estas son algunas de las ventajas directas en relación con la normativa PCI que obtienes al trabajar con Stripe:

  • Analizamos tu método de integración y te aconsejamos sobre cómo simplificar el cumplimiento de la normativa.
  • Te notificamos (siempre con el tiempo necesario para que tomes las medidas oportunas) en caso de que el volumen de transacciones haya aumentado e implique cambios a la hora de validar el cumplimiento.
  • Para grandes comerciantes (Nivel 1), si almacenas datos de tarjetas de crédito o tienes un flujo de pago más complejo y necesitas trabajar con un asesor de seguridad certificado (QSA), hay más de 350 empresas que ofrecen ese tipo de servicios y podemos ponerte en contacto con varios auditores que conocen a fondo los diferentes métodos de integración de Stripe.

Conclusión

La evaluación y la validación del cumplimiento de la normativa PCI, por lo general, se hacen una vez al año, aunque cabe recordar que no se trata de un evento esporádico, sino de un esfuerzo continuo de análisis y ajustes. A medida que crece la empresa, los procesos y la lógica del negocio crecen, por lo que los requisitos de cumplimiento también se vuelven más complejos. Una empresa online, por ejemplo, puede decidir abrir tiendas físicas, entrar en nuevos mercados o lanzar un centro de soporte para el cliente. Si alguno de estos nuevos frentes implica tener que gestionar datos de tarjetas, te recomendamos que intentes mantenerte un paso por delante y compruebes si tu método de validación para la normativa PCI ha cambiado. Es posible que tengas que volver a completar todo el proceso de validación.

Cumplir la normativa PCI es solo el primer paso

Seguir las directrices de la normativa PCI DSS es solo una capa de protección para tu empresa. Una capa obligatoria y muy importante, pero que no es suficiente. La normativa PCI establece una serie de reglas a la hora de gestionar y almacenar los datos del titular de la tarjeta, pero no ofrece una protección completa para los entornos de pago. Una forma mucho más eficaz de proteger tu empresa pasa por introducir un método de aceptación de tarjetas más seguro (como Stripe Checkout, Elements o los SDK para móviles). Este enfoque no solo proporciona una forma de mitigar filtraciones de datos, sino que evita el proceso de validación de la normativa PCI (una gran inversión de tiempo, dinero y estrés). Recuerda: un método de integración más seguro es fiable todos los días del año.

¿A punto para empezar? Contáctanos o crea una cuenta.

Crea una cuenta y empieza a aceptar pagos, sin necesidad de contratos ni datos bancarios. Si lo prefieres, puedes contactar con nuestro equipo y diseñaremos un paquete personalizado para tu empresa.