Empieza ahora  Ponerse en contacto con ventas 
Empieza ahora  Contacta a ventas 

Lista de verificación del PCI DSS para empresas: cómo respetar los estándares de cumplimiento de la normativa

Payments
Payments

Acepta pagos en línea y en persona desde cualquier parte del mundo con una solución de pagos diseñada para todo tipo de negocios: desde startups en crecimiento hasta grandes empresas internacionales.

Más información 
  1. Introducción
  2. ¿Qué es el cumplimiento de la normativa del PCI DSS?
  3. ¿Qué se incluye en la lista de verificación de cumplimiento de la normativa del PCI DSS?
    1. 1. Instalar y mantener firewalls
    2. 2. Evitar contraseñas y configuraciones predeterminadas
    3. 3. Proteger los datos almacenados del titular de tarjeta
    4. 4. Cifrar los datos en tránsito
    5. 5. Defender contra el malware
    6. 6. Colocar parches en sistemas y aplicaciones
    7. 7. Limitar el acceso a los datos por función
    8. 8. Autenticar usuarios de forma única
    9. 9. Controlar el acceso físico
    10. 10. Realizar el seguimiento del acceso y supervisarlo
    11. 11. Probar regularmente la seguridad
    12. 12. Mantener políticas de seguridad y capacitar al personal
  4. ¿Cómo monitoreas y pruebas las redes para verificar el cumplimiento de la normativa PCI?
    1. Registro y monitoreo
    2. Escaneo de vulnerabilidades
    3. Pruebas de penetración
    4. Validación continua
  5. ¿Cómo pueden las empresas mantener un entorno seguro con respecto a los datos del titular de tarjeta?
    1. Definir y minimizar el alcance
    2. No almacenar lo que no se necesita
    3. Tokenizar y cifrar
    4. Segmentar la red
    5. Restringir y supervisar el acceso
  6. ¿Qué pasos debes seguir para prepararte para el cumplimiento de la normativa del PCI DSS?
    1. Alcance
    2. Inventario de activos
    3. Análisis de brechas
    4. Ruta de validación
    5. Historial y funciones
  7. ¿Cómo se mantiene el cumplimiento de la normativa del PCI DSS conforme pasa el tiempo?
    1. Programar comprobaciones repetitivas
    2. Organizar capacitaciones repetidas
    3. Observar a los proveedores
    4. Prepararte para responder
  8. Cómo puede ayudar Stripe Payments
  9. Primeros pasos con Stripe 

Proteger los datos de pago del cliente significa generar confianza y mantener el negocio en funcionamiento de manera efectiva. El costo promedio global de las infracciones alcanzó los $4.88 millones en 2024, por lo que es importante mantener altos estándares.

La lista de verificación del Estándar de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS) convierte un estándar intimidante en pasos claros que cualquier empresa puede seguir para proteger la información del titular de tarjeta. A continuación, explicaremos qué requiere la lista de verificación y cómo mantener el cumplimiento de la normativa conforme pasa el tiempo.

¿Qué contiene este artículo?

  • ¿Qué es el cumplimiento de la normativa del PCI DSS?
  • ¿Qué se incluye en la lista de verificación de cumplimiento de la normativa del PCI DSS?
  • ¿Cómo monitoreas y pruebas las redes para verificar el cumplimiento de la normativa PCI?
  • ¿Cómo pueden las empresas mantener un entorno seguro con respecto a los datos del titular de tarjeta?
  • ¿Qué pasos debes seguir para prepararte para el cumplimiento de la normativa del PCI DSS?
  • ¿Cómo se mantiene el cumplimiento de la normativa del PCI DSS conforme pasa el tiempo?
  • Cómo puede ayudar Stripe Payments

¿Qué es el cumplimiento de la normativa del PCI DSS?

El PCI DSS ofrece orientación sobre cómo proteger la información de tarjetas de débito y crédito. American Express, Discover, JCB, Mastercard y Visa lo crearon en 2004 para minimizar el fraude y las infracciones. Hoy en día, es el estándar de seguridad básico que debe seguir cualquier empresa que almacene, procese o transmita datos de tarjetas.

El cumplimiento de la normativa de PCI DSS es obligatorio. Si tu empresa acepta tarjetas de crédito o débito, se rige por el PCI DSS, ya sea que se trate de una tienda con una sola ubicación, una empresa de software como servicio (SaaS) de rápido crecimiento, o una empresa global. Los proveedores de servicios que mueven o almacenan datos de tarjetas en nombre de otros también deben cumplir con este estándar. Los pasos exactos de elaboración de informes difieren según el volumen de transacciones, pero los requisitos de seguridad se aplican en todos los ámbitos.

El PCI DSS no es una ley, pero se aplica a través de los contratos con bancos y procesadores de pagos. Si no cumples la normativa, podrías enfrentar multas, auditorías costosas o demandas, o incluso perder la capacidad de procesar pagos con tarjeta.

¿Qué se incluye en la lista de verificación de cumplimiento de la normativa del PCI DSS?

El PCI DSS se basa en 12 requisitos.

1. Instalar y mantener firewalls

La primera línea de defensa es contar con un firewall bien configurado que bloquee el tráfico no deseado. Revisa las reglas con regularidad y elimina todo lo innecesario. Es importante contar con reglas personalizadas.

2. Evitar contraseñas y configuraciones predeterminadas

Los dispositivos y el software a menudo se envían con valores predeterminados ampliamente conocidos. Cámbialos de inmediato, deshabilita las cuentas no utilizadas y cierra los servicios que no necesitas.

3. Proteger los datos almacenados del titular de tarjeta

Si no necesitas almacenar los datos de la tarjeta, no lo hagas. Si es necesario, cífralos con algoritmos sólidos, enmascara o trunca lo que puedas y administra de forma segura las claves de cifrado. Purga los datos cuando ya no sean necesarios.

4. Cifrar los datos en tránsito

Cada vez que los datos de la tarjeta se mueven a través de redes abiertas, deben estar cifrados. Utilice protocolos modernos como Transport Layer Security (TLS) 1.2 o superior. Los protocolos anteriores, como Secure Sockets Layer (SSL), son menos efectivos. Nunca envíes números de tarjeta por correo electrónico o canales que no estén cifrados.

5. Defender contra el malware

Todos los sistemas que podrían verse afectados por software malicioso necesitan contar con protección antimalware que se mantenga actualizada y configurada para ejecutarse de forma automática. El PCI DSS v4.0 va más allá, dado que fomenta el uso de herramientas de detección avanzadas, no solo de la protección antivirus tradicional.

6. Colocar parches en sistemas y aplicaciones

Las vulnerabilidades son el punto de entrada de los hackers. Mantén un inventario actualizado de activos, suscríbete a boletines de seguridad y aplica parches con rapidez. Sigue las prácticas de codificación segura si creas tus propias aplicaciones.

7. Limitar el acceso a los datos por función

Aplica el principio de privilegio mínimo. Solo los empleados que realmente necesitan acceso a los datos de la tarjeta deberían tenerlo. Usa controles que se basen en las funciones, revoca el acceso con rapidez cuando cambien las funciones y considera el acceso justo a tiempo cuando deban realizarse tareas confidenciales.

8. Autenticar usuarios de forma única

Cada particular obtiene un ID único. No permitas que se realicen inicios de sesión compartidos. Exige que se usen contraseñas seguras y la autenticación multifactor durante todos los accesos a los sistemas en el entorno de datos del titular de tarjeta (CDE). Este es un requisito firme del PCI DSS v4.0.

9. Controlar el acceso físico

Protege los lugares en los que los datos de la tarjeta existen a nivel físico: salas de servidores, terminales de pago, registros en papel y copias de seguridad. Usa tarjetas de identificación, cerraduras de puertas y vigilancia con cámaras. Destruye los registros que ya no necesites.

10. Realizar el seguimiento del acceso y supervisarlo

Activa el registro detallado para los sistemas que se vinculan con los datos del titular de tarjeta. Registra quién hizo qué y en qué momento. Almacena al menos un año de registros (debe ser fácil acceder a los últimos tres meses) y revísalos con regularidad a fin de detectar cualquier cosa inusual.

11. Probar regularmente la seguridad

Ejecuta análisis trimestrales de vulnerabilidades. Si tienes una empresa en línea, elige un Proveedor de escaneo aprobado calificado por el PCI Security Standards Council. Realiza pruebas de penetración de forma anual, como mínimo. Realiza un análisis interno después de cualquier cambio importante. Las pruebas te permiten detectar problemas antes de que los atacantes puedan usarlos para obtener acceso.

12. Mantener políticas de seguridad y capacitar al personal

El cumplimiento de la normativa depende tanto de las personas como de los sistemas. Establece una política de seguridad formal, actualízala de forma anual y capacita al personal con regularidad a fin de que todos sepan cómo proteger los datos de pago.

Piensa en la lista de verificación de cumplimiento de la normativa del PCI DSS como un libro de juegos. Configura, cifra, limita, monitorea, prueba y entrena; luego, repite a medida que tu empresa crece.

¿Cómo monitoreas y pruebas las redes para verificar el cumplimiento de la normativa PCI?

El PCI DSS también requiere que demuestres que tus controles funcionan a diario. Eso implica la realización de monitoreo y pruebas.

Registro y monitoreo

Los sistemas que se vinculan con los datos del titular de tarjeta deben generar registros detallados: quién accedió a qué, cuándo y qué acciones se tomaron. Debes almacenar al menos un año de registros, y los últimos tres meses deben estar disponibles de inmediato. También debes revisar los registros. Muchas empresas utilizan alertas automáticas para marcar actividades sospechosas, como una cuenta de administrador que inicia registros en horas extrañas.

Escaneo de vulnerabilidades

El PCI DSS exige que un proveedor de escaneo aprobado realice escaneos trimestrales de vulnerabilidades de los sistemas orientados a Internet. También se deben programar escaneos internos, en especial después de que se realicen cambios importantes en el sistema. Estos escaneos buscan debilidades conocidas, como software y firewalls mal configurados que los atacantes podrían explotar.

Pruebas de penetración

Realiza pruebas de penetración al menos una vez al año. Se trata de ataques simulados que llevan a cabo profesionales que piensan como hackers. A diferencia de los escaneos automatizados, las pruebas de penetración exploran cómo las diferentes vulnerabilidades pueden crear un riesgo real. Con ellas, puedes ver el entorno de la forma en que lo haría un atacante.

Validación continua

El cumplimiento de la normativa PCI significa seguir un ciclo continuo: configurar sistemas, escanearlos, solucionar problemas y volver a realizar pruebas. El punto es detectar problemas antes de que se conviertan en infracciones y demostrar que los controles resisten el escrutinio.

¿Cómo pueden las empresas mantener un entorno seguro con respecto a los datos del titular de tarjeta?

Proteger los datos del titular de tarjeta significa crear un entorno en el que los riesgos se reduzcan en cada capa. El PCI DSS llama a esto CDE, y mantenerlo seguro significa prestar atención al alcance, el almacenamiento, el acceso y la arquitectura.

A continuación, indicamos cómo proteger el CDE.

Definir y minimizar el alcance

Primero, averigua exactamente por dónde fluyen los datos de la tarjeta en los sistemas. Describe aplicaciones, bases de datos, terminales y redes que se vinculan con ellos o los transmiten. Luego, reduce esa huella: si un sistema no necesita gestionar datos de tarjeta, sácalos del alcance.

No almacenar lo que no se necesita

Cada pieza de datos de tarjeta almacenados es una responsabilidad. Conserva solo lo que necesitas y establece procesos automatizados para purgar los datos obsoletos. Utiliza el enmascaramiento y el truncamiento siempre que sea posible, de modo que, incluso, si los datos aparecen, no sean útiles para los atacantes.

Tokenizar y cifrar

Cuando debas manejar números de tarjeta, reemplázalos con tokens que no tienen ningún valor que pueda explotarse fuera de los sistemas. Cifra los datos del titular de tarjeta tanto en reposo como en tránsito, y administra las claves de cifrado con el mismo rigor que aplicarías a la protección de datos: limita el acceso, rota las claves con regularidad y registra su uso.

Segmentar la red

Mantén el CDE aislado del resto de los sistemas. La segmentación de la red garantiza que, si un área se ve comprometida, los atacantes no obtengan un acceso directo a los datos de pago.

Restringir y supervisar el acceso

Aplica controles de acceso estrictos: permisos basados en funciones, autenticación multifactor y el registro de cada intento de acceso. Revisa los privilegios con frecuencia y elimina el acceso con rapidez cuando ya no sea necesario.

Un CDE protegido requiere revisión, actualizaciones y pruebas periódicas. Si ajustas el alcance, cifras de manera efectiva y limitas la exposición, puedes crear un entorno resistente a errores y ataques.

¿Qué pasos debes seguir para prepararte para el cumplimiento de la normativa del PCI DSS?

Antes de completar un cuestionario o programar una auditoría, necesitas contar con una imagen clara de cómo la empresa maneja los datos de las tarjetas y dónde se encuentran los riesgos. Eso hace que el cumplimiento de la normativa del PCI DSS pase de ser un estándar abstracto a un plan de proyecto concreto, dado que el alcance, la evidencia y la responsabilidad se definen desde el principio.

A continuación, indicamos cómo debes prepararte.

Alcance

Identifica todos los sistemas, solicitudes y redes que se vinculan con los datos del titular de tarjeta. Crea un diagrama de flujo de datos en el que se muestre exactamente cómo se mueve la información de la tarjeta a través del entorno, desde el punto de entrada (por ejemplo, sitio web, terminal, aplicación) hasta el lugar en el que se procesa o almacena. Cualquier cosa que interactúe con los datos de la tarjeta entra en el alcance.

Inventario de activos

Enumera todos los proveedores de hardware, software y servicios involucrados en los pagos. Esto ayuda a comprender qué debe protegerse y dónde entran en juego las responsabilidades de terceros.

Análisis de brechas

Compara tus controles actuales con los 12 requisitos del PCI DSS. En un análisis de brechas, se revelan políticas que faltan, configuraciones obsoletas o sistemas sin parches. Además, con él, se accede a una hoja de ruta priorizada para la rectificación.

Ruta de validación

Las empresas suelen realizar la validación a través de un cuestionario de autoevaluación. En cambio, las grandes empresas a menudo necesitan contar con un Informe formal sobre el cumplimiento de la normativa que realice un Evaluador de seguridad cualificado. El camino que tomes depende del volumen de transacciones y de cómo procesas los pagos.

Historial y funciones

Genera tiempo para la rectificación, la documentación, las pruebas y la capacitación. Asigna responsabilidades claras para que las tareas no se escapen.

¿Cómo se mantiene el cumplimiento de la normativa del PCI DSS conforme pasa el tiempo?

El cumplimiento de la normativa es un ciclo que se repite. El cumplimiento de la normativa PCI a largo plazo implica integrar la seguridad en las operaciones diarias.

Esto es lo que eso implica.

Programar comprobaciones repetitivas

Programa análisis trimestrales de vulnerabilidades, pruebas de penetración anuales, revisiones de políticas y evaluaciones de riesgo regulares. Documenta cada actividad a fin de tener un registro en papel para los auditores y tu propia responsabilidad.

Organizar capacitaciones repetidas

Las personas son parte del sistema. Realiza sesiones periódicas de concientización sobre seguridad a fin de que los empleados sepan cómo detectar a los skimmers de tarjetas, los intentos de phishing y los signos de manipulación. Actualiza la capacitación cuando cambien los estándares o tus propios procesos.

Observar a los proveedores

Los proveedores externos suelen formar parte del flujo de pago. Revisa el estado de cumplimiento de la normativa con regularidad y asegúrate de que los contratos reflejen las obligaciones de seguridad.

Prepararte para responder

Mantén un plan de respuesta a incidentes: debes saber a quién llamar, cómo aislar los sistemas y cómo notificar a las partes interesadas. Debes poder actuar con rapidez si algo sale mal.

Cómo puede ayudar Stripe Payments

Stripe Payments proporciona una solución de pagos unificada y global que ayuda a cualquier empresa, desde startups en expansión hasta empresas globales, a aceptar pagos en línea, en persona y en todo el mundo.

Con Stripe Payments, puedes hacer lo siguiente:

  • Optimizar tu experiencia de confirmación de compra: crea una experiencia de cliente sin problemas y ahorra miles de horas de ingeniería con interfaces de usuario de pago prediseñadas, acceso a más de 125 métodos de pago y a Link, una cartera creada por Stripe.

  • Llegar a nuevos mercados más rápido: conéctate con clientes de todo el mundo y reduce la complejidad y el costo de la gestión de múltiples monedas con opciones de pago transfronterizas, disponibles en 195 países en más de 135 monedas.

  • Unificar los pagos en persona y los pagos en línea: crea una experiencia de comercio unificada en todos los canales, tanto en línea como en persona, para personalizar las interacciones, recompensar la lealtad y aumentar los ingresos.

  • Mejorar el rendimiento de los pagos: aumenta los ingresos con una gama de herramientas de pago personalizables y fáciles de configurar, que incluyen protección contra fraudes y que no requieren programación y funcionalidades avanzadas para mejorar las tasas de autorización.

  • Avanzar más rápido con una plataforma flexible y confiable para el crecimiento: desarrolla tu negocio sobre una plataforma diseñada para crecer contigo, con un tiempo de actividad del 99.999 % y confiabilidad líder en el sector.

Obtén más información sobre cómo Stripe Payments puede impulsar tus pagos en línea y en persona, o empieza hoy mismo.

El contenido de este artículo tiene solo fines informativos y educativos generales y no debe interpretarse como asesoramiento legal o fiscal. Stripe no garantiza la exactitud, la integridad, adecuación o vigencia de la información incluida en el artículo. Si necesitas asistencia para tu situación particular, te recomendamos consultar a un abogado o un contador competente con licencia para ejercer en tu jurisdicción.

Más artículos

  • Something went wrong. Please try again or contact support.

¿Todo listo para empezar?

Crea una cuenta y empieza a aceptar pagos sin necesidad de firmar contratos ni proporcionar datos bancarios. Si lo prefieres, puedes ponerte en contacto con nosotros para que diseñemos un paquete personalizado para tu empresa.
Payments

Payments

Acepta pagos en línea y en persona desde cualquier parte del mundo con una solución de pagos diseñada para todo tipo de negocios.

Documentación de Payments

Encuentra una guía para integrar las API de pagos de Stripe.