El Payment Card Industry Data Security Standard (PCI DSS) es un conjunto de requisitos de seguridad para proteger los datos de los titulares de tarjetas —números de cuenta principal (PAN), nombres, fechas de vencimiento, códigos de servicio— y otra información confidencial de los titulares a lo largo de su ciclo de vida.
El PCI DSS se aplica a cualquier comerciante, proveedor de servicios u otra organización que almacene, procese o transmita datos del titular de la tarjeta, y a cualquier organización conectada a sistemas que almacenen, procesen o transmitan datos del titular de la tarjeta. (Estos sistemas se conocen como entorno de datos del titular de la tarjeta, o CDE.) El PCI DSS describe los controles de seguridad, los procesos y las pruebas detallados que las organizaciones deben implementar para proteger los datos de los titulares de tarjetas. Estas medidas de seguridad cubren una amplia gama de áreas funcionales en todo el entorno de datos de los titulares de tarjetas, incluidas las transacciones de comercio electrónico, los sistemas de punto de venta, los puntos de acceso inalámbricos, los dispositivos móviles, la computación en la nube y los sistemas de almacenamiento en papel.
El cumplimiento del PCI DSS requiere informes anuales por parte de comerciantes y proveedores de servicios, así como informes adicionales luego de cambios significativos en el CDE. La validación del cumplimiento también implica la evaluación continua de la postura de seguridad de una organización y la corrección continua para abordar cualquier brecha en la política, la tecnología o los procedimientos de seguridad.
Las organizaciones y los proveedores de servicios pueden ser evaluados por un asesor de seguridad calificado (QSA) que emite un certificado de cumplimiento (AOC) al completar una evaluación satisfactoria.
La primera versión del PCI DSS fue publicada en 2004 por las marcas de tarjetas de pago American Express, Discover, JCB International, MasterCard y Visa, que formaron colectivamente el Payment Card Industry Security Standards Council (PCI SSC) para gestionar los requisitos técnicos de la norma. En 2020, el PCI SSC agregó la asociación de tarjetas bancarias UnionPay. El PCI DSS se actualiza periódicamente para hacer frente a las últimas amenazas a la ciberseguridad de los datos de las tarjetas de pago, como el robo de identidad, el fraude y las filtraciones de datos.
IBM es un proveedor de servicios de nivel 1 para PCI DSS, y los clientes pueden crear entornos y aplicaciones compatibles con PCI-DSS utilizando IBM Cloud.
Muchos servicios de la plataforma IBM Cloud tienen un certificado de cumplimiento (AOC) de PCI DSS emitida por un asesor de seguridad calificado (QSA).
Acelere su cumplimiento mediante los servicios de IBM Cloud
La versión más reciente del PCI DSS (v4.0.1) se publicó en junio de 2024. Las organizaciones deben implementar estos 12 requisitos antes del 31 de marzo de 2025 para lograr el cumplimiento.
IBM Cloud ofrece el siguiente conjunto de servicios que le ayudarán a cumplir con los requisitos específicos del PCI DSS y a acelerar su proceso de conformidad.
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services aporta seguridad y rendimiento líderes en el mercado a su contenido web externo y aplicaciones de Internet antes de que lleguen a la nube.
IBM Cloud Direct Link
La velocidad y confiabilidad de IBM® Cloud Direct Link le permiten ampliar la red del centro de datos de su organización, sin tocar el internet público.
IBM Cloud Gateway Appliances
Los dispositivos de puerta de enlace son aparatos que le ofrecen un mayor control sobre el tráfico de red, le permiten acelerar el rendimiento de su red y aumentan su seguridad.
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway le ayuda a conectar y gestionar sus redes de IBM Cloud Virtual Private Cloud (VPC).
Fortigate Security Appliance
Despliegue un par de FortiGate Virtual Appliances en su entorno, lo que puede ayudarle a reducir el riesgo mediante la implementación de controles de seguridad críticos dentro de su infraestructura virtual.
Cortafuegos de hardware
Una capa esencial de seguridad que se aprovisiona bajo demanda sin interrupciones del servicio.
Fortigate Security Appliance
Despliegue un par de FortiGate Virtual Appliances en su entorno, lo que puede ayudarle a reducir el riesgo mediante la implementación de controles de seguridad críticos dentro de su infraestructura virtual.
Cortafuegos de hardware
Una capa esencial de seguridad que se aprovisiona bajo demanda sin interrupciones del servicio.
IBM Cloud Security and Compliance Center: Protección de cargas de trabajo
Encuentre y priorice vulnerabilidades de software, detecte y responda a amenazas, y gestione configuraciones, licencias y cumplimiento desde el origen hasta la ejecución.
IBM QRadar Suite
IBM Security QRadar Suite es una solución modernizada de detección y respuesta a amenazas diseñada para unificar la experiencia de los analistas de seguridad y acelerar su velocidad a lo largo del ciclo de vida de los incidentes.
IBM Key Protect for IBM Cloud
El servicio IBM Key Protect for IBM Cloud le ayuda a suministrar y almacenar claves cifradas para aplicaciones en los servicios de IBM Cloud, de modo que pueda ver y gestionar el cifrado de datos y todo el ciclo de vida de las claves desde una ubicación central.
IBM Security and Compliance Center - Agente de seguridad de datos - Gerente
Es una solución de seguridad de la suite Security and Compliance Center que proporciona políticas de cifrado centralizadas y auditoría de datos en diferentes fuentes de datos.
IBM Cloud Hyper Protect Virtual Servers
Un tiempo de ejecución de contenedor informático confidencial totalmente gestionado que permite el despliegue de cargas de trabajo confidenciales en contenedores en un entorno altamente aislado con garantía técnica.
IBM Cloud Hardware Security Module
Protege la infraestructura criptográfica gestionando, procesando y almacenando claves criptográficas de forma más segura dentro de un dispositivo de hardware resistente a manipulaciones.
IBM Security Guardium
Software de seguridad de datos en la cartera de IBM Security que descubre vulnerabilidades y protege datos confidenciales on premises y en la nube.
Servicios de almacenamiento en la nube de IBM
Espacio escalable, seguro y rentable para sus datos, al tiempo que admite cargas de trabajo tradicionales y nativas de la nube. Aprovisione y despliegue servicios, como almacenamiento de objetos de acceso, bloques y archivos.
IBM Cloud Database Services
Libere a los desarrolladores y a TI de tareas complejas y que requieren mucho tiempo, como despliegue y actualizaciones de infraestructura y software de bases de datos, operaciones de infraestructura y copia de seguridad.
IBM Cloud Direct Link
La velocidad y confiabilidad de IBM® Cloud Direct Link le permiten ampliar la red del centro de datos de su organización, sin tocar el internet público.
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway le ayuda a conectar y gestionar sus redes de IBM Cloud Virtual Private Cloud (VPC).
IBM Key Protect for IBM Cloud
El servicio IBM Key Protect for IBM Cloud le ayuda a suministrar y almacenar claves cifradas para aplicaciones en los servicios de IBM Cloud, de modo que pueda ver y gestionar el cifrado de datos y todo el ciclo de vida de las claves desde una ubicación central.
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services aporta seguridad y rendimiento líderes en el mercado a su contenido web externo y aplicaciones de Internet antes de que lleguen a la nube.
IBM Cloud Direct Link
La velocidad y confiabilidad de IBM® Cloud Direct Link le permiten ampliar la red del centro de datos de su organización, sin tocar el internet público.
Fortigate Security Appliance
Despliegue un par de FortiGate Virtual Appliances en su entorno, lo que puede ayudarle a reducir el riesgo mediante la implementación de controles de seguridad críticos dentro de su infraestructura virtual.
IBM QRadar Suite
IBM Security QRadar Suite es una solución modernizada de detección y respuesta a amenazas diseñada para unificar la experiencia de los analistas de seguridad y acelerar su velocidad a lo largo del ciclo de vida de los incidentes.
IBM Security Guardium
Software de seguridad de datos en la cartera de IBM Security que descubre vulnerabilidades y protege datos confidenciales on premises y en la nube.
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services aporta seguridad y rendimiento líderes en el mercado a su contenido web externo y aplicaciones de Internet antes de que lleguen a la nube.
IBM Cloud Security and Compliance Center: Protección de cargas de trabajo
Encuentre y priorice vulnerabilidades de software, detecte y responda a amenazas, y gestione configuraciones, licencias y cumplimiento desde el origen hasta la ejecución.
IBM Security Guardium
Software de seguridad de datos en la cartera de IBM Security que descubre vulnerabilidades y protege datos confidenciales on premises y en la nube.
IBM Cloud Container Registry
Almacene y distribuya imágenes de contenedor en un registro privado totalmente gestionado. Inserte imágenes privadas para ejecutarlas convenientemente en IBM Cloud Kubernetes Service y otros entornos de tiempo de ejecución.
IBM Cloud Continuous Delivery
Adopte DevOps listo para la empresa. Cree cadenas de herramientas seguras que respalden sus tareas de entrega de aplicaciones. Automatice compilaciones, pruebas, despliegues y más.
IBM® Cloud Kubernetes Service
Despliegue clústeres seguros y de alta disponibilidad en una experiencia nativa de Kubernetes.
IBM Cloud App ID
Agregue fácilmente autenticación a aplicaciones web y móviles. Mejore sus aplicaciones con capacidades de seguridad avanzadas, como la autenticación multifactor y el inicio de sesión único (SSO).
IBM Cloud Identity and Access Management (IAM)
El servicio IBM® Cloud Identity and Access Management autentica de forma segura a los usuarios y controla el acceso a todos los recursos de forma coherente en IBM® Cloud Platform.
IBM Cloud App ID
Agregue fácilmente autenticación a aplicaciones web y móviles. Mejore sus aplicaciones con capacidades de seguridad avanzadas, como la autenticación multifactor y el inicio de sesión único (SSO).
IBM Cloud Secrets Manager
Cree secretos dinámicamente y concédalos a las aplicaciones mientras controla el acceso desde una única ubicación. Basado en HashiCorp Vault de código abierto.
IBM Cloud Identity and Access Management (IAM)
El servicio IBM® Cloud Identity and Access Management autentica de forma segura a los usuarios y controla el acceso a todos los recursos de forma coherente en IBM® Cloud Platform.
IBM Cloud adopta varias medidas para aumentar la seguridad física:
- Seguridad física del perímetro del centro de datos
- Controles de acceso y registro de entrada y salida
- Oficinas, salas e instalaciones seguras
- Protección contra amenazas externas y ambientales
- Redundancia de equipos de energía y red
- Eliminación segura de equipamiento durante el desaprovisionamiento
- Política empresarial de RR. HH. y seguridad para la incorporación, la capacitación y la salida de la empresa
IBM Cloud Flow Logs for VPC
Permite la recopilación, el almacenamiento y la presentación de información sobre el tráfico del Protocolo de Internet (IP) que va hacia y desde las interfaces de red dentro de su Virtual Private Cloud (VPC).
IBM QRadar Suite
IBM Security QRadar Suite es una solución modernizada de detección y respuesta a amenazas diseñada para unificar la experiencia de los analistas de seguridad y acelerar su velocidad a lo largo del ciclo de vida de los incidentes.
IBM Cloud Identity and Access Management (IAM)
El servicio IBM® Cloud Identity and Access Management autentica de forma segura a los usuarios y controla el acceso a todos los recursos de forma coherente en IBM® Cloud Platform.
IBM Security Guardium
Software de seguridad de datos en la cartera de IBM Security que descubre vulnerabilidades y protege datos confidenciales on premises y en la nube.
IBM Cloud Logs
Obtenga observabilidad de los registros con IBM® Cloud Logs para ayudar a mejorar el rendimiento de la infraestructura y las aplicaciones
IBM Cloud Monitoring
Monitoreo y solución de problemas de la nube para infraestructura, servicios en la nube y aplicaciones.
IBM Cloud Security and Compliance Center: Protección de cargas de trabajo
Encuentre y priorice vulnerabilidades de software, detecte y responda a amenazas, y gestione configuraciones, licencias y cumplimiento desde el origen hasta la ejecución.
IBM QRadar Suite
IBM Security QRadar Suite es una solución modernizada de detección y respuesta a amenazas diseñada para unificar la experiencia de los analistas de seguridad y acelerar su velocidad a lo largo del ciclo de vida de los incidentes.
IBM Security Guardium
Software de seguridad de datos en la cartera de IBM Security que descubre vulnerabilidades y protege datos confidenciales on premises y en la nube.
IBM Cloud Security and Compliance Center: Protección de cargas de trabajo
Encuentre y priorice vulnerabilidades de software, detecte y responda a amenazas, y gestione configuraciones, licencias y cumplimiento desde el origen hasta la ejecución.
IBM Cloud Logs
Obtenga observabilidad de los registros con IBM® Cloud Logs para ayudar a mejorar el rendimiento de la infraestructura y las aplicaciones
IBM Cloud Monitoring
Monitoreo y solución de problemas de la nube para infraestructura, servicios en la nube y aplicaciones.
Preguntas frecuentes
La versión más reciente del PCI DSS 4.0.1 se lanzó en marzo de 2022. Enumera estos 12 requisitos para proteger los datos de los titulares de tarjetas. Las organizaciones deben aplicar estos requisitos antes del 31 de marzo de 2025 para lograr el cumplimiento.
Instalar y mantener controles de seguridad de red
Los controles de seguridad de red (NSC) pueden incluir cortafuegos, dispositivos virtuales, sistemas de contenedores, sistemas de seguridad en la nube y otras tecnologías que controlan el acceso a los sistemas y datos.
Aplique configuraciones seguras a todos los componentes del sistema
Las contraseñas predeterminadas y otras configuraciones predeterminadas del sistema suministradas por los proveedores no deben utilizarse. ya que son vulnerables a los ciberataques.
Proteja los datos almacenados de los titulares de tarjetas
A menos que sea necesario para las necesidades del negocio, las organizaciones no deben almacenar datos de los titulares de tarjetas. En dado caso, debe hacerse ilegible mediante cifrado, enmascaramiento u otros medios.
Proteja los datos de los titulares de tarjetas con criptografía sólida durante la transmisión a través de redes públicas abiertas
Para evitar que los hackers accedan a información confidencial, como números de tarjetas e información de identificación personal (PII), los datos deben cifrarse antes y/o durante las transmisiones de redes públicas.
Proteja todos los sistemas y redes del software malicioso
Mantenga un software antivirus y otras defensas contra programas maliciosos, como spyware, keyloggers, ransomware, scripts y otros virus.
Desarrolle y mantenga sistemas y software seguros
Al aplicar los últimos parches de seguridad y adherirse a prácticas seguras al desarrollar aplicaciones, las organizaciones pueden ayudar a minimizar el riesgo de filtraciones de datos.
Restrinja el acceso a los componentes de los sistemas y a los datos de los titulares de tarjetas según las necesidades empresariales
Las medidas estrictas de control de acceso deberían garantizar que los usuarios autorizados vean solo la información necesaria de los titulares de tarjetas para realizar su trabajo.
Identifique a los usuarios y autentique el acceso a los componentes del sistema
Se debe asignar una identificación única con datos de autenticación rastreables a cada persona con acceso informático a sistemas y datos confidenciales.
Restrinja el acceso físico a los datos de los titulares de tarjetas
Para evitar que personas no autorizadas eliminen hardware o copias impresas que contengan datos de titulares de tarjetas, se debe restringir el acceso físico a los sistemas.
Registre y monitoree todos los accesos a los componentes del sistema y a los datos de titulares de tarjetas
La capacidad de automatizar el registro y el monitoreo de sistemas y datos confidenciales puede ayudar a detectar actividades sospechosas y respaldar el análisis forense después de una violación.
Pruebe la seguridad de los sistemas y redes con regularidad
Debido a que los delincuentes cibernéticos buscan continuamente nuevas vulnerabilidades en entornos de TI cambiantes, deben realizarse pruebas de penetración y análisis de vulnerabilidades con regularidad.
Apoye la seguridad de la información con políticas y programas de la organización
Las organizaciones deben crear una política integral de seguridad de la información que describa los procedimientos para identificar y gestionar los riesgos, la concientización continua sobre la seguridad y el cumplimiento de los PCI DSS.
Las organizaciones que se rigen por la norma PCI DSS 4.0.1 deben documentar su cumplimiento cada año. Las organizaciones más grandes deben presentar un informe detallado sobre el cumplimiento (ROC) y un certificado de cumplimiento (AOC). Un asesor de seguridad calificado (QSA), certificado por el PCI Standard Security Council, debe llenar y firmar los documentos ROC y AOC. Las organizaciones pequeñas y medianas pueden llenar un cuestionario de autoevaluación (SAQ) para validar el cumplimiento.
Si una organización transmite datos de titulares de tarjetas a través de internet, es posible que también deba implementar una gestión de vulnerabilidades para mantener una red segura. Para lograr el cumplimiento, un proveedor de escaneo aprobado (ASV) certificado por PCI SSC debe realizar un escaneo de vulnerabilidad trimestral para probar la seguridad de la red.
Los requisitos de información del PCI DSS difieren en función del número de transacciones procesadas anualmente por una organización. Hay cuatro niveles de cumplimiento.
Nivel 1
Más de 6 millones de transacciones con tarjetas de pago al año. Debe presentar un informe de cumplimiento que haya llenado un asesor de seguridad calificado. Debe pedir a un proveedor de escaneo aprobado que realice un escaneo trimestral de la vulnerabilidad de la red.
Nivel 2
Entre un millón y 6 millones de transacciones con tarjetas de pago al año. Debe completar un cuestionario de autoevaluación, y es posible que deba realizar escaneos trimestrales de la vulnerabilidad de la red.
Nivel 3
Entre 20 000 y 1 millón de transacciones con tarjetas de pago al año. Debe completar un cuestionario de autoevaluación, y es posible que deba realizar escaneos trimestrales de la vulnerabilidad de la red.
Nivel 4
Menos de 20 000 transacciones anuales con tarjeta. Debe completar un cuestionario de autoevaluación, y es posible que deba realizar escaneos trimestrales de la vulnerabilidad de la red.
Aunque los comerciantes y los proveedores de servicios de pago deben seguir el PCI DSS 4.0.1, su cumplimiento no es exigido por la ley, los gobiernos o incluso el PCI Security Standards Council. En cambio, el cumplimiento lo gestionan las empresas de tarjetas de crédito, como Visa o MasterCard, y los adquirentes, que son bancos o instituciones financieras que procesan pagos con tarjeta.
Una vez al año, las organizaciones que procesan o almacenan datos de titulares de tarjetas deben validar su adhesión al PCI DSS. Si una organización subcontrata su procesamiento de pagos, aún debe afirmar que las transacciones con tarjeta de crédito están protegidas según los requisitos del PCI DSS.
Las multas por incumplimiento de los PCI DSS las establecen las marcas de tarjetas de pago y se negocian entre las marcas, el comerciante o proveedor de servicios y los bancos u otras instituciones financieras afectadas. Las marcas de tarjetas de pago no publican listas de multas o tarifas y, por lo general, no ponen a disposición del público la información sobre las sanciones.
Como regla general, las multas por incumplimiento pueden oscilar entre 5000 y 10 000 USD durante los primeros tres meses de incumplimiento, y entre 50 000 y 100 000 USD al mes luego de seis meses de incumplimiento. En caso de una filtración de datos, los comerciantes o proveedores de servicios que no cumplan con las normas pueden recibir una multa adicional de 50 a 90 USD por cliente, hasta un máximo de 500 000 USD.
Las marcas de tarjetas de pago pueden imponer multas mucho más elevadas a su discreción, y la sanción final negociada por el incumplimiento del PCI DSS por parte de una organización (en particular, el incumplimiento que da lugar a una filtración de datos) puede ascender a millones o cientos de millones de dólares para cubrir el costo de las investigaciones, las reclamaciones gubernamentales, las demandas colectivas y otros aspectos.
Además de incurrir en multas, a las organizaciones que incumplan se les puede prohibir procesar transacciones con tarjetas de pago.
Proteger los datos confidenciales
Las consecuencias de una filtración de datos que involucre datos de titulares de tarjetas son graves. Además de multas, sanciones legales y daños a la reputación, las organizaciones pueden sufrir la pérdida tanto de clientes actuales como potenciales. Los requisitos de PCI DSS 4.0.1 ayudan a defenderse contra el robo de datos confidenciales.
Aumentar la confianza de los clientes
Debido a que el fraude y el robo de identidad suelen aparecer en primer plano, los consumidores pueden ser reacios a proporcionar a los minoristas información confidencial de tarjetas de crédito. El cumplimiento del PCI DSS ayuda a los clientes a confiar en que sus datos están protegidos, lo que les permite tener más seguridad al realizar compras.
Apoyar un cumplimiento normativo más amplio
Aunque el PCI DSS no es un mandato legal, los controles de seguridad que implementa pueden ayudar a las organizaciones a cumplir con las regulaciones gubernamentales. Partes del PCI DSS son complementarias a las leyes de protección de datos, como la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA), la Ley Sarbanes Oxley (SOX) y el Reglamento General de Protección de Datos (RGPD).
Aborde la seguridad unificada, el cumplimiento y la visibilidad de riesgos en entornos multinube híbridos.
Cree una infraestructura escalable a un costo menor, despliegue nuevas aplicaciones al instante y amplíe las cargas de trabajo confidenciales y de misión crítica en función de la demanda, todo dentro de una plataforma con amplia seguridad.
Al comprender las causas y los factores que aumentan o reducen los costos de las filtraciones, usted estará mejor preparado para enfrentarlas. Aprenda de las experiencias de más de 550 organizaciones afectadas por una filtración de datos.
La información de identificación personal (PII) es cualquier información que pueda usarse para descubrir la identidad de esa persona, como su número de seguro social, nombre completo o dirección de correo electrónico.
La seguridad de red es el campo de la seguridad cibernética enfocada en proteger las redes informáticas de las amenazas cibernéticas.