La normativa PCI DSS, o Normas de Seguridad de los Datos del Sector Tarjetas de Pago, es un conjunto de requisitos que buscan garantizar la seguridad de los datos de las tarjetas de crédito y débito.
Esta normativa fue establecida por el Consejo de Normas de Seguridad para la Industria de las Tarjetas de Pago (PCI SSC) con el objetivo de proteger los datos de los tarjetahabientes y reducir el fraude en las transacciones con las tarjetas.
¿Qué es la normativa PCI DSS?
La norma PCI DSS es un estándar de seguridad que todas las entidades que procesan, almacenan o transmiten datos de tarjetas de crédito y débito deben cumplir. Establece un estándar mínimo de seguridad que ayuda a proteger los sistemas de estas entidades contra fraudes y filtraciones de datos.
La normativa PCI DSS incluye 12 requisitos que van desde la construcción y mantenimiento de una red segura hasta la implementación de políticas de seguridad sólidas.
Requisitos para cumplir con la Normativa PCI DSS
Para cumplir con la normativa PCI DSS, las empresas deben satisfacer 12 requisitos divididos en 6 categorías.
1. Construir y mantener una red segura
- Instalar y mantener un cortafuegos para proteger los datos.
- No usar contraseñas o parámetros de seguridad predeterminados proporcionados por los proveedores.
2. Proteger los datos de los tarjetahabientes
- Proteger los datos almacenados de los tarjetahabientes.
- Cifrar la transmisión de los datos de los titulares de tarjetas y de la información sensible a través de redes públicas abiertas.
3. Mantener un programa de gestión de vulnerabilidades
- Usar y actualizar regularmente programas antivirus.
- Desarrollar y mantener sistemas y aplicaciones seguras.
4. Implementar medidas de control de acceso
- Restringir el acceso a los datos por parte del personal de negocio al mínimo necesario.
- Asignar una ID única a cada persona con acceso al sistema.
- Restringir el acceso físico a los datos de los tarjetahabientes.
5. Monitorizar y probar las redes regularmente
- Monitorizar y probar las redes regularmente.
- Realizar pruebas regulares de los sistemas de seguridad y procesos.
6. Mantener una política de seguridad de la información
- Mantener una política que se ocupe de la seguridad de la información.
La normativa PCI DSS también clasifica a las empresas en 4 niveles según la cantidad de transacciones con tarjeta de crédito que procesen al año:
| Nivel |
Aplicación |
Requisitos |
| Nivel 1 |
Empresas que procesan más de 6 millones de transacciones al año. |
Auditoría anual realizada por un asesor de seguridad cualificado (QSA) y escaneo trimestral por un proveedor de escaneo aprobado (ASV) |
| Nivel 2 |
Empresas que procesan de 1 a 6 millones de transacciones al año. |
Autoevaluación anual y escaneo trimestral por un ASV |
| Nivel 3 |
Empresas que procesan de 20,000 a 1 millón de transacciones al año. |
Autoevaluación anual y escaneo trimestral por un ASV |
| Nivel 4 |
Empresas que procesan menos de 20,000 transacciones al año. |
Autoevaluación anual y escaneo trimestral por un ASV |
Es importante tener en cuenta que aunque el nivel 4 tiene los requisitos menos estrictos, todas las empresas deben garantizar la protección de los datos de los tarjetahabientes independientemente de su tamaño o volumen de transacciones.
¿Para qué se usa la Normativa PCI DSS?
La normativa PCI DSS se utiliza para proteger los datos de los tarjetahabientes y garantizar la seguridad de los pagos. Al cumplir con esta normativa, las entidades financieras y los proveedores de servicios TIC pueden garantizar que los datos de las tarjetas de crédito y débito se manejan de manera segura.
Además, el cumplimiento de la normativa PCI DSS puede ayudar a las empresas a evitar multas y sanciones asociadas con la violación de las normas de seguridad de los datos.
¿Cuándo entró en vigor la Normativa PCI DSS?
La normativa PCI DSS entró en vigor en diciembre 2004. Desde entonces, ha sido adoptada por todas las principales marcas de tarjetas como requisito para cualquier entidad que procese , almacene o transmita datos de tarjetas de crédito y débito.
¿Qué empresas están obligadas a utilizar la norma PCI?
Todas las empresas que procesan, almacenan o transmiten datos de tarjetas de crédito y débito están obligadas a cumplir con la normativa PCI DSS
Esto incluye las entidades financieras, los procesadores de tarjetas de crédito y débito, y los proveedores de servicios TIC. Además, los auditores autorizados también deben asegurarse de que estas empresas cumplen con la normativa PCI DSS.
En resumen, la normativa PCI DSS es un conjunto de normas que establecieron para proteger los datos de las tarjetas de crédito y débito. Al cumplir con estos requisitos, las empresas pueden garantizar la seguridad de los pagos y proteger a los tarjetahabientes contra el fraude. Aunque cumplir con la normativa PCI DSS puede ser un desafío, los beneficios en términos de seguridad de los datos y la confianza de los clientes hacen que valga la pena el esfuerzo.
Como complemento a esta información, te sugerimos consultar el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago, para conocer más sobre la normativa PCI DSS
