Blog | Delete Technology

Normativa PCI DSS - Cómo afecta a las Tarjetas de Pago | Delete Technology

Escrito por Marcos Flores Miranda | Jul 24, 2023 3:13:25 PM

Cuando una empresa procesa pagos con tarjeta, está manejando mucho más que simples números: está gestionando la confianza del cliente. Proteger esa información se ha convertido en una prioridad global, y la normativa PCI DSS establece los estándares que rigen esta protección. 

Pero ¿qué ocurre con los datos una vez que dejan de ser útiles? Aquí entra un aspecto muchas veces ignorado: el borrado seguro y certificado de información, pieza clave para evitar filtraciones y cumplir con los estándares.

¿Qué es la normativa PCI DSS y cuál es su origen?

La PCI DSS (Payment Card Industry Data Security Standard) es una norma de seguridad desarrollada por el PCI Security Standards Council, creado por las cinco principales marcas de tarjetas: Visa, Mastercard, American Express, JCB y Discover.

Su propósito es claro: proteger los datos de los titulares de tarjetas y garantizar transacciones seguras en cualquier entorno, ya sea físico, digital o remoto.

Desde su lanzamiento en 2004, PCI DSS se ha convertido en el estándar global para todas las empresas que manejan información de tarjetas de pago, y abarca desde comercios minoristas hasta plataformas de e-commerce, bancos, pasarelas de pago, Fintechs y call centers.

¿Qué tipo de datos protege la PCI DSS?

La normativa pone especial atención en el CHD (Cardholder Data) y el SAD (Sensitive Authentication Data):

  • CHD: número de tarjeta, nombre del titular, fecha de vencimiento y código de seguridad (CVV).
  • SAD: datos confidenciales utilizados en procesos de autenticación, como el PIN o datos de la banda magnética.

Estos datos no deben ser almacenados salvo en casos muy específicos y, si se almacenan, deben estar cifrados, controlados y ser eliminados de forma segura al finalizar su uso, como lo detalla este artículo sobre la normativa PCI DSS .

¿Quién está obligado a cumplir con PCI DSS?

Cualquier organización que almacene, procese o transmita datos de tarjetas está obligada a cumplir con PCI DSS. Esto incluye:

  • Comercios electrónicos.
  • Bancos, Fintechs y procesadores de pagos.
  • Proveedores de software financiero o de punto de venta (POS).
  • Servicios de call center.
  • Empresas de logística que capturan datos de pago.
  • Proveedores cloud con acceso a datos de clientes.

Incluso si una empresa subcontrata el procesamiento de tarjetas, sigue siendo responsable del cumplimiento, ya que debe garantizar que sus proveedores también estén certificados.

¿Qué niveles de cumplimiento establece PCI DSS?

La norma clasifica a las empresas en cuatro niveles según el volumen anual de transacciones:

Nivel

Transacciones anuales

Requisitos principales

1

Más de 6 millones

Auditoría anual externa + escaneos trimestrales.

2

1 a 6 millones

Autoevaluación anual (SAQ) + escaneos trimestrales.

3

20,000 a 1 millón

SAQ y cumplimiento técnico periódico.

4

Menos de 20,000

SAQ, pero con requisitos personalizados según el banco adquirente.

Independientemente del nivel, todos deben cumplir los 12 requerimientos centrales de la norma.

¿Cuáles son los 12 requisitos fundamentales de la PCI DSS?

Agrupados en seis objetivos clave, estos son los pilares que toda empresa debe adoptar:

  1. Construir y mantener una red segura
    • Uso de firewalls.
    • Evitar configuraciones por defecto en contraseñas o sistemas.
  2. Proteger los datos del titular de tarjeta
    • Encriptación de datos.
    • Eliminación segura de información innecesaria.
  3. Mantener un programa de gestión de vulnerabilidades
    • Sistemas antivirus actualizados.
    • Parches de seguridad periódicos.
  4. Aplicar medidas fuertes de control de acceso
    • Restricción según roles.
    • Identificación única de usuarios.
  1. Monitorear y probar redes regularmente
    • Registro y monitoreo de actividades.
    • Pruebas de penetración y escaneos de vulnerabilidades.
  2. Mantener una política de seguridad de la información
    • Formación al personal.
    • Auditorías internas y externas.

Estos requisitos no solo son técnicos; también son operativos y organizacionales. El borrado seguro entra en juego en varios puntos, sobre todo en los requisitos 3 (protección de datos) y 9 (restricción de acceso físico a datos almacenados).

¿Por qué el borrado seguro es crucial para cumplir con PCI DSS?

Uno de los principios más relevantes (y a menudo ignorado) es que los datos de tarjeta no deben almacenarse más tiempo del necesario. Y cuando se eliminan, deben hacerlo de forma que no puedan ser recuperados, ni siquiera con herramientas forenses.

Aquí es donde el borrado seguro y certificado se convierte en una práctica crítica:

  • Permite destruir datos conforme a metodologías como el NIST 800-88.
  • Elimina rastros de información en dispositivos reutilizados, vendidos o desechados.
  • Aplica a discos duros, SSDs, copias de seguridad, logs y cualquier medio físico o digital.

La sanitización de datos también es clave cuando se realizan migraciones de servicios, se termina una relación con un proveedor, o se cambia de infraestructura en la nube.

No cumplir con esta parte pone en riesgo la integridad del sistema, aunque todo lo demás esté en regla.

¿Qué consecuencias puede tener el incumplimiento?

Las sanciones por incumplir PCI DSS pueden ser severas. Incluyen:

  • Multas de hasta $100,000 USD mensuales por parte de las marcas de tarjetas.
  • Suspensión del derecho a procesar pagos con tarjeta.
  • Reclamaciones legales por parte de los usuarios afectados.
  • Pérdida de confianza de clientes, socios e inversores.
  • Costos de mitigación, notificación y monitoreo de identidad tras una filtración.

Empresas que han ignorado estas normativas han enfrentado crisis reputacionales y financieras devastadoras, muchas veces evitables con medidas como el borrado certificado de discos duros.

¿Se puede combinar PCI DSS con otras normativas?

Sí, y es muy recomendable. PCI DSS comparte principios con:

  • La ISO/IEC 27001, centrada en la gestión de seguridad de la información.
  • El Esquema Nacional de Seguridad, obligatorio en muchos contratos públicos.
  • Normas como la ISO 27040, enfocada en almacenamiento seguro.

Preguntas frecuentes

¿Es obligatorio cumplir con PCI DSS si subcontrato el procesamiento de pagos?

Sí. Aunque no manejes los datos directamente, eres responsable de que tus proveedores estén certificados y alineados con los requisitos.

¿Debo borrar los logs con datos de tarjetas?

Si los registros contienen CHD o SAD, deben ser eliminados de forma segura cuando ya no sean necesarios, conforme a políticas como las de retención de datos.

¿Cómo sé si mi software POS es compatible con PCI DSS?

Debe estar validado como conforme con los estándares del PCI SSC. Además, su ciclo de vida debe incluir prácticas como el borrado criptográfico de registros sensibles.

¿PCI DSS cubre también pagos móviles y apps?

Sí. La protección de datos aplica a cualquier entorno donde se capture, procese o almacene información de tarjetas, incluidas apps móviles y dispositivos inteligentes.

En Delete Technology contamos con soluciones tecnológicas y servicios que facilitan el borrado seguro y certificado de información. Ponte en contacto con nosotros si tu industria requiere de nuestra experiencia. 

Síguenos en nuestras redes sociales

 
Ver post completo