Guías PCI: Todo lo que necesitas saber.

Este artículo fue publicado por el autor Editores el 09/02/2025 y actualizado el 09/02/2025. Esta en la categoria Artículos.

Resumen Abierto

Historia de las Guías PCI
Componentes de las Guías PCI
Cómo implementar las Guías PCI
Cómo cumplir con las Guías PCI
FAQ
Referencias

Las Guías PCI (Payment Card Industry) son un conjunto de directrices y estándares que se han creado con el fin de garantizar la seguridad de los datos de las tarjetas de crédito y débito. Estos estándares se aplican a todas las organizaciones que procesan, almacenan o transmiten datos de tarjetas de pago, independientemente de su tamaño o ubicación.

En este artículo, vamos a explicarte todo lo que necesitas saber sobre las Guías PCI, incluyendo su historia, sus componentes, cómo se implementan y cómo se pueden cumplir.

Historia de las Guías PCI

Las Guías PCI tienen sus orígenes en la década de 1990, cuando el uso de tarjetas de crédito y débito se expandió rápidamente. Los bancos y las empresas de tarjetas de pago se dieron cuenta de que era necesario establecer medidas de seguridad para proteger los datos de las tarjetas y prevenir el fraude. En 2001, las cinco principales empresas de tarjetas de pago (Visa, Mastercard, American Express, Discover y JCB) se unieron para crear el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC, por sus siglas en inglés), con el objetivo de desarrollar y gestionar las Guías PCI.

Desde entonces, las Guías PCI han evolucionado y se han actualizado periódicamente para adaptarse a las nuevas amenazas y tecnologías. La versión actual de las Guías PCI es la 3.2.1, publicada en mayo de 2018.

Componentes de las Guías PCI

Las Guías PCI se dividen en tres componentes principales:

Directrices: Son recomendaciones y buenas prácticas que las organizaciones deben seguir para garantizar la seguridad de los datos de las tarjetas.
Estándares: Son requisitos obligatorios que todas las organizaciones deben cumplir. Son específicos y detallados, y abarcan aspectos como la autenticación de usuarios, la encriptación de datos, la gestión de vulnerabilidades y la monitorización de actividades.
Programa de evaluación de conformidad (PA-DSS): Es un programa que ayuda a las empresas de software y hardware a desarrollar y comercializar productos que cumplan con las Guías PCI.

Cómo implementar las Guías PCI

Las organizaciones que procesan, almacenan o transmiten datos de tarjetas de pago deben seguir los siguientes pasos para implementar las Guías PCI:

Realizar una evaluación de riesgos: Identificar los activos y las amenazas relacionadas con los datos de las tarjetas.
Desarrollar una política de seguridad: Definir los roles y las responsabilidades, los procedimientos y los controles necesarios para proteger los datos.
Implementar los controles de seguridad: Aplicar las medidas técnicas y organizativas necesarias para cumplir con los requisitos de las Guías PCI.
Monitorizar y mantener la seguridad: Realizar pruebas periódicas y actualizar los controles de seguridad para adaptarse a las nuevas amenazas y vulnerabilidades.
Someterse a una evaluación de conformidad: Demostrar que se han cumplido los requisitos de las Guías PCI mediante una evaluación realizada por un auditor autorizado.

Cómo cumplir con las Guías PCI

Las organizaciones deben demostrar que han cumplido con los requisitos de las Guías PCI mediante una evaluación de conformidad realizada por un auditor autorizado. Existen diferentes niveles de evaluación, dependiendo del volumen y el tipo de transacciones:

Autorización de proveedor de servicio de nivel 1 (SAQ A): Se realiza a organizaciones que procesan menos de 30.000 transacciones al año y no almacenan ni transmiten datos de tarjetas.
Autorización de proveedor de servicio de nivel 2 (SAQ A-EP): Se realiza a organizaciones que procesan menos de 6.000.000 transacciones al año y almacenan o transmiten datos de tarjetas sin autenticarlos.
Autorización de proveedor de servicio de nivel 3 (SAQ B): Se realiza a organizaciones que procesan menos de 1.000.000 transacciones al año y no almacenan ni transmiten datos de tarjetas, pero ofrecen servicios de autenticación de usuario.
Autorización de proveedor de servicio de nivel 4 (SAQ C-VT o SAQ D): Se realiza a organizaciones que procesan menos de 20.000 transacciones al año y almacenan, procesan o transmiten datos de tarjetas con autenticación de usuario.

La evaluación de conformidad se realiza mediante una serie de preguntas y comprobaciones que verifican el cumplimiento de los requisitos de las Guías PCI. Los auditores autorizados son empresas acreditadas por el PCI SSC que han demostrado su competencia y experiencia en la evaluación de la seguridad de los datos de las tarjetas.

FAQ

¿Qué son las Guías PCI? Las Guías PCI son un conjunto de directrices y estándares que garantizan la seguridad de los datos de las tarjetas de crédito y débito.

¿Quién creó las Guías PCI? Fueron creadas por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC), una organización formada por las cinco principales empresas de tarjetas de pago.

¿A quién aplican las Guías PCI? A todas las organizaciones que procesan, almacenan o transmiten datos de tarjetas de pago, independientemente de su tamaño o ubicación.

¿Cómo se cumplen las Guías PCI? Mediante una evaluación de conformidad realizada por un auditor autorizado, que verifica el cumplimiento de los requisitos de las Guías PCI.

¿Qué pasa si una organización no cumple con las Guías PCI? Las organizaciones que no cumplen con las Guías PCI se enfrentan a sanciones, como multas y restricciones en la capacidad de procesar transacciones con tarjetas de pago.

Referencias

Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC). (2018). Guías PCI de seguridad de la información de la industria de tarjetas de pago versión 3.2.1. Obtenido de https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2-1.pdf
Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC). (2018). Guía de implementación de las Guías PCI de seguridad de la información de la industria de tarjetas de pago versión 3.2.1. Obtenido de https://www.pcisecuritystandards.org/documents/PCI_DSS_Implementation_Guide_v3-2-1.pdf
Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC). (2018). Programa de autorización de proveedores de servicios PA-DSS versión 3.2. Obtenido de https://www.pcisecuritystandards.org/pdfs/PA-DSS_v3-2.pdf
Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC). (2018). Requisitos mínimos de seguridad (RMR) para los proveedores de servicios de tarjetas de pago PCI. Obtenido de https://www.pcisecuritystandards.org/pdfs/MIN_REQ_v3-2-1.pdf

Editores

Aprovecha la oportunidad de adquirir más conocimientos en tu día a día. Hay mucha información relevante.